Ověřování PAM - sítě SME

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Ahoj přátelé a přátelé!

V tomto článku hodláme nabídnout Přehled k tématu Ověřování prostřednictvím PAM. Jsme zvyklí každodenně používat naši pracovní stanici s operačním systémem Linux / UNIX a při několika příležitostech přestaneme studovat, jak se mechanismus ověřování vyskytuje pokaždé, když zahájíme relaci. Víme o existenci archivů / etc / passwdA / etc / shadow které tvoří hlavní databázi ověřovacích údajů místních uživatelů. Doufáme, že po přečtení tohoto příspěvku budete mít - alespoň - jasnou představu o tom, jak PAM funguje.

Ověřování

Ověřování - z praktických důvodů - je způsob, jakým je uživatel ověřen proti systému. Proces ověřování vyžaduje přítomnost sady identit a pověření - uživatelské jméno a heslo - které se porovnávají s informacemi uloženými v databázi. Pokud jsou předložená pověření stejná jako uložená pověření a účet uživatele je aktivní, jedná se o uživatele autentický úspěšně nebo úspěšně prošel autentizace.

Jakmile je uživatel ověřen, jsou tyto informace předány služba kontroly přístupu určit, co může daný uživatel v systému dělat a jaké prostředky má k dispozici autorización získat k nim přístup.

Informace k ověření uživatele mohou být uloženy v lokálních databázích v systému nebo může místní systém odkazovat na existující databázi ve vzdáleném systému, jako jsou LDAP, Kerberos, databáze NIS atd.

Většina operačních systémů UNIX® / Linux má nástroje potřebné ke konfiguraci ověřovací služby klient / server pro nejběžnější typy uživatelských databází. Některé z těchto systémů mají velmi kompletní grafické nástroje, jako je Red Hat / CentOS, SUSE / openSUSE a další distribuce.

PAM: Zásuvný ověřovací modul

L Moduly, které jsou vloženy pro ověření Používáme je každý den, když se přihlašujeme na náš Desktop s operačním systémem založeným na Linuxu / UNIX, a při mnoha dalších příležitostech, když přistupujeme k místním nebo vzdáleným službám, které mají konkrétní místní modul PAM vložena pro autentizaci proti této službě.

Praktickou představu o tom, jak se vkládají moduly PAM, lze získat pomocí stavové sekvence ověřování en tým s Debianem a en další s CentOS které dále rozvíjíme.

Debian

dokumentace

Pokud nainstalujeme balíček libpam-doc v adresáři budeme mít velmi dobrou dokumentaci / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # aptitude nainstalujte libpam-doc
root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /

V adresářích je také více dokumentace k PAM:

root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 5. dubna 21:11 libpam0g drwxr-xr-x 4 root root 4096 7. dubna 16:31 libpam-doc drwxr-xr-x 2 root root 4096 5. dubna 21:30 libpam-gnome- klíčenka drwxr-xr-x 3 root root 4096 5. dubna 21:11 libpam-moduly drwxr-xr-x 2 root root 4096 5. dubna 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 5. dubna 21: 11 libpam-runtime drwxr-xr-x 2 root root 4096 5. dubna 21:26 libpam-systemd drwxr-xr-x 3 root root 4096 5. dubna 21:31 python-pam

Věříme, že než půjdeme hledat dokumentaci na internetu, měli bychom zkontrolovat tu, která je již nainstalována, nebo tu, kterou si můžeme nainstalovat přímo z repozitářů programů, které pro něco existují, a při mnoha příležitostech je zkopírujeme na náš pevný disk. Příkladem je následující:

root @ linuxbox: ~ # méně / usr / share / doc / libpam-gnome-keyring / README
gnome-keyring je program, který udržuje hesla a další tajemství pro uživatele. Spouští se jako démon v relaci, podobně jako ssh-agent, a jiné aplikace jej vyhledávají prostřednictvím proměnné prostředí nebo D-Bus. Program může spravovat několik klíčenek, z nichž každý má své vlastní hlavní heslo, a je zde také klíčenka relace, která se nikdy neuloží na disk, ale zapomene se, když relace skončí. Knihovnu libgnome-keyring používají aplikace k integraci se systémem GNOME keyring.

To přeloženo velmi svobodně chce vyjádřit:

• gnome-keyring je program odpovědný za uchovávání hesel a dalších tajemství pro uživatele. V každé relaci se spouští jako démon, podobně jako ssh-agent, a pro další aplikace, které jsou umístěny prostřednictvím proměnné prostředí - prostředí nebo přes D-Bus. Program zvládne několik klíčenek, z nichž každý má své vlastní hlavní heslo. Existuje také relace klíčenky, která se nikdy neukládá na pevný disk a je zapomenuta, když relace končí. Aplikace používají knihovnu libgnome-keyring k integraci se systémem klíčenek GNOME.

Debian se základním operačním systémem

Vycházíme z počítače, do kterého jsme právě nainstalovali Debian 8 „Jessie“ jako operační systém a během jeho instalačního procesu vybereme pouze „Základní systémové nástroje“, aniž bychom označili jinou možnost instalace úkolů - úkoly nebo předdefinované balíčky jako server OpenSSH. Pokud po spuštění první relace provedeme:

root @ master: ~ # pam-auth-update

získáme následující výstupy:

Což nám ukazuje, že jediným používaným modulem PAM do té doby je UNIX Authentication. Užitečnost aktualizace pam-auth Umožňuje nám nakonfigurovat zásady centrálního ověřování systému pomocí předdefinovaných profilů poskytovaných moduly PAM. Více informací viz aktualizovat man pam-auth.

Protože jsme ještě nenainstalovali server OpenSSH, nenajdeme v adresáři jeho modul PAM /etc/pam.d/, který bude obsahovat PAM moduly a profily načtené až do těchto okamžiků:

root @ master: ~ # ls -l /etc/pam.d/
celkem 76 -rw-r - r-- 1 kořenový kořen 235 30. září 2014 atd. -rw-r - r-- 1 kořenový kořen 1208 6. dubna 22:06 běžný účet -rw-r - r-- 1 kořenový kořen 1221 6. dubna 22:06 common-auth -rw-r - r-- 1 root root 1440 6. dubna 22:06 společné heslo -rw-r - r-- 1 root root 1156 6. dubna 22:06 common-session -rw -r - r-- 1 kořenový kořen 1154 6. dubna 22:06 common-session-noninteractive -rw-r - r-- 1 kořenový kořen 606 11. června 2015 cron -rw-r - r - 1 kořenový kořen 384 19. listopadu 2014 chfn -rw-r - r-- 1 root root 92 Nov 19 2014 chpasswd -rw-r - r-- 1 root root 581 Nov 19 2014 chsh -rw-r-- r-- 1 root root 4756 Nov 19 2014 login -rw-r - r-- 1 root root 92 Nov 19 2014 newusers -rw-r - r-- 1 root root 520 Jan 6 2016 other -rw-r- -r-- 1 root root 92 Nov 19 2014 passwd - rw-r - r-- 1 root root 143 Mar 29 2015 runuser -rw-r - r-- 1 root root 138 Mar 29 2015 1 runuser-l -rw -r - r-- 2257 root root 19 Nov 2014 1 220 - rw-r - r-- 2 root root 2016 Sep XNUMX XNUMX systemd-user

Například pomocí modulu PAM /etc/pam.d/chfn systém nakonfiguruje službu Stín, zatímco přes /etc/pam.d/cron démon je nakonfigurován cron. Abychom se dozvěděli trochu více, můžeme si přečíst obsah každého z těchto souborů, což je velmi poučné. Jako ukázku uvádíme níže obsah modulu /etc/pam.d/cron:

root @ master: ~ # méně /etc/pam.d/cron
# Konfigurační soubor PAM pro démona cron

@include common-auth

# Nastaví relaci atributu procesu loginuid požadovanou pam_loginuid. # Přečíst proměnné prostředí z výchozích souborů pam_env, / etc / environment # a /etc/security/pam_env.conf. vyžadována relace pam_env.so # Kromě toho je nutné přečíst informace o národním prostředí systému relace pam_env.so envfile = / etc / default / locale

@include běžný účet
@include common-session-noninteractive 

# Nastavuje uživatelské limity, prosím definujte limity pro úkoly cronu # je vyžadována relace /etc/security/limits.conf pam_limits.so

Pořadí výroků v každém ze souborů je důležité. Obecně řečeno, nedoporučujeme žádné z nich upravovat, pokud velmi dobře nevíme, co děláme.

Debian se základním OS + OpenSSH

root @ master: ~ # aptitude install task-ssh-server
Budou nainstalovány tyto NOVÉ balíčky: openssh-server {a} openssh-sftp-server {a} task-ssh-server

Ověříme, že byl modul PAM přidán a správně nakonfigurován sshd:

root @ master: ~ # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 kořenový kořen 2133 22. července 2016 /etc/pam.d/sshd

Pokud chceme znát obsah tohoto profilu:

root @ master: ~ # méně /etc/pam.d/sshd

Jinými slovy, když se pokusíme spustit vzdálenou relaci z jiného počítače pomocí ssh, ověřování na místním počítači se provádí prostřednictvím modulu PAM sshd hlavně, aniž bychom zapomněli na další aspekty autorizace a zabezpečení spojené se službou ssh jako takovou.

Mimochodem dodáváme, že hlavní konfigurační soubor této služby je / etc / ssh / sshd_config, a že alespoň v Debianu je ve výchozím nastavení nainstalován bez povolení interaktivního přihlášení uživatele kořen. Aby to bylo možné, musíme soubor upravit / etc / ssh / sshd_config a změňte řádek:

PermitRootLogin bez hesla

podle

PermitRootLogin ano

a poté restartujte a zkontrolujte stav služby pomocí:

root @ master: ~ # systemctl restart ssh
root @ master: ~ # systemctl status ssh

Debian s desktopem LXDE

Pokračujeme se stejným týmem - změníme jeho jméno nebo hostname od „linuxový box»Pro budoucí použití - ke kterému jsme dokončili instalaci LXDE Desktop. Utíkejme aktualizace pam-auth a získáme následující výstupy:

Systém již povolil všechny profily - Moduly - nezbytné pro správné ověření během instalace plochy LXDE, které jsou následující:

• Ověřovací modul UNIX.
• Modul, který zaznamenává uživatelské relace v hierarchické kontrolní skupině systemd.
• Modul démonů klíčenky GNOME

• Využíváme této příležitosti a doporučujeme, abychom ve všech případech, když jsme vyzváni k povolení „PAM profilů k povolení“, vybrali tuto možnost Pokud však moc dobře nevíme, co děláme. Pokud změníme konfiguraci PAM, která je automaticky prováděna samotným operačním systémem, můžeme snadno deaktivovat přihlášení v počítači.

Ve výše uvedených případech mluvíme Místní ověřování nebo Ověření na místním počítači, jak se stane, když zahájíme vzdálenou relaci prostřednictvím ssh.

Pokud implementujeme metodu Vzdálené ověřování v místním týmu U uživatelů s přihlašovacími údaji uloženými na vzdáleném serveru OpenLDAP nebo ve službě Active Directory bude systém brát v úvahu novou formu ověřování a přidá potřebné moduly PAM.

Hlavní soubory

• / etc / passwd: Informace o uživatelském účtu
• / etc / shadow: Zabezpečené informace o uživatelských účtech
• /etc/pam.conf: Soubor, který by měl být použit pouze v případě, že adresář neexistuje /etc/pam.d/
• /etc/pam.d/: Adresář, kde programy a služby instalují své moduly PAM
• /etc/pam.d/passwd: Konfigurace PAM pro passwd.
• /etc/pam.d/common-account: Autorizační parametry společné pro všechny služby
• /etc/pam.d/common-auth: Parametry autentizace společné pro všechny služby
• /etc/pam.d/common-password: PAM moduly společné pro všechny služby související s hesly - hesla
• /etc/pam.d/common-session: Moduly PAM společné pro všechny služby související s relacemi uživatelů
• /etc/pam.d/common-session-noninteractive: Moduly PAM společné pro všechny služby související s neinteraktivními relacemi nebo nevyžadující zásah uživatele, jako jsou úkoly, které se provádějí na začátku a na konci neinteraktivních relací.
• / usr / share / doc / passwd /: Adresář dokumentace.

Doporučujeme přečíst si manuálové stránky passwd y stín skrz muž y mužský stín. Je také zdravé číst obsah souborů běžný účet, společné ověřování, společné heslo, společná relace y společná relace-neinteraktivní.

K dispozici jsou PAM moduly

Chcete-li získat představu o dostupných modulech PAM priori Ve standardním úložišti Debianu spouštíme:

buzz @ linuxbox: ~ $ aptitude search libpam

Seznam je dlouhý a budeme odrážet pouze moduly, které ukazují, jak rozsáhlý je:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

Udělejte si vlastní závěry.

CentOS

Pokud během procesu instalace vybereme možnost «Server s grafickým uživatelským rozhraním«, Získáme dobrou platformu pro implementaci různých služeb pro síť SME. Na rozdíl od Debianu nabízí CentOS / Red Hat® řadu konzolových a grafických nástrojů, které usnadňují život správci systému nebo sítě.

dokumentace

Nainstalováno ve výchozím nastavení, najdeme jej v adresáři:

[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/
celkem 256 -rw-r - r--. 1 kořenový kořen 2045 18. června 2013 Copyright drwxr-xr-x. 2 root root 4096 9. dubna 06:28 html
-rw-r - r--. 1 kořenový kořen 175382 5. listopadu 19:13 Linux-PAM_SAG.txt -rw-r - r--. 1 kořenový kořen 67948 18. června 2013 rfc86.0.txt drwxr-xr-x. 2 root root 4096 9. dubna 06:28 txts

[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/txts/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wam

Ano, týmu CentOS také říkáme „linuxbox“ jako v Debianu, který nám poslouží pro budoucí články o SMB Networks.

CentOS s GNOME3 GUI

Když během instalace vybereme možnost «Server s grafickým uživatelským rozhraním«, GNOME3 Desktop a další nástroje a základní programy jsou nainstalovány pro vývoj serveru. Na úrovni konzoly, abychom zjistili stav ověřování, který provádíme:

[root @ linuxbox ~] # authconfig-tui

Ověřujeme, že jsou povoleny pouze moduly PAM potřebné pro aktuální konfiguraci serveru, dokonce i modul pro čtení otisků prstů, ověřovací systém, který najdeme v některých modelech notebooků.

CentOS s grafickým uživatelským rozhraním GNOME3 připojeným k Microsoft Active Directory

Jak vidíme, byly přidány a povoleny potřebné moduly -Winbind- pro ověřování proti službě Active Directory, zatímco jsme záměrně zakázali modul číst otisky prstů, protože to není nutné.

V budoucím článku se budeme podrobně věnovat tomu, jak se připojit klienta CentOS 7 k Microsoft Active Directory. Očekáváme to pouze prostřednictvím nástroje autoconfig-gtk Instalace nezbytných balíčků, konfigurace automatického vytváření adresářů uživatelů domény, kteří se lokálně autentizují, a samotný proces připojení klienta k doméně Active Directory je nesmírně automatizovaný. Možná po sjednocení bude nutné pouze restartovat počítač.

Hlavní soubory

Soubory související s ověřováním CentOS jsou umístěny v adresáři /etc/pam.d/:

[root @ linuxbox ~] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig přihlášení smtp authconfig-gtk další smtp.postfix authconfig-tui passwd sshd config-util heslo-auth su crond heslo-auth-ac sudo poháry pluto sudo-i chfn polkit-1 su-l chsh postlogin system-auth fingerprint-auth postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config-authentication gdm-autologin remote systemd-user gdm-fingerprint runuser vlock gdm-launch-environment runuser-l vmtoolsd gdm-password samba xserver nastavení gdm-pin gdm-smartcard smartcard-auth

K dispozici jsou PAM moduly

Máme úložiště základna, centosplus, epel, y aktualizace. V nich najdeme - mimo jiné - následující moduly pomocí příkazů yum hledat pam-,  yum hledat pam_A yum hledat libpam:

nss-pam-ldapd.i686: modul nsswitch, který používá adresářové servery nss-pam-ldapd.x86_64: modul nsswitch, který používá adresářové servery ovirt-guest-agent-pam-module.x86_64: modul PAM pro pam agent oVirt Guest Agent -kwallet.x86_64: modul PAM pro KWallet pam_afs_session.x86_64: tokeny AFS PAG a AFS při přihlášení pam_krb5.i686: zásuvný ověřovací modul pro Kerberos 5 pam_krb5.x86_64: zásuvný ověřovací modul pro Kerberos 5 pam_mapi přes MAPI proti a Zaraf .x86_64: PAM modul pro zásuvné ověřování přihlášení pro OATH pam_pkcs86.i64: PKCS # 11 / NSS přihlašovací modul PAM pam_pkcs686.x11_11: PKCS # 86 / NSS přihlašovací modul PAM pam_radius.x64_11: PAM modul pro ověřování RADIUS pam_script.x86_64: PAM modul pro provádění skriptů pam_snapper.i86: modul PAM pro volání snapperu pam_snapper.x64_686: modul PAM pro volání snapperu pam_ssh.x86_64: modul PAM pro použití s ​​klíči SSH a ssh-agent pam_ssh_agent_86 64: PAM modul pro autentizaci s ssh-agent pam_ssh_agent_auth.x686_86: PAM modul pro autentizaci s ssh-agent pam_url.x64_86: PAM modul pro autentizaci pomocí HTTP serverů pam_wrapper.x64_86: Nástroj pro testování PAM aplikací a PAM modulů pam_yubico.x64_86: Pluggable Authentication Module for yubikeys libpamtest-doc.x64_86: dokumentace k libpamtest API python-libpamtest.x64_86: obálka pythonu pro libpamtest libpamtest.x64_86: nástroj k testování aplikací PAM a modulů PAM libpamtest-devel.x64_86: nástroj to test PAM aplikace a PAM moduly

Shrnutí

Je důležité mít minimální znalosti o PAM, pokud chceme obecně porozumět tomu, jak probíhá ověřování pokaždé, když se přihlásíme k našemu počítači Linux / UNIX. Je také důležité vědět, že pouze s Local Authentication můžeme poskytovat služby jiným počítačům v malé síti SME, jako je Proxy, Mail, FTP atd., Vše soustředěné na jednom serveru. Všechny předchozí služby - a mnoho dalších, jak jsme viděli dříve - mají svůj modul PAM.

Konzultované zdroje

• Příručky příkazů - man pages.
• Ověřování: Stránka Wikipedie ve španělštině
• Zásuvné autentizační moduly
• Red_Hat_Enterprise_Linux-6-Deployment_Guide-cs-US

PDF verze

Stáhněte si verzi PDF zde.

Až do dalšího článku!

Autor: Federico A. Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico