Líonra SWL (IV): Ubuntu Beachtas agus ClearOS. Fíordheimhniú SSSD i gcoinne LDAP dúchais.

Dia duit a chairde !. Díreach go dtí an pointe, ní roimh an t-alt a léamh «Réamhrá le Líonra le Bogearraí In Aisce (I): ClearOS a chur i láthair»Agus íoslódáil pacáiste íomhánna suiteála Céim ar Chéim ClearOS (1,1 mega), le go mbeidh tú ar an eolas faoi na rudaí a bhfuilimid ag caint fúthu. Gan an léamh sin beidh sé deacair sinn a leanúint. Ceart go leor? Éadrom gnáth.

Deamhan Seirbhíse Slándála Córais

An clár SSD o Deamhan don tSeirbhís Slándála Córais, is tionscadal de Fedora, a rugadh ó thionscadal eile - ar a dtugtar ó Fedora Saor IPA. De réir a chruthaitheoirí féin, bheadh ​​sainmhíniú gairid aistrithe go saor:

Is seirbhís é SSSD a sholáthraíonn rochtain ar sholáthraithe aitheantais agus fíordheimhnithe éagsúla. Is féidir é a chumrú le haghaidh fearann ​​dúchais LDAP (soláthraí aitheantais bunaithe ar LDAP le fíordheimhniú LDAP), nó le haghaidh soláthraí aitheantais LDAP le fíordheimhniú Kerberos. Soláthraíonn SSSD an comhéadan don chóras trí NSS y PAM, agus Deireadh Cúl isteach is féidir a nascadh le bunús cuntas iolrach agus difriúil.

Creidimid go bhfuilimid ag tabhairt aghaidh ar réiteach níos cuimsithí agus níos láidre chun úsáideoirí cláraithe a shainaithint agus a fhíordheimhniú in OpenLDAP, ná iad siúd ar tugadh aghaidh orthu sna hailt roimhe seo, gné a fhágtar faoi rogha gach duine agus a dtaithí féin.

Is é an réiteach a mholtar san alt seo an réiteach is mó a mholtar do ríomhairí soghluaiste agus ríomhairí glúine, ós rud é go gceadaíonn sé dúinn oibriú dícheangailte, ós rud é go stórálann an SSSD na dintiúir ar an ríomhaire áitiúil.

Líonra samplach

  • Rialaitheoir Fearainn, DNS, DHCP: Fiontar ClearOS 5.2sp1.
  • Ainm an Rialaitheora: CentOS
  • Ainm Fearainn: cairde.cu
  • IP an Rialaitheora: 10.10.10.60
  • ---------------
  • Leagan Ubuntu: Deasc Ubuntu 12.04.2 beacht.
  • Ainm na foirne: beacht
  • Seoladh IP: Ag baint úsáide as DHCP

Ullmhaímid ár Ubuntu

Mionathraímid an comhad /etc/lightdm/lightdm.conf glacadh le logáil isteach láimhe, agus fágaimid an t-ábhar seo a leanas duit:

[SeatDefaults] greeter-session = aontacht-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = fíor ceadaigh-aoi = bréagach

Tar éis na hathruithe a shábháil, déanaimid an solasdm i gconsól arna agairt ag Ctrl + Alt + F1 agus inti forghníomhaímid, tar éis logáil isteach, seirbhís sudo lightdm atosú.

Moltar freisin an comhad a chur in eagar / Srl / ina hóstach agus fág leis an ábhar seo a leanas é:

127.0.0.1 localhost 127.0.1.1 beacht.amigos.cu beacht [----]

Ar an mbealach seo faighimid na freagraí cuí ar na horduithe óstainm y óstainm –fqdn.

Seiceálaimid go bhfuil an freastalaí LDAP ag obair

Mionathraímid an comhad /etc/ldap/ldap.conf agus an pacáiste a shuiteáil ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = cairde, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = cairde, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = cairde, dc = cu 'uid = dul chun cinn '
: ~ $ ldapsearch -x -b dc = cairde, dc = cu 'uid = legolas' cn gidNumber

Leis an dá ordú dheireanacha, déanaimid seiceáil an bhfuil freastalaí OpenLDAP ar fáil dár ClearOS. A ligean ar ghlacadh le breathnú go maith ar aschuir na n-orduithe roimhe seo.

Tábhachtach: tá sé fíoraithe againn freisin go n-oibríonn an tSeirbhís Aitheantais inár bhfreastalaí OpenLDAP i gceart.

líonra-swl-04-úsáideoirí

Suiteáilimid an pacáiste sssd

Moltar freisin an pacáiste a shuiteáil finger seiceanna a dhéanamh níos inólta ná an ldapsearch:

: ~ $ sudo aptitude install sssd finger

Ar chríochnú na suiteála, beidh an tseirbhís ssd ní thosaíonn mar gheall ar chomhad a bheith ar iarraidh /etc/sssd/sssd.conf. Léiríonn aschur na suiteála é seo. Dá bhrí sin, ní mór dúinn an comhad sin a chruthú agus é a fhágáil leis an an chéad ábhar íosta eile:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 sheirbhís = nss, ní thosóidh pam # SSSD mura ndéanann tú aon fearainn a chumrú. # Cuir cumraíochtaí fearainn nua leis mar [domain / ] ailt, agus # ansin cuir liosta na bhfearann ​​(san ord is mian leat go gcuirfí # ceist orthu) leis an aitreabúid “fearainn” thíos agus déan é a neamhchomhbhrú. fearainn = amigos.cu [nss] filter_groups = root filter_users = fréamh athcheangail_retries = 3 [pam] reconnection_retries = 3 # fearann ​​LDAP [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema is féidir a shocrú go "rfc2307", a stórálann ainmneacha baill ghrúpa sa tréith # "memberuid", nó go "rfc2307bis", a stórálann DNanna ball den ghrúpa sa # tréith "ball". Mura bhfuil an luach seo ar eolas agat, iarr ar do riarthóir LDAP #. # oibríonn le ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = cairde, dc = cu # Tabhair faoi deara go mbeidh tionchar measartha feidhmíochta ag áireamh áirimh. # Dá bharr sin, is é an luach réamhshocraithe le haghaidh áirimh ná CEOL. # Déan tagairt do leathanach fear sssd.conf le haghaidh sonraí iomlána. enumerate = false # Ceadaigh logáil isteach as líne trí hashes pasfhocal a stóráil go háitiúil (réamhshocrú: bréagach). cache_credentials = fíor
ldap_tls_reqcert = ceadaigh
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Nuair a bheidh an comhad cruthaithe, déanaimid na ceadanna comhfhreagracha a shannadh agus an tseirbhís a atosú:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo seirbhís sssd atosú

Más mian linn ábhar an chomhaid roimhe seo a shaibhriú, molaimid é a fhorghníomhú fear sssd.conf agus / nó téigh i gcomhairle leis na cáipéisí atá ann cheana ar an Idirlíon, ag tosú leis na naisc ag tús an phoist. Téigh i gcomhairle freisin fear sssd-ldap. An pacáiste ssd tá sampla i /usr/share/doc/sssd/examples/sssd-example.conf, is féidir a úsáid chun fíordheimhniú a dhéanamh i gcoinne Eolaire Gníomhach Microsoft.

Anois is féidir linn na horduithe is inólta a úsáid finger y faightear:

: ~ $ dul chun cinn finger
Logáil Isteach: dul chun cinn Ainm: Eolaire Strides El Rey: / home / strides Shell: / bin / bash Ná logáil isteach riamh. Gan aon phost. Gan Plean.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Ní féidir linn muid féin a sheoladh chun rith agus iarracht a dhéanamh fíordheimhniú mar úsáideoir an fhreastalaí LDAP. Sula gcaithfimid an comhad a mhodhnú /etc/pam.d/common-session, ionas go gcruthófar fillteán an úsáideora go huathoibríoch nuair a thosóidh siad a seisiún, mura bhfuil sé ann, agus ansin an córas a atosaigh:

[----]
seisiún riachtanach pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Caithfear an líne thuas a áireamh ROIMH
# seo na modúil in aghaidh an phacáiste (an bloc "Bunscoile") [----]

Anois má atosóidh muid:

: ~ $ sudo atosaigh

Tar éis duit logáil isteach, déan an líonra a dhícheangal ag baint úsáide as an mBainisteoir Ceangal agus logáil amach agus ar ais isteach. Níos gasta rud ar bith. Rith i gcríochfort ifconfig agus feicfidh siad go bhfuil an eth0 níl sé cumraithe ar chor ar bith.

Gníomhachtaigh an líonra. Logáil amach agus logáil isteach arís le do thoil. Seiceáil arís le ifconfig.

Ar ndóigh, le bheith ag obair as líne, is gá seisiún a thosú uair amháin ar a laghad fad a bheidh OpenLDAP ar líne, ionas go sábhálfar na dintiúir ar ár ríomhaire.

Ná déanaimis dearmad an t-úsáideoir seachtrach atá cláraithe in OpenLDAP a dhéanamh ina bhall de na grúpaí riachtanacha, ag tabhairt aird i gcónaí ar an úsáideoir a cruthaíodh le linn na suiteála.

Mura dteastaíonn an trealamh a mhúchadh le feidhmchláirín comhfhreagrach, ansin rith i consól cumhacht sudo as a mhúchadh, agus athchóiriú sudo a atosú. Tá sé fós le fáil amach cén fáth a dtarlaíonn an méid thuas uaireanta.

nóta:

Dearbhaigh rogha ldap_tls_reqcert = riamh, sa Chomhad /etc/sssd/sssd.conf, is riosca slándála é mar atá luaite ar an leathanach SSSD - Ceisteanna Coitianta. Is é an luach réamhshocraithe «t-éileamh«. Féach fear sssd-ldap. Sa chaibidil, áfach 8.2.5 Fearainn a Chumrú Luaitear an méid seo a leanas ó dhoiciméadú Fedora:

Ní thacaíonn SSSD le fíordheimhniú thar chainéal neamhchriptithe. Dá bharr sin, más mian leat fíordheimhniú a dhéanamh i gcoinne freastalaí LDAP, ach an oiread TLS/SSL or LDAPS ag teastáil.

SSD ní thacaíonn sé le fíordheimhniú thar chainéal neamhchriptithe. Dá bhrí sin, más mian leat fíordheimhniú a dhéanamh i gcoinne freastalaí LDAP, beidh sé riachtanach TLS / SLL o LDAP.

Is dóigh linn go pearsanta gur díríodh ar an réiteach is leor é do LAN Fiontair, ó thaobh na slándála de. Trí Shráidbhaile WWW, molaimid cainéal criptithe a chur i bhfeidhm ag úsáid TLS nó «Sraith Slándála Iompair », idir ríomhaire an chliaint agus an freastalaí.

Déanaimid iarracht é a bhaint amach ón nginiúint cheart de dheimhnithe Féin-Shínithe nó «Féin-Shínithe “Ar fhreastalaí ClearOS, ach níorbh fhéidir linn. Is ceist atá ar feitheamh í i ndáiríre. Má tá a fhios ag léitheoir ar bith conas é a dhéanamh, fáilte romhat é a mhíniú!

dul chun cinn-dícheangailte


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

4 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   elav a dúirt

    Alt eile le Leabharmharcanna 😀

    1.    Federico a dúirt

      Go raibh maith agat as trácht agus Beannachtaí !!!

  2.   Joel a dúirt

    Haigh. Táim ag iarraidh go n-oibreoidh sé le freastalaí ubuntu agus ubuntu eile mar chliant, agus oibríonn gach rud ceangailte go han-mhaith, ach nuair a stopaim an freastalaí nó an líonra a dhícheangal, ní ghlacann sé le pasfhocail na n-úsáideoirí. Níl aon tuairim agam cad a d’fhéadfainn a bheith ag déanamh mícheart. An bhféadfadh sé a bheith mar gheall nach bhfuil an freastalaí ldap cumraithe agam chun slándáil (ssl) a úsáid?

    1.    brabaut a dúirt

      Sin an fáth go díreach, ós rud é nach bhfuil an cainéal criptithe agat, ní ghlacfaidh sé le do phasfhocal.