एसडब्ल्यूएल नेटवर्क (व्ही): डेबियन व्हेझी आणि क्लीयरओएस. नेटिव्ह एलडीएपी विरूद्ध एसएसएसडी प्रमाणीकरण.

नमस्कार मित्रांनो!. कृपया, मी पुन्हा सांगतो, वाचण्यापूर्वी readविनामूल्य सॉफ्टवेअरसह नेटवर्कची ओळख (I): क्लीयरओएसचे सादरीकरणWe आणि आम्ही ज्याविषयी बोलत आहोत त्याबद्दल जागरूक होण्यासाठी क्लियरओएस चरण-दर-चरण स्थापना प्रतिमा पॅकेज (1,1 मेगा) डाउनलोड करा. त्या वाचनाशिवाय आपले अनुसरण करणे कठीण होईल.

सिस्टम सुरक्षा सेवा डीमन

कार्यक्रम एसएसएसडी o सिस्टम सुरक्षा सेवेसाठी डिमनचा प्रकल्प आहे Fedora, जे दुसर्‍या प्रोजेक्ट मधून जन्माला आले होते - फेडोरा कडून - फ्रीआयपीए. त्याच्या स्वतःच्या निर्मात्यांनुसार, एक छोटी आणि मुक्त भाषांतरीत व्याख्या अशी असेलः

एसएसएसडी ही एक सेवा आहे जी भिन्न ओळख आणि प्रमाणीकरण प्रदात्यांना प्रवेश प्रदान करते. हे मूळ एलडीएपी डोमेनसाठी (एलडीएपी-ओळख पटकासह एलडीएपी-आधारित ओळख प्रदाता) किंवा केर्बेरोज ऑथेंटिकेशनसह एलडीएपी ओळख प्रदात्यासाठी कॉन्फिगर केले जाऊ शकते. एसएसएसडी प्रणालीद्वारे इंटरफेस प्रदान करते N.S.S y पीएएमआणि एकाधिक आणि भिन्न खाते मूळशी कनेक्ट करण्यासाठी अंतर्वेशनीय बॅकएंड.

आमचा विश्वास आहे की आधीच्या लेखात संबोधित केलेल्या ओपनएलडीएपीमध्ये नोंदणीकृत वापरकर्त्यांची ओळख पटविण्यासाठी आणि प्रमाणीकरणासाठी अधिक व्यापक आणि सामर्थ्यवान निराकरणाचा सामना करीत आहोत..

या लेखात प्रस्तावित केलेला समाधान मोबाइल संगणक आणि लॅपटॉपसाठी सर्वात जास्त शिफारसीय आहे कारण एसएसएसडी स्थानिक संगणकावर क्रेडेंशियल्स संचयित केल्यामुळे हे डिस्कनेक्ट केलेले कार्य करण्यास अनुमती देते.

नेटवर्क उदाहरण

• डोमेन नियंत्रक, डीएनएस, डीएचसीपी: ClearOS एंटरप्राइझ 5.2sp1.
• नियंत्रकाचे नाव: शतक
• डोमेनचे नाव: मित्र
• नियंत्रक आयपी: 10.10.10.60
• ---------------
• डेबियन आवृत्ती: मठ्ठ
• संघाचे नाव: डिबियन 7
• आयपी पत्ता: डीएचसीपी वापरणे

आम्ही तपासतो की एलडीएपी सर्व्हर कार्यरत आहे

आम्ही फाईल सुधारित करतो /etc/ldap/ldap.conf आणि पॅकेज स्थापित करा ldap-utils:

: ~ # नॅनो /etc/ldap/ldap.conf
[----] बेस डीसी = मित्रांनो, डीसी = क्यू यूआरआय ldap: //centos.amigos.cu [----]

: ~ # योग्यता स्थापित करा ldap-utils: ~ d ldapsearch -x -b 'dc = मित्र, डीसी = cu' '(ऑब्जेक्ट क्लास = *)': ~ d ldapsearch -x -b dc = मित्र, डीसी = cu 'uid = प्रगती
~ ~ $ ldapsearch -x -b dc = मित्र, dc = cu 'uid = legolas' cn gidNumber

शेवटच्या दोन कमांडसह आम्ही आमच्या क्लीयरओएसच्या ओपनएलडीएपी सर्व्हरची उपलब्धता तपासतो. आधीच्या कमांडसच्या आऊटपुट पहा.

महत्वाचे: आम्ही आमच्या ओपनएलडीएपी सर्व्हरमधील ओळख सेवा योग्यरित्या कार्य करीत असल्याचे देखील सत्यापित केले आहे.

आम्ही एसएसडी पॅकेज स्थापित करतो

हे पॅकेज स्थापित करण्याची देखील शिफारस केली जाते हाताचे बोट चेकपेक्षा अधिक पिण्यायोग्य बनविणे ldapsearch:

: ~ # योग्यता एसएसडी बोट स्थापित करा

स्थापना पूर्ण झाल्यावर, सेवा एसएसडी गहाळ फाईलमुळे सुरू होत नाही /etc/sssd/sssd.conf. स्थापनेचे आउटपुट हे प्रतिबिंबित करते. म्हणून, आपण ती फाईल तयार केली पाहिजे आणि त्या सोबत सोडली पाहिजे पुढील किमान सामग्री:

: ~ # नॅनो /etc/sssd/sssd.conf
[एसएसएसडी] config_file_version = 2 सेवा = एनएसएस, पॅम # एसएसएसडी आपण कोणतीही डोमेन कॉन्फिगर न केल्यास सुरू होणार नाही. # नवीन डोमेन कॉन्फिगरेशन [डोमेन / ] विभाग आणि # नंतर खालील "डोमेन" विशेषतांमध्ये डोमेनची यादी जोडा (आपण त्यास # क्वेरी करू इच्छित क्रमाने) आणि त्यास बिनधास्त करा. डोमेन = amigos.cu [एनएसएस] फिल्टर_ग्रुप्स = रूट फिल्टर_यूझर्स = रूट रीकनेक्शन_रेट्री = 3 [पॅम] रीकनेक्शन_रेट्री = 3 # एलडीएपी डोमेन [डोमेन / अमीगोस सीयू] आयडी_प्रोइडर = एलडीएपी
auth_provider = ldap
chpass_provider = ldap # ldap_schema ला "rfc2307" वर सेट केले जाऊ शकते, जे गट सदस्यांची नावे # "मेंबर्युइड" विशेषता मध्ये किंवा "rfc2307bis" वर संग्रहित करते, जे "सदस्या" गुणधर्मात गट सदस्य DN साठवते. आपल्याला हे मूल्य माहित नसल्यास आपल्या एलडीएपी # प्रशासकाला विचारा. # ClearOS ldap_schema = rfc2307 सह कार्य करते
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = मित्रांनो, dc = cu # नोंद घ्या की गणिता सक्षम केल्याने मध्यम कामगिरीवर परिणाम होईल. # परिणामी, गणनेसाठी डीफॉल्ट मूल्य असत्य आहे. # संपूर्ण माहितीसाठी sssd.conf मॅन पृष्ठ पहा. स्थानिक पातळीवर संकेतशब्द हॅश संचयित करून ऑफलाइन लॉगिनना अनुमती द्या (डीफॉल्ट: चुकीचे) cache_credentials = सत्य
ldap_tls_reqcert = परवानगी द्या
ldap_tls_cacert = /etc/ssl/certs/ca-cerર્ટates.crt

एकदा फाइल तयार झाल्यावर, आम्ही संबंधित परवानग्या नियुक्त करतो आणि सेवा पुन्हा सुरू करतो:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # सेवा एसएसडी रीस्टार्ट

मागील फाईलची सामग्री समृद्ध करू इच्छित असल्यास आम्ही अंमलात आणण्याची शिफारस करतो मॅन sssd.conf आणि / किंवा पोस्टच्या सुरूवातीच्या दुव्यांसह प्रारंभ करून इंटरनेटवरील विद्यमान दस्तऐवजीकरणांचा सल्ला घ्या. तसेच सल्ला घ्या मॅन sssd-ldap. गठ्ठा एसएसडी मध्ये एक उदाहरण समाविष्ट /usr/share/doc/sssd/example/sssd-example.conf, जो मायक्रोसॉफ्ट Directक्टिव्ह डिरेक्टरी विरूद्ध प्रमाणीकृत करण्यासाठी वापरला जाऊ शकतो.

आता आपण सर्वात मद्यपान करण्यायोग्य आज्ञा वापरू शकता हाताचे बोट y उत्साही:

: $ $ बोटाच्या पावलां
लॉगिन: पायides्या नाव: स्ट्रॉइड्स एल रे निर्देशिका: / मुख्यपृष्ठ / स्ट्रिड शेल: / बिन / बॅश कधीही लॉग इन झाला नाही. मेल नाही. योजना नाही.

: ~ $ सुदो गेन्ट पासविड लेगोलास
लेगोलास: *: 1004: 63000: लेगोलास द एल्फ: / होम / लेगोलास: / बिन / बॅश

आम्ही अद्याप एलडीएपी सर्व्हरचा वापरकर्ता म्हणून अधिकृत करू शकत नाही. फाइल सुधारित करण्यापूर्वी /etc/pam.d/common-session, जेणेकरून आपण आपले सत्र प्रारंभ करता तेव्हा वापरकर्त्याचे फोल्डर स्वयंचलितपणे तयार होते, जर ते अस्तित्वात नसेल तर आणि सिस्टम रीबूट करा:

[----]
सत्र आवश्यक आहे pam_mkhomedir.so स्केल = / इत्यादी / स्केल / उमास्क = 0022

### वरील ओळ आधी समाविष्ट करणे आवश्यक आहे
# येथे प्रति-पॅकेज मॉड्यूल आहेत ("प्राथमिक" ब्लॉक) [----]

आम्ही आमची Wheezy रीस्टार्ट करतोः

: ~ # रीबूट

लॉग इन केल्यानंतर, कनेक्शन व्यवस्थापक वापरून नेटवर्क डिस्कनेक्ट करा आणि लॉग आउट करा आणि परत लॉग इन करा. वेगवान काहीही नाही. टर्मिनल मध्ये चालवा ifconfig आणि ते त्यांना दिसेल eth0 हे मुळीच कॉन्फिगर केलेले नाही.

नेटवर्क सक्रिय करा. कृपया लॉग आउट करा आणि पुन्हा लॉग इन करा. सह पुन्हा तपासा ifconfig.

अर्थात, ऑफलाइन कार्य करण्यासाठी, ओपनएलडीएपी ऑनलाइन असताना किमान एकदा लॉग इन करणे आवश्यक आहे, जेणेकरुन आमच्या संगणकावर प्रमाणपत्रे जतन केली जातील.

ओपनएलडीएपीमध्ये बाह्य वापरकर्त्यास नोंदणी करण्यास आवश्यक आहे हे विसरू नका, प्रतिष्ठापनवेळी तयार केलेल्या वापरकर्त्याकडे नेहमी लक्ष देऊन.

नोट:

पर्याय घोषित करा ldap_tls_reqcert = कधीही नाहीफाइल मध्ये /etc/sssd/sssd.conf, पृष्ठावर म्हटल्याप्रमाणे सुरक्षा जोखीम बनवते एसएसएसडी - सामान्य प्रश्न. डीफॉल्ट मूल्य «आहेमागणी«. पहा मॅन sssd-ldap. तथापि, या प्रकरणात 8.2.5 डोमेन संरचीत करणे फेडोरा दस्तऐवजीकरणातून, खाली सांगितले आहे:

एसएनएसडी विनाएनक्रिप्टेड चॅनेलवर प्रमाणीकरणाला समर्थन देत नाही. परिणामी, आपण एकतर LDAP सर्व्हरविरूद्ध प्रमाणीकरण करायचे असल्यास TLS/SSL or LDAPS आवश्यक आहे.

एसएसएसडी हे विनाएनक्रिप्टेड चॅनेलवर प्रमाणीकरणाला समर्थन देत नाही. म्हणूनच, जर तुम्हाला एलडीएपी सर्व्हरविरूद्ध प्रमाणीकरण करायचे असेल तर ते आवश्यक असेल टीएलएस / एसएलएल o एलडीएपी.

आम्ही वैयक्तिकरित्या विचार करतो समाधानाकडे लक्ष वेधले सुरक्षेच्या दृष्टिकोनातून एंटरप्राइझ लॅनसाठी हे पुरेसे आहे. डब्ल्यूडब्ल्यूडब्ल्यू व्हिलेजच्या माध्यमातून आम्ही एक एनक्रिप्टेड चॅनेल वापरून अंमलात आणण्याची शिफारस करतो TLS किंवा "परिवहन सुरक्षा स्तर », क्लायंट संगणक आणि सर्व्हर दरम्यान.

आम्ही स्वत: ची सही केलेल्या प्रमाणपत्रांच्या योग्य पिढीकडून ते प्राप्त करण्याचा प्रयत्न करतो किंवा «सेल्फ साइन इन “क्लियरओएस सर्व्हरवर, परंतु आम्ही ते करू शकलो नाही. खरं तर हा प्रलंबित प्रश्न आहे. एखाद्या वाचकास हे कसे करावे हे माहित असल्यास, त्याचे वर्णन करण्यास आपले स्वागत आहे!