SWL Network (IV): Ubuntu Так жана ClearOS. Жергиликтүү LDAP каршы SSSD аныктыгын текшерүү.

Салам достор!. Макаланы окуганга чейин эмес, түз маанидеАкысыз программасы бар тармакка киришүү (I): ClearOS презентациясы»Жана ClearOS орнотуу сүрөттөр пакетин жүктөп алыңыз (1,1 мега), биз эмне жөнүндө сүйлөшүп жатканыбызды билип алыңыз. Ошол окуусуз бизди ээрчүү кыйын болот. Болуптур? Адатта айласы кеткен.

Системанын Коопсуздук кызматы Daemon

программа SSSD o Системанын Коопсуздук кызматы үчүн демон, долбоору болуп саналат Fedora, дагы бир долбоордон төрөлгөн - ошондой эле Федорадан - деп аталган FreeIPA. Өзүнүн жаратуучуларынын айтымында, кыска жана эркин которулган аныктама:

SSSD - ар кандай Идентификация жана Аутентификация провайдерлерине мүмкүнчүлүк берген кызмат. Аны жергиликтүү LDAP домени (LDAP негизиндеги LDAP аутентификациясы бар идентификациялоочу) же Kerberos аутентификациясы бар LDAP идентификациясы провайдери үчүн конфигурациялоого болот. SSSD аркылуу тутумдун интерфейсин камсыз кылат Улуттук коопсуздук комитетинин y АМПП, жана бир нече ар кандай аккаунттун түпнускаларына туташуу үчүн салынуучу Арткы Аяк.

OpenLDAP программасында катталган колдонуучуларды идентификациялоо жана аныктыгын текшерүү үчүн мурунку макалаларда каралгандан дагы ар тараптуу жана ишенимдүү чечимге туш болуп жатабыз деп ойлойбуз, бул ар бир адамдын жана өз тажрыйбасынын эрки менен калтырылат..

Бул макалада сунуш кылынган чечим мобилдик компьютерлер жана ноутбуктар үчүн эң көп сунушталат, анткени бул иштен ажыратылган иштөөгө мүмкүндүк берет, анткени SSSD ишеним каттарын жергиликтүү компьютерде сактайт.

Мисал тармак

• Домен контроллери, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Контроллердин аты: цент
• Домендин аты: friends.cu
• Controller IP: 10.10.10.60
• ---------------
• Убунту версиясы: Ubuntu Desktop 12.04.2 Так.
• Команда аты: так
• IP дареги: DHCP колдонулууда

Биз Ubuntu даярдайбыз

Биз файлды өзгөртөбүз /etc/lightdm/lightdm.conf кол менен кирүүнү кабыл алуу үчүн, жана сизге төмөнкү мазмунду калтырабыз:

[SeatDefaults] саламдашуу-сессия = бирдик-салам колдонуучу-сессия = ubuntu саламдашуу-шоу-колдонмо-кирүү = чыныгы саламдашуу-жашыруу-колдонуучулар = чыныгы уруксат-конок = жалган

Өзгөртүүлөрдү сактагандан кийин, биз кайра баштайбыз lightdm тарабынан чакырылган консолунда Ctrl + Alt + F1 жана анда биз киргенден кийин, sudo кызматы lightdm өчүрүп күйгүзүү.

Ошондой эле файлды түзөтүү сунушталат / Александр Барыкин / өтүүдө жана аны төмөнкүдөй мазмун менен калтырыңыз:

127.0.0.1 localhost 127.0.1.1 dəqiq.amigos.cu так [----]

Ушундай жол менен буйруктарга тиешелүү жоопторду алабыз түйүндүн аталышы y хост аталышы –fqdn.

LDAP сервери иштеп жаткандыгын текшеребиз

Биз файлды өзгөртөбүз /etc/ldap/ldap.conf жана пакетти орнотуу лап-утилдер:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = достор, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = кадамдар '
: ~ $ ldapsearch -x -b dc = достор, dc = cu 'uid = legolas' cn gidNumber

Акыркы эки буйрук менен, ClearOS программабыздын OpenLDAP серверинин бар экендигин текшеребиз. Мурунку буйруктардын натыйжаларын жакшылап карап чыгалы.

Маанилүү: биз ошондой эле OpenLDAP серверибиздеги Идентификация кызматынын туура иштегендигин тастыктадык.

Биз SSSD пакетин орнотобуз

Ошондой эле, пакетти орнотуу сунушталат манжа чектерди ичкенге караганда ичкиликтуу кылуу ldapsearch:

: ~ $ sudo жөндөмүн орнотуу sssd манжасы

Орнотуу аяктагандан кийин, кызмат ssd файл жок болгондуктан башталбай жатат /etc/sssd/sssd.conf. Орнотуунун натыйжасы муну чагылдырат. Ошондуктан, биз ал файлды түзүп, аны менен калтырышыбыз керек кийинки минималдуу мазмун:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD эч кандай домендерди конфигурациялабасаңыз, башталбайт. # Жаңы домен конфигурацияларын [домен / деп кошуңуз ] бөлүмдөрүн бөлүп, # андан кийин домендердин тизмесин (аларды # суроону талап кылган тартипте) төмөндөгү "домендер" атрибутуна кошуңуз жана ага комментарий бербеңиз. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema # "memberuid" атрибутунда топтун мүчөлөрүнүн аттарын сактай турган "rfc2307" же "мүчө" атрибутунда топтун мүчөсү DNлерди сактаган "rfc2307bis" деп коюуга болот. Эгер сиз бул баалуулукту билбесеңиз, анда LDAP # администраторуңуздан сураңыз. # ClearOS ldap_schema = rfc2307 менен иштейт
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = достор, dc = cu # Эсептөөнү иштетүү орточо натыйжалуулукка ээ болоорун эске алыңыз. # Демек, санактын демейки мааниси ЖАЛГАН. # Толук маалымат алуу үчүн sssd.conf man баракчасына кайрылыңыз. enumerate = false # Сырсөз таштандыларын жергиликтүү деңгээлде сактоо менен оффлайн режиминде кирүүгө уруксат берүү (демейки: false). cache_credentials = true
ldap_tls_reqcert = уруксат берүү
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Файл түзүлгөндөн кийин, биз тиешелүү уруксаттарды берип, кызматты кайра баштайбыз:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo кызматы SSSD өчүрүп күйгүзүү

Мурунку файлдын мазмунун байыткыбыз келсе, аткарууну сунуштайбыз man sssd.conf жана / же посттун башындагы шилтемелерден баштап, Интернеттеги учурдагы документтер менен таанышуу. Ошондой эле кеңеш алыңыз адам sssd-лап. Таңгак ssd мисалын камтыйт /usr/share/doc/sssd/examples/sssd-example.conf, аны Microsoft Active Directory каталогуна каршы аныктыгын текшерүү үчүн колдонсо болот.

Эми биз эң ичүүчү буйруктарды колдоно алабыз манжа y алуу:

: ~ $ бармак кадамдары
Кирүү: strides Аты: Strides El Rey Каталог: / home / strides Shell: / bin / bash Эч качан кирген жоксуз. Почта жок. План жок.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

LDAP сервериндеги колдонуучу катары аутентификациялоого аракет кылып, өзүбүздү жөнөтө албай жатабыз. Файлды өзгөртүшүбүз керек /etc/pam.d/common-session, эгерде ал жок болсо, колдонуучунун папкасы автоматтык түрдө түзүлүп, андан кийин тутумду өчүрүп-күйгүзүңүз:

[----]
сеанс талап кылынат pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Жогорудагы сап МУРДА киргизилиши керек
# бул ар бир пакетке модулдар ("Баштапкы" блогу) [----]

Эми кайра баштасак:

: ~ $ sudo өчүрүп-күйгүзүү

Киргенден кийин, Connection Manager аркылуу тармакты ажыратыңыз жана чыгып, кайра кириңиз. Эч нерсе тезирээк. Терминалда иштетүү ifconfig ошондо алар eth0 ал такыр конфигурацияланган эмес.

Тармакты жандырыңыз. Сураныч, чыгып, дагы бир жолу кириңиз. Менен дагы бир жолу текшерүү ifconfig.

Албетте, оффлайн режиминде иштөө үчүн, жок дегенде бир жолу сессияны OpenLDAP онлайн режиминде баштоо керек, андыктан ишеним грамоталары биздин компьютерде сакталат.

Орнотуу учурунда түзүлгөн колдонуучуга ар дайым көңүл буруп, OpenLDAP катталган тышкы колдонуучуну керектүү топтордун мүчөсү кылууну унутпайлы.

Эгерде жабдууларды колдонуу менен өчүргүсү келбесе апплет андан кийин консоль менен чуркаңыз sudo өчүрүү өчүрүү үчүн, жана Sudo өчүрүп кайра баштоо. Жогоруда эмне үчүн кээде болуп жаткандыгын табыш керек.

Балка:

Опция жарыялоо ldap_tls_reqcert = эч качан, Файлда /etc/sssd/sssd.conf, баракта айтылгандай, коопсуздук коркунучун түзөт SSSD - Көп берилүүчү суроолор. Демейки мааниси «талап«. Караңыз адам sssd-лап. Бирок, бөлүмдө 8.2.5 Домендерди конфигурациялоо Fedora документтеринен, ал төмөнкүлөрдү сурайт:

SSSD шифрленбеген канал аркылуу аныктыгын текшерүүнү колдобойт. Демек, LDAP серверине каршы аныктыгын текшергиңиз келсе TLS/SSL or LDAPS талап кылынат.

SSSD ал шифрленбеген канал боюнча аныктыгын текшерүүнү колдобойт. Демек, LDAP серверине каршы аныктыгын текшергиңиз келсе, ал сөзсүз түрдө болот TLS / SLL o LDAP.

Биз жеке өзүбүз ойлойбуз чечим чечилген коопсуздук үчүн, Enterprise LAN үчүн жетиштүү. WWW айылы аркылуу биз шифрленген каналды колдонууну сунуштайбыз TLS же «Транспорттук коопсуздук катмары », кардардын компьютери менен сервердин ортосунда.

Биз ага өзү кол койгон сертификаттардын туура муундарынан же «Өзү кол койду «ClearOS серверинде, бирок биз жасай алган жокпуз. Бул чындыгында күтүлүп жаткан маселе. Эгерде кандайдыр бир окурман муну кантип жасоону билсе, анда аны түшүндүрүп берүүгө даярсыз!