SWL mreža (V): Debian Wheezy i ClearOS. SSSD provjera autentičnosti protiv izvornog LDAP-a.

Pozdrav prijatelji! Molim vas, ponavljam, pročitajte prije «Uvod u mrežu sa besplatnim softverom (I): Prezentacija ClearOS-a»I preuzmite ClearOS korak po korak instalacijski paket slika (1,1 mega), da biste bili svjesni o čemu govorimo. Bez tog čitanja bit će nas teško pratiti.

Daemon System Security Service

Program SSSD o Daemon za System Security Service, je projekat fedora, koji je rođen iz drugog projekta - takođe iz Fedore - nazvanog FreeIPA. Prema vlastitim tvorcima, kratka i slobodno prevedena definicija bila bi:

SSSD je usluga koja pruža pristup različitim pružateljima identiteta i provjere autentičnosti. Može se konfigurirati za matičnu LDAP domenu (dobavljač identiteta zasnovan na LDAP-u s LDAP provjerom autentičnosti) ili za dobavljača LDAP identiteta s provjerom autentičnosti Kerberos. SSSD pruža sučelje za sistem putem NSS y PAM, i umetnuti Back End za povezivanje s više i različitih izvora računa.

Vjerujemo da smo suočeni sa sveobuhvatnijim i robusnijim rješenjem za identifikaciju i provjeru autentičnosti registriranih korisnika u OpenLDAP-u od onih kojima smo govorili u prethodnim člancima, aspektom koji je prepušten diskreciji svih i njihovih vlastitih iskustava.

Rješenje predloženo u ovom članku najviše se preporučuje za mobilne računare i laptope, jer nam omogućava rad bez veze, jer SSSD vjerodajnice pohranjuje na lokalno računalo.

Primjer mreže

  • Kontroler domene, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Ime kontrolera: centi
  • Ime domena: friends.cu
  • IP kontrolera: 10.10.10.60
  • ---------------
  • Debian verzija: wheezy.
  • Ime tima: debian7
  • IP adresa: Korištenje DHCP-a

Provjeravamo radi li LDAP poslužitelj

Mi modificiramo datoteku /etc/ldap/ldap.conf i instalirajte paket ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = prijatelji, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude instaliraj ldap-utils: ~ $ ldapsearch -x -b 'dc = prijatelji, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = koraci
: ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = legolas' cn gidNumber

Sa posljednje dvije naredbe provjeravamo dostupnost OpenLDAP servera našeg ClearOS-a. Pogledajmo dobro izlaze prethodnih naredbi.

Važno: Takođe smo potvrdili da Usluga identifikacije na našem OpenLDAP serveru radi ispravno.

network-swl-04-korisnici

Instaliramo sssd paket

Također se preporučuje instaliranje paketa prst kako bi čekovi postali pitkiji od ldapsearch:

: ~ # aptitude instaliraj sssd prst

Po završetku instalacije, usluga ssd se ne pokreće zbog nedostajuće datoteke /etc/sssd/sssd.conf. Rezultat instalacije to odražava. Stoga moramo stvoriti tu datoteku i ostaviti je sa sljedeći minimalni sadržaj:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 usluge = nss, pam # SSSD se neće pokrenuti ako ne konfigurirate nijednu domenu. # Dodaj nove konfiguracije domene kao [domena / ], a # zatim dodajte popis domena (redoslijedom u kojem želite da budu # upitani) atributu "domene" u nastavku i raskomentirajte ga. domene = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domena [domena / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema se može postaviti na "rfc2307", koji pohranjuje imena članova grupe u atribut # "memberuid", ili na "rfc2307bis", koji sprema DN članove grupe u # atribut "member". Ako ne znate ovu vrijednost, pitajte svog LDAP # administratora. # radi s ClearOS-om ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = prijatelji, dc = cu # Imajte na umu da će omogućavanje nabrajanja imati umjeren utjecaj na performanse. # Prema tome, zadana vrijednost za nabrajanje je FALSE. # Pogledajte man stranicu sssd.conf za sve detalje. enumerate = false # Dozvoli izvanmrežne prijave lokalnim pohranjivanjem hashova lozinki (zadano: false). cache_credentials = true
ldap_tls_reqcert = dopusti
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Jednom kada je datoteka kreirana, dodjeljujemo odgovarajuće dozvole i ponovno pokrećemo uslugu:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # ponovno pokretanje sssd usluge

Ako želimo obogatiti sadržaj prethodne datoteke, preporučujemo izvršenje man sssd.conf i / ili pregledajte postojeću dokumentaciju na Internetu, počevši od veza na početku posta. Takođe se konsultujte čovjek sssd-ldap. Paket ssd uključuje primer u /usr/share/doc/sssd/examples/sssd-example.conf, koji se može koristiti za provjeru autentičnosti protiv Microsoft Active Directory.

Sada možemo koristiti najpitke naredbe prst y getent:

: ~ $ koraka prsta
Prijava: strides Ime: Strides El Rey Direktorij: / home / strides Shell: / bin / bash Nikada se niste prijavili. Nema pošte. Nema plana.

: ~ $ sudo getent passwd legolas
legole: *: 1004: 63000: Legolas vilenjak: / dom / legole: / bin / bash

Još uvijek ne možemo provjeriti autentičnost kao korisnik LDAP poslužitelja. Prije nego što moramo izmijeniti datoteku /etc/pam.d/common-session, tako da se korisnička mapa automatski kreira kada započnete sesiju, ako ona ne postoji, a zatim ponovo pokrenite sistem:

[----]
potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Gornji redak mora biti naveden PRIJE
# ovdje su moduli po paketu (blok "Primarni") [----]

Ponovo pokrećemo naš Wheezy:

: ~ # ponovno pokretanje

Nakon prijave, iskopčajte mrežu pomoću Connection Manager-a i odjavite se i ponovo prijavite. Brže ništa. Pokrenite u terminalu ifconfig i vidjet će da je eth0 nije uopće konfiguriran.

Aktivirajte mrežu. Molimo vas da se odjavite i prijavite ponovo. Provjerite ponovo sa ifconfig.

Naravno, da biste radili van mreže, potrebno je da se prijavite barem jednom dok je OpenLDAP na mreži, tako da se akreditivi čuvaju na našem računaru.

Ne zaboravimo vanjskog korisnika registriranog u OpenLDAP-u učiniti članom potrebnih grupa, uvijek obraćajući pažnju na korisnika stvorenog tijekom instalacije.

nota:

Izjavi opciju ldap_tls_reqcert = nikad, u Datoteci /etc/sssd/sssd.conf, predstavlja sigurnosni rizik kako je navedeno na stranici SSSD - FAQ. Zadana vrijednost je «potražnja«. Vidite čovjek sssd-ldap. Međutim, u poglavlju 8.2.5 Konfiguriranje domena Iz Fedora dokumentacije navodi se sljedeće:

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Slijedom toga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, bilo koje TLS/SSL or LDAPS je potrebno.

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Stoga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, to će biti potrebno TLS / SLL o LDAP.

Mi lično mislimo da se rješenje bavilo sa sigurnosne tačke gledišta dovoljno je za LAN preduzeća. Kroz WWW Village preporučujemo upotrebu šifriranog kanala TLS ili «Sigurnosni sloj transporta », između klijentskog računara i servera.

Pokušavamo to postići ispravnom generacijom samopotpisanih certifikata ili «Samopotpisan “Na ClearOS serveru, ali nismo mogli. To je zaista na čekanju. Ako bilo koji čitatelj zna kako to učiniti, dobrodošao je da to objasni!

debian7.amigos.cu


8 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   eliotime3000 rekao je

    Odlično.

    1.    federico rekao je

      Pozdrav ElioTime3000 i hvala na komentaru !!!

    2.    federico rekao je

      Pozdrav eliotime3000 i hvala na pohvalama za članak !!!

  2.   kurayi rekao je

    Odlicno! Želim čestitati autoru publikacije što je podijelio svoje veliko znanje i blogu što je dozvolio njegovo objavljivanje.

    Hvala puno!

    1.    federico rekao je

      Puno vam hvala na pohvalama i komentarima !!! Snaga koju mi ​​dajete da nastavim dijeliti znanje sa zajednicom u kojoj svi učimo.

  3.   fenobarbital rekao je

    Dobar članak!, Imajte na umu da što se tiče upotrebe certifikata, kada generirate certifikat morate dodati u ldap konfiguraciju (cn = config):

    olcLocalSSF: 71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / path / to / public / cert
    olcTLSCertificateKeyFile: / path / to / private / key
    olcTLSVerifyClient: probajte
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Uz ovo (i generiranje certifikata) imat ćete SSL podršku.

    Pozdrav!

    1.    federico rekao je

      Hvala na doprinosu !!! Međutim, objavljujem 7 članaka o OpenLDAP-u u:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      U njima ističem upotrebu Start TLS-a prije SSL-a, što preporučuje openldap.org. Pozdrav @phenobarbital, i hvala vam puno na komentaru.
      Moj e-mail je federico@dch.ch.gob.cu, u slučaju da želite razmijeniti više. Pristup Internetu mi je vrlo spor.

    2.    fenobarbital rekao je

      Za TLS je konfiguracija ista, sjećajući se da se kod SSL-a transport čini transparentnim preko šifriranog kanala, dok se u TLS-u pregovara o dvosmjernoj enkripciji za transport podataka; s TLS-om se rukovanje može pregovarati na istom portu (389), dok se sa SSL-om pregovaranje vrši na alternativnom portu.
      Promijenite sljedeće:
      olcLocalSSF: 128
      olcTLSVerifyClient: dopustiti
      olcTLSCipherSuite: NORMALNO
      (ako ste paranoični u vezi sa sigurnošću koju koristite:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      i ponovo pokrenite, vidjet ćete kasnije sa:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      Rješavanje 'ldap.ipm.org.gt' ...
      Provjera SSL 3.0 podrške ... da
      Provjera da li je potreban% COMPAT ... ne
      Provjera podrške za TLS 1.0 ... da
      Provjera podrške za TLS 1.1 ... da
      Provjera rezervnog stanja sa TLS 1.1 na ... N / A
      Provjera podrške za TLS 1.2 ... da
      Provjera sigurne podrške za pregovaranje ... da
      Provjera sigurne podrške za pregovaranje (SCSV) ... da

      Pomoću koje je omogućena i TLS podrška, koristite 389 (ili 636) za TLS i 636 (ldaps) za SSL; potpuno su neovisni jedni o drugima i ne trebate onemogućavati jedno da biste koristili drugo.

      Pozdrav!