SWL नेटवर्क (IV): उबंटू सटीक और क्लियरओएस। मूल LDAP के खिलाफ SSSD प्रमाणीकरण।

fico

7 मिनट

हैलो मित्रों!। सीधे इस बिंदु पर, लेख पढ़ने से पहले नहीं «मुफ्त सॉफ्टवेयर (I) के साथ एक नेटवर्क का परिचय: ClearOS की प्रस्तुति»और स्टेप इंस्टॉलेशन इमेज पैकेज (1,1 मेगा) द्वारा क्लियरओएस स्टेप डाउनलोड करें, इस बारे में जागरूक होने के लिए कि हम किस बारे में बात कर रहे हैं। उस पठन के बिना हमारा अनुसरण करना कठिन होगा। ठीक है? आदतन हताश.

सिस्टम सुरक्षा सेवा डेमॉन

कार्यक्रम एसएसएसडी o सिस्टम सुरक्षा सेवा के लिए डेमनकी एक परियोजना है फेडोरा, जो फेडोरा से एक और प्रोजेक्ट -लॉस से पैदा हुआ था- जिसे कहा जाता है FreeIPA। अपने स्वयं के रचनाकारों के अनुसार, एक छोटी और स्वतंत्र रूप से अनुवादित परिभाषा होगी:

SSSD एक ऐसी सेवा है जो विभिन्न पहचान और प्रमाणीकरण प्रदाताओं तक पहुंच प्रदान करती है। इसे एक देशी LDAP डोमेन (LDAP प्रमाणीकरण के साथ LDAP- आधारित पहचान प्रदाता) या Kerberos प्रमाणीकरण के साथ LDAP पहचान प्रदाता के लिए कॉन्फ़िगर किया जा सकता है। SSSD सिस्टम को इंटरफ़ेस प्रदान करता है एनएसएस y PAM, और कई और अलग-अलग खाता मूल से कनेक्ट करने के लिए एक डालने योग्य बैक एंड।

हम मानते हैं कि हम OpenLDAP में पंजीकृत उपयोगकर्ताओं की पहचान और प्रमाणीकरण के लिए एक अधिक व्यापक और मजबूत समाधान का सामना कर रहे हैं, पूर्ववर्ती लेखों में संबोधित किए गए लोगों की तुलना में, एक ऐसा पहलू जो सभी के विवेक और अपने स्वयं के अनुभवों पर छोड़ दिया गया है.

इस लेख में प्रस्तावित समाधान मोबाइल कंप्यूटर और लैपटॉप के लिए सबसे अधिक अनुशंसित है, क्योंकि यह हमें डिस्कनेक्ट किए गए काम करने की अनुमति देता है, क्योंकि SSSD स्थानीय कंप्यूटर पर क्रेडेंशियल्स को संग्रहीत करता है।

उदाहरण नेटवर्क

  • डोमेन नियंत्रक, DNS, डीएचसीपी: ClearOS एंटरप्राइज 5.2sp1.
  • नियंत्रक का नाम: centos
  • डोमेन नाम: दोस्तों
  • नियंत्रक आईपी: 10.10.10.60
  • ---------------
  • उबंटू संस्करण: Ubuntu डेस्कटॉप 12.04.2 सटीक।
  • टीम का नाम: ठीक
  • आईपी ​​एड्रेस: डीएचसीपी का उपयोग करना

हम अपना उबटन तैयार करते हैं

हम फ़ाइल को संशोधित करते हैं /etc/lightdm/lightdm.conf मैनुअल लॉगिन स्वीकार करने के लिए, और हम आपको निम्नलिखित सामग्री के साथ छोड़ देते हैं:

[SeatDefaults] अभिवादन-सत्र = एकता-अभिवादन उपयोगकर्ता-सत्र = ubuntu अभिवादन-शो-मैनुअल-लॉगिन = सही अभिवादन-छिपाने वाले-उपयोगकर्ता = सत्य अनुमति-अतिथि = असत्य

परिवर्तनों को सहेजने के बाद, हम पुनः आरंभ करते हैं LightDM द्वारा दिलाई गई कंसोल में Ctrl+Alt+F1 और इसमें हम लॉग इन करने के बाद, sudo सेवा lightdm पुनरारंभ.

यह फ़ाइल को संपादित करने के लिए भी अनुशंसित है / Etc / hosts और इसे निम्नलिखित सामग्री के साथ छोड़ दें:

127.0.0.1 लोकलहोस्ट 127.0.1.1 अचूक।मीगोस.कु सटीक [----]

इस प्रकार हम आज्ञाओं के लिए उचित प्रतिक्रिया प्राप्त करते हैं मेजबाननाम y होस्टनाम -fqdn.

हम जाँचते हैं कि LDAP सर्वर काम कर रहा है

हम फ़ाइल को संशोधित करते हैं /etc/ldap/ldap.conf और पैकेज स्थापित करें ldap- बर्तन:

: ~ $ सुडो नैनो /etc/ldap/ldap.conf
[----] BASE dc = दोस्तों, dc = cu URI ldap: //centos.amigos.c.cu ----]
: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x '-b' dc = friends, dc = cu '' (objectclass = *) ': ~ $ ldapsearch -x -b dc = friends, dc = cu' uid = प्रगति
: ~ $ ldapsearch -x -b dc = दोस्तों, dc = cu 'uid = legolas' cn gidNumber

पिछले दो आदेशों के साथ, हम अपने ClearOS के OpenLDAP सर्वर की उपलब्धता की जांच करते हैं। आइए पिछले कमांड के आउटपुट पर एक अच्छी नज़र डालें।

महत्वपूर्ण: हमने यह भी सत्यापित किया है कि हमारे OpenLDAP सर्वर में पहचान सेवा सही ढंग से काम करती है।

network-swl-04-users

हम sssd पैकेज स्थापित करते हैं

पैकेज को स्थापित करने की भी सिफारिश की गई है उंगली चेकों को अधिक पीने योग्य बनाने के लिए dapsearch:

: ~ $ sudo aptitude install sssd finger

स्थापना के पूरा होने पर, सेवा एसएसएसडी फ़ाइल गुम होने के कारण शुरू नहीं होती है /etc/sssd/sssd.conf। स्थापना का आउटपुट यह दर्शाता है। इसलिए, हमें वह फ़ाइल बनानी चाहिए और उसे छोड़ देना चाहिए अगली न्यूनतम सामग्री:

: ~ $ sudo नैनो /etc/sssd/sssd.conf
[sssd] config_file_version = 2 सेवाएं = nss, pam # SSSD प्रारंभ नहीं होगा यदि आप किसी डोमेन को कॉन्फ़िगर नहीं करते हैं। # [डोमेन / के रूप में नए डोमेन कॉन्फ़िगरेशन जोड़ें ] अनुभाग, और # फिर डोमेन की सूची को जोड़ते हैं (जिस क्रम में आप उन्हें "क्वियर" करना चाहते हैं) "डोमेन" विशेषता को नीचे और इसे अनसुना करें। डोमेन = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP डोमेन [डोमेन / amigos.cu: id_provider = ldap
ऑर्ट_प्रोवाइडर = ldap
chpass_provider = ldap # ldap_schema को "rfc2307" पर सेट किया जा सकता है, जो समूह के सदस्यों के नाम को "" मेंबरड्यूड "विशेषता में या" rfc2307bis "समूह में संग्रहीत करता है, जो समूह के सदस्य DN को #" सदस्य "विशेषता में संग्रहीत करता है। यदि आप इस मूल्य को नहीं जानते हैं, तो अपने LDAP # व्यवस्थापक से पूछें। # ClearOS ldap_schema = rfc2307 के साथ काम करता है
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # ध्यान दें कि एन्यूमरेशन को सक्षम करने से मध्यम स्तर का प्रभाव पड़ेगा। # नतीजतन, गणना के लिए डिफ़ॉल्ट मान FALSE है। # पूर्ण विवरण के लिए sssd.conf मैन पेज देखें। enumerate = false # स्थानीय रूप से पासवर्ड हैश के द्वारा ऑफ़लाइन लॉगिन की अनुमति दें (डिफ़ॉल्ट: गलत)। cache_credentials = सही
ldap_tls_reqcert = अनुमति दें
ldap_tls_cacert = /etc/ssl/certs/ca-cert पत्र.crt

फ़ाइल बन जाने के बाद, हम संबंधित अनुमतियों को असाइन करते हैं और सेवा को फिर से शुरू करते हैं:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo सेवा sssd पुनरारंभ

यदि हम पिछली फ़ाइल की सामग्री को समृद्ध करना चाहते हैं, तो हम निष्पादन की सलाह देते हैं आदमी sssd.conf और / या इंटरनेट पर मौजूदा दस्तावेज़ से परामर्श करें, पोस्ट की शुरुआत में लिंक के साथ शुरू करें। परामर्श भी करें आदमी sssd-ldap। पैकेज एसएसएसडी में एक उदाहरण शामिल है /usr/share/doc/sssd/examples/sssd-example.conf, जिसका उपयोग Microsoft सक्रिय निर्देशिका के विरुद्ध प्रमाणित करने के लिए किया जा सकता है।

अब हम सबसे अधिक पीने योग्य कमांड का उपयोग कर सकते हैं उंगली y मिल रहा है:

: ~ $ उंगली अकड़ती है
लॉग इन करें: स्ट्राइड्स नाम: स्ट्राइड्स एल रे डायरेक्टरी: / होम / स्ट्राइड्स शेल: / बिन / बैश इन लॉग-इन कभी नहीं। कोई मेल नहीं। कोई योजना नहीं।

: ~ $ sudo getent passwd लेगोलास
लेगोलास: *: १००४: ६३०००: लेगोलस द एल्फ: / होम / लेगोलस: / बिन / बैश

हम अभी भी खुद को चलाने के लिए नहीं भेज सकते हैं और LDAP सर्वर पर एक उपयोगकर्ता के रूप में प्रमाणित करने का प्रयास कर सकते हैं। इससे पहले कि हम फ़ाइल को संशोधित करें /etc/pam.d/common-session, ताकि उपयोगकर्ता का फ़ोल्डर स्वचालित रूप से तब बने जब वे अपना सत्र शुरू करें, अगर यह मौजूद नहीं है, और फिर सिस्टम को रिबूट करें:

[-----]
सत्र आवश्यक pam_mkhomedir.so स्कैल = / etc / स्केल / उमस्क = 0022

### उपरोक्त पंक्ति को पहले शामिल किया जाना चाहिए
# यहां प्रति-पैकेज मॉड्यूल ("प्राथमिक" ब्लॉक) हैं [----]

अब अगर हम पुनः आरंभ करते हैं:

: ~ $ सूडो रिबूट

लॉग इन करने के बाद, कनेक्शन प्रबंधक का उपयोग करके नेटवर्क को डिस्कनेक्ट करें और लॉग आउट करें और वापस अंदर जाएं। तेज कुछ भी नहीं। एक टर्मिनल में चलाएं ifconfig और वे देखेंगे कि eth0 यह बिल्कुल भी कॉन्फ़िगर नहीं है।

नेटवर्क को सक्रिय करें। कृपया लॉग आउट करें और फिर से लॉग इन करें। के साथ फिर से जाँच करें ifconfig.

बेशक, ऑफ़लाइन काम करने के लिए, OpenLDAP ऑनलाइन होने के दौरान कम से कम एक बार सत्र शुरू करना आवश्यक है, ताकि हमारे कंप्यूटर पर क्रेडेंशियल्स सहेजे जाएं।

आइए OpenLDAP में पंजीकृत बाहरी उपयोगकर्ता को आवश्यक समूहों का सदस्य बनाना न भूलें, हमेशा स्थापना के दौरान बनाए गए उपयोगकर्ता पर ध्यान दें।

यदि उपकरण बंद नहीं करना चाहते हैं एप्लेट इसके बाद, एक कंसोल में चलाएं सूडो पॉवरऑफ बंद करने के लिए, और सुडो रिबूट पुनः शुरुआत करने के लिए। यह पता लगाना बाकी है कि उपरोक्त कभी-कभी क्यों होता है।

नोट:

विकल्प की घोषणा करें ldap_tls_reqcert = कभी नहींफ़ाइल में /etc/sssd/sssd.confपृष्ठ पर बताए अनुसार एक सुरक्षा जोखिम बनता है SSSD - FAQ। डिफ़ॉल्ट मान है «मांग«। देख आदमी sssd-ldap। हालांकि, अध्याय में 8.2.5 डोमेन कॉन्फ़िगर करना फेडोरा प्रलेखन से, निम्नलिखित कहा गया है:

SSSD एक अनएन्क्रिप्टेड चैनल पर प्रमाणीकरण का समर्थन नहीं करता है। नतीजतन, यदि आप एक LDAP सर्वर के खिलाफ प्रमाणित करना चाहते हैं, या तो TLS/SSL or LDAPS आवश्यक है।

एसएसएसडी यह अनएन्क्रिप्टेड चैनल पर प्रमाणीकरण का समर्थन नहीं करता है। इसलिए, यदि आप LDAP सर्वर के खिलाफ प्रमाणित करना चाहते हैं, तो यह आवश्यक होगा टीएलएस / एसएलएल o एलडीएपी.

हम व्यक्तिगत रूप से सोचते हैं उस समाधान को संबोधित किया यह सुरक्षा के दृष्टिकोण से एंटरप्राइज लैन के लिए पर्याप्त है। WWW विलेज के माध्यम से, हम एक एन्क्रिप्टेड चैनल का उपयोग करके लागू करने की सलाह देते हैं टीएलएस या «परिवहन सुरक्षा परत »क्लाइंट कंप्यूटर और सर्वर के बीच।

हम स्वप्रमाणित प्रमाण पत्र या «की सही पीढ़ी से इसे प्राप्त करने का प्रयास करते हैं।स्व हस्ताक्षरित “ClearOS सर्वर पर, लेकिन हम नहीं कर सके। यह वास्तव में एक लंबित मुद्दा है। अगर किसी पाठक को पता है कि यह कैसे करना है, तो इसे समझाने के लिए आपका स्वागत है!

strides-disconnected


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   इलाव कहा
    पूर्व 10 साल

    बुकमार्क के लिए एक और लेख 😀

    उत्तर देने के लिए elav
    1.    Federico कहा
      पूर्व 10 साल

      टिप्पणी और बधाई के लिए धन्यवाद !!!

      फेडरिको को जवाब दें
  2.   जोएल कहा
    पूर्व 10 साल

    नमस्ते। मैं इसे एक ubuntu सर्वर और क्लाइंट के रूप में एक अन्य ubuntu के साथ काम करने की कोशिश कर रहा हूं, और सब कुछ बहुत अच्छी तरह से जुड़ा हुआ है, लेकिन जब मैं सर्वर को बंद करता हूं या नेटवर्क को डिस्कनेक्ट करता हूं, तो यह उपयोगकर्ताओं के पासवर्ड को स्वीकार नहीं करता है। मुझे नहीं पता कि मैं क्या गलत कर सकता हूं। क्या ऐसा हो सकता है क्योंकि मेरे पास सुरक्षा (ssl) का उपयोग करने के लिए ldap सर्वर कॉन्फ़िगर नहीं है?

    उत्तर दें joel
    1.    Braybaut कहा
      पूर्व 9 साल

      यही कारण है कि, चूंकि आपके पास एन्क्रिप्टेड चैनल नहीं है, इसलिए यह आपके पासवर्ड को स्वीकार नहीं करेगा।

      उत्तर देने के लिए braybaut