شبكة SWL (IV): Ubuntu Precise and ClearOS. مصادقة SSSD مقابل LDAP الأصلي.

مرحبا اصدقاء !. مباشرة في صلب الموضوع وليس قبل قراءة المقال «مقدمة عن شبكة برمجيات حرة (I): تقديم ClearOS»وقم بتنزيل حزمة صور التثبيت خطوة بخطوة ClearOS (1,1 ميغا) ، لتكون على دراية بما نتحدث عنه. بدون هذه القراءة سيكون من الصعب متابعتنا. حسنا؟ المعتادة اليائسة.

خفي خدمة أمن النظام

برنامج SSD o البرنامج الخفي لخدمة أمن النظام، هو مشروع فيدوراالتي ولدت من مشروع آخر -أيضا من فيدورا- يسمى FreeIPA. وفقًا لمنشئيها ، فإن التعريف القصير والمترجم بحرية سيكون:

SSSD هي خدمة توفر الوصول إلى مختلف موفري الهوية والمصادقة. يمكن تهيئته لنطاق LDAP الأصلي (موفر الهوية المستند إلى LDAP مع مصادقة LDAP) ، أو لموفر هوية LDAP مع مصادقة Kerberos. يوفر SSSD واجهة النظام من خلال NSS y برنامج الأغذية العالمي، ونهاية خلفية قابلة للإدراج للاتصال بأصول حساب متعددة ومختلفة.

نعتقد أننا نواجه حلاً أكثر شمولاً وقوة لتحديد ومصادقة المستخدمين المسجلين في OpenLDAP ، من تلك التي تم تناولها في المقالات السابقة ، وهو جانب متروك لتقدير الجميع وتجاربهم الخاصة.

الحل المقترح في هذه المقالة هو الأكثر موصى به لأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المحمولة ، لأنه يسمح لنا بالعمل دون اتصال ، نظرًا لأن SSSD يخزن بيانات الاعتماد على الكمبيوتر المحلي.

مثال على الشبكة

• وحدة تحكم المجال ، DNS ، DHCP: كلير أو إس إنتربرايز 5.2sp1.
• اسم وحدة التحكم: سينت أو إس
• اسم النطاق: friends.cu
• IP تحكم: 10.10.10.60
• ---------------
• نسخة أوبونتو: سطح مكتب أوبونتو 12.04.2 دقيق.
• اسم الفريق: حاجة
• عنوان IP: باستخدام DHCP

نحن نجهز Ubuntu الخاص بنا

نقوم بتعديل الملف /etc/lightdm/lightdm.conf لقبول تسجيل الدخول اليدوي ، ونترك لك المحتوى التالي:

[SeatDefaults] برنامج الترحيب جلسة = جلسة مستخدم وحدة الترحيب = جلسة استقبال ubuntu-show-manual-login = مرحب حقيقي-إخفاء-مستخدمون = السماح بالضيف الحقيقي = خطأ

بعد حفظ التغييرات ، نعيد تشغيل LightDM في وحدة التحكم التي تم استدعاؤها بواسطة Ctrl + Alt + F1 وننفذ فيه ، بعد تسجيل الدخول ، إعادة تشغيل sudo service lightdm.

يوصى أيضًا بتحرير الملف / الخ / المضيفين واتركه مع المحتوى التالي:

127.0.0.1 مضيف محلي 127.0.1.1 دقيق. amigos.cu دقيق [----]

بهذه الطريقة نحصل على الردود المناسبة للأوامر اسم المضيف y اسم المضيف –fqdn.

نتحقق من عمل خادم LDAP

نقوم بتعديل الملف /etc/ldap/ldap.conf وتثبيت الحزمة أدوات ldap:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = friends، dc = cu URI ldap: //centos.amigos.cu [----]

: ~ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends، dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends، dc = cu 'uid = خطوات
: ~ $ ldapsearch -x -b dc = أصدقاء ، dc = cu 'uid = legolas' cn gidNumber

باستخدام الأمرين الأخيرين ، نتحقق من توفر خادم OpenLDAP الخاص بـ ClearOS. دعنا نلقي نظرة فاحصة على مخرجات الأوامر السابقة.

هام: لقد تحققنا أيضًا من أن خدمة التعريف في خادم OpenLDAP الخاص بنا تعمل بشكل صحيح.

نقوم بتثبيت حزمة sssd

يوصى أيضًا بتثبيت الحزمة اصبع اليد لجعل الشيكات صالحة للشرب أكثر من ldapsearch:

: ~ sudo aptitude install sssd finger

عند الانتهاء من التثبيت ، يتم تقديم الخدمة ssd لا يبدأ بسبب فقدان الملف /etc/sssd/sssd.conf. ناتج التثبيت يعكس هذا. لذلك ، يجب علينا إنشاء هذا الملف وتركه بامتداد الحد الأدنى التالي للمحتوى:

: ~ sudo nano /etc/sssd/sssd.conf $
[sssd] config_file_version = خدمتان = nss ، pam # لن يبدأ SSSD إذا لم تقم بتكوين أي مجالات. # إضافة تكوينات المجال الجديدة مثل [المجال / ] ، ثم # ثم أضف قائمة النطاقات (بالترتيب الذي تريده أن يتم الاستعلام عنها #) إلى سمة "domains" أدناه وأزل التعليق عليها. domains = amigos.cu [nss] filter_groups = عامل تصفية الجذر = إعادة الاتصال الجذر = 2 [بام] إعادة الاتصال_ريتريز = 3 # مجال LDAP [المجال / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema يمكن تعيينه على "rfc2307" ، الذي يخزن أسماء أعضاء المجموعة في سمة # "memberuid" ، أو إلى "rfc2307bis" ، الذي يخزن DN لعضو المجموعة في # سمة "العضو". إذا كنت لا تعرف هذه القيمة ، اسأل مسؤول LDAP #. # يعمل مع ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends، dc = cu # لاحظ أن تمكين التعداد سيكون له تأثير متوسط ​​على الأداء. # وبالتالي ، فإن القيمة الافتراضية للتعداد هي FALSE. # راجع صفحة الدليل sssd.conf للحصول على التفاصيل الكاملة. تعداد = خطأ # السماح بعمليات تسجيل الدخول دون اتصال عن طريق تخزين تجزئة كلمة المرور محليًا (الافتراضي: خطأ). cache_credentials = صحيح
ldap_tls_reqcert = السماح
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

بمجرد إنشاء الملف ، نقوم بتعيين الأذونات المقابلة وإعادة تشغيل الخدمة:

: ~ sudo chmod 0600 /etc/sssd/sssd.conf $
: ~ إعادة تشغيل sudo service sssd

إذا أردنا إثراء محتوى الملف السابق ، فنحن نوصي بالتنفيذ رجل sssd.conf و / أو استشر الوثائق الموجودة على الإنترنت ، بدءًا من الروابط الموجودة في بداية المنشور. استشر أيضا رجل sssd-ldap. حزمة ssd يتضمن مثالا في /usr/share/doc/sssd/examples/sssd-example.conf، والتي يمكن استخدامها للمصادقة مقابل Microsoft Active Directory.

الآن يمكننا استخدام أكثر الأوامر الصالحة للشرب اصبع اليد y يحصل:

: ~ خطوات إصبع $
تسجيل الدخول: خطوات الاسم: Strides El Rey الدليل: / home / strides Shell: / bin / bash لم تسجل الدخول مطلقًا. لا بريد. لا توجد خطة.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

ما زلنا لا نستطيع إرسال أنفسنا للتشغيل ومحاولة المصادقة كمستخدم لخادم LDAP. قبل أن نقوم بتعديل الملف /etc/pam.d/common-session، بحيث يتم إنشاء مجلد المستخدم تلقائيًا عند بدء الجلسة ، إذا لم يكن موجودًا ، ثم أعد تشغيل النظام:

[----]
الجلسة المطلوبة pam_mkhomedir.so skel = / etc / skel / umask = 0022

### يجب تضمين السطر أعلاه قبل ذلك
# هنا هي الوحدات النمطية لكل حزمة (الكتلة "الأساسية") [----]

الآن إذا قمنا بإعادة التشغيل:

: ~ sudo reboot

بعد تسجيل الدخول ، افصل الشبكة باستخدام مدير الاتصال وقم بتسجيل الخروج والعودة مرة أخرى. لا شيء أسرع. تشغيل في محطة ifconfig وسوف يرون أن eth0 لم يتم تكوينه على الإطلاق.

قم بتنشيط الشبكة. الرجاء تسجيل الخروج وتسجيل الدخول مرة أخرى. تحقق مرة أخرى مع ifconfig.

بالطبع ، للعمل دون اتصال بالإنترنت ، من الضروري بدء الجلسة مرة واحدة على الأقل أثناء اتصال OpenLDAP بالإنترنت ، بحيث يتم حفظ بيانات الاعتماد على جهاز الكمبيوتر الخاص بنا.

دعونا لا ننسى أن نجعل المستخدم الخارجي المسجل في OpenLDAP عضوًا في المجموعات الضرورية ، مع الانتباه دائمًا إلى المستخدم الذي تم إنشاؤه أثناء التثبيت.

إذا كان الجهاز لا يريد أن يغلق بريمج المقابلة ، ثم تشغيل في وحدة التحكم sudo السلطة خارج لإيقاف و sudo اعادة التشغيل لإعادة التشغيل. يبقى معرفة سبب حدوث ما سبق في بعض الأحيان.

مذكرة:

تعلن الخيار ldap_tls_reqcert = أبدًا، في الملف /etc/sssd/sssd.conf، يشكل خطرًا أمنيًا كما هو مذكور في الصفحة SSSD - أسئلة وأجوبة. النظام الأساسي "الطلب«. نرى رجل sssd-ldap. ومع ذلك ، في الفصل 8.2.5 تكوين المجالات من وثائق Fedora ، تم ذكر ما يلي:

لا يدعم SSSD المصادقة عبر قناة غير مشفرة. وبالتالي ، إذا كنت تريد المصادقة مقابل خادم LDAP أيضًا TLS/SSL or LDAPS هو مطلوب.

SSD لا يدعم المصادقة عبر قناة غير مشفرة. لذلك ، إذا كنت تريد المصادقة على خادم LDAP ، فسيكون ذلك ضروريًا TLS / SLL o LDAP.

نحن نفكر شخصيا أن الحل تناولها وهي كافية لشبكة محلية مؤسسية ، من وجهة نظر أمنية. من خلال WWW Village ، نوصي بتنفيذ قناة مشفرة باستخدام TLS أو «طبقة أمان النقل »، بين كمبيوتر العميل والخادم.

نحاول تحقيق ذلك من الجيل الصحيح من الشهادات الموقعة ذاتيًا أو «التوقيع الذاتي "على خادم ClearOS ، لكننا لم نتمكن من ذلك. انها في الواقع قضية معلقة. إذا كان أي قارئ يعرف كيفية القيام بذلك ، فمرحباً بك لشرح ذلك!