SWL mreža (IV): Ubuntu Precise i ClearOS. SSSD provjera autentičnosti protiv izvornog LDAP-a.

Pozdrav prijatelji! Pravo na stvar, ne prije čitanja članka «Uvod u mrežu sa besplatnim softverom (I): Prezentacija ClearOS-a»I preuzmite ClearOS korak po korak instalacijski paket slika (1,1 mega), da biste bili svjesni o čemu govorimo. Bez tog čitanja bit će nas teško pratiti. U redu? Uobičajeno očajno.

Daemon System Security Service

Program SSSD o Daemon za System Security Service, je projekat fedora, koji je rođen iz drugog projekta - takođe iz Fedore - nazvanog FreeIPA. Prema vlastitim tvorcima, kratka i slobodno prevedena definicija bila bi:

SSSD je usluga koja pruža pristup različitim pružateljima identiteta i provjere autentičnosti. Može se konfigurirati za matičnu LDAP domenu (dobavljač identiteta zasnovan na LDAP-u s LDAP provjerom autentičnosti) ili za dobavljača LDAP identiteta s provjerom autentičnosti Kerberos. SSSD pruža sučelje za sistem putem NSS y PAM, i umetnuti Back End za povezivanje s više i različitih izvora računa.

Vjerujemo da smo suočeni sa sveobuhvatnijim i robusnijim rješenjem za identifikaciju i provjeru autentičnosti registriranih korisnika u OpenLDAP-u od onih kojima smo govorili u prethodnim člancima, aspektom koji je prepušten diskreciji svih i njihovih vlastitih iskustava.

Rješenje predloženo u ovom članku najviše se preporučuje za mobilne računare i laptope, jer nam omogućava rad bez veze, jer SSSD vjerodajnice pohranjuje na lokalno računalo.

Primjer mreže

  • Kontroler domene, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Ime kontrolera: centi
  • Ime domena: friends.cu
  • IP kontrolera: 10.10.10.60
  • ---------------
  • Verzija Ubuntu: Ubuntu Desktop 12.04.2 Precizno.
  • Ime tima: precizno
  • IP adresa: Korištenje DHCP-a

Mi pripremamo naš Ubuntu

Mi modificiramo datoteku /etc/lightdm/lightdm.conf da prihvatite ručnu prijavu i ostavljamo vam sljedeći sadržaj:

[SeatDefaults] greeter-session = jedinstvo-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Nakon spremanja promjena, ponovno pokrećemo lightdm u konzoli na koju se poziva Ctrl+Alt+F1 i u njemu izvršavamo, nakon prijave, sudo servis lightdm restart.

Također se preporučuje uređivanje datoteke / etc / hosts i ostavite ga sa sljedećim sadržajem:

127.0.0.1 localhost 127.0.1.1 precizno.amigos.cu precizno [----]

Na taj način dobivamo odgovarajuće odgovore na naredbe hostname y ime hosta –fqdn.

Provjeravamo radi li LDAP poslužitelj

Mi modificiramo datoteku /etc/ldap/ldap.conf i instalirajte paket ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = prijatelji, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo aptitude instaliraj ldap-utils: ~ $ ldapsearch -x -b 'dc = prijatelji, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = koraci '
: ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = legolas' cn gidNumber

Sa posljednje dvije naredbe provjeravamo dostupnost OpenLDAP servera našeg ClearOS-a. Pogledajmo dobro izlaze prethodnih naredbi.

Važno: Takođe smo potvrdili da Usluga identifikacije na našem OpenLDAP serveru radi ispravno.

network-swl-04-korisnici

Instaliramo sssd paket

Također se preporučuje instaliranje paketa prst kako bi čekovi postali pitkiji od ldapsearch:

: ~ $ sudo aptitude instaliraj sssd prst

Po završetku instalacije, usluga ssd se ne pokreće zbog nedostajuće datoteke /etc/sssd/sssd.conf. Rezultat instalacije to odražava. Stoga moramo stvoriti tu datoteku i ostaviti je sa sljedeći minimalni sadržaj:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 usluge = nss, pam # SSSD se neće pokrenuti ako ne konfigurirate nijednu domenu. # Dodaj nove konfiguracije domene kao [domena / ], a # zatim dodajte popis domena (redoslijedom u kojem želite da budu # upitani) atributu "domene" u nastavku i raskomentirajte ga. domene = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domena [domena / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema se može postaviti na "rfc2307", koji pohranjuje imena članova grupe u atribut # "memberuid", ili na "rfc2307bis", koji sprema DN članove grupe u # atribut "member". Ako ne znate ovu vrijednost, pitajte svog LDAP # administratora. # radi s ClearOS-om ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = prijatelji, dc = cu # Imajte na umu da će omogućavanje nabrajanja imati umjeren utjecaj na performanse. # Prema tome, zadana vrijednost za nabrajanje je FALSE. # Pogledajte man stranicu sssd.conf za sve detalje. enumerate = false # Dozvoli izvanmrežne prijave lokalnim pohranjivanjem hashova lozinki (zadano: false). cache_credentials = true
ldap_tls_reqcert = dopusti
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Jednom kada je datoteka kreirana, dodjeljujemo odgovarajuće dozvole i ponovno pokrećemo uslugu:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo servis sssd restart

Ako želimo obogatiti sadržaj prethodne datoteke, preporučujemo izvršenje man sssd.conf i / ili pregledajte postojeću dokumentaciju na Internetu, počevši od veza na početku posta. Takođe se konsultujte čovjek sssd-ldap. Paket ssd uključuje primer u /usr/share/doc/sssd/examples/sssd-example.conf, koji se može koristiti za provjeru autentičnosti protiv Microsoft Active Directory.

Sada možemo koristiti najpitke naredbe prst y getent:

: ~ $ koraka prsta
Prijava: strides Ime: Strides El Rey Direktorij: / home / strides Shell: / bin / bash Nikada se niste prijavili. Nema pošte. Nema plana.

: ~ $ sudo getent passwd legolas
legole: *: 1004: 63000: Legolas vilenjak: / dom / legole: / bin / bash

Još uvijek se ne možemo poslati na pokretanje i pokušaj autentifikacije kao korisnika na LDAP poslužitelju. Prije nego što moramo izmijeniti datoteku /etc/pam.d/common-session, tako da se korisnička mapa automatski kreira kada započnete sesiju, ako ona ne postoji, a zatim ponovo pokrenite sistem:

[----]
potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Gornji redak mora biti naveden PRIJE
# ovdje su moduli po paketu (blok "Primarni") [----]

Sada ako ponovo pokrenemo:

: ~ $ sudo reboot

Nakon prijave, iskopčajte mrežu pomoću Connection Manager-a i odjavite se i ponovo prijavite. Brže ništa. Pokrenite u terminalu ifconfig i vidjet će da je eth0 nije uopće konfiguriran.

Aktivirajte mrežu. Molimo vas da se odjavite i prijavite ponovo. Provjerite ponovo sa ifconfig.

Da biste radili van mreže, potrebno je započeti sesiju barem jednom dok je OpenLDAP na mreži, tako da se vjerodajnice spremaju na naš računar.

Ne zaboravimo vanjskog korisnika registriranog u OpenLDAP-u učiniti članom potrebnih grupa, uvijek obraćajući pažnju na korisnika stvorenog tijekom instalacije.

Ako oprema ne želi da je isključi applet odgovarajući, a zatim pokrenite u konzoli sudo power off isključiti i sudo reboot za ponovno pokretanje. Ostaje da otkrijemo zašto se gore navedeno ponekad dogodi.

nota:

Izjavi opciju ldap_tls_reqcert = nikad, u Datoteci /etc/sssd/sssd.conf, predstavlja sigurnosni rizik kako je navedeno na stranici SSSD - FAQ. Zadana vrijednost je «potražnja«. Vidite čovjek sssd-ldap. Međutim, u poglavlju 8.2.5 Konfiguriranje domena Iz Fedora dokumentacije navodi se sljedeće:

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Slijedom toga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, bilo koje TLS/SSL or LDAPS je potrebno.

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Stoga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, to će biti potrebno TLS / SLL o LDAP.

Mi lično mislimo da se rješenje bavilo sa sigurnosne tačke gledišta dovoljno je za LAN preduzeća. Kroz WWW Village preporučujemo upotrebu šifriranog kanala TLS ili «Sigurnosni sloj transporta », između klijentskog računara i servera.

Pokušavamo to postići ispravnom generacijom samopotpisanih certifikata ili «Samopotpisan “Na ClearOS serveru, ali nismo mogli. To je zaista na čekanju. Ako bilo koji čitatelj zna kako to učiniti, dobrodošao je da to objasni!

iskoraci iskopčani


4 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   živahno rekao je

    Još jedan članak za Oznake 😀

    1.    federico rekao je

      Hvala na komentaru i pozdrav !!!

  2.   joel rekao je

    Zdravo. Pokušavam učiniti da to radi s ubuntu serverom i drugim ubuntuom kao klijentom, a sve povezano je vrlo dobro, ali kad zaustavim server ili isključim mrežu, on ne prihvaća lozinke korisnika. Nemam pojma šta bih mogao pogrešno raditi. Da li je to možda zato što nisam ldap server konfiguriran za upotrebu sigurnosti (ssl)?

    1.    braybaut rekao je

      Upravo zato, jer nemate šifrirani kanal, neće prihvatiti vašu lozinku.