Reto SWL (IV): Ubuntu Precise kaj ClearOS. SSSD-aŭtentikigo kontraŭ denaska LDAP.

Saluton, amikoj!. Rekte ĝis la punkto, ne antaŭ ol legi la artikolon «Enkonduko al Reto kun Libera Programaro (I): Prezento de ClearOS»Kaj elŝutu la pakaĵon ClearOS Step by Step-instalajn bildojn (1,1 mega), por konscii pri kio ni parolas. Sen tiu legado estos malfacile sekvi nin. Bone? Kutima senespera.

Demona Sistemo-Sekureca Servo

La programo SSSD o Demono por la Sistema Sekureca Servo, estas projekto de Fedora, kiu naskiĝis de alia projekto -ankaŭ de Fedora- nomata Senpaga IPA. Laŭ siaj propraj kreintoj, mallonga kaj libere tradukita difino estus:

SSSD estas servo, kiu donas aliron al malsamaj provizantoj pri identeco kaj aŭtentikigo. Ĝi povas esti agordita por denaska LDAP-domajno (LDAP-bazita identa provizanto kun LDAP-aŭtentokontrolo), aŭ por LDAP-identeca provizanto kun Kerberos-aŭtentokontrolo. SSSD provizas la interfacon al la sistemo per NSS y PAM, kaj enmetebla Finaĵo por konekti al diversaj kaj malsamaj kontoj-originoj.

Ni kredas, ke ni alfrontas pli ampleksan kaj fortikan solvon por identigo kaj aŭtentikigo de registritaj uzantoj en OpenLDAP, ol tiuj traktitaj en la antaŭaj artikoloj, aspekto lasita al la bontrovo de ĉiuj kaj de iliaj propraj spertoj..

La solvo proponita en ĉi tiu artikolo estas la plej rekomendinda por poŝtelefonoj kaj tekkomputiloj, ĉar ĝi permesas al ni labori malkonekte, ĉar la SSSD stokas la atestilojn en la loka komputilo.

Ekzempla reto

  • Regula Regilo, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Regila Nomo: centoj
  • Domajna nomo: amikoj.cu
  • Regilo IP: 10.10.10.60
  • ---------------
  • Versio de Ubuntu: Ubuntu-labortablo 12.04.2 Preciza.
  • Teamnomo: precizaj
  • IP-adreso: Uzante DHCP

Ni preparas nian Ubuntu

Ni modifas la dosieron /etc/lightdm/lightdm.conf akcepti manan ensaluton, kaj ni lasas al vi la jenan enhavon:

[SeatDefaults] greeter-session = unueco-saluto user-session = Ubuntu greeter-show-manual-login = vera saluto-kaŝi-uzantoj = vera allow-guest = falsa

Post konservado de la ŝanĝoj, ni rekomencas la lumodm en konzolo alvokita de Stir + Alt + F1 kaj en ĝi ni ekzekutas, post ensaluto, sudo-servo lightdm rekomencu.

Ankaŭ rekomendas redakti la dosieron / ktp / gastigantoj kaj lasu ĝin kun la jena enhavo:

127.0.0.1 loka gastiganto 127.0.1.1 precise.amigos.cu precise [----]

Tiel ni ricevas la taŭgajn respondojn al la ordonoj gastignomo y gastignomo –fqdn.

Ni kontrolas, ke la LDAP-servilo funkcias

Ni modifas la dosieron /etc/ldap/ldap.conf kaj instalu la pakon ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = amikoj, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = paŝoj '
: ~ $ ldapsearch -x -b dc = amikoj, dc = cu 'uid = legolas' cn gidNombro

Per la lastaj du komandoj, ni kontrolas la haveblecon de la OpenLDAP-servilo de nia ClearOS. Ni rigardu la rezultojn de la antaŭaj komandoj.

Grave: ni ankaŭ kontrolis, ke la Identiga Servo en nia OpenLDAP-servilo funkcias ĝuste.

reto-swl-04-uzantoj

Ni instalas la pakaĵon sssd

Ankaŭ estas rekomendinde instali la pakaĵon fingro fari ĉekojn pli trinkeblaj ol la ldapsearch:

: ~ $ sudo aptitude install sssd finger

Post la fino de la instalado, la servo ssd ne startas pro mankanta dosiero /etc/sssd/sssd.conf. La eligo de la instalado reflektas ĉi tion. Tial ni devas krei tiun dosieron kaj lasi ĝin kun la sekva minimuma enhavo:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 servoj = nss, pam # SSSD ne komenciĝos se vi ne agordas iujn domajnojn. # Aldonu novajn domajnajn agordojn kiel [domajno / ] sekcioj, kaj # tiam aldonu la liston de domajnoj (laŭ la ordo, en kiu vi volas, ke ili estu # pridemanditaj) al la suba "atributo" de domajnoj kaj komentu ĝin. domajnoj = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
aŭth_provider = ldap
chpass_provider = ldap # ldap_schema povas esti agordita al "rfc2307", kiu konservas grupajn nomojn de membroj en la atributo # "memberuid", aŭ al "rfc2307bis", kiu konservas grupajn DN-membrojn en # la "membro" atributo. Se vi ne konas ĉi tiun valoron, demandu vian LDAP-administranton. # funkcias kun ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = amikoj, dc = cu # Atentu, ke ebligi listigon havos moderan efikon. # Sekve, la defaŭlta valoro por nombrado estas FALSA. # Vidu la manpaĝon de sssd.conf por plenaj detaloj. enumerate = false # Permesi eksterretajn ensalutojn loke konservante pasvortajn hakojn (defaŭlte: falsa). cache_credentials = vera
ldap_tls_reqcert = permesi
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Post kiam la dosiero estis kreita, ni atribuas la respondajn permesojn kaj rekomencas la servon:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd rekomencu

Se ni volas riĉigi la enhavon de la antaŭa dosiero, ni rekomendas plenumi ĝin viro sssd.conf kaj / aŭ konsultu la ekzistantan dokumentaron en la interreto, komencante per la ligoj ĉe la komenco de la afiŝo. Ankaŭ konsultu viro sssd-ldap. La pakaĵo ssd inkluzivas ekzemplon en /usr/share/doc/sssd/examples/sssd-example.conf, kiu povas esti uzata por aŭtentikigi kontraŭ Microsoft Active Directory.

Nun ni povas uzi la plej trinkeblajn komandojn fingro y getent:

: ~ $ fingropaŝoj
Ensaluto: strides Nomo: Strides El Rey Adresaro: / home / strides Ŝelo: / bin / bash Neniam ensalutinta. Neniu poŝto. Neniu Plano.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas La Elfo: / home / legolas: / bin / bash

Ni ankoraŭ ne povas sendi nin kuri kaj provi aŭtentikigi kiel uzanto sur la LDAP-servilo. Antaŭ ni devas modifi la dosieron /etc/pam.d/common-session, tiel ke la dosierujo de la uzanto estas aŭtomate kreita kiam vi komencas vian kunsidon, se ĝi ne ekzistas, kaj poste restartigu la sistemon:

[----]
kunsido necesas pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La supra linio devas esti inkluzivita ANTAE
# jen la po-pakaj moduloj (la "Ĉefa" bloko) [----]

Nun se ni rekomencos:

: ~ $ sudo reboot

Post ensaluto, malkonekti la reton per la Konekta Administranto kaj elsaluti kaj reeniri. Pli rapide nenion. Kuru en fina stacio ifconfig kaj ili vidos, ke la et0 ĝi tute ne estas agordita.

Aktivigu la reton. Bonvolu elsaluti kaj ensaluti denove. Kontrolu denove per ifconfig.

Kompreneble, por funkcii eksterrete, necesas komenci kunsidon almenaŭ unufoje dum OpenLDAP estas enreta, por ke la atestiloj estu konservitaj en nia komputilo.

Ni ne forgesu fari la eksteran uzanton registritan en OpenLDAP membro de la necesaj grupoj, ĉiam atentante la uzanton kreitan dum la instalado.

Se la ekipaĵo ne volas malŝalti uzante la apleto tiam kuru en konzolo sudo poweroff malŝalti, kaj suda reboot rekomenci. Restas ekscii, kial la supre foje okazas.

nota:

Deklari opcion ldap_tls_reqcert = neniam, en la Dosiero /etc/sssd/sssd.conf, konsistigas sekurecan riskon kiel dirite sur la paĝo SSSD - Demandoj. La apriora valoro estas «peto«. Vidu viro sssd-ldap. Tamen en la ĉapitro 8.2.5 Agordi Domajnojn El la dokumentaro de Fedora, estas dirite:

SSSD ne subtenas aŭtentikigon super neĉifrita kanalo. Sekve, ĉu vi volas aŭtentikigi vin kontraŭ LDAP-servilo TLS/SSL or LDAPS estas postulita.

SSSD ĝi ne subtenas aŭtentikigon super neĉifrita kanalo. Sekve, se vi volas aŭtentikiĝi kontraŭ LDAP-servilo, ĝi estos necesa TLS / SLL o LDAP.

Ni persone pensas ke la solvo traktis ĝi sufiĉas por Enterprise LAN, laŭ sekureca vidpunkto. Tra la WWW-Vilaĝo, ni rekomendas efektivigi ĉifritan kanalon uzante TLS aŭ «Transporta Sekureca Tavolo », inter la klienta komputilo kaj la servilo.

Ni provas atingi ĝin per la ĝusta generado de Memsubskribitaj atestiloj aŭ «Memsubskribita “Sur la ClearOS-servilo, sed ni ne povis. Ĝi ja estas pritraktata numero. Se iu leganto scias kiel fari ĝin, bonvenu klarigi ĝin!

paŝoj malkonektitaj


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

4 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   elav diris

    Alia artikolo al Legosignoj 😀

    1.    federika diris

      Dankon pro komento kaj Salutojn !!!

  2.   joel diris

    Saluton. Mi provas funkciigi ĝin kun ubuntu-servilo kaj alia ubuntu kiel kliento, kaj konektita ĉio funkcias tre bone, sed kiam mi haltigas la servilon aŭ malkonektas la reton ĝi ne akceptas la pasvortojn de la uzantoj. Mi tute ne scias, kion mi povus fari malĝuste. Ĉu eble ĉar mi ne havas la ldap-servilon agorditan por uzi sekurecon (ssl)?

    1.    braybaut diris

      Ĝuste tial, ĉar vi ne havas ĉifritan kanalon, ĝi ne akceptos vian pasvorton.