Xarxa SWL (IV): Ubuntu Precise i ClearOS. Autenticació SSSD contra LDAP natiu.

fico

7 minuts

Hola amics !. Directe a l'gra, no sense abans llegir l'article «Introducció a una Xarxa amb Programari Lliure (I): Presentació de l'ClearOS»I descarregar el paquet de les imatges d'instal·lació Pas a Pas de l'ClearOS (1,1 mega), per estar assabentats del que estem parlant. Sense aquesta lectura serà difícil seguir-nos. Ok? desesperats Habituals.

Dimoni del servei de seguretat del sistema

El programa SSSD o Dimoni per al Servei de Seguretat de l'Sistema, És un projecte de Fedora, Que va néixer d'un altre projecte -també de Fedora- denominat IPA gratuïta. Segons els seus propis creadors, una curta i lliurement traduïda definició seria:

SSSD és un servei que proveeix l'accés a diferents proveïdors d'identitat i autenticació. Es pot configurar per a un domini LDAP natiu (proveïdor d'identitat basat en LDAP amb autenticació mitjançant LDAP), o per a un proveïdor d'identitat LDAP amb autenticació mitjançant Kerberos. SSSD proveeix la interfície a el sistema mitjançant NSS y PAM, I un Back End insertable per connectar-se a múltiples i diferents orígens de comptes.

Opinem que estem davant d'una solució més integral i robusta per a la identificació i autenticació d'usuaris registrats en un OpenLDAP, que les abordades en els articles precedents, aspecte que queda a criteri de cadascú ia les seves pròpies experiències.

La solució plantejada en aquest article és la més recomanada per equips mòbils i laptos, ja que ens permet treballar desconnectats, ja que el SSSD emmagatzema les credencials a l'equip local.

Xarxa d'exemple

  • Controlador de Domini, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Nom de l'Controlador: centos
  • Nom de l'Domini: amics.cu
  • IP de l'Controlador: 10.10.10.60
  • ---------------
  • Versió d'Ubuntu: Ubuntu Desktop 12.04.2 Necessiteu.
  • Nom de l'equip: cal
  • adreça IP: mitjançant DHCP

Preparem el nostre Ubuntu

Modifiquem el fitxer /etc/lightdm/lightdm.conf perquè accepti inici de sessió manual, i ho deixem amb el següent contingut:

[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Després de desar els canvis, reiniciem el Lightdm en la consola invocada mitjançant Control + Alt + F1 i en ella executem, després d'iniciar sessió, suo service lightdm restart.

També és recomanable editar l'arxiu / Etc / hosts i deixar-ho amb el següent contingut:

127.0.0.1 localhost 127.0.1.1 precise.amigos.cu precisi [----]

D'aquesta manera obtenim les respostes adequades a les ordres nom d'amfitrió y hostname -fqdn.

Vam comprovar que el servidor LDAP estigui funcionant

Modifiquem el fitxer /etc/ldap/ldap.conf i instal·lem el paquet ldap-utils:

: ~ $ Sudo nano /etc/ldap/ldap.conf
[----] BASE dc = amics, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ Sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = amics, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = amics, dc = cu 'uid = trancos '
: ~ $ ldapsearch -x -b dc = amics, dc = cu 'uid = legolas' cn gidNumber

Amb els dos últims ordres, vam comprovar la disponibilitat de servidor OpenLDAP del nostre ClearOS. Observem molt bé les sortides dels comandaments anteriors.

Important: hem comprovat també que el Servei d'Identificació al nostre servidor OpenLDAP funciona correctament.

xarxa-SWL-04-usuaris

Instal·lem el paquet sssd

També és recomanable instal·lar el paquet dit per fer comprovacions més potables que el ldapsearch:

: ~ $ Sudo aptitude install sssd finger

A l'acabar la instal·lació, el servei sssd no s'inicia a causa que falta el fitxer /etc/sssd/sssd.conf. La sortida de la instal·lació ho reflecteix. Per això, hem de crear aquest arxiu i ho deixem amb el següent contingut mínim:

: ~ $ Sudo nano /etc/sssd/sssd.conf
[Sssd] config_file_version = 2 services = nss, pam # SSSD will not start if you do not configuri any domains. # Add new domain configurations es [domain / ] Sections, and # then add the list of domains (in the order you want them to be # queried) to the "domains" attribute below and uncomment it. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema can be setembre to "rfc2307", which stores group member names in the # "memberuid" attribute, or to "rfc2307bis", which stores group member DN in # the "member" attribute. If you do not know this value, ask your LDAP # administrator. # Funciona amb ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = amics, dc = cu # Note that enabling enumeration will have a moderate performance impact. # Consequently, the default value for enumeration is FALSE. # Refer to the sssd.conf man page for full details. enumerate = false # Allow offline logins by locally storing password hashes (default: false). cache_credentials = true
ldap_tls_reqcert = allow
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Creat el arxiu li assignem els permisos corresponents i reiniciem el servei:

: ~ $ Sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ Sudo service sssd restart

Si volem enriquir el contingut de l'arxiu anterior, recomanem executin home sssd.conf i / o consulteu la documentació existent a Internet, començant pels enllaços reflectits a l'inici de l'post. també consultin home sssd-ldap. el paquet sssd inclou un exemple en /usr/share/doc/sssd/examples/sssd-example.conf, Que pot servir per autenticar contra un Directori Actiu de Microsoft.

Ara podem utilitzar les ordres més potables dit y getent:

: ~ $ Finger gambades
Login: gambades Name: Trancos El Rei Directory: / home / gambades Shell: / bin / bash Never logged in. No mail. No Pla.

: ~ $ Sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas L'Elfo: / home / legolas: / bin / bash

Tot i no ens podem enviar a córrer i tractar de autenticar com un usuari de el servidor LDAP. Abans hem de modificar el fitxer /etc/pam.d/common-session, Perquè es creï automàticament la carpeta de l'usuari a l'iniciar la seva sessió, en cas que no existeixi, i després reiniciar el sistema:

[----]
session required pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La línia anterior s'ha d'incloure ABANS de
# Here are the per-package modules (the "Primary" block) [----]

Ara si reiniciem:

: ~ $ Sudo reboot

Després d'iniciar una sessió, desconnectin la xarxa mitjançant l'Administrador de Connexions i tanquin la sessió i tornin a entrar. Més ràpid res. S'executin en una terminal ifconfig i veuran que la eth0 no està per a res configurada.

Activin la xarxa. Tanquin sessió i iniciïn sessió novament. Comproveu de nou amb ifconfig.

Per descomptat que, per treballar desconnectat, cal iniciar una sessió a l'mínim un cop estant el OpenLDAP en línia, perquè es guardin les credencials al nostre equip.

No oblidem fer membre a l'usuari extern registrat al OpenLDAP, dels grups necessaris fixant-nos sempre per l'usuari creat durant la instal·lació.

Si l'equip no vol apagar mitjançant el applet corresponent, llavors s'executi en una consola suo poweroff per apagar, i reinici de sudo per reiniciar. Queda esbrinar el perquè de vegades passa això.

Nota:

Declarar l'opció ldap_tls_reqcert = mai, A l'arxiu /etc/sssd/sssd.conf, Constitueix un risc de seguretat segons s'afirma a la pàgina SSSD - FAQ. El valor per defecte és «demanda«. Consulti home sssd-ldap. No obstant això, en el capítol 8.2.5 Configuring Domains de la documentació de Fedora, es planteja el següent:

SSSD no suporta l'authentication over unencrypted channel. Consequently, if you want to authenticate agastan LDAP server, either TLS/SSL or LDAPS es requereix.

SSSD no suporta l'autenticació sobre una cadena no encriptat. Per tant, si vostè vol autenticar contra un servidor LDAP, caldrà TLS / SLL o LDAP.

personalment opinem que la solució abordada és suficient per a una LAN Empresarial, des del punt de vista de la seguretat. A través de l'Aldea WWW, recomanem implementar un canal encriptat mitjançant TLS O"Transport Security Layer », Entre l'equip client i el servidor.

El tractem d'aconseguir a partir de la correcta generació de certificats Acte Signats o «Autosignat «Al servidor ClearOS, però no vam poder. És de fet una assignatura pendent. Si algun lector coneix el com fer-ho, benvingut sigui a explicar-!.

trancos-desconnectat


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   ILAV va dir
    fa 10 anys

    Un altre article a adreça d'interès 😀

    Respondre a ILAV
    1.    federico va dir
      fa 10 anys

      Gràcies per comentar i Salutacions !!!

      Respondre a federico
  2.   joel va dir
    fa 10 anys

    Hola. Estic intentant fer-ho funcionar amb un ubuntu server i un altre ubuntu com a client, i connectat funciona tot molt bé, però a la qual atur el servidor o desconnecto la xarxa no m'accepta les contrasenyes dels usuaris. No tinc ni idea de què puc estar fent malament. Podria ser degut a que no tinc el servidor ldap configurat per utilitzar seguretat (SSL)?

    Respondre a joel
    1.    braybaut va dir
      fa 9 anys

      Exacte per això és, com no tens el canal encriptat no et acceptés la contrasenya.

      Respondre a braybaut