Hola amics !. Directe a l'gra, no sense abans llegir l'article «Introducció a una Xarxa amb Programari Lliure (I): Presentació de l'ClearOS»I descarregar el paquet de les imatges d'instal·lació Pas a Pas de l'ClearOS (1,1 mega), per estar assabentats del que estem parlant. Sense aquesta lectura serà difícil seguir-nos. Ok? desesperats Habituals.
Dimoni del servei de seguretat del sistema
El programa SSSD o Dimoni per al Servei de Seguretat de l'Sistema, És un projecte de Fedora, Que va néixer d'un altre projecte -també de Fedora- denominat IPA gratuïta. Segons els seus propis creadors, una curta i lliurement traduïda definició seria:
SSSD és un servei que proveeix l'accés a diferents proveïdors d'identitat i autenticació. Es pot configurar per a un domini LDAP natiu (proveïdor d'identitat basat en LDAP amb autenticació mitjançant LDAP), o per a un proveïdor d'identitat LDAP amb autenticació mitjançant Kerberos. SSSD proveeix la interfície a el sistema mitjançant NSS y PAM, I un Back End insertable per connectar-se a múltiples i diferents orígens de comptes.
Opinem que estem davant d'una solució més integral i robusta per a la identificació i autenticació d'usuaris registrats en un OpenLDAP, que les abordades en els articles precedents, aspecte que queda a criteri de cadascú ia les seves pròpies experiències.
La solució plantejada en aquest article és la més recomanada per equips mòbils i laptos, ja que ens permet treballar desconnectats, ja que el SSSD emmagatzema les credencials a l'equip local.
Xarxa d'exemple
- Controlador de Domini, DNS, DHCP: ClearOS Enterprise 5.2sp1.
- Nom de l'Controlador: centos
- Nom de l'Domini: amics.cu
- IP de l'Controlador: 10.10.10.60
- ---------------
- Versió d'Ubuntu: Ubuntu Desktop 12.04.2 Necessiteu.
- Nom de l'equip: cal
- adreça IP: mitjançant DHCP
Preparem el nostre Ubuntu
Modifiquem el fitxer /etc/lightdm/lightdm.conf perquè accepti inici de sessió manual, i ho deixem amb el següent contingut:
[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false
Després de desar els canvis, reiniciem el Lightdm en la consola invocada mitjançant Control + Alt + F1 i en ella executem, després d'iniciar sessió, suo service lightdm restart.
També és recomanable editar l'arxiu / Etc / hosts i deixar-ho amb el següent contingut:
127.0.0.1 localhost 127.0.1.1 precise.amigos.cu precisi [----]
D'aquesta manera obtenim les respostes adequades a les ordres nom d'amfitrió y hostname -fqdn.
Vam comprovar que el servidor LDAP estigui funcionant
Modifiquem el fitxer /etc/ldap/ldap.conf i instal·lem el paquet ldap-utils:
: ~ $ Sudo nano /etc/ldap/ldap.conf [----] BASE dc = amics, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ Sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = amics, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = amics, dc = cu 'uid = trancos ' : ~ $ ldapsearch -x -b dc = amics, dc = cu 'uid = legolas' cn gidNumber
Amb els dos últims ordres, vam comprovar la disponibilitat de servidor OpenLDAP del nostre ClearOS. Observem molt bé les sortides dels comandaments anteriors.
Important: hem comprovat també que el Servei d'Identificació al nostre servidor OpenLDAP funciona correctament.
Instal·lem el paquet sssd
També és recomanable instal·lar el paquet dit per fer comprovacions més potables que el ldapsearch:
: ~ $ Sudo aptitude install sssd finger
A l'acabar la instal·lació, el servei sssd no s'inicia a causa que falta el fitxer /etc/sssd/sssd.conf. La sortida de la instal·lació ho reflecteix. Per això, hem de crear aquest arxiu i ho deixem amb el següent contingut mínim:
: ~ $ Sudo nano /etc/sssd/sssd.conf [Sssd] config_file_version = 2 services = nss, pam # SSSD will not start if you do not configuri any domains. # Add new domain configurations es [domain / ] Sections, and # then add the list of domains (in the order you want them to be # queried) to the "domains" attribute below and uncomment it. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap auth_provider = ldap chpass_provider = ldap # ldap_schema can be setembre to "rfc2307", which stores group member names in the # "memberuid" attribute, or to "rfc2307bis", which stores group member DN in # the "member" attribute. If you do not know this value, ask your LDAP # administrator. # Funciona amb ClearOS ldap_schema = rfc2307 ldap_uri = ldap: //centos.amigos.cu ldap_search_base = dc = amics, dc = cu # Note that enabling enumeration will have a moderate performance impact. # Consequently, the default value for enumeration is FALSE. # Refer to the sssd.conf man page for full details. enumerate = false # Allow offline logins by locally storing password hashes (default: false). cache_credentials = true ldap_tls_reqcert = allow ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
Creat el arxiu li assignem els permisos corresponents i reiniciem el servei:
: ~ $ Sudo chmod 0600 /etc/sssd/sssd.conf : ~ $ Sudo service sssd restart
Si volem enriquir el contingut de l'arxiu anterior, recomanem executin home sssd.conf i / o consulteu la documentació existent a Internet, començant pels enllaços reflectits a l'inici de l'post. també consultin home sssd-ldap. el paquet sssd inclou un exemple en /usr/share/doc/sssd/examples/sssd-example.conf, Que pot servir per autenticar contra un Directori Actiu de Microsoft.
Ara podem utilitzar les ordres més potables dit y getent:
: ~ $ Finger gambades Login: gambades Name: Trancos El Rei Directory: / home / gambades Shell: / bin / bash Never logged in. No mail. No Pla. : ~ $ Sudo getent passwd legolas legolas: *: 1004: 63000: Legolas L'Elfo: / home / legolas: / bin / bash
Tot i no ens podem enviar a córrer i tractar de autenticar com un usuari de el servidor LDAP. Abans hem de modificar el fitxer /etc/pam.d/common-session, Perquè es creï automàticament la carpeta de l'usuari a l'iniciar la seva sessió, en cas que no existeixi, i després reiniciar el sistema:
[----] session required pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### La línia anterior s'ha d'incloure ABANS de # Here are the per-package modules (the "Primary" block) [----]
Ara si reiniciem:
: ~ $ Sudo reboot
Després d'iniciar una sessió, desconnectin la xarxa mitjançant l'Administrador de Connexions i tanquin la sessió i tornin a entrar. Més ràpid res. S'executin en una terminal ifconfig i veuran que la eth0 no està per a res configurada.
Activin la xarxa. Tanquin sessió i iniciïn sessió novament. Comproveu de nou amb ifconfig.
Per descomptat que, per treballar desconnectat, cal iniciar una sessió a l'mínim un cop estant el OpenLDAP en línia, perquè es guardin les credencials al nostre equip.
No oblidem fer membre a l'usuari extern registrat al OpenLDAP, dels grups necessaris fixant-nos sempre per l'usuari creat durant la instal·lació.
Si l'equip no vol apagar mitjançant el applet corresponent, llavors s'executi en una consola suo poweroff per apagar, i reinici de sudo per reiniciar. Queda esbrinar el perquè de vegades passa això.
Nota:
Declarar l'opció ldap_tls_reqcert = mai, A l'arxiu /etc/sssd/sssd.conf, Constitueix un risc de seguretat segons s'afirma a la pàgina SSSD - FAQ. El valor per defecte és «demanda«. Consulti home sssd-ldap. No obstant això, en el capítol 8.2.5 Configuring Domains de la documentació de Fedora, es planteja el següent:
SSSD no suporta l'authentication over unencrypted channel. Consequently, if you want to authenticate agastan LDAP server, either
TLS/SSL
orLDAPS
es requereix.SSSD no suporta l'autenticació sobre una cadena no encriptat. Per tant, si vostè vol autenticar contra un servidor LDAP, caldrà TLS / SLL o LDAP.
personalment opinem que la solució abordada és suficient per a una LAN Empresarial, des del punt de vista de la seguretat. A través de l'Aldea WWW, recomanem implementar un canal encriptat mitjançant TLS O"Transport Security Layer », Entre l'equip client i el servidor.
El tractem d'aconseguir a partir de la correcta generació de certificats Acte Signats o «Autosignat «Al servidor ClearOS, però no vam poder. És de fet una assignatura pendent. Si algun lector coneix el com fer-ho, benvingut sigui a explicar-!.
Un altre article a adreça d'interès 😀
Gràcies per comentar i Salutacions !!!
Hola. Estic intentant fer-ho funcionar amb un ubuntu server i un altre ubuntu com a client, i connectat funciona tot molt bé, però a la qual atur el servidor o desconnecto la xarxa no m'accepta les contrasenyes dels usuaris. No tinc ni idea de què puc estar fent malament. Podria ser degut a que no tinc el servidor ldap configurat per utilitzar seguretat (SSL)?
Exacte per això és, com no tens el canal encriptat no et acceptés la contrasenya.