SWL mreža (IV): Ubuntu Precise i ClearOS. SSSD provjera autentičnosti protiv izvornog LDAP-a.

Pozdrav prijatelji!. Pravo na stvar, ne prije čitanja članka «Uvod u mrežu s besplatnim softverom (I): Prezentacija ClearOS-a»I preuzmite paket instalacijskih slika ClearOS Step by Step (1,1 megapiksela) kako biste bili svjesni o čemu govorimo. Bez tog čitanja bit će nas teško pratiti. U redu? Uobičajeno očajno.

Daemon Service Security Service

Program SSSD o Daemon za uslugu sigurnosne zaštite sustava, je projekt tvrtke Fedora, koji je rođen iz drugog projekta - također iz Fedore - tzv FreeIPA. Prema vlastitim tvorcima, kratka i slobodno prevedena definicija bila bi:

SSSD je usluga koja omogućuje pristup različitim pružateljima identiteta i provjere autentičnosti. Može se konfigurirati za matičnu LDAP domenu (pružatelj identiteta zasnovan na LDAP-u s LDAP provjerom autentičnosti) ili za pružatelja LDAP identiteta s provjerom autentičnosti Kerberos. SSSD pruža sučelje sustavu putem NSS y PAMi umetnuti pozadinski kraj za povezivanje s više i različitih podrijetla računa.

Vjerujemo da smo suočeni sa sveobuhvatnijim i robusnijim rješenjem za identifikaciju i autentifikaciju registriranih korisnika u OpenLDAP-u od onih kojima smo govorili u prethodnim člancima, što je aspekt koji je prepušten diskreciji svih i njihovih vlastitih iskustava.

Rješenje predloženo u ovom članku najviše se preporučuje za mobilna računala i prijenosna računala, jer nam omogućuje rad bez veze, jer SSSD vjerodajnice pohranjuje na lokalno računalo.

Primjer mreže

• Kontroler domene, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Naziv kontrolera: CentOS
• Naziv domene: prijatelji.cu
• IP kontrolera: 10.10.10.60
• ---------------
• Verzija Ubuntu: Ubuntu Desktop 12.04.2 Precizno.
• Naziv tima: trebati
• IP adresa: Korištenje DHCP-a

Mi pripremamo naš Ubuntu

Izmjenjujemo datoteku /etc/lightdm/lightdm.conf da prihvatite ručnu prijavu i ostavljamo vam sljedeći sadržaj:

[SeatDefaults] greeter-session = jedinstvo-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Nakon spremanja promjena, ponovno pokrećemo lightdm u konzoli na koju se poziva Ctrl+Alt+F1 i u njemu izvršavamo, nakon prijave, sudo servis lightdm restart.

Također se preporučuje uređivanje datoteke / Etc / hosts i ostavite ga sa sljedećim sadržajem:

127.0.0.1 localhost 127.0.1.1 precizno.amigos.cu precizno [----]

Na taj način dobivamo odgovarajuće odgovore na naredbe hostname y ime hosta –fqdn.

Provjeravamo radi li LDAP poslužitelj

Izmjenjujemo datoteku /etc/ldap/ldap.conf i instalirajte paket ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = prijatelji, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude instaliraj ldap-utils: ~ $ ldapsearch -x -b 'dc = prijatelji, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = koraci '
: ~ $ ldapsearch -x -b dc = prijatelji, dc = cu 'uid = legolas' cn gidNumber

Posljednje dvije naredbe provjeravamo dostupnost OpenLDAP poslužitelja našeg ClearOS-a. Pogledajmo dobro izlaze prethodnih naredbi.

Važno: Također smo potvrdili da Usluga identifikacije na našem OpenLDAP poslužitelju radi ispravno.

Instaliramo sssd paket

Također se preporučuje instaliranje paketa prst kako bi čekovi postali pitkiji od ldapsearch:

: ~ $ sudo aptitude instaliraj sssd prst

Po završetku instalacije, usluga ssd se ne pokreće zbog nedostajuće datoteke /etc/sssd/sssd.conf. Rezultat instalacije to odražava. Stoga moramo stvoriti tu datoteku i ostaviti je s sljedeći minimalni sadržaj:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 usluge = nss, pam # SSSD se neće pokrenuti ako ne konfigurirate nijednu domenu. # Dodaj nove konfiguracije domene kao [domena / ] i dodajte #, a zatim dodajte popis domena (redoslijedom kojim želite da ih se # pita) atributu "domene" u nastavku i raskomentirajte ga. domene = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domena [domena / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema se može postaviti na "rfc2307", koji pohranjuje imena članova grupe u atribut # "memberuid", ili na "rfc2307bis", koji sprema DN-ove članova u # atribut "member". Ako ne znate ovu vrijednost, pitajte svog LDAP # administratora. # radi s ClearOS-om ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = prijatelji, dc = cu # Imajte na umu da će omogućavanje popisivanja imati umjeren učinak na izvedbu. # Prema tome, zadana vrijednost za nabrajanje je FALSE. # Pogledajte sve stranice sssd.conf za sve pojedinosti. enumerate = false # Dopustite izvanmrežne prijave lokalnim pohranjivanjem raspršenih lozinki (zadano: false). cache_credentials = true
ldap_tls_reqcert = dopustiti
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Jednom kada je datoteka kreirana, dodijeljujemo odgovarajuća dopuštenja i ponovno pokrećemo uslugu:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Ako želimo obogatiti sadržaj prethodne datoteke, preporučujemo izvršenje čovjek sssd.conf i / ili pregledajte postojeću dokumentaciju na Internetu, počevši od poveznica na početku posta. Također se posavjetujte čovjek sssd-ldap. Paket ssd uključuje primjer u /usr/share/doc/sssd/examples/sssd-example.conf, koji se može koristiti za provjeru autentičnosti protiv Microsoft Active Directory.

Sada možemo koristiti najpitke naredbe prst y getent:

: ~ $ koraka prsta
Prijava: strides Ime: Strides El Rey Imenik: / home / strides Shell: / bin / bash Nikada prijavljen. Nema pošte. Nema plana.

: ~ $ sudo getent passwd legolas
legole: *: 1004: 63000: Legolas vilenjak: / home / legolas: / bin / bash

Još uvijek se ne možemo poslati na pokretanje i pokušaj autentifikacije kao korisnika na LDAP poslužitelju. Prije nego što moramo izmijeniti datoteku /etc/pam.d/common-session, tako da se korisnička mapa automatski kreira kada započnete sesiju, ako ona ne postoji, a zatim ponovno pokrenite sustav:

[----]
potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Gornji redak mora biti naveden PRIJE
# ovdje su moduli po paketu (blok "Primarni") [----]

Sada ako ponovno pokrenemo:

: ~ $ sudo ponovno pokretanje

Nakon prijave odspojite mrežu pomoću Connection Manager-a i odjavite se i ponovo prijavite. Brže ništa. Trči u terminalu ifconfig i vidjet će da je eth0 uopće nije konfiguriran.

Aktivirajte mrežu. Molimo vas da se odjavite i prijavite ponovo. Ponovno provjerite s ifconfig.

Da biste radili izvan mreže, potrebno je započeti sesiju barem jednom dok je OpenLDAP na mreži, tako da se vjerodajnice spremaju na naše računalo.

Ne zaboravimo vanjskog korisnika registriranog u OpenLDAP-u učiniti članom potrebnih grupa, uvijek obraćajući pažnju na korisnika stvorenog tijekom instalacije.

Ako se oprema ne želi isključiti do aplet odgovarajući, a zatim pokrenite u konzoli sudo napajanje isključeno isključiti i sudo ponovno podizanje sustava Ponovo pokrenuti. Ostaje otkriti zašto se gore navedeno ponekad događa.

Primijetiti:

Izjava o opciji ldap_tls_reqcert = nikad, u Datoteci /etc/sssd/sssd.conf, predstavlja sigurnosni rizik kako je navedeno na stranici SSSD - Česta pitanja. Zadana vrijednost je «potražnja«. Vidjeti čovjek sssd-ldap. Međutim, u poglavlju 8.2.5 Konfiguriranje domena Iz Fedora dokumentacije navodi se sljedeće:

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Slijedom toga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, bilo TLS/SSL or LDAPS je obavezan.

SSSD ne podržava provjeru autentičnosti preko nešifriranog kanala. Stoga, ako želite provjeriti autentičnost protiv LDAP poslužitelja, to će biti potrebno TLS / SLL o LDAP.

Mi osobno mislimo da se rješavalo rješenje sa sigurnosnog stajališta dovoljno je za LAN tvrtke. Kroz WWW Village preporučujemo upotrebu šifriranog kanala TLS ili "Transportni sigurnosni sloj », između klijentskog računala i poslužitelja.

Pokušavamo to postići ispravnom generacijom samopotpisanih certifikata ili «Samopotpisan “Na ClearOS poslužitelju, ali nismo mogli. To je zapravo neriješeno pitanje. Ako bilo koji čitatelj zna kako to učiniti, dobrodošao je da to objasni!