SWL мрежа (IV): Ubuntu Precise и ClearOS. SSSD удостоверяване срещу родния LDAP.

Здравейте приятели!. Точно до точката, не преди да прочетете статията «Въведение в мрежа със свободен софтуер (I): Представяне на ClearOS»И изтеглете пакета за инсталационни изображения ClearOS Step by Step (1,1 мега), за да сте наясно за какво говорим. Без това четене ще бъде трудно да ни следвате. Добре? Обичайно отчаяно.

Демон на услугата за сигурност на системата

Програмата SSSD o Демон за услугата за системна сигурност, е проект на Fedora, който е роден от друг проект - също от Fedora - наречен FreeIPA. Според собствените му създатели кратко и свободно преведено определение ще бъде:

SSSD е услуга, която предоставя достъп до различни доставчици на самоличност и удостоверяване. Той може да бъде конфигуриран за собствен LDAP домейн (LDAP-базиран доставчик на идентичност с LDAP удостоверяване) или за доставчик на LDAP идентичност с Kerberos удостоверяване. SSSD осигурява интерфейса към системата чрез НСС y PAMи вграден Back End за свързване към множество и различни източници на акаунти.

Ние вярваме, че сме изправени пред по-изчерпателно и стабилно решение за идентификация и удостоверяване на регистрирани потребители в OpenLDAP, отколкото тези, разгледани в предходните статии, аспект, който е оставен на преценката на всеки и на собствения опит.

Предложеното в тази статия решение е най-препоръчително за мобилни компютри и лаптопи, тъй като ни позволява да работим без връзка, тъй като SSSD съхранява идентификационните данни на локалния компютър.

Примерна мрежа

• Контролер на домейни, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Име на контролера: CentOS
• Име на домейн: приятели.cu
• IP на контролера: 10.10.10.60
• ---------------
• Версия Ubuntu: Ubuntu Desktop 12.04.2 Точно.
• Име на отбора: трябва
• IP адрес: Използване на DHCP

Ние подготвяме нашия Ubuntu

Ние модифицираме файла /etc/lightdm/lightdm.conf да приемете ръчно влизане и ви оставяме следното съдържание:

[SeatDefaults] greeter-session = единство-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

След като запазим промените, рестартираме lightdm в конзола, извикана от Ctrl+Alt+F1 и в него изпълняваме, след като влезем, sudo service lightdm рестартиране.

Също така се препоръчва да редактирате файла / Etc / hosts и го оставете със следното съдържание:

127.0.0.1 localhost 127.0.1.1 precizan.amigos.cu точен [----]

По този начин получаваме подходящите отговори на командите име на хост y име на хост –fqdn.

Проверяваме дали LDAP сървърът работи

Ние модифицираме файла /etc/ldap/ldap.conf и инсталирайте пакета ldap-полезни програми:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = приятели, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude инсталиране ldap-utils: ~ $ ldapsearch -x -b 'dc = приятели, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = приятели, dc = cu 'uid = крачки '
: ~ $ ldapsearch -x -b dc = приятели, dc = cu 'uid = legolas' cn gidNumber

С последните две команди проверяваме наличността на сървъра OpenLDAP на нашия ClearOS. Нека разгледаме добре резултатите от предишните команди.

Важно: ние също така проверихме дали услугата за идентификация в нашия сървър OpenLDAP работи правилно.

Инсталираме пакета sssd

Също така се препоръчва да инсталирате пакета пръст за да направите чековете по-годни за пиене от ldapsearch:

: ~ $ sudo aptitude инсталира sssd пръст

След приключване на инсталацията, услугата ssd не стартира поради липсващ файл /etc/sssd/sssd.conf. Резултатът от инсталацията отразява това. Следователно трябва да създадем този файл и да го оставим с следващо минимално съдържание:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 услуги = nss, pam # SSSD няма да стартира, ако не конфигурирате никакви домейни. # Добавяне на нови конфигурации на домейн като [домейн / ] и след това # добавете списъка с домейни (в реда, в който искате да бъдат # заявени) към атрибута "домейни" по-долу и го коментирайте. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP домейн [домейн / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema може да бъде зададен на "rfc2307", който съхранява имената на членове на групата в атрибута # "memberuid" или на "rfc2307bis", който съхранява DN на членове на групата в # атрибута "member". Ако не знаете тази стойност, попитайте вашия LDAP # администратор. # работи с ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = приятели, dc = cu # Имайте предвид, че активирането на изброяването ще има умерено въздействие върху производителността. # Следователно стойността по подразбиране за изброяване е FALSE. # Вижте ръководството на sssd.conf за пълни подробности. enumerate = false # Разрешаване на офлайн влизания чрез локално съхраняване на хешове на пароли (по подразбиране: false). cache_credentials = true
ldap_tls_reqcert = разреши
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

След като файлът е създаден, ние присвояваме съответните разрешения и рестартираме услугата:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Ако искаме да обогатим съдържанието на предишния файл, препоръчваме да го изпълните човек sssd.conf и / или направете справка със съществуващата документация в Интернет, започвайки с връзките в началото на публикацията. Също така се консултирайте човек sssd-ldap. Пакетът ssd включва пример в /usr/share/doc/sssd/examples/sssd-example.conf, който може да се използва за удостоверяване срещу Microsoft Active Directory.

Сега можем да използваме най-питейните команди пръст y гетентен:

: ~ $ крачки с пръсти
Вход: strides Име: Strides El Rey Директория: / home / strides Shell: / bin / bash Никога не сте влизали. Няма поща. Няма план.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Все още не можем да се изпратим да стартираме и да се опитаме да удостоверим като потребител на LDAP сървър. Преди да трябва да модифицираме файла /etc/pam.d/common-session, така че папката на потребителя да се създава автоматично, когато започне сесията си, ако тя не съществува, и след това да рестартира системата:

[----]
необходима сесия pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Горният ред трябва да бъде включен ПРЕДИ
# тук са модулите за отделни пакети (блокът "Основен") [----]

Сега, ако рестартираме:

: ~ $ sudo рестартиране

След като влезете, прекъснете връзката с мрежата чрез диспечера на връзките и излезте и влезте отново. По-бързо нищо. Стартирайте в терминал фоп и те ще видят, че eth0 изобщо не е конфигуриран.

Активирайте мрежата. Моля, излезте и влезте отново. Проверете отново с фоп.

Разбира се, за да работим офлайн, е необходимо да започнем сесия поне веднъж, докато OpenLDAP е онлайн, така че идентификационните данни да бъдат запазени на нашия компютър.

Нека не забравяме да направим външния потребител, регистриран в OpenLDAP, член на необходимите групи, като винаги обръщаме внимание на потребителя, създаден по време на инсталацията.

Ако оборудването не иска да се изключи от аплет съответстващи, след което стартирайте в конзола sudo изключване за да изключите и sudo рестартиране за рестартиране. Остава да разберем защо горното понякога се случва.

Внимание:

Обявете опция ldap_tls_reqcert = никога, във файла /etc/sssd/sssd.conf, представлява риск за сигурността, както е посочено на страницата SSSD - Често задавани въпроси. Стойността по подразбиране е «търсене«. Вижте човек sssd-ldap. Въпреки това, в главата 8.2.5 Конфигуриране на домейни От документацията на Fedora се посочва следното:

SSSD не поддържа удостоверяване по некриптиран канал. Следователно, ако искате да удостоверите срещу LDAP сървър, или TLS/SSL or LDAPS изисква се.

SSSD не поддържа удостоверяване по нешифрован канал. Следователно, ако искате да се удостоверите срещу LDAP сървър, ще е необходимо TLS / SLL o LDAP.

Ние лично мислим че решението е адресирано това е достатъчно за Enterprise LAN, от гледна точка на сигурността. Чрез WWW Village препоръчваме да използвате криптиран канал с помощта TLS или "Транспортна сигурност », между клиентския компютър и сървъра.

Опитваме се да го постигнем от правилното генериране на самоподписани сертификати или «Самоподписан „На сървъра ClearOS, но не успяхме. Всъщност това е висящ въпрос. Ако някой читател знае как да го направи, заповядайте да го обясни!