Sarkans SWL (V): Debian Wheezy un ClearOS. SSSD autentifikācija pret vietējo LDAP.

Sveiki draugi!. Lūdzu, es atkārtoju, izlasiet pirms «Ievads tīklā ar bezmaksas programmatūru (I): ClearOS prezentācija»Un lejupielādējiet ClearOS soli pa solim instalēšanas attēlu pakotni (1,1 mega), lai būtu informēts par to, par ko mēs runājam. Bez šīs lasīšanas mums būs grūti sekot.

Sistēmas drošības dienesta dēmons

Programma SSSD o Dēmons sistēmas drošības dienestam, ir Fedora, kas dzimis no cita projekta - arī no Fedora - sauc FreeIPA. Pēc pašu radītāju domām, īsa un brīvi tulkota definīcija būtu:

SSSD ir pakalpojums, kas nodrošina piekļuvi dažādiem identitātes un autentifikācijas nodrošinātājiem. To var konfigurēt vietējam LDAP domēnam (LDAP bāzes identitātes nodrošinātājam ar LDAP autentifikāciju) vai LDAP identitātes nodrošinātājam ar Kerberos autentifikāciju. SSSD nodrošina sistēmas saskarni, izmantojot NSS y PAM, un ievietojamu aizmuguri, lai izveidotu savienojumu ar vairākiem un dažādiem konta avotiem.

Mēs uzskatām, ka mums ir visaptverošāks un stabilāks risinājums reģistrēto lietotāju identifikācijai un autentifikācijai OpenLDAP, nekā tie, kas minēti iepriekšējos rakstos, un šis aspekts ir atstāts ikviena ziņā un viņu pašu pieredzē..

Šajā rakstā piedāvātais risinājums ir visieteicamākais mobilajiem datoriem un klēpjdatoriem, jo ​​tas ļauj mums strādāt atvienoti, jo SSSD akreditācijas datus glabā vietējā datorā.

Tīkla piemērs

• Domēna kontrolleris, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Kontroliera nosaukums: CentOS
• Domēna vārds: draugi.cu
• Kontroliera IP: 10.10.10.60
• ---------------
• Debian versija: Sēkšana.
• Komandas nosaukums: 7. debian
• IP adrese: DHCP izmantošana

Mēs pārbaudām, vai LDAP serveris darbojas

Mēs pārveidojam failu /etc/ldap/ldap.conf un instalējiet pakotni ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] PAMATOT dc = draugi, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = soļi '
: ~ $ ldapsearch -x -b dc = draugi, dc = cu 'uid = legolas' cn gidNumber

Ar pēdējām divām komandām mēs pārbaudām mūsu ClearOS OpenLDAP servera pieejamību. Labi apskatīsim iepriekšējo komandu izvadi.

Svarīgi: mēs arī esam pārbaudījuši, vai mūsu OpenLDAP servera identifikācijas pakalpojums darbojas pareizi.

Mēs instalējam sssd pakotni

Ieteicams arī instalēt pakotni pirksts lai čeki būtu dzeramāki par ldapsearch:

: ~ # aptitude instalēt sssd pirkstu

Pēc uzstādīšanas pabeigšanas pakalpojums ssd nesākas faila trūkuma dēļ /etc/sssd/sssd.conf. Instalācijas produkcija to atspoguļo. Tāpēc mums šis fails ir jāizveido un jāatstāj nākamais minimālais saturs:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 pakalpojumi = nss, pam # SSSD netiks startēts, ja nekonfigurēsit nevienu domēnu. # Pievienojiet jaunas domēna konfigurācijas kā [domēns / ] sadaļām un pēc tam # pievienojiet domēnu sarakstu (tādā secībā, kādā vēlaties, lai tie tiktu vaicāti) zemāk esošajā atribūtā "domēni" un noņemiet komentāru. domēni = amigos.cu [nss] filter_groups = saknes filter_users = saknes atjaunošanas mēģinājumi = 3 [pam] atkārtotas savienošanas mēģinājumi = 3 # LDAP domēns [domēns / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema var iestatīt uz "rfc2307", kas grupas dalībnieku vārdus saglabā atribūtā # "memberuid", vai uz "rfc2307bis", kas grupas dalībnieku DN glabā atribūtā "member". Ja nezināt šo vērtību, jautājiet savam LDAP # administratoram. # darbojas ar ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = draugi, dc = cu # Ņemiet vērā, ka uzskaites iespējošanai būs mērena ietekme uz veiktspēju. # Līdz ar to uzskaitījuma noklusējuma vērtība ir FALSE. # Sīkāku informāciju skatiet sssd.conf manā lapā. enumerate = false # Atļaut bezsaistes pieteikšanos, lokāli uzglabājot paroļu jaukumus (noklusējums: false). cache_credentials = patiess
ldap_tls_reqcert = atļaut
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Kad fails ir izveidots, mēs piešķiram atbilstošās atļaujas un restartējam pakalpojumu:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # service sssd restart

Ja mēs vēlamies bagātināt iepriekšējā faila saturu, iesakām izpildīt cilvēks sssd.conf un / vai iepazīstieties ar esošo dokumentāciju internetā, sākot ar saitēm ziņas sākumā. Arī konsultējieties cilvēks sssd-ldap. Sūtījums ssd ietver piemēru /usr/share/doc/sssd/examples/sssd-example.conf, kuru var izmantot, lai autentificētos, izmantojot Microsoft Active Directory.

Tagad mēs varam izmantot visvairāk dzeramās komandas pirksts y nokļuvis:

: ~ $ pirkstu soļi
Pieteikšanās: strides Nosaukums: Strides El Rey Directory: / home / strides Shell: / bin / bash Nekad nav pieteicies. Nav pasta. Nav plāna.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas Elfs: / home / legolas: / bin / bash

Mēs joprojām nevaram autentificēties kā LDAP servera lietotājs. Pirms mums ir jāpārveido fails /etc/pam.d/common-session, lai lietotāja mape tiktu automātiski izveidota, kad viņi sāk savu sesiju, ja tāda nav, un pēc tam restartējiet sistēmu:

[----]
nepieciešama sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Iepriekš minētā rinda jāiekļauj PIRMS
# šeit ir paketes moduļi (bloks "Primārais") [----]

Mēs restartējam sēkšanu:

: ~ # atsāknēšana

Pēc pieteikšanās atvienojiet tīklu, izmantojot Connection Manager, un izrakstieties un atkal piesakieties. Ātrāk nekā. Palaist terminālī ifconfig un viņi redzēs, ka eth0 tas vispār nav konfigurēts.

Aktivizējiet tīklu. Lūdzu, izrakstieties un piesakieties vēlreiz. Pārbaudiet vēlreiz ar ifconfig.

Protams, lai strādātu bezsaistē, ir jāpiesakās vismaz vienu reizi, kamēr OpenLDAP ir tiešsaistē, lai akreditācijas dati tiktu saglabāti mūsu datorā.

Neaizmirsīsim padarīt OpenLDAP reģistrēto ārējo lietotāju par nepieciešamo grupu dalībnieku, vienmēr pievēršot uzmanību instalēšanas laikā izveidotajam lietotājam.

Atzīmēt:

Paziņot opciju ldap_tls_reqcert = nekad, failā /etc/sssd/sssd.conf, rada drošības risku, kā norādīts lapā SSSD - FAQ. Noklusējuma vērtība ir «pieprasījums«. Skat cilvēks sssd-ldap. Tomēr nodaļā 8.2.5 Domēnu konfigurēšana Fedora dokumentācijā ir norādīts:

SSSD neatbalsta autentifikāciju caur nešifrētu kanālu. Tātad, ja vēlaties autentificēties, izmantojot LDAP serveri, vai nu TLS/SSL or LDAPS ir nepieciešams.

SSSD tas neatbalsta autentifikāciju caur nešifrētu kanālu. Tāpēc, ja vēlaties autentificēties, izmantojot LDAP serveri, tas būs nepieciešams TLS / SLL o LDAP.

Mēs personīgi domājam ka risinājums ir adresēts no drošības viedokļa tas ir pietiekams uzņēmuma LAN. Izmantojot WWW Village, mēs iesakām ieviest šifrētu kanālu, izmantojot TLS vai «Transporta drošības slānis »starp klienta datoru un serveri.

Mēs cenšamies to panākt, izmantojot pareizo paaudzes parakstīto sertifikātu vai «Pašparakstīts “ClearOS serverī, bet mēs to nevarējām. Faktiski tas ir gaidāms jautājums. Ja kāds lasītājs zina, kā to izdarīt, laipni lūdzam to izskaidrot!