SWLネットワーク（IV）：UbuntuPreciseおよびClearOS。 ネイティブLDAPに対するSSSD認証。

皆さん、こんにちは！。 記事を読む前ではなく、要点をまっすぐに«無料ソフトウェアを使用したネットワークの概要（I）：ClearOSのプレゼンテーション»そして、ClearOSステップバイステップインストールイメージパッケージ（1,1メガ）をダウンロードして、私たちが話していることに注意してください。 その読書がなければ、私たちに従うのは難しいでしょう。 はい？ 習慣的な必死.

システムセキュリティサービスデーモン

プログラム SSSD o システムセキュリティサービスのデーモン、のプロジェクトです フェドーラ、これもFedoraからの別のプロジェクトから生まれました。 無料IPA。 独自の作成者によると、短く自由に翻訳された定義は次のようになります。

SSSDは、さまざまなIDおよび認証プロバイダーへのアクセスを提供するサービスです。 ネイティブLDAPドメイン（LDAP認証を使用するLDAPベースのIDプロバイダー）またはKerberos認証を使用するLDAPIDプロバイダー用に構成できます。 SSSDは、を介してシステムへのインターフェイスを提供します NSS y PAM、および複数の異なるアカウントオリジンに接続するための挿入可能なバックエンド。

私たちは、OpenLDAPでの登録ユーザーの識別と認証のために、前の記事で取り上げたものよりも包括的で堅牢なソリューションに直面していると信じています。これは、すべての人と自分の経験の裁量に任されている側面です。.

この記事で提案するソリューションは、SSSDがローカルコンピューターに資格情報を保存するため、切断された状態で作業できるため、モバイルコンピューターとラップトップに最も推奨されます。

ネットワークの例

• ドメインコントローラー、DNS、DHCP: ClearOS エンタープライズ 5.2sp1.
• コントローラ名: CentOSの
• ドメイン名: friends.cu
• コントローラIP: 10.10.10.60
• ---------------
• Ubuntuバージョン: Ubuntuデスクトップ12.04.2正確。
• チーム名: 正確な
• IPアドレス: DHCPの使用

Ubuntuを準備します

ファイルを変更します /etc/lightdm/lightdm.conf 手動ログインを受け入れるには、次の内容を残します。

[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

変更を保存した後、再起動します lightdm によって呼び出されたコンソールで Ctrl + Alt + F1 その中で、ログイン後に実行します。 sudo サービス lightdm 再起動.

ファイルを編集することもお勧めします /etc/hosts 次の内容のままにしておきます。

127.0.0.1 localhost 127.0.1.1precision.amigos.cu正確[----]

そうすれば、コマンドに対する適切な応答を得ることができます hostname y ホスト名–fqdn.

LDAPサーバーが機能していることを確認します

ファイルを変更します /etc/ldap/ldap.conf パッケージをインストールします LDAP ユーティリティ:

：〜$ sudo nano /etc/ldap/ldap.conf
[----] BASE dc =フレンズ、dc = cu URI ldap：//centos.amigos.cu [----]

：〜$ sudo aptitude install ldap-utils：〜$ ldapsearch -x -b'dc = friends、dc = cu ''（objectclass = *） '：〜$ ldapsearch -x -b dc = friends、dc = cu'uid =ストライド '
：〜$ ldapsearch -x -b dc =フレンズ、dc = cu'uid =レゴラス 'cn gidNumber

最後のXNUMXつのコマンドで、ClearOSのOpenLDAPサーバーの可用性を確認します。 前のコマンドの出力をよく見てみましょう。

重要：OpenLDAPサーバーのIdentificationServiceが正しく機能することも確認しました。

sssdパッケージをインストールします

パッケージをインストールすることもお勧めします 指 小切手をより飲みやすくするために ldapsearch:

：〜$ sudo aptitude install sssd finger

インストールが完了すると、サービス sssd ファイルがないために起動しない /etc/sssd/sssd.conf。 インストールの出力はこれを反映しています。 したがって、そのファイルを作成して、 次の最小コンテンツ:

：〜$ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss、pam＃ドメインを構成しない場合、SSSDは開始されません。 ＃新しいドメイン構成を[domain / ]セクションをクリックし、＃次にドメインのリストを（クエリする順序で）下の「domains」属性に追加し、コメントを解除します。 domain = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3＃LDAPドメイン[domain / amigos.cu] id_provider = ldap
auth_provider = LDAP
chpass_provider = ldap＃ldap_schemaは、グループメンバー名を＃「memberuid」属性に格納する「rfc2307」、またはグループメンバーDNを＃「member」属性に格納する「rfc2307bis」に設定できます。 この値がわからない場合は、LDAP管理者に問い合わせてください。 ＃ClearOSで動作ldap_schema = rfc2307
ldap_uri = ldap：//centos.amigos.cu
ldap_search_base = dc = friends、dc = cu＃列挙を有効にすると、パフォーマンスに中程度の影響があることに注意してください。 ＃したがって、列挙のデフォルト値はFALSEです。 ＃詳細については、sssd.confのmanページを参照してください。 enumerate = false＃パスワードハッシュをローカルに保存することでオフラインログインを許可します（デフォルト：false）。 cache_credentials = true
ldap_tls_reqcert = 許可
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

ファイルが作成されたら、対応する権限を割り当てて、サービスを再起動します。

：〜$ sudo chmod 0600 /etc/sssd/sssd.conf
：〜$ sudo service sssd restart

前のファイルの内容を充実させたい場合は、実行することをお勧めします 男sssd.conf および/または投稿の冒頭のリンクから始めて、インターネット上の既存のドキュメントを参照してください。 また相談してください 男sssd-ldap。 その包み sssd の例が含まれています /usr/share/doc/sssd/examples/sssd-example.conf、Microsoft ActiveDirectoryに対する認証に使用できます。

これで、最も飲みやすいコマンドを使用できます 指 y getent:

：〜$指の歩幅
ログイン：strides名前：Strides El Reyディレクトリ：/ home / stridesシェル：/ bin / bashログインしたことはありません。 メールはありません。 無策。

：〜$ sudo getent passwd legolas
レゴラス：*：1004：63000：レゴラスエルフ：/ホーム/レゴラス：/ビン/バッシュ

LDAPサーバーのユーザーとして実行し、認証を試みるために自分自身を送信することはまだできません。 ファイルを変更する前に /etc/pam.d/common-session、セッションの開始時にユーザーのフォルダーが存在しない場合は自動的に作成され、システムを再起動します。

[----]
セッションが必要ですpam_mkhomedir.soskel = / etc / skel / umask = 0022

###上記の行は前に含める必要があります
＃これがパッケージごとのモジュール（「プライマリ」ブロック）です[----]

ここで再起動すると：

：〜$ sudo再起動

ログイン後、接続マネージャーを使用してネットワークを切断し、ログアウトしてから再度ログインします。 より速く何も。 ターミナルで実行 ifconfig そして彼らはそれを見るでしょう eth0 まったく構成されていません。

ネットワークをアクティブにします。 ログアウトして、再度ログインしてください。 もう一度確認してください ifconfig.

もちろん、オフラインで作業するには、OpenLDAPがオンラインのときに少なくともXNUMX回セッションを開始して、資格情報がコンピューターに保存されるようにする必要があります。

OpenLDAPに登録されている外部ユーザーを必要なグループのメンバーにすることを忘れないでください。インストール中に作成されたユーザーに常に注意を払ってください。

機器の電源を切りたくない場合 アプレット 対応し、コンソールで実行します 須藤パワーオフ オフにする、そして sudoリブート 再起動します。 上記が時々起こる理由を見つけることはまだ残っています。

注意:

オプションを宣言する ldap_tls_reqcert =決して、ファイル内 /etc/sssd/sssd.conf、ページに記載されているセキュリティリスクを構成します SSSD-FAQ。 デフォルト値は«ですデマンド«。 見る 男sssd-ldap。 ただし、この章では 8.2.5ドメインの構成 Fedoraのドキュメントから、次のことが述べられています。

SSSDは、暗号化されていないチャネルを介した認証をサポートしていません。 したがって、LDAPサーバーに対して認証する場合は、 TLS/SSL or LDAPS 必要とされている。

SSSD 暗号化されていないチャネルでの認証はサポートされていません。 したがって、LDAPサーバーに対して認証する場合は、次のことが必要になります。 TLS / SLL o LDAP.

私たちは個人的に考えています ソリューションが対処したこと セキュリティの観点から、エンタープライズLANには十分です。 WWWビレッジを通じて、を使用して暗号化されたチャネルを実装することをお勧めします TLS または«トランスポートセキュリティレイヤー»、クライアントコンピュータとサーバーの間。

自己署名証明書または«の正しい生成からこれを達成しようとします自己署名 「ClearOSサーバー上ですが、できませんでした。 実際、これは保留中の問題です。 読者がそれを行う方法を知っているなら、それを説明することを歓迎します！