SWL 네트워크 (IV) : Ubuntu Precise 및 ClearOS. 기본 LDAP에 대한 SSSD 인증.

안녕하세요 친구!. 기사를 읽기 전에가 아니라 바로 요점«자유 소프트웨어가있는 네트워크 (I) 소개 : ClearOS 프레젠테이션»ClearOS 단계별 설치 이미지 패키지 (1,1 메가)를 다운로드하여 우리가 말하는 내용을 파악하십시오. 그 책을 읽지 않으면 우리를 따라 가기가 어려울 것입니다. 괜찮아? 절망적 인 습관.

시스템 보안 서비스 데몬

프로그램 SSSD o 시스템 보안 서비스 용 데몬의 프로젝트입니다 페도라, 이것은 Fedora에서 다른 프로젝트에서 탄생했습니다. 무료IPA. 자체 제작자에 따르면 짧고 자유롭게 번역 된 정의는 다음과 같습니다.

SSSD는 다양한 ID 및 인증 공급자에 대한 액세스를 제공하는 서비스입니다. 기본 LDAP 도메인 (LDAP 인증을 사용하는 LDAP 기반 ID 공급자) 또는 Kerberos 인증을 사용하는 LDAP ID 공급자에 대해 구성 할 수 있습니다. SSSD는 다음을 통해 시스템에 인터페이스를 제공합니다. NSS y WFP, 삽입 가능한 백엔드를 사용하여 여러 다른 계정 출처에 연결합니다.

우리는 이전 기사에서 다루었던 것보다 OpenLDAP에서 등록 된 사용자의 식별 및 인증을위한보다 포괄적이고 강력한 솔루션에 직면 해 있다고 믿습니다..

이 기사에서 제안한 솔루션은 SSSD가 로컬 컴퓨터에 자격 증명을 저장하기 때문에 연결이 끊긴 상태로 작업 할 수 있기 때문에 모바일 컴퓨터 및 랩톱에 가장 권장됩니다.

네트워크 예

• 도메인 컨트롤러, DNS, DHCP: 클리어OS 엔터프라이즈 5.2sp1.
• 컨트롤러 이름: CentOS
• 도메인 이름: friends.cu
• 컨트롤러 IP: 10.10.10.60
• ---------------
• 우분투 버전: Ubuntu Desktop 12.04.2 정확합니다.
• 팀 이름: 정확한
• IP 주소: DHCP 사용

우분투를 준비합니다

파일을 수정합니다. /etc/lightdm/lightdm.conf 수동 로그인을 수락하고 다음 내용을 남겨 둡니다.

[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

변경 사항을 저장 한 후 라이트디엠 에 의해 호출되는 콘솔에서 Ctrl + Alt + F1 로그인 후 실행합니다. sudo 서비스 lightdm 재시작.

또한 파일을 편집하는 것이 좋습니다 은 / etc / 호스트 다음 내용으로 남겨 두십시오.

127.0.0.1 localhost 127.0.1.1 precision.amigos.cu 정밀 [----]

이런 식으로 우리는 명령에 대한 적절한 응답을 얻습니다. 호스트 이름 y 호스트 이름 –fqdn.

LDAP 서버가 작동하는지 확인합니다.

파일을 수정합니다. /etc/ldap/ldap.conf 패키지를 설치하십시오 LDAP 유틸리티:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] 기본 dc = 친구, dc = cu URI ldap : //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils : ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = 스트라이드 '
: ~ $ ldapsearch -x -b dc = 친구, dc = cu 'uid = legolas'cn gidNumber

마지막 두 명령으로 ClearOS의 OpenLDAP 서버 가용성을 확인합니다. 이전 명령의 출력을 잘 살펴 보겠습니다.

중요 : 또한 OpenLDAP 서버의 식별 서비스가 올바르게 작동하는지 확인했습니다.

sssd 패키지를 설치합니다.

또한 패키지를 설치하는 것이 좋습니다. 손가락 수표를 더 마실 수 있도록 LDAP검색:

: ~ $ sudo aptitude install sssd finger

설치가 완료되면 서비스 SSD 누락 된 파일로 인해 시작되지 않음 /etc/sssd/sssd.conf. 설치 결과는이를 반영합니다. 따라서 해당 파일을 생성하고 다음 최소 콘텐츠:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # 도메인을 구성하지 않으면 SSSD가 시작되지 않습니다. # 새 도메인 구성을 [도메인 / ] 섹션을 선택한 다음 # 아래의 "도메인"속성에 도메인 목록 (쿼리하려는 순서대로)을 추가하고 주석 처리를 제거합니다. domain = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP 도메인 [domain / amigos.cu] id_provider = ldap
auth_provider = LDAP
chpass_provider = ldap # ldap_schema는 # "memberuid"속성에 그룹 멤버 이름을 저장하는 "rfc2307"또는 "member"속성에 # 그룹 멤버 DN을 저장하는 "rfc2307bis"로 설정할 수 있습니다. 이 값을 모르는 경우 LDAP # 관리자에게 문의하십시오. # ClearOS ldap_schema = rfc2307에서 작동
ldap_uri = ldap : //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # 열거를 활성화하면 성능에 약간의 영향을 미칩니다. # 결과적으로 열거의 기본값은 FALSE입니다. # 자세한 내용은 sssd.conf man 페이지를 참조하십시오. enumerate = false # 암호 해시를 로컬에 저장하여 오프라인 로그인을 허용합니다 (기본값 : false). cache_credentials = true
ldap_tls_reqcert = 허용
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

파일이 생성되면 해당 권한을 할당하고 서비스를 다시 시작합니다.

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo 서비스 sssd 재시작

이전 파일의 내용을 풍부하게하려면 다음을 실행하는 것이 좋습니다. 남자 sssd.conf 및 / 또는 게시물 시작 부분의 링크로 시작하여 인터넷의 기존 문서를 참조하십시오. 또한 상담하십시오 남자 sssd-ldap. 패키지 SSD 예를 포함 /usr/share/doc/sssd/examples/sssd-example.conf, Microsoft Active Directory에 대해 인증하는 데 사용할 수 있습니다.

이제 가장 마실 수있는 명령을 사용할 수 있습니다. 손가락 y Getent:

: ~ $ 손가락 보폭
로그인 : strides 이름 : Strides El Rey 디렉토리 : / home / strides Shell : / bin / bash 로그인하지 않았습니다. 메일이 없습니다. 계획이 없습니다.

: ~ $ sudo getent passwd legolas
레골라스 : * : 1004 : 63000 : 레골라스 The Elf : / 홈 / 레골라스 : / bin / bash

우리는 여전히 LDAP 서버의 사용자로 실행하고 인증을 시도 할 수 없습니다. 파일을 수정하기 전에 /etc/pam.d/common-session, 세션을 시작할 때 사용자의 폴더가 자동으로 생성되도록합니다 (존재하지 않는 경우).

[----]
세션 필수 pam_mkhomedir.so skel = / etc / skel / umask = 0022

### 위의 줄이 먼저 포함되어야합니다.
# 여기에 패키지 별 모듈 ( "Primary"블록)이 있습니다. [----]

이제 다시 시작하면 :

: ~ $ sudo 재부팅

로그인 한 후 Connection Manager를 사용하여 네트워크 연결을 끊고 로그 아웃했다가 다시 로그인하십시오. 더 빠른 것은 없습니다. 터미널에서 실행 ifconfig를 그리고 그들은 eth0 전혀 구성되지 않았습니다.

네트워크를 활성화하십시오. 로그 아웃 한 후 다시 로그인하십시오. 다시 확인 ifconfig를.

물론 오프라인으로 작업하려면 OpenLDAP가 온라인 상태 일 때 최소한 한 번 세션을 시작해야 자격 증명이 컴퓨터에 저장됩니다.

OpenLDAP에 등록 된 외부 사용자를 필요한 그룹의 구성원으로 만드는 것을 잊지 말고 설치 중에 생성 된 사용자에 항상주의를 기울이십시오.

장비의 전원을 끄고 싶지 않은 경우 애플릿 해당하는 다음 콘솔에서 실행 sudo 전원 끄기 끄고 sudo 재부팅 재시작하기 위해. 위의 상황이 때때로 발생하는 이유를 알아내는 것이 남아 있습니다.

주의:

옵션 선언 ldap_tls_reqcert = 없음, 파일 /etc/sssd/sssd.conf, 페이지에 명시된 보안 위험을 구성합니다. SSSD-FAQ. 기본값은«수요«. 보다 남자 sssd-ldap. 그러나 장에서 8.2.5 도메인 구성 Fedora 문서에서 다음 내용이 명시되어 있습니다.

SSSD는 암호화되지 않은 채널을 통한 인증을 지원하지 않습니다. 결과적으로 LDAP 서버에 대해 인증하려면 TLS/SSL or LDAPS 필요합니다.

SSSD 암호화되지 않은 채널을 통한 인증은 지원하지 않습니다. 따라서 LDAP 서버에 대해 인증하려면 TLS / SLL o LDAP.

우리는 개인적으로 솔루션이 해결 한 보안 관점에서 볼 때 엔터프라이즈 LAN에는 충분합니다. WWW Village를 통해 다음을 사용하여 암호화 된 채널을 구현하는 것이 좋습니다. TLS 또는«전송 보안 계층», 클라이언트 컴퓨터와 서버 사이.

우리는 올바른 자체 서명 인증서 생성 또는«자체 서명 “ClearOS 서버에서는 할 수 없었습니다. 사실 이것은 미결 문제입니다. 독자가 방법을 알고 있다면 설명을 환영합니다!