Ruĝa SWL (V): Debian Wheezy kaj ClearOS. SSSD-aŭtentikigo kontraŭ denaska LDAP.

Saluton, amikoj!. Bonvolu, mi ripetas, legi antaŭ «Enkonduko al Reto kun Libera Programaro (I): Prezento de ClearOS»Kaj elŝutu la pakaĵon ClearOS Step-by-Step-instalajn bildojn (1,1 mega), por konscii pri kio ni parolas. Sen tiu legado estos malfacile sekvi nin.

Demona Sistemo-Sekureca Servo

La programo SSSD o Demono por la Sistema Sekureca Servo, estas projekto de Fedora, kiu naskiĝis de alia projekto -ankaŭ de Fedora- nomata Senpaga IPA. Laŭ siaj propraj kreintoj, mallonga kaj libere tradukita difino estus:

SSSD estas servo, kiu donas aliron al malsamaj provizantoj pri identeco kaj aŭtentikigo. Ĝi povas esti agordita por denaska LDAP-domajno (LDAP-bazita identa provizanto kun LDAP-aŭtentokontrolo), aŭ por LDAP-identeca provizanto kun Kerberos-aŭtentokontrolo. SSSD provizas la interfacon al la sistemo per NSS y PAM, kaj enmetebla Finaĵo por konekti al diversaj kaj malsamaj kontoj-originoj.

Ni kredas, ke ni alfrontas pli ampleksan kaj fortikan solvon por identigo kaj aŭtentikigo de registritaj uzantoj en OpenLDAP, ol tiuj traktitaj en la antaŭaj artikoloj, aspekto lasita al la bontrovo de ĉiuj kaj de iliaj propraj spertoj..

La solvo proponita en ĉi tiu artikolo estas la plej rekomendinda por poŝtelefonoj kaj tekkomputiloj, ĉar ĝi permesas al ni labori malkonekte, ĉar la SSSD stokas la atestilojn en la loka komputilo.

Ekzempla reto

  • Regula Regilo, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Regila Nomo: centoj
  • Domajna nomo: amikoj.cu
  • Regilo IP: 10.10.10.60
  • ---------------
  • Debiana versio: Wheezy.
  • Teamnomo: debian7
  • IP-adreso: Uzante DHCP

Ni kontrolas, ke la LDAP-servilo funkcias

Ni modifas la dosieron /etc/ldap/ldap.conf kaj instalu la pakon ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = amikoj, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = paŝoj '
: ~ $ ldapsearch -x -b dc = amikoj, dc = cu 'uid = legolas' cn gidNombro

Per la lastaj du komandoj, ni kontrolas la haveblecon de la OpenLDAP-servilo de nia ClearOS. Ni rigardu la rezultojn de la antaŭaj komandoj.

Grave: ni ankaŭ kontrolis, ke la Identiga Servo en nia OpenLDAP-servilo funkcias ĝuste.

reto-swl-04-uzantoj

Ni instalas la pakaĵon sssd

Ankaŭ estas rekomendinde instali la pakaĵon fingro fari ĉekojn pli trinkeblaj ol la ldapsearch:

: ~ # aptitude install sssd finger

Post la fino de la instalado, la servo sssd ne startas pro mankanta dosiero /etc/sssd/sssd.conf. La eligo de la instalado reflektas ĉi tion. Tial ni devas krei tiun dosieron kaj lasi ĝin kun la sekva minimuma enhavo:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 servoj = nss, pam # SSSD ne komenciĝos se vi ne agordas iujn domajnojn. # Aldonu novajn domajnajn agordojn kiel [domajno / ] sekcioj, kaj # tiam aldonu la liston de domajnoj (laŭ la ordo, en kiu vi volas, ke ili estu # pridemanditaj) al la suba "atributo" de domajnoj kaj komentu ĝin. domajnoj = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
aŭth_provider = ldap
chpass_provider = ldap # ldap_schema povas esti agordita al "rfc2307", kiu konservas grupajn nomojn de membroj en la atributo # "memberuid", aŭ al "rfc2307bis", kiu konservas grupajn DN-membrojn en # la "membro" atributo. Se vi ne konas ĉi tiun valoron, demandu vian LDAP-administranton. # funkcias kun ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = amikoj, dc = cu # Atentu, ke ebligi listigon havos moderan efikon. # Sekve, la defaŭlta valoro por nombrado estas FALSA. # Vidu la manpaĝon de sssd.conf por plenaj detaloj. enumerate = false # Permesi eksterretajn ensalutojn loke konservante pasvortajn hakojn (defaŭlte: falsa). cache_credentials = vera
ldap_tls_reqcert = permesi
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Post kiam la dosiero estis kreita, ni atribuas la respondajn permesojn kaj rekomencas la servon:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # service sssd restart

Se ni volas riĉigi la enhavon de la antaŭa dosiero, ni rekomendas plenumi ĝin viro sssd.conf kaj / aŭ konsultu la ekzistantan dokumentaron en la interreto, komencante per la ligoj ĉe la komenco de la afiŝo. Ankaŭ konsultu viro sssd-ldap. La pakaĵo sssd inkluzivas ekzemplon en /usr/share/doc/sssd/examples/sssd-example.conf, kiu povas esti uzata por aŭtentikigi kontraŭ Microsoft Active Directory.

Nun ni povas uzi la plej trinkeblajn komandojn fingro y getent:

: ~ $ fingropaŝoj
Ensaluto: strides Nomo: Strides El Rey Adresaro: / home / strides Ŝelo: / bin / bash Neniam ensalutinta. Neniu poŝto. Neniu Plano.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas La Elfo: / home / legolas: / bin / bash

Ni ankoraŭ ne povas aŭtentikigi nin kiel uzanto ĉe la LDAP-servilo. Antaŭ ni devas modifi la dosieron /etc/pam.d/common-session, tiel ke la dosierujo de la uzanto estas aŭtomate kreita kiam vi komencas vian kunsidon, se ĝi ne ekzistas, kaj poste restartigu la sistemon:

[----]
kunsido necesas pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La supra linio devas esti inkluzivita ANTAE
# jen la po-pakaj moduloj (la "Ĉefa" bloko) [----]

Ni rekomencas nian Wheezy:

: ~ # restartigi

Post ensaluto, malkonekti la reton per la Konekta Administranto kaj elsaluti kaj reeniri. Pli rapide nenion. Kuru en fina stacio ifconfig kaj ili vidos, ke la et0 ĝi tute ne estas agordita.

Aktivigu la reton. Bonvolu elsaluti kaj ensaluti denove. Kontrolu denove per ifconfig.

Kompreneble, por funkcii eksterrete, necesas ensaluti almenaŭ unufoje dum OpenLDAP estas enreta, por ke la atestiloj estu konservitaj en nia komputilo.

Ni ne forgesu fari la eksteran uzanton registritan en OpenLDAP membro de la necesaj grupoj, ĉiam atentante la uzanton kreitan dum la instalado.

nota:

Deklari opcion ldap_tls_reqcert = neniam, en la Dosiero /etc/sssd/sssd.conf, konsistigas sekurecan riskon kiel dirite sur la paĝo SSSD - Demandoj. La apriora valoro estas «peto«. Vidu viro sssd-ldap. Tamen en la ĉapitro 8.2.5 Agordi Domajnojn El la dokumentaro de Fedora, estas dirite:

SSSD ne subtenas aŭtentikigon super neĉifrita kanalo. Sekve, ĉu vi volas aŭtentikigi vin kontraŭ LDAP-servilo TLS/SSL or LDAPS estas postulita.

SSSD ĝi ne subtenas aŭtentikigon super neĉifrita kanalo. Sekve, se vi volas aŭtentikiĝi kontraŭ LDAP-servilo, ĝi estos necesa TLS / SLL o LDAP.

Ni persone pensas ke la solvo traktis ĝi sufiĉas por Enterprise LAN, laŭ sekureca vidpunkto. Tra la WWW-Vilaĝo, ni rekomendas efektivigi ĉifritan kanalon uzante TLS aŭ «Transporta Sekureca Tavolo », inter la klienta komputilo kaj la servilo.

Ni provas atingi ĝin per la ĝusta generado de Memsubskribitaj atestiloj aŭ «Memsubskribita “Sur la ClearOS-servilo, sed ni ne povis. Ĝi ja estas pritraktata numero. Se iu leganto scias kiel fari ĝin, bonvenu klarigi ĝin!

debian7.amigos.cu


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

8 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   eliotime3000 diris

    Bonega.

    1.    federika diris

      Salutojn ElioTime3000 kaj dankon pro komento !!!

    2.    federika diris

      Salutojn eliotime3000 kaj dankon pro la laŭdo al la artikolo !!!

  2.   kurayi diris

    Bonege! Mi volas etendi grandegan gratulon al la aŭtoro de la eldonaĵo pro interŝanĝo de siaj vastaj scioj kaj al la blogo pro tio, ke ĝi permesis ĝian publikigon.

    Dankon!

    1.    federika diris

      Koran dankon pro via laŭdo kaj komento !!! Forton, kiun vi donas al mi, por daŭre dividi sciojn kun la komunumo, en kiu ni ĉiuj lernas.

  3.   fenobarbital diris

    Bona artikolo!, Rimarku, ke pri la uzo de atestiloj, kiam vi generas la atestilon, vi devas aldoni al la ldap-agordo (cn = config):

    olcLocalSSF: 71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / path / to / public / cert
    olcTLSCertificateKeyFile: / vojo / al / privata / ŝlosilo
    olcTLSVerifyClient: provu
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Per ĉi tio (kaj generi la atestilojn) vi havos SSL-subtenon.

    Dankon!

    1.    federika diris

      Dankon pro via kontribuo !!! Tamen mi publikigas 7 artikolojn pri OpenLDAP en:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      En ili mi emfazas la uzon de Start TLS antaŭ SSL, kiun rekomendas openldap.org. Salutojn @phenobarbital, kaj dankegon pro via komento.
      Mia retpoŝto estas federico@dch.ch.gob.cu, se vi volas interŝanĝi pli. Aliri la interreton estas tre malrapida por mi.

    2.    fenobarbital diris

      Por TLS la agordo samas, memorante, ke per SSL la transporto fariĝas travidebla per ĉifrita kanalo, dum en TLS oni negocas dudirektan ĉifradon por transporto de datumoj; per TLS la manpremo estas intertraktebla sur la sama haveno (389) dum kun SSL la intertraktado fariĝas sur alternativa haveno.
      Ŝanĝu la jenon:
      olcLocalSSF: 128
      olcTLSVerifyClient: permesi
      olcTLSCipherSuite: NORMALA
      (se vi estas paranoja pri sekureco, vi uzas:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      kaj rekomencu, vi vidos poste kun:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      Solvante 'ldap.ipm.org.gt' ...
      Serĉante subtenon de SSL 3.0 ... jes
      Kontrolante ĉu% COMPAT necesas ... ne
      Kontrolante subtenon de TLS 1.0 ... jes
      Kontrolante subtenon de TLS 1.1 ... jes
      Kontrolante rezervaĵon de TLS 1.1 ĝis ... N / A
      Kontrolante subtenon de TLS 1.2 ... jes
      Kontrolante Sekuran retraktan subtenon ... jes
      Kontrolante Sekuran Subtraktadan Subtenon (SCSV) ... jes

      Kun kiu TLS-subteno ankaŭ estas ebligita, vi uzas 389 (aŭ 636) por TLS kaj 636 (ldaps) por SSL; ili estas tute sendependaj unu de la alia kaj vi ne bezonas havi unu malebligitan por uzi la alian.

      Dankon!