Líonra SWL (V): Debian Wheezy agus ClearOS. Fíordheimhniú SSSD i gcoinne LDAP dúchais.

Dia duit a chairde !. Le do thoil, déanaim arís é, léigh roimh «Réamhrá le Líonra le Bogearraí In Aisce (I): ClearOS a chur i láthair»Agus pacáiste íomhánna suiteála Céim ar Chéim ClearOS (1,1 mega) a íoslódáil, le bheith ar an eolas faoi na rudaí a bhfuilimid ag caint fúthu. Gan an léamh sin beidh sé deacair sinn a leanúint.

Deamhan Seirbhíse Slándála Córais

An clár SSD o Deamhan don tSeirbhís Slándála Córais, is tionscadal de Fedora, a rugadh ó thionscadal eile - ar a dtugtar ó Fedora Saor IPA. De réir a chruthaitheoirí féin, bheadh ​​sainmhíniú gairid aistrithe go saor:

Is seirbhís é SSSD a sholáthraíonn rochtain ar sholáthraithe aitheantais agus fíordheimhnithe éagsúla. Is féidir é a chumrú le haghaidh fearann ​​dúchais LDAP (soláthraí aitheantais bunaithe ar LDAP le fíordheimhniú LDAP), nó le haghaidh soláthraí aitheantais LDAP le fíordheimhniú Kerberos. Soláthraíonn SSSD an comhéadan don chóras trí NSS y PAM, agus Deireadh Cúl isteach is féidir a nascadh le bunús cuntas iolrach agus difriúil.

Creidimid go bhfuilimid ag tabhairt aghaidh ar réiteach níos cuimsithí agus níos láidre chun úsáideoirí cláraithe a shainaithint agus a fhíordheimhniú in OpenLDAP, ná iad siúd ar tugadh aghaidh orthu sna hailt roimhe seo, gné a fhágtar faoi rogha gach duine agus a dtaithí féin.

Is é an réiteach a mholtar san alt seo an réiteach is mó a mholtar do ríomhairí soghluaiste agus ríomhairí glúine, ós rud é go gceadaíonn sé dúinn oibriú dícheangailte, ós rud é go stórálann an SSSD na dintiúir ar an ríomhaire áitiúil.

Líonra samplach

  • Rialaitheoir Fearainn, DNS, DHCP: Fiontar ClearOS 5.2sp1.
  • Ainm an Rialaitheora: CentOS
  • Ainm Fearainn: cairde.cu
  • IP an Rialaitheora: 10.10.10.60
  • ---------------
  • Leagan Debian: uaibhreach.
  • Ainm na foirne: debian7
  • Seoladh IP: Ag baint úsáide as DHCP

Seiceálaimid go bhfuil an freastalaí LDAP ag obair

Mionathraímid an comhad /etc/ldap/ldap.conf agus an pacáiste a shuiteáil ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = cairde, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = cairde, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = cairde, dc = cu 'uid = dul chun cinn '
: ~ $ ldapsearch -x -b dc = cairde, dc = cu 'uid = legolas' cn gidNumber

Leis an dá ordú dheireanacha, déanaimid seiceáil an bhfuil freastalaí OpenLDAP ar fáil dár ClearOS. A ligean ar ghlacadh le breathnú go maith ar aschuir na n-orduithe roimhe seo.

Tábhachtach: tá sé fíoraithe againn freisin go n-oibríonn an tSeirbhís Aitheantais inár bhfreastalaí OpenLDAP i gceart.

líonra-swl-04-úsáideoirí

Suiteáilimid an pacáiste sssd

Moltar freisin an pacáiste a shuiteáil finger seiceanna a dhéanamh níos inólta ná an ldapsearch:

: ~ # aptitude install sssd finger

Ar chríochnú na suiteála, beidh an tseirbhís ssd ní thosaíonn mar gheall ar chomhad a bheith ar iarraidh /etc/sssd/sssd.conf. Léiríonn aschur na suiteála é seo. Dá bhrí sin, ní mór dúinn an comhad sin a chruthú agus é a fhágáil leis an an chéad ábhar íosta eile:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 sheirbhís = nss, ní thosóidh pam # SSSD mura ndéanann tú aon fearainn a chumrú. # Cuir cumraíochtaí fearainn nua leis mar [domain / ] ailt, agus # ansin cuir liosta na bhfearann ​​(san ord is mian leat go gcuirfí # ceist orthu) leis an aitreabúid “fearainn” thíos agus déan é a neamhchomhbhrú. fearainn = amigos.cu [nss] filter_groups = root filter_users = fréamh athcheangail_retries = 3 [pam] reconnection_retries = 3 # fearann ​​LDAP [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema is féidir a shocrú go "rfc2307", a stórálann ainmneacha baill ghrúpa sa tréith # "memberuid", nó go "rfc2307bis", a stórálann DNanna ball den ghrúpa sa # tréith "ball". Mura bhfuil an luach seo ar eolas agat, iarr ar do riarthóir LDAP #. # oibríonn le ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = cairde, dc = cu # Tabhair faoi deara go mbeidh tionchar measartha feidhmíochta ag áireamh áirimh. # Dá bharr sin, is é an luach réamhshocraithe le haghaidh áirimh ná CEOL. # Déan tagairt do leathanach fear sssd.conf le haghaidh sonraí iomlána. enumerate = false # Ceadaigh logáil isteach as líne trí hashes pasfhocal a stóráil go háitiúil (réamhshocrú: bréagach). cache_credentials = fíor
ldap_tls_reqcert = ceadaigh
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Nuair a bheidh an comhad cruthaithe, déanaimid na ceadanna comhfhreagracha a shannadh agus an tseirbhís a atosú:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # seirbhís sssd atosú

Más mian linn ábhar an chomhaid roimhe seo a shaibhriú, molaimid é a fhorghníomhú fear sssd.conf agus / nó téigh i gcomhairle leis na cáipéisí atá ann cheana ar an Idirlíon, ag tosú leis na naisc ag tús an phoist. Téigh i gcomhairle freisin fear sssd-ldap. An pacáiste ssd tá sampla i /usr/share/doc/sssd/examples/sssd-example.conf, is féidir a úsáid chun fíordheimhniú a dhéanamh i gcoinne Eolaire Gníomhach Microsoft.

Anois is féidir linn na horduithe is inólta a úsáid finger y faightear:

: ~ $ dul chun cinn finger
Logáil Isteach: dul chun cinn Ainm: Eolaire Strides El Rey: / home / strides Shell: / bin / bash Ná logáil isteach riamh. Gan aon phost. Gan Plean.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Ní féidir linn fíordheimhniú a dhéanamh fós mar úsáideoir an fhreastalaí LDAP. Sula gcaithfimid an comhad a mhodhnú /etc/pam.d/common-session, ionas go gcruthófar fillteán an úsáideora go huathoibríoch nuair a thosóidh siad a seisiún, mura bhfuil sé ann, agus ansin an córas a atosaigh:

[----]
seisiún riachtanach pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Caithfear an líne thuas a áireamh ROIMH
# seo na modúil in aghaidh an phacáiste (an bloc "Bunscoile") [----]

Déanaimid ár Wheezy a atosú:

: ~ # atosaigh

Tar éis duit logáil isteach, déan an líonra a dhícheangal ag baint úsáide as an mBainisteoir Ceangal agus logáil amach agus ar ais isteach. Níos gasta rud ar bith. Rith i gcríochfort ifconfig agus feicfidh siad go bhfuil an eth0 níl sé cumraithe ar chor ar bith.

Gníomhachtaigh an líonra. Logáil amach agus logáil isteach arís le do thoil. Seiceáil arís le ifconfig.

Ar ndóigh, chun oibriú as líne, is gá logáil isteach uair amháin ar a laghad agus OpenLDAP ar líne, ionas go sábhálfar na dintiúir ar ár ríomhaire.

Ná déanaimis dearmad an t-úsáideoir seachtrach atá cláraithe in OpenLDAP a dhéanamh ina bhall de na grúpaí riachtanacha, ag tabhairt aird i gcónaí ar an úsáideoir a cruthaíodh le linn na suiteála.

nóta:

Dearbhaigh rogha ldap_tls_reqcert = riamh, sa Chomhad /etc/sssd/sssd.conf, is riosca slándála é mar atá luaite ar an leathanach SSSD - Ceisteanna Coitianta. Is é an luach réamhshocraithe «t-éileamh«. Féach fear sssd-ldap. Sa chaibidil, áfach 8.2.5 Fearainn a Chumrú Luaitear an méid seo a leanas ó dhoiciméadú Fedora:

Ní thacaíonn SSSD le fíordheimhniú thar chainéal neamhchriptithe. Dá bharr sin, más mian leat fíordheimhniú a dhéanamh i gcoinne freastalaí LDAP, ach an oiread TLS/SSL or LDAPS ag teastáil.

SSD ní thacaíonn sé le fíordheimhniú thar chainéal neamhchriptithe. Dá bhrí sin, más mian leat fíordheimhniú a dhéanamh i gcoinne freastalaí LDAP, beidh sé riachtanach TLS / SLL o LDAP.

Is dóigh linn go pearsanta gur díríodh ar an réiteach is leor é do LAN Fiontair, ó thaobh na slándála de. Trí Shráidbhaile WWW, molaimid cainéal criptithe a chur i bhfeidhm ag úsáid TLS nó «Sraith Slándála Iompair », idir ríomhaire an chliaint agus an freastalaí.

Déanaimid iarracht é a bhaint amach ón nginiúint cheart de dheimhnithe Féin-Shínithe nó «Féin-Shínithe “Ar fhreastalaí ClearOS, ach níorbh fhéidir linn. Is ceist atá ar feitheamh í i ndáiríre. Má tá a fhios ag léitheoir ar bith conas é a dhéanamh, fáilte romhat é a mhíniú!

debian7.amigos.cu


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

8 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   am mionlach3000 a dúirt

    Den scoth.

    1.    Federico a dúirt

      Beannachtaí ElioTime3000 agus go raibh maith agat as trácht !!!

    2.    Federico a dúirt

      Beannachtaí eliotime3000 agus buíochas as an moladh don alt !!!

  2.   curayi a dúirt

    Ar fheabhas! Ba mhaith liom comhghairdeas mór a dhéanamh le húdar an fhoilseacháin as a chuid eolais ollmhór a roinnt agus leis an mblag as a fhoilsiú a cheadú.

    Go raibh maith agat!

    1.    Federico a dúirt

      Go raibh míle maith agat as do mholadh agus do thrácht !!! Neart a thugann tú dom leanúint ar aghaidh ag roinnt eolais leis an bpobal, a bhfoghlaimímid go léir ann.

  3.   feinebarbít a dúirt

    Alt maith! Tabhair faoi deara, maidir le húsáid teastais, nuair a ghineann tú an deimhniú ní mór duit cur leis an gcumraíocht ldap (cn = config):

    olcLocalSSF:71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / cosán / chuig / poiblí / deimhniú
    olcTLSCertificateKeyFile: / cosán / go / príobháideach / eochair
    olcTLSVerifyClient: bain triail as
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Leis seo (agus na teastais á nginiúint) beidh tacaíocht SSL agat.

    Beannachtaí!

    1.    Federico a dúirt

      Go raibh maith agat as do chuidiú !!! Foilsím 7 n-alt faoi OpenLDAP, áfach:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      Ina measc, leagaim béim ar Start TLS a úsáid roimh SSL, a mholann openldap.org. Beannachtaí @phenobarbital, agus go raibh míle maith agat as trácht a dhéanamh.
      Is é mo r-phost federico@dch.ch.gob.cu, ar eagla go mbeadh tú ag iarraidh níos mó a mhalartú. Tá rochtain an Idirlín an-mhall dom.

    2.    feinebarbít a dúirt

      Maidir le TLS tá an chumraíocht mar an gcéanna, ag cuimhneamh go ndéantar an t-iompar a dhéanamh trédhearcach thar chainéal criptithe le SSL, agus in TLS déantar criptiú dhá bhealach a chaibidliú chun sonraí a iompar; le TLS is féidir an chroitheadh ​​láimhe a chaibidliú ar an gcalafort céanna (389) agus le SSL déantar an chaibidlíocht ar chalafort malartach.
      Athraigh an méid seo a leanas:
      olcLocalSSF:128
      olcTLSVerifyClient: ceadaigh
      olcTLSCipherSuite: GNÁTHAL
      (má tá tú paranóideach faoi shlándáil úsáideann tú:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      agus atosú, feicfidh tú níos déanaí le:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      'Ldap.ipm.org.gt' a réiteach ...
      Seiceáil le haghaidh tacaíochta SSL 3.0… sea
      Seiceáil an bhfuil gá le% COMPAT ... níl
      Seiceáil le haghaidh tacaíochta TLS 1.0 ... sea
      Seiceáil le haghaidh tacaíochta TLS 1.1 ... sea
      Seiceáil ar ais ó TLS 1.1 go… N / B.
      Seiceáil le haghaidh tacaíochta TLS 1.2 ... sea
      Seiceáil le haghaidh tacaíochta ath-idirbheartaíochta Sábháilte… sea
      Seiceáil le haghaidh tacaíochta ath-idirbheartaíochta Sábháilte (SCSV)… sea

      A bhfuil tacaíocht TLS cumasaithe leis freisin, úsáideann tú 389 (nó 636) le haghaidh TLS agus 636 (ldaps) le haghaidh SSL; tá siad go hiomlán neamhspleách ar a chéile agus ní gá go mbeadh duine faoi mhíchumas agat chun an ceann eile a úsáid.

      Beannachtaí!