SWL Network (V): Debian Wheezy жана ClearOS. Жергиликтүү LDAP каршы SSSD аныктыгын текшерүү.

Салам достор!. Сураныч, дагы бир жолу айтам, «чейин окуңузАкысыз программасы бар тармакка киришүү (I): ClearOS презентациясы»Жана ClearOS орнотуу сүрөттөр пакетин жүктөп алыңыз (1,1 мега), биз эмне жөнүндө сүйлөшүп жатканыбызды билип алыңыз. Ошол окуусуз бизди ээрчүү кыйын болот.

Системанын Коопсуздук кызматы Daemon

программа SSSD o Системанын Коопсуздук кызматы үчүн демон, долбоору болуп саналат Fedora, дагы бир долбоордон төрөлгөн - ошондой эле Федорадан - деп аталган FreeIPA. Өзүнүн жаратуучуларынын айтымында, кыска жана эркин которулган аныктама:

SSSD - ар кандай Идентификация жана Аутентификация провайдерлерине мүмкүнчүлүк берген кызмат. Аны жергиликтүү LDAP домени (LDAP негизиндеги LDAP аутентификациясы бар идентификациялоочу) же Kerberos аутентификациясы бар LDAP идентификациясы провайдери үчүн конфигурациялоого болот. SSSD аркылуу тутумдун интерфейсин камсыз кылат Улуттук коопсуздук комитетинин y АМПП, жана бир нече ар кандай аккаунттун түпнускаларына туташуу үчүн салынуучу Арткы Аяк.

OpenLDAP программасында катталган колдонуучуларды идентификациялоо жана аныктыгын текшерүү үчүн мурунку макалаларда каралгандан дагы ар тараптуу жана ишенимдүү чечимге туш болуп жатабыз деп ойлойбуз, бул ар бир адамдын жана өз тажрыйбасынын эрки менен калтырылат..

Бул макалада сунуш кылынган чечим мобилдик компьютерлер жана ноутбуктар үчүн эң көп сунушталат, анткени бул иштен ажыратылган иштөөгө мүмкүндүк берет, анткени SSSD ишеним каттарын жергиликтүү компьютерде сактайт.

Мисал тармак

  • Домен контроллери, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Контроллердин аты: цент
  • Домендин аты: friends.cu
  • Controller IP: 10.10.10.60
  • ---------------
  • Debian версиясы: Wheezy.
  • Команда аты: debian7
  • IP дареги: DHCP колдонулууда

LDAP сервери иштеп жаткандыгын текшеребиз

Биз файлды өзгөртөбүз /etc/ldap/ldap.conf жана пакетти орнотуу лап-утилдер:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = достор, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = кадамдар
: ~ $ ldapsearch -x -b dc = достор, dc = cu 'uid = legolas' cn gidNumber

Акыркы эки буйрук менен, ClearOS программабыздын OpenLDAP серверинин бар экендигин текшеребиз. Мурунку буйруктардын натыйжаларын жакшылап карап чыгалы.

Маанилүү: биз ошондой эле OpenLDAP серверибиздеги Идентификация кызматынын туура иштегендигин тастыктадык.

тармак-swl-04-колдонуучулар

Биз SSSD пакетин орнотобуз

Ошондой эле, пакетти орнотуу сунушталат манжа чектерди ичкенге караганда ичкиликтуу кылуу ldapsearch:

: ~ # aptitude install sssd finger

Орнотуу аяктагандан кийин, кызмат sssd файл жок болгондуктан башталбай жатат /etc/sssd/sssd.conf. Орнотуунун натыйжасы муну чагылдырат. Ошондуктан, биз ал файлды түзүп, аны менен калтырышыбыз керек кийинки минималдуу мазмун:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD эч кандай домендерди конфигурациялабасаңыз, башталбайт. # Жаңы домен конфигурацияларын [домен / деп кошуңуз ] бөлүмдөрүн бөлүп, # андан кийин домендердин тизмесин (аларды # суроону талап кылган тартипте) төмөндөгү "домендер" атрибутуна кошуңуз жана ага комментарий бербеңиз. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema # "memberuid" атрибутунда топтун мүчөлөрүнүн аттарын сактай турган "rfc2307" же "мүчө" атрибутунда топтун мүчөсү DNлерди сактаган "rfc2307bis" деп коюуга болот. Эгер сиз бул баалуулукту билбесеңиз, анда LDAP # администраторуңуздан сураңыз. # ClearOS ldap_schema = rfc2307 менен иштейт
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = достор, dc = cu # Эсептөөнү иштетүү орточо натыйжалуулукка ээ болоорун эске алыңыз. # Демек, санактын демейки мааниси ЖАЛГАН. # Толук маалымат алуу үчүн sssd.conf man баракчасына кайрылыңыз. enumerate = false # Сырсөз таштандыларын жергиликтүү деңгээлде сактоо менен оффлайн режиминде кирүүгө уруксат берүү (демейки: false). cache_credentials = true
ldap_tls_reqcert = уруксат берүү
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Файл түзүлгөндөн кийин, биз тиешелүү уруксаттарды берип, кызматты кайра баштайбыз:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # service sssd restart

Мурунку файлдын мазмунун байыткыбыз келсе, аткарууну сунуштайбыз man sssd.conf жана / же посттун башындагы шилтемелерден баштап, Интернеттеги учурдагы документтер менен таанышуу. Ошондой эле кеңеш алыңыз адам sssd-лап. Таңгак sssd мисалын камтыйт /usr/share/doc/sssd/examples/sssd-example.conf, аны Microsoft Active Directory каталогуна каршы аныктыгын текшерүү үчүн колдонсо болот.

Эми биз эң ичүүчү буйруктарды колдоно алабыз манжа y алуу:

: ~ $ бармак кадамдары
Кирүү: strides Аты: Strides El Rey Каталог: / home / strides Shell: / bin / bash Эч качан кирген жоксуз. Почта жок. План жок.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

LDAP серверинин колдонуучусу экендигибизди тастыктай албай жатабыз. Файлды өзгөртүшүбүз керек /etc/pam.d/common-session, эгерде ал жок болсо, колдонуучунун папкасы автоматтык түрдө түзүлүп, андан кийин тутумду өчүрүп-күйгүзүңүз:

[----]
сеанс талап кылынат pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Жогорудагы сап МУРДА киргизилиши керек
# бул ар бир пакетке модулдар ("Баштапкы" блогу) [----]

Wheezy-ди өчүрүп-күйгүзөбүз:

: ~ # өчүрүп-күйгүзүү

Киргенден кийин, Connection Manager аркылуу тармакты ажыратыңыз жана чыгып, кайра кириңиз. Эч нерсе тезирээк. Терминалда иштетүү ifconfig ошондо алар eth0 ал такыр конфигурацияланган эмес.

Тармакты жандырыңыз. Сураныч, чыгып, дагы бир жолу кириңиз. Менен дагы бир жолу текшерүү ifconfig.

Албетте, оффлайн режиминде иштөө үчүн, жок дегенде бир жолу OpenLDAP онлайн режиминде кирүү керек, ошондо ишеним грамоталары биздин компьютерде сакталат.

Орнотуу учурунда түзүлгөн колдонуучуга ар дайым көңүл буруп, OpenLDAP катталган тышкы колдонуучуну керектүү топтордун мүчөсү кылууну унутпайлы.

Балка:

Опция жарыялоо ldap_tls_reqcert = эч качан, Файлда /etc/sssd/sssd.conf, баракта айтылгандай, коопсуздук коркунучун түзөт SSSD - Көп берилүүчү суроолор. Демейки мааниси «талап«. Караңыз адам sssd-лап. Бирок, бөлүмдө 8.2.5 Домендерди конфигурациялоо Fedora документтеринен, ал төмөнкүлөрдү сурайт:

SSSD шифрленбеген канал аркылуу аныктыгын текшерүүнү колдобойт. Демек, LDAP серверине каршы аныктыгын текшергиңиз келсе TLS/SSL or LDAPS талап кылынат.

SSSD ал шифрленбеген канал боюнча аныктыгын текшерүүнү колдобойт. Демек, LDAP серверине каршы аныктыгын текшергиңиз келсе, ал сөзсүз түрдө болот TLS / SLL o LDAP.

Биз жеке өзүбүз ойлойбуз чечим чечилген коопсуздук үчүн, Enterprise LAN үчүн жетиштүү. WWW айылы аркылуу биз шифрленген каналды колдонууну сунуштайбыз TLS же «Транспорттук коопсуздук катмары », кардардын компьютери менен сервердин ортосунда.

Биз ага өзү кол койгон сертификаттардын туура муундарынан же «Өзү кол койду «ClearOS серверинде, бирок биз жасай алган жокпуз. Бул чындыгында күтүлүп жаткан маселе. Эгерде кандайдыр бир окурман муну кантип жасоону билсе, анда аны түшүндүрүп берүүгө даярсыз!

debian7.amigos.cu


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

8 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   eliotime3000 ал мындай деди:

    Абдан жакшы.

    1.    Federico ал мындай деди:

      ElioTime3000 менен салам жана комментарий бергениңиз үчүн рахмат !!!

    2.    Federico ал мындай деди:

      Eliotime3000 салам жана макала үчүн мактоо үчүн рахмат !!!

  2.   курайи ал мындай деди:

    Мыкты! Басылманын авторуна өзүнүн чоң билими менен бөлүшкөндүгү үчүн жана блогду аны чыгарууга мүмкүнчүлүк бергендиги үчүн чоң куттуктоолорду айткым келет.

    Рахмат сага!

    1.    Federico ал мындай деди:

      Мактооңуз жана комментарийиңиз үчүн чоң рахмат !!! Баарыбыз үйрөнгөн коомчулук менен билимди бөлүшүүнү улантууга мага берген күч.

  3.   фенобарбитал ал мындай деди:

    Жакшы макала! Сертификаттарды колдонууда сертификатты түзүүдө ldap конфигурациясына кошуу керектигин эске алыңыз (cn = config):

    olcLocalSSF: 71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / path / to / public / cert
    olcTLSCertificateKeyFile: / path / to / private / key
    olcTLSVerifyClient: аракет
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Ушуну менен (жана сертификаттарды иштеп чыгуу) сизде SSL колдоосу болот.

    Силерге тынчтык болсун!

    1.    Federico ал мындай деди:

      Салымыңыз үчүн рахмат !!! Ошентсе да, мен OpenLDAP жөнүндө 7 макала жарыялайм:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      Аларда мен OpenLdap.org тарабынан сунушталган SSLден мурун Start TLS колдонууну баса белгилейм. @Phenobarbital менен салам, жана комментарий бергениңиз үчүн чоң рахмат.
      Менин электрондук почтама federico@dch.ch.gob.cu, Эгер көбүрөөк алмашкыңыз келсе. Интернетке кирүү мен үчүн өтө жай.

    2.    фенобарбитал ал мындай деди:

      TLS үчүн конфигурация бирдей, SSL менен транспорттун шифрленген канал аркылуу ачык жүргүзүлөрүн унутпаңыз, ал эми TLSде маалыматтарды ташуу үчүн эки тараптуу шифрлөө жүргүзүлөт; TLS менен кол алышуу бир эле портто (389) жүргүзүлөт, ал эми SSL менен альтернатива портунда сүйлөшүү жүргүзүлөт.
      Төмөнкүнү өзгөртүңүз:
      olcLocalSSF: 128
      olcTLSVerifyClient: уруксат берүү
      olcTLSCipherSuite: NORMAL
      (эгер сиз паранойялык коопсуздук жөнүндө болсоңуз, анда төмөнкүлөрдү колдоносуз:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      жана өчүрүп күйгүзсөңүз, кийинкисин көрө аласыз:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      'Ldap.ipm.org.gt' чечилүүдө…
      SSL 3.0 колдоосу текшерилүүдө… ооба
      % COMPAT талап кылынабы же жокпу текшерилүүдө ... жок
      TLS 1.0 колдоосун текшерүү ... ооба
      TLS 1.1 колдоосун текшерүү ... ооба
      TLS 1.1ден… N / Aга чейинки кайтарымдуулукту текшерүү
      TLS 1.2 колдоосун текшерүү ... ооба
      Коопсуз кайра сүйлөшүү колдоосу текшерилүүдө… ооба
      Коопсуз сүйлөшүүлөрдү колдоо (SCSV) текшерилүүдө… ооба

      TLS колдоосу дагы иштетилгенде, TLS үчүн 389 (же 636) жана SSL үчүн 636 (лдаптар) колдоносуз; алар бири-биринен толугу менен көз карандысыз, экинчисин колдонуу үчүн бирөөсүн майып кылуунун кажети жок.

      Силерге тынчтык болсун!