Síť SWL (IV): Ubuntu Precise a ClearOS. SSSD autentizace proti nativnímu LDAP.

Dobrý den, přátelé!. Přímo k věci, ne před přečtením článku «Úvod do sítě se svobodným softwarem (I): Představení ClearOS»A stáhněte si balíček instalačních obrázků ClearOS krok za krokem (1,1 mega), abyste si byli vědomi toho, o čem mluvíme. Bez tohoto čtení bude těžké nás sledovat. Dobře? Obvyklý zoufalý.

Démon zabezpečení systému

Program SSSD o Démon pro službu zabezpečení systému, je projektem Fedora, který vznikl z jiného projektu - také z Fedory - tzv FreeIPA. Podle vlastních tvůrců by krátká a volně přeložená definice byla:

SSSD je služba, která poskytuje přístup k různým poskytovatelům identity a ověřování. Lze jej nakonfigurovat pro nativní doménu LDAP (poskytovatel identity založený na LDAP s ověřením LDAP) nebo pro poskytovatele identity LDAP s ověřováním Kerberos. SSSD poskytuje rozhraní systému prostřednictvím NSS y PAMa vložitelný back-end pro připojení k více a různým počátkům účtů.

Věříme, že čelíme komplexnějšímu a robustnějšímu řešení identifikace a autentizace registrovaných uživatelů v OpenLDAP, než těm, která jsou uvedena v předchozích článcích, což je aspekt, který je ponechán na uvážení každého a jeho vlastních zkušeností.

Řešení navržené v tomto článku je nejvíce doporučeno pro mobilní počítače a notebooky, protože nám umožňuje pracovat odpojené, protože SSSD ukládá pověření v místním počítači.

Příklad sítě

• Řadič domény, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Název správce: CentOS
• Doménové jméno: friends.cu
• Controller IP: 10.10.10.60
• ---------------
• Verze Ubuntu: Ubuntu Desktop 12.04.2 Přesné.
• Název týmu: přesný
• IP adresa: Pomocí DHCP

Připravujeme náš Ubuntu

Upravíme soubor /etc/lightdm/lightdm.conf přijmout manuální přihlášení a my vám ponecháme následující obsah:

[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Po uložení změn restartujeme lightdm v konzole vyvolané Ctrl+Alt+F1 a v něm po přihlášení provedeme restart sudo service lightdm.

Doporučuje se také soubor upravit / Etc / hosts a nechte to s následujícím obsahem:

127.0.0.1 localhost 127.0.1.1 přesný.amigos.cu přesný [----]

Tímto způsobem získáváme příslušné odpovědi na příkazy hostname y název hostitele –fqdn.

Zkontrolujeme, zda server LDAP funguje

Upravíme soubor /etc/ldap/ldap.conf a nainstalujte balíček ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] ZÁKLAD dc = přátelé, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = přátelé, dc = cu 'uid = kroky
: ~ $ ldapsearch -x -b dc = přátelé, dc = cu 'uid = legolas' cn gidNumber

Pomocí posledních dvou příkazů zkontrolujeme dostupnost serveru OpenLDAP našeho systému ClearOS. Pojďme se dobře podívat na výstupy předchozích příkazů.

Důležité: ověřili jsme také, že identifikační služba na našem serveru OpenLDAP funguje správně.

Nainstalujeme balíček sssd

Doporučuje se také nainstalovat balíček prst aby byly kontroly pitnější než ldapsearch:

: ~ $ sudo aptitude nainstalovat sssd prst

Po dokončení instalace služba ssd nespustí kvůli chybějícímu souboru /etc/sssd/sssd.conf. To odráží výstup instalace. Proto musíme tento soubor vytvořit a nechat jej s další minimální obsah:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD se nespustí, pokud nenakonfigurujete žádné domény. # Přidat nové konfigurace domény jako [doména / ] sekce a # pak přidejte seznam domén (v pořadí, v jakém chcete, aby byly # dotazovány) k níže uvedenému atributu „domains“ a odkomentujte jej. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP doména [doména / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema lze nastavit na „rfc2307“, který ukládá jména členů skupiny do atributu # „memberuid“, nebo na „rfc2307bis“, který ukládá DN členů skupiny do # atributu „člen“. Pokud tuto hodnotu neznáte, zeptejte se svého správce LDAP #. # pracuje s ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = přátelé, dc = cu # Upozorňujeme, že povolení výčtu bude mít mírný dopad na výkon. # V důsledku toho je výchozí hodnota pro výčet FALSE. # Podrobnější informace najdete na stránce sssd.conf. enumerate = false # Povolit offline přihlášení lokálním ukládáním hash hesel (výchozí: false). cache_credentials = true
ldap_tls_reqcert = povolit
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Po vytvoření souboru přidělíme příslušná oprávnění a restartujeme službu:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Pokud chceme obohatit obsah předchozího souboru, doporučujeme provést muž sssd.conf a / nebo nahlédněte do existující dokumentace na internetu, počínaje odkazy na začátku příspěvku. Také se poraďte muž sssd-ldap. Balík ssd zahrnuje příklad v /usr/share/doc/sssd/examples/sssd-example.conf, kterou lze použít k ověření proti Microsoft Active Directory.

Nyní můžeme použít nejpijatelnější příkazy prst y získat:

: ~ $ kroky prstu
Přihlášení: strides Jméno: Strides El Rey Adresář: / home / strides Shell: / bin / bash Nikdy nepřihlášen. Žádná pošta. Žádný plán.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Stále se nemůžeme poslat ke spuštění a pokusit se ověřit jako uživatel na serveru LDAP. Než musíme soubor upravit /etc/pam.d/common-session, aby se složka uživatele automaticky vytvořila při zahájení relace, pokud neexistuje, a poté restartujte systém:

[----]
je vyžadována relace pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Výše ​​uvedený řádek musí být zahrnut PŘED
# zde jsou moduly na balíček (blok „Primární“) [----]

Nyní, když restartujeme:

: ~ $ sudo restart

Po přihlášení odpojte síť pomocí Správce připojení a odhlaste se a znovu se přihlaste. Rychlejší nic. Spusťte v terminálu ifconfig a uvidí, že eth0 není vůbec nakonfigurován.

Aktivujte síť. Odhlaste se a znovu se přihlaste. Zkontrolujte znovu pomocí ifconfig.

Pro práci offline je samozřejmě nutné zahájit relaci alespoň jednou, když je OpenLDAP online, aby se pověření ukládala do našeho počítače.

Nezapomeňme, aby se externí uživatel registrovaný v OpenLDAP stal členem nezbytných skupin, vždy věnujeme pozornost uživateli vytvořenému během instalace.

Pokud zařízení nechce vypnout pomocí Applet pak spusťte v konzole sudo vypnutí vypnout a sudo reboot restartovat. Zbývá zjistit, proč se výše uvedené někdy děje.

poznámka:

Deklarovat možnost ldap_tls_reqcert = nikdy, ve složce /etc/sssd/sssd.conf, představuje bezpečnostní riziko, jak je uvedeno na stránce SSSD - FAQ. Výchozí hodnota je «poptávka«. Vidět muž sssd-ldap. Nicméně v kapitole 8.2.5 Konfigurace domén Z dokumentace Fedory je uvedeno následující:

SSSD nepodporuje ověřování přes nezašifrovaný kanál. V důsledku toho, pokud se chcete autentizovat proti serveru LDAP, buď TLS/SSL or LDAPS je požadováno.

SSSD nepodporuje ověřování přes nezašifrovaný kanál. Pokud tedy chcete provést ověření proti serveru LDAP, bude to nutné TLS / SLL o LDAP.

Osobně si myslíme které řešení řešilo z hlediska zabezpečení to pro Enterprise LAN postačuje. Prostřednictvím WWW Village doporučujeme implementovat šifrovaný kanál pomocí TLS nebo «Transportní vrstva »mezi klientským počítačem a serverem.

Snažíme se toho dosáhnout správným generováním certifikátů s vlastním podpisem nebo «Podepsán sám sebou "Na serveru ClearOS, ale nemohli jsme." Ve skutečnosti jde o nevyřešený problém. Pokud některý čtenář ví, jak na to, uvítáme to!