Δίκτυο SWL (IV): Ubuntu Precise και ClearOS. Έλεγχος ταυτότητας SSSD έναντι εγγενούς LDAP.

Γεια σας φίλοι!. Ευθεία, όχι πριν διαβάσετε το άρθρο «Εισαγωγή σε ένα δίκτυο με ελεύθερο λογισμικό (I): Παρουσίαση του ClearOS»Και κατεβάστε το πακέτο εικόνων εγκατάστασης ClearOS βήμα προς βήμα (1,1 mega), για να γνωρίζετε τι μιλάμε. Χωρίς αυτή την ανάγνωση θα είναι δύσκολο να μας ακολουθήσετε. Εντάξει? Συνήθης απελπισμένος.

Υπηρεσία ασφαλείας συστήματος Daemon

Το πρόγραμμα SSSD o Daemon για την υπηρεσία ασφαλείας συστήματος, είναι ένα έργο του Μαλακό καπέλλο, που γεννήθηκε από ένα άλλο έργο - επίσης από το Fedora - που ονομάζεται FreeIPA. Σύμφωνα με τους δικούς του δημιουργούς, ένας σύντομος και ελεύθερα μεταφρασμένος ορισμός θα ήταν:

Το SSSD είναι μια υπηρεσία που παρέχει πρόσβαση σε διαφορετικούς παρόχους ταυτότητας και ελέγχου ταυτότητας. Μπορεί να διαμορφωθεί για έναν εγγενή τομέα LDAP (πάροχος ταυτότητας που βασίζεται σε LDAP με έλεγχο ταυτότητας LDAP) ή για έναν πάροχο ταυτότητας LDAP με έλεγχο ταυτότητας Kerberos. Το SSSD παρέχει τη διεπαφή στο σύστημα μέσω NSS y PAM, και ένα παρεμβαλλόμενο Back End για σύνδεση σε πολλές και διαφορετικές ρίζες λογαριασμού.

Πιστεύουμε ότι αντιμετωπίζουμε μια πιο ολοκληρωμένη και ισχυρή λύση για την ταυτοποίηση και τον έλεγχο ταυτότητας των εγγεγραμμένων χρηστών σε ένα OpenLDAP, από αυτές που αναφέρονται στα προηγούμενα άρθρα, μια πτυχή που αφήνεται στη διακριτική ευχέρεια όλων και των δικών τους εμπειριών.

Η λύση που προτείνεται σε αυτό το άρθρο είναι η πιο συνιστώμενη για φορητούς υπολογιστές και φορητούς υπολογιστές, καθώς μας επιτρέπει να εργαζόμαστε αποσυνδεδεμένοι, καθώς το SSSD αποθηκεύει τα διαπιστευτήρια στον τοπικό υπολογιστή.

Παράδειγμα δικτύου

• Domain Controller, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Όνομα ελεγκτή: CentOS
• Ονομα τομέα: friends.cu
• IP ελεγκτή: 10.10.10.60
• ---------------
• Έκδοση Ubuntu: Επιφάνεια εργασίας Ubuntu 12.04.2 ακριβής.
• Όνομα ομάδας: ανάγκη
• Διεύθυνση IP: Χρήση DHCP

Ετοιμάζουμε το Ubuntu

Τροποποιούμε το αρχείο /etc/lightdm/lightdm.conf για αποδοχή μη αυτόματης σύνδεσης και σας αφήνουμε με το ακόλουθο περιεχόμενο:

[SeatDefaults] greeter-session = ενότητα-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Αφού αποθηκεύσουμε τις αλλαγές, κάνουμε επανεκκίνηση του lightdm σε μια κονσόλα που επικαλέστηκε ο Ctrl+Alt+F1 και σε αυτό εκτελούμε, αφού συνδεθούμε, επανεκκίνηση της υπηρεσίας sudo lightdm.

Συνιστάται επίσης η επεξεργασία του αρχείου / Etc / hosts και αφήστε το με το ακόλουθο περιεχόμενο:

127.0.0.1 localhost 127.0.1.1 ακριβής.amigos.cu ακριβής [----]

Με αυτόν τον τρόπο λαμβάνουμε τις κατάλληλες απαντήσεις στις εντολές hostname y όνομα κεντρικού υπολογιστή -fqdn.

Ελέγχουμε ότι ο διακομιστής LDAP λειτουργεί

Τροποποιούμε το αρχείο /etc/ldap/ldap.conf και εγκαταστήστε το πακέτο ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = φίλοι, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = βήματα '
: ~ $ ldapsearch -x -b dc = φίλοι, dc = cu 'uid = legolas' cn gidNumber

Με τις δύο τελευταίες εντολές, ελέγχουμε τη διαθεσιμότητα του διακομιστή OpenLDAP του ClearOS. Ας ρίξουμε μια καλή ματιά στα αποτελέσματα των προηγούμενων εντολών.

Σημαντικό: έχουμε επίσης επαληθεύσει ότι η Υπηρεσία αναγνώρισης στον διακομιστή OpenLDAP λειτουργεί σωστά.

Εγκαθιστούμε το πακέτο SSD

Συνιστάται επίσης να εγκαταστήσετε το πακέτο δάχτυλο να κάνουν τους ελέγχους πιο πόσιμο από το ldapsearch:

: ~ $ sudo aptitude install sssd finger

Με την ολοκλήρωση της εγκατάστασης, η υπηρεσία SSD δεν ξεκινά λόγω λείπει αρχείο /etc/sssd/sssd.conf. Η έξοδος της εγκατάστασης αντικατοπτρίζει αυτό. Επομένως, πρέπει να δημιουργήσουμε αυτό το αρχείο και να το αφήσουμε με το επόμενο ελάχιστο περιεχόμενο:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, το pam # SSSD δεν θα ξεκινήσει εάν δεν διαμορφώσετε τομείς. # Προσθέστε νέες διαμορφώσεις τομέα ως [domain / ] ενότητες και #, στη συνέχεια, προσθέστε τη λίστα των τομέων (με τη σειρά που θέλετε να # ερωτηθούν) στο χαρακτηριστικό "domains" παρακάτω και αποσυνδέστε το. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
Το chpass_provider = ldap # ldap_schema μπορεί να οριστεί σε "rfc2307", το οποίο αποθηκεύει τα ονόματα των μελών της ομάδας στο χαρακτηριστικό # "memberuid" ή σε "rfc2307bis", το οποίο αποθηκεύει τα DN μελών της ομάδας στο χαρακτηριστικό # the member Εάν δεν γνωρίζετε αυτήν την τιμή, ρωτήστε τον διαχειριστή σας LDAP #. # λειτουργεί με το ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # Σημειώστε ότι η ενεργοποίηση της απαρίθμησης θα έχει μέτρια επίδραση στην απόδοση. # Κατά συνέπεια, η προεπιλεγμένη τιμή για την απαρίθμηση είναι FALSE. # Ανατρέξτε στη σελίδα man sssd.conf για πλήρεις λεπτομέρειες. enumerate = false # Να επιτρέπεται η σύνδεση εκτός σύνδεσης αποθηκεύοντας τοπικά κατακερματισμούς κωδικού πρόσβασης (προεπιλογή: false). cache_credentials = true
ldap_tls_reqcert = επιτρέψτε
ldap_tls_cacert = /etc/ssl/certs/ca-certificate.crt

Μόλις δημιουργηθεί το αρχείο, εκχωρούμε τα αντίστοιχα δικαιώματα και επανεκκίνηση της υπηρεσίας:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd επανεκκίνηση

Αν θέλουμε να εμπλουτίσουμε το περιεχόμενο του προηγούμενου αρχείου, σας συνιστούμε να το εκτελέσετε άνθρωπος sssd.conf ή / και συμβουλευτείτε την υπάρχουσα τεκμηρίωση στο Διαδίκτυο, ξεκινώντας με τους συνδέσμους στην αρχή της ανάρτησης. Συμβουλευτείτε επίσης άνθρωπος sssd-ldap. Το πακέτο SSD περιλαμβάνει ένα παράδειγμα στο /usr/share/doc/sssd/examples/sssd-example.conf, το οποίο μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας κατά Microsoft Active Directory.

Τώρα μπορούμε να χρησιμοποιήσουμε τις πιο πόσιμες εντολές δάχτυλο y απολαυστικός:

: ~ $ τα βήματα των δακτύλων
Είσοδος: strides Όνομα: Strides El Rey Κατάλογος: / home / strides Shell: / bin / bash Ποτέ δεν έχετε συνδεθεί. Χωρίς αλληλογραφία. Χωρίς σχέδιο.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / σπίτι / legolas: / bin / bash

Δεν μπορούμε ακόμα να στείλουμε τον εαυτό μας για να εκτελέσουμε και να προσπαθήσουμε να πραγματοποιήσουμε έλεγχο ταυτότητας ως χρήστης του διακομιστή LDAP. Πριν πρέπει να τροποποιήσουμε το αρχείο /etc/pam.d/common-session, έτσι ώστε ο φάκελος του χρήστη να δημιουργείται αυτόματα κατά την έναρξη της περιόδου λειτουργίας του, εάν δεν υπάρχει και, στη συνέχεια, να επανεκκινήσετε το σύστημα:

[----]
απαιτείται συνεδρία pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Η παραπάνω γραμμή πρέπει να συμπεριληφθεί ΠΡΙΝ
# εδώ είναι οι μονάδες ανά πακέτο (το "Κύριο" μπλοκ) [----]

Τώρα αν επανεκκινήσουμε:

: ~ $ επανεκκίνηση sudo

Αφού συνδεθείτε, αποσυνδέστε το δίκτυο χρησιμοποιώντας το Connection Manager και αποσυνδεθείτε και συνδεθείτε ξανά. Ταχύτερα τίποτα. Εκτελέστε ένα τερματικό ifconfig και θα δουν ότι το eth0 δεν έχει ρυθμιστεί καθόλου.

Ενεργοποιήστε το δίκτυο. Αποσυνδεθείτε και συνδεθείτε ξανά. Ελέγξτε ξανά με ifconfig.

Φυσικά, για να εργαστείτε εκτός σύνδεσης, είναι απαραίτητο να ξεκινήσετε μια συνεδρία τουλάχιστον μία φορά, ενώ το OpenLDAP είναι συνδεδεμένο, έτσι ώστε τα διαπιστευτήρια να αποθηκεύονται στον υπολογιστή μας.

Μην ξεχάσετε να κάνετε τον εξωτερικό χρήστη εγγεγραμμένο στο OpenLDAP μέλος των απαραίτητων ομάδων, δίνοντας πάντα προσοχή στον χρήστη που δημιουργήθηκε κατά την εγκατάσταση.

Εάν ο εξοπλισμός δεν θέλει να απενεργοποιηθεί μικροεφαρμογή αντίστοιχα και, στη συνέχεια, εκτελέστε μια κονσόλα σβήσιμο sudo για απενεργοποίηση και sudo επανεκκίνηση για να επανεκκινήσεις. Απομένει να μάθετε γιατί συμβαίνουν μερικές φορές τα παραπάνω.

σημείωση:

Επιλογή δήλωσης ldap_tls_reqcert = ποτέ, στο Αρχείο /etc/sssd/sssd.conf, συνιστά κίνδυνο ασφαλείας όπως αναφέρεται στη σελίδα SSSD - Συχνές ερωτήσεις. Η προεπιλεγμένη τιμή είναι «ζήτηση«. Βλέπω άνθρωπος sssd-ldap. Ωστόσο, στο κεφάλαιο 8.2.5 Διαμόρφωση τομέων Από την τεκμηρίωση του Fedora, αναφέρονται τα εξής:

Το SSSD δεν υποστηρίζει έλεγχο ταυτότητας μέσω ενός μη κρυπτογραφημένου καναλιού. Κατά συνέπεια, εάν θέλετε να πραγματοποιήσετε έλεγχο ταυτότητας με διακομιστή LDAP, είτε TLS/SSL or LDAPS απαιτείται.

SSSD δεν υποστηρίζει έλεγχο ταυτότητας μέσω ενός μη κρυπτογραφημένου καναλιού. Επομένως, εάν θέλετε να πραγματοποιήσετε έλεγχο ταυτότητας με διακομιστή LDAP, θα είναι απαραίτητο TLS / SLL o LDAP.

Προσωπικά πιστεύουμε ότι η λύση αντιμετωπίστηκε αρκεί για ένα εταιρικό LAN, από άποψη ασφάλειας. Μέσω του WWW Village, σας προτείνουμε να χρησιμοποιήσετε ένα κρυπτογραφημένο κανάλι χρησιμοποιώντας TLS ή "Επίπεδο ασφάλειας μεταφοράς », μεταξύ του υπολογιστή-πελάτη και του διακομιστή.

Προσπαθούμε να το επιτύχουμε από τη σωστή δημιουργία πιστοποιητικών Self Signed ή «Υπογραφή «Στον διακομιστή ClearOS, αλλά δεν μπορούσαμε. Είναι πράγματι ένα εκκρεμές ζήτημα. Εάν κάποιος αναγνώστης ξέρει πώς να το κάνει, καλώς ήλθατε να το εξηγήσετε!