Sarkans SWL (V): Debian Wheezy un ClearOS. SSSD autentifikācija pret vietējo LDAP.

Sveiki draugi!. Lūdzu, es atkārtoju, izlasiet pirms «Ievads tīklā ar bezmaksas programmatūru (I): ClearOS prezentācija»Un lejupielādējiet ClearOS soli pa solim instalēšanas attēlu pakotni (1,1 mega), lai būtu informēts par to, par ko mēs runājam. Bez šīs lasīšanas mums būs grūti sekot.

Sistēmas drošības dienesta dēmons

Programma SSSD o Dēmons sistēmas drošības dienestam, ir Fedora, kas dzimis no cita projekta - arī no Fedora - sauc FreeIPA. Pēc pašu radītāju domām, īsa un brīvi tulkota definīcija būtu:

SSSD ir pakalpojums, kas nodrošina piekļuvi dažādiem identitātes un autentifikācijas nodrošinātājiem. To var konfigurēt vietējam LDAP domēnam (LDAP bāzes identitātes nodrošinātājam ar LDAP autentifikāciju) vai LDAP identitātes nodrošinātājam ar Kerberos autentifikāciju. SSSD nodrošina sistēmas saskarni, izmantojot NSS y PAM, un ievietojamu aizmuguri, lai izveidotu savienojumu ar vairākiem un dažādiem konta avotiem.

Mēs uzskatām, ka mums ir visaptverošāks un stabilāks risinājums reģistrēto lietotāju identifikācijai un autentifikācijai OpenLDAP, nekā tie, kas minēti iepriekšējos rakstos, un šis aspekts ir atstāts ikviena ziņā un viņu pašu pieredzē..

Šajā rakstā piedāvātais risinājums ir visieteicamākais mobilajiem datoriem un klēpjdatoriem, jo ​​tas ļauj mums strādāt atvienoti, jo SSSD akreditācijas datus glabā vietējā datorā.

Tīkla piemērs

  • Domēna kontrolleris, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Kontroliera nosaukums: CentOS
  • Domēna vārds: draugi.cu
  • Kontroliera IP: 10.10.10.60
  • ---------------
  • Debian versija: Sēkšana.
  • Komandas nosaukums: 7. debian
  • IP adrese: DHCP izmantošana

Mēs pārbaudām, vai LDAP serveris darbojas

Mēs pārveidojam failu /etc/ldap/ldap.conf un instalējiet pakotni ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] PAMATOT dc = draugi, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = soļi '
: ~ $ ldapsearch -x -b dc = draugi, dc = cu 'uid = legolas' cn gidNumber

Ar pēdējām divām komandām mēs pārbaudām mūsu ClearOS OpenLDAP servera pieejamību. Labi apskatīsim iepriekšējo komandu izvadi.

Svarīgi: mēs arī esam pārbaudījuši, vai mūsu OpenLDAP servera identifikācijas pakalpojums darbojas pareizi.

network-swl-04-users

Mēs instalējam sssd pakotni

Ieteicams arī instalēt pakotni pirksts lai čeki būtu dzeramāki par ldapsearch:

: ~ # aptitude instalēt sssd pirkstu

Pēc uzstādīšanas pabeigšanas pakalpojums ssd nesākas faila trūkuma dēļ /etc/sssd/sssd.conf. Instalācijas produkcija to atspoguļo. Tāpēc mums šis fails ir jāizveido un jāatstāj nākamais minimālais saturs:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 pakalpojumi = nss, pam # SSSD netiks startēts, ja nekonfigurēsit nevienu domēnu. # Pievienojiet jaunas domēna konfigurācijas kā [domēns / ] sadaļām un pēc tam # pievienojiet domēnu sarakstu (tādā secībā, kādā vēlaties, lai tie tiktu vaicāti) zemāk esošajā atribūtā "domēni" un noņemiet komentāru. domēni = amigos.cu [nss] filter_groups = saknes filter_users = saknes atjaunošanas mēģinājumi = 3 [pam] atkārtotas savienošanas mēģinājumi = 3 # LDAP domēns [domēns / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema var iestatīt uz "rfc2307", kas grupas dalībnieku vārdus saglabā atribūtā # "memberuid", vai uz "rfc2307bis", kas grupas dalībnieku DN glabā atribūtā "member". Ja nezināt šo vērtību, jautājiet savam LDAP # administratoram. # darbojas ar ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = draugi, dc = cu # Ņemiet vērā, ka uzskaites iespējošanai būs mērena ietekme uz veiktspēju. # Līdz ar to uzskaitījuma noklusējuma vērtība ir FALSE. # Sīkāku informāciju skatiet sssd.conf manā lapā. enumerate = false # Atļaut bezsaistes pieteikšanos, lokāli uzglabājot paroļu jaukumus (noklusējums: false). cache_credentials = patiess
ldap_tls_reqcert = atļaut
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Kad fails ir izveidots, mēs piešķiram atbilstošās atļaujas un restartējam pakalpojumu:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # service sssd restart

Ja mēs vēlamies bagātināt iepriekšējā faila saturu, iesakām izpildīt cilvēks sssd.conf un / vai iepazīstieties ar esošo dokumentāciju internetā, sākot ar saitēm ziņas sākumā. Arī konsultējieties cilvēks sssd-ldap. Sūtījums ssd ietver piemēru /usr/share/doc/sssd/examples/sssd-example.conf, kuru var izmantot, lai autentificētos, izmantojot Microsoft Active Directory.

Tagad mēs varam izmantot visvairāk dzeramās komandas pirksts y nokļuvis:

: ~ $ pirkstu soļi
Pieteikšanās: strides Nosaukums: Strides El Rey Directory: / home / strides Shell: / bin / bash Nekad nav pieteicies. Nav pasta. Nav plāna.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas Elfs: / home / legolas: / bin / bash

Mēs joprojām nevaram autentificēties kā LDAP servera lietotājs. Pirms mums ir jāpārveido fails /etc/pam.d/common-session, lai lietotāja mape tiktu automātiski izveidota, kad viņi sāk savu sesiju, ja tāda nav, un pēc tam restartējiet sistēmu:

[----]
nepieciešama sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Iepriekš minētā rinda jāiekļauj PIRMS
# šeit ir paketes moduļi (bloks "Primārais") [----]

Mēs restartējam sēkšanu:

: ~ # atsāknēšana

Pēc pieteikšanās atvienojiet tīklu, izmantojot Connection Manager, un izrakstieties un atkal piesakieties. Ātrāk nekā. Palaist terminālī ifconfig un viņi redzēs, ka eth0 tas vispār nav konfigurēts.

Aktivizējiet tīklu. Lūdzu, izrakstieties un piesakieties vēlreiz. Pārbaudiet vēlreiz ar ifconfig.

Protams, lai strādātu bezsaistē, ir jāpiesakās vismaz vienu reizi, kamēr OpenLDAP ir tiešsaistē, lai akreditācijas dati tiktu saglabāti mūsu datorā.

Neaizmirsīsim padarīt OpenLDAP reģistrēto ārējo lietotāju par nepieciešamo grupu dalībnieku, vienmēr pievēršot uzmanību instalēšanas laikā izveidotajam lietotājam.

Atzīmēt:

Paziņot opciju ldap_tls_reqcert = nekad, failā /etc/sssd/sssd.conf, rada drošības risku, kā norādīts lapā SSSD - FAQ. Noklusējuma vērtība ir «pieprasījums«. Skat cilvēks sssd-ldap. Tomēr nodaļā 8.2.5 Domēnu konfigurēšana Fedora dokumentācijā ir norādīts:

SSSD neatbalsta autentifikāciju caur nešifrētu kanālu. Tātad, ja vēlaties autentificēties, izmantojot LDAP serveri, vai nu TLS/SSL or LDAPS ir nepieciešams.

SSSD tas neatbalsta autentifikāciju caur nešifrētu kanālu. Tāpēc, ja vēlaties autentificēties, izmantojot LDAP serveri, tas būs nepieciešams TLS / SLL o LDAP.

Mēs personīgi domājam ka risinājums ir adresēts no drošības viedokļa tas ir pietiekams uzņēmuma LAN. Izmantojot WWW Village, mēs iesakām ieviest šifrētu kanālu, izmantojot TLS vai «Transporta drošības slānis »starp klienta datoru un serveri.

Mēs cenšamies to panākt, izmantojot pareizo paaudzes parakstīto sertifikātu vai «Pašparakstīts “ClearOS serverī, bet mēs to nevarējām. Faktiski tas ir gaidāms jautājums. Ja kāds lasītājs zina, kā to izdarīt, laipni lūdzam to izskaidrot!

debian7.amigos.cu


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

8 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   3000 teica

    Excellent.

    1.    Federico teica

      Sveiciens ElioTime3000 un paldies par komentāriem !!!

    2.    Federico teica

      Sveiciens eliotime3000 un paldies par raksta uzslavu !!!

  2.   kurayi teica

    Izcili! Es vēlos izteikt milzīgus apsveikumus publikācijas autoram par dalīšanos ar savām plašajām zināšanām un emuāram par atļauju to publicēt.

    Liels paldies!

    1.    Federico teica

      Liels paldies par uzslavām un komentāriem !!! Spēks, ko jūs man dodat, lai turpinātu dalīties zināšanās ar sabiedrību, kurā mēs visi mācāmies.

  3.   fenobarbitāls teica

    Labs raksts! Ņemiet vērā, ka attiecībā uz sertifikātu izmantošanu, ģenerējot sertifikātu, jums jāpievieno ldap konfigurācija (cn = config):

    olcLocalSSF: 71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / path / to / public / cert
    olcTLSCertificateKeyFile: / path / to / private / key
    olcTLSVerifyClient: mēģiniet
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Ar šo (un sertifikātu ģenerēšanu) jums būs SSL atbalsts.

    Sveicieni!

    1.    Federico teica

      Paldies par ieguldījumu !!! Tomēr es publicēju 7 rakstus par OpenLDAP:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      Tajos es uzsveru Start TLS izmantošanu pirms SSL, ko iesaka openldap.org. Sveiciens @phenobarbital, un liels paldies par komentāriem.
      Mans e-pasts ir federico@dch.ch.gob.cu, ja vēlaties apmainīt vairāk. Piekļuve internetam man ir ļoti lēna.

    2.    fenobarbitāls teica

      TLS konfigurācija ir vienāda, atceroties, ka ar SSL transports tiek padarīts caurspīdīgs pa šifrētu kanālu, savukārt TLS tiek panākta divpusēja šifrēšana datu transportēšanai; izmantojot TLS, rokasspiedienu var sarunāt tajā pašā ostā (389), savukārt ar SSL sarunas notiek citā ostā.
      Mainiet sekojošo:
      olcLocalSSF: 128
      olcTLSVerifyClient: atļaut
      olcTLSCipherSuite: NORMĀLS
      (ja jums ir paranoja par izmantoto drošību:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      un restartējiet, jūs redzēsiet vēlāk ar:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      Notiek “ldap.ipm.org.gt” atrisināšana…
      Tiek pārbaudīts SSL 3.0 atbalsts ... jā
      Pārbauda, ​​vai ir nepieciešams% COMPAT ... nē
      Notiek TLS 1.0 atbalsta pārbaude ... jā
      Notiek TLS 1.1 atbalsta pārbaude ... jā
      Pārbauda atkāpšanos no TLS 1.1 līdz… N / A
      Notiek TLS 1.2 atbalsta pārbaude ... jā
      Tiek meklēts drošs atkārtotu sarunu atbalsts ... jā
      Pārbauda drošu atkārtotu sarunu atbalstu (SCSV) ... jā

      Ar kuru ir iespējots arī TLS atbalsts, TLS izmantojat 389 (vai 636) un SSL - 636 (ldaps); tie ir pilnīgi neatkarīgi viens no otra, un jums nav jābūt vienam invalīdam, lai izmantotu otru.

      Sveicieni!