Jaringan SWL (IV): Ubuntu Precise dan ClearOS. Autentikasi SSSD terhadap LDAP asli.

Halo teman-teman!. Langsung ke intinya, tidak sebelum membaca artikel «Pengenalan ke Jaringan dengan Perangkat Lunak Gratis (I): Presentasi ClearOS»Dan unduh paket gambar instalasi ClearOS Langkah-demi-Langkah (1,1 mega), untuk mengetahui apa yang sedang kita bicarakan. Tanpa pembacaan itu akan sulit untuk mengikuti kita. Baik? Kebiasaan putus asa.

Daemon Layanan Keamanan Sistem

Programnya SSSD o Daemon untuk Layanan Keamanan Sistem, adalah proyek dari Fedora, yang lahir dari proyek lain -juga dari Fedora- bernama IPA Gratis. Menurut penciptanya sendiri, definisi singkat dan diterjemahkan secara bebas adalah:

SSSD adalah layanan yang menyediakan akses ke penyedia Identitas dan Otentikasi yang berbeda. Ini dapat dikonfigurasi untuk domain LDAP asli (penyedia identitas berbasis LDAP dengan otentikasi LDAP), atau untuk penyedia identitas LDAP dengan otentikasi Kerberos. SSSD menyediakan antarmuka ke sistem melalui NSS y PAM, dan Back End yang dapat disisipkan untuk menghubungkan ke beberapa akun asal yang berbeda.

Kami percaya bahwa kami menghadapi solusi yang lebih komprehensif dan kuat untuk identifikasi dan otentikasi pengguna terdaftar di OpenLDAP, daripada yang dibahas di artikel sebelumnya, sebuah aspek yang diserahkan kepada kebijaksanaan setiap orang dan pengalaman mereka sendiri.

Solusi yang diusulkan dalam artikel ini adalah yang paling direkomendasikan untuk komputer seluler dan laptop, karena memungkinkan kami untuk bekerja secara offline, karena SSSD menyimpan kredensial di komputer lokal.

Contoh jaringan

• Pengontrol Domain, DNS, DHCP: ClearOS Perusahaan 5.2sp1.
• Nama Pengontrol: CentOS
• Nama domain: friends.cu
• IP Pengontrol: 10.10.10.60
• ---------------
• Versi Ubuntu: Ubuntu Desktop 12.04.2 Tepat.
• Nama tim: perlu
• Alamat IP: Menggunakan DHCP

Kami menyiapkan Ubuntu kami

Kami memodifikasi file /etc/lightdm/lightdm.conf untuk menerima login manual, dan kami meninggalkan Anda dengan konten berikut:

[SeatDefaults] greeter-sesi = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Setelah menyimpan perubahan, kami memulai ulang lightdm di konsol yang dipanggil oleh Ctrl+Alt+F1 dan di dalamnya kami mengeksekusi, setelah masuk, sudo layanan lightdm restart.

Anda juga disarankan untuk mengedit file / Etc / hosts dan biarkan dengan konten berikut:

127.0.0.1 localhost 127.0.1.1 tepat.amigos.cu tepat [----]

Dengan cara itu kami mendapatkan respons yang sesuai untuk perintah hostname y nama host –fqdn.

Kami memeriksa bahwa server LDAP berfungsi

Kami memodifikasi file /etc/ldap/ldap.conf dan instal paketnya ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = friends, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = langkah '
: ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = legolas' cn gidNumber

Dengan dua perintah terakhir, kami memeriksa ketersediaan server OpenLDAP dari ClearOS kami. Mari kita lihat baik-baik output dari perintah sebelumnya.

Penting: kami juga telah memverifikasi bahwa Layanan Identifikasi di server OpenLDAP kami berfungsi dengan benar.

Kami menginstal paket sssd

Juga disarankan untuk menginstal paket jari untuk membuat cek lebih bisa diminum daripada pencarian ldap:

: ~ $ sudo aptitude menginstal jari sssd

Setelah menyelesaikan penginstalan, layanan ssd tidak dimulai karena file hilang /etc/sssd/sssd.conf. Output dari instalasi mencerminkan hal ini. Oleh karena itu, kita harus membuat file itu dan membiarkannya dengan konten minimum berikutnya:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD tidak akan dimulai jika Anda tidak mengkonfigurasi domain apa pun. # Tambahkan konfigurasi domain baru sebagai [domain / ], dan # lalu tambahkan daftar domain (dalam urutan yang Anda inginkan agar # dikueri) ke atribut "domain" di bawah dan hapus komentarnya. domain = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # domain LDAP [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema dapat disetel ke "rfc2307", yang menyimpan nama anggota grup di atribut # "memberuid", atau ke "rfc2307bis", yang menyimpan DN anggota grup di # atribut "anggota". Jika Anda tidak mengetahui nilai ini, tanyakan pada administrator LDAP Anda. # bekerja dengan ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # Perhatikan bahwa mengaktifkan enumerasi akan memiliki dampak kinerja yang moderat. # Akibatnya, nilai default untuk pencacahan adalah FALSE. # Lihat halaman manual sssd.conf untuk detil lengkapnya. enumerate = false # Izinkan login offline dengan menyimpan hash kata sandi secara lokal (default: false). cache_credentials = true
ldap_tls_reqcert = izinkan
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Setelah file dibuat, kami menetapkan izin yang sesuai dan memulai ulang layanan:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Jika kami ingin memperkaya konten file sebelumnya, sebaiknya jalankan man sssd.conf dan / atau lihat dokumentasi yang ada di Internet, dimulai dengan tautan di awal kiriman. Konsultasikan juga man sssd-ldap. Paket ssd menyertakan contoh di /usr/share/doc/sssd/examples/sssd-example.conf, yang dapat digunakan untuk mengotentikasi terhadap Microsoft Active Directory.

Sekarang kita bisa menggunakan perintah yang paling bisa diminum jari y jadilah:

: ~ $ langkah jari
Login: strides Nama: Direktori Strides El Rey: / home / strides Shell: / bin / bash Tidak pernah login. Tidak ada surat. Tidak ada rencana.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Kami masih tidak dapat mengirim diri kami sendiri untuk menjalankan dan mencoba mengautentikasi sebagai pengguna di server LDAP. Sebelumnya kita harus memodifikasi file tersebut /etc/pam.d/common-session, sehingga folder pengguna secara otomatis dibuat saat Anda memulai sesi Anda, jika tidak ada, lalu reboot sistem:

[----]
sesi diperlukan pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Baris di atas harus disertakan SEBELUM
# berikut adalah modul per paket (blok "Utama") [----]

Sekarang jika kita restart:

: ~ $ sudo reboot

Setelah masuk, putuskan sambungan jaringan menggunakan Manajer Sambungan dan keluar dan masuk kembali. Tidak lebih cepat. Jalankan di terminal ifconfig dan mereka akan melihat bahwa eth0 itu tidak dikonfigurasi sama sekali.

Aktifkan jaringan. Harap keluar dan masuk lagi. Periksa lagi dengan ifconfig.

Tentu saja, untuk bekerja secara offline, perlu untuk memulai sesi setidaknya satu kali saat OpenLDAP online, sehingga kredensial disimpan di komputer kita.

Jangan lupa untuk membuat pengguna eksternal yang terdaftar di OpenLDAP sebagai anggota grup yang diperlukan, selalu memperhatikan pengguna yang dibuat selama instalasi.

Jika peralatan tidak mau dimatikan gunakan Applet lalu jalankan di konsol sudo matikan untuk mematikan, dan sudo reboot untuk memulai kembali. Tetap mencari tahu mengapa hal di atas terkadang terjadi.

catatan:

Deklarasikan opsi ldap_tls_reqcert = tidak pernah, di File /etc/sssd/sssd.conf, merupakan risiko keamanan sebagaimana dinyatakan di halaman SSSD - FAQ. Nilai defaultnya adalah «permintaan«. Lihat man sssd-ldap. Namun, di bab tersebut 8.2.5 Konfigurasi Domain Dari dokumentasi Fedora, ia menanyakan hal berikut:

SSSD tidak mendukung otentikasi melalui saluran yang tidak dienkripsi. Akibatnya, jika Anda ingin mengautentikasi terhadap server LDAP TLS/SSL or LDAPS Dibutuhkan.

SSSD itu tidak mendukung otentikasi melalui saluran yang tidak dienkripsi. Oleh karena itu, jika Anda ingin mengautentikasi terhadap server LDAP, itu akan diperlukan TLS / SLL o LDAP.

Kami pribadi berpikir bahwa solusinya ditangani itu cukup untuk LAN Perusahaan, dari sudut pandang keamanan. Melalui WWW Village, kami merekomendasikan untuk menerapkan saluran terenkripsi menggunakan TLS atau "Lapisan Keamanan Transportasi », antara komputer klien dan server.

Kami mencoba mencapainya dari generasi yang benar dari sertifikat yang Ditandatangani Sendiri atau «Ditandatangani Sendiri “Di server ClearOS, tapi kami tidak bisa. Ini sebenarnya adalah masalah yang menunggu keputusan. Jika ada pembaca yang tahu bagaimana melakukannya, selamat datang untuk menjelaskannya!