एसडब्ल्यूएल नेटवर्क (चतुर्थ): उबंटू प्रिसिसेस एंड क्लीयरओएस. नेटिव्ह एलडीएपी विरूद्ध एसएसएसडी प्रमाणीकरण.

नमस्कार मित्रांनो!. सरळ मुद्द्यावर, लेख वाचण्यापूर्वी नाही «विनामूल्य सॉफ्टवेअरसह नेटवर्कची ओळख (I): क्लीयरओएसचे सादरीकरणWe आणि आम्ही ज्याविषयी बोलत आहोत त्याबद्दल जागरूक होण्यासाठी क्लियरओएस स्टेप बाय स्टेप इंस्टॉलेशन प्रतिमा पॅकेज (1,1 मेगा) डाउनलोड करा. त्या वाचनाशिवाय आपले अनुसरण करणे कठीण होईल. ठीक आहे? सवयी हताश.

सिस्टम सुरक्षा सेवा डीमन

कार्यक्रम एसएसएसडी o सिस्टम सुरक्षा सेवेसाठी डिमनचा प्रकल्प आहे Fedora, जे दुसर्‍या प्रोजेक्ट मधून जन्माला आले होते - फेडोरा कडून - फ्रीआयपीए. त्याच्या स्वतःच्या निर्मात्यांनुसार, एक छोटी आणि मुक्त भाषांतरीत व्याख्या अशी असेलः

एसएसएसडी ही एक सेवा आहे जी भिन्न ओळख आणि प्रमाणीकरण प्रदात्यांना प्रवेश प्रदान करते. हे मूळ एलडीएपी डोमेनसाठी (एलडीएपी-ओळख पटकासह एलडीएपी-आधारित ओळख प्रदाता) किंवा केर्बेरोज ऑथेंटिकेशनसह एलडीएपी ओळख प्रदात्यासाठी कॉन्फिगर केले जाऊ शकते. एसएसएसडी प्रणालीद्वारे इंटरफेस प्रदान करते N.S.S y पीएएमआणि एकाधिक आणि भिन्न खाते मूळशी कनेक्ट करण्यासाठी अंतर्वेशनीय बॅकएंड.

आमचा विश्वास आहे की आधीच्या लेखात संबोधित केलेल्या ओपनएलडीएपीमध्ये नोंदणीकृत वापरकर्त्यांची ओळख पटविण्यासाठी आणि प्रमाणीकरणासाठी अधिक व्यापक आणि सामर्थ्यवान निराकरणाचा सामना करीत आहोत..

या लेखात प्रस्तावित केलेला समाधान मोबाइल संगणक आणि लॅपटॉपसाठी सर्वात जास्त शिफारसीय आहे कारण एसएसएसडी स्थानिक संगणकावर क्रेडेंशियल्स संचयित केल्यामुळे हे डिस्कनेक्ट केलेले कार्य करण्यास अनुमती देते.

नेटवर्क उदाहरण

• डोमेन नियंत्रक, डीएनएस, डीएचसीपी: ClearOS एंटरप्राइझ 5.2sp1.
• नियंत्रकाचे नाव: शतक
• डोमेनचे नाव: मित्र
• नियंत्रक आयपी: 10.10.10.60
• ---------------
• उबंटू आवृत्ती: उबंटू डेस्कटॉप 12.04.2 अचूक.
• संघाचे नाव: तंतोतंत
• आयपी पत्ता: डीएचसीपी वापरणे

आम्ही आमची उबंटू तयार करतो

आम्ही फाईल सुधारित करतो /etc/lightdm/lightdm.conf मॅन्युअल लॉगिन स्वीकारण्यासाठी आणि आम्ही आपल्याला खालील सामग्रीसह सोडतो:

[सीट डीफॉल्ट] ग्रीटर-सेशन = युनिटी-ग्रीटर यूजर-सेशन = उबंटू ग्रीटर-शो-मॅन्युअल-लॉगिन = ट्रू ग्रिटर-हाइड-यूजर्स = ट्रू इज-गेस्ट = असत्य

बदल सेव्ह केल्यानंतर आम्ही पुन्हा सुरू करतो लाईटडीएम द्वारे विनंती केलेल्या कन्सोलमध्ये Ctrl+Alt+F1 आणि त्यात लॉग इन केल्यावर कार्यान्वित करू. sudo सर्व्हिस लाइटडेम रीस्टार्ट.

फाइल संपादित करण्याची देखील शिफारस केली जाते / Etc / सर्वशक्तिमान आणि त्यास खालील सामग्रीसह सोडा:

127.0.0.1 लोकल होस्ट 127.0.1.1 precise.amigos.cu तंतोतंत [----]

अशा प्रकारे आम्हाला कमांडस योग्य प्रतिसाद मिळतात होस्टनाव y होस्टनाव qfqdn.

आम्ही तपासतो की एलडीएपी सर्व्हर कार्यरत आहे

आम्ही फाईल सुधारित करतो /etc/ldap/ldap.conf आणि पॅकेज स्थापित करा ldap-utils:

: ~ $ सूडो नॅनो /etc/ldap/ldap.conf
[----] बेस डीसी = मित्रांनो, डीसी = क्यू यूआरआय ldap: //centos.amigos.cu [----]

: ~ $ sudo योग्यता स्थापित करा ldap-utils: ~ d ldapsearch -x -b 'dc = मित्र, डीसी = cu' '(ऑब्जेक्ट क्लास = *)': ~ d ldapsearch -x -b dc = मित्र, डीसी = cu 'यूआयडी = चरण '
~ ~ $ ldapsearch -x -b dc = मित्र, dc = cu 'uid = legolas' cn gidNumber

शेवटच्या दोन कमांडसह आम्ही आमच्या क्लीयरओएसच्या ओपनएलडीएपी सर्व्हरची उपलब्धता तपासतो. आधीच्या कमांडसच्या आऊटपुट पहा.

महत्वाचे: आम्ही आमच्या ओपनएलडीएपी सर्व्हरमधील ओळख सेवा योग्यरित्या कार्य करीत असल्याचे देखील सत्यापित केले आहे.

आम्ही एसएसडी पॅकेज स्थापित करतो

हे पॅकेज स्थापित करण्याची देखील शिफारस केली जाते हाताचे बोट चेकपेक्षा अधिक पिण्यायोग्य बनविणे ldapsearch:

: do $ sudo योग्यता एसएसडी बोट स्थापित करा

स्थापना पूर्ण झाल्यावर, सेवा एसएसडी गहाळ फाईलमुळे सुरू होत नाही /etc/sssd/sssd.conf. स्थापनेचे आउटपुट हे प्रतिबिंबित करते. म्हणून, आपण ती फाईल तयार केली पाहिजे आणि त्या सोबत सोडली पाहिजे पुढील किमान सामग्री:

: ~ $ सूडो नॅनो /etc/sssd/sssd.conf
[एसएसएसडी] config_file_version = 2 सेवा = एनएसएस, पॅम # एसएसएसडी आपण कोणतीही डोमेन कॉन्फिगर न केल्यास सुरू होणार नाही. # नवीन डोमेन कॉन्फिगरेशन [डोमेन / ] विभाग आणि # नंतर खालील "डोमेन" विशेषतांमध्ये डोमेनची यादी जोडा (आपण त्यास # क्वेरी करू इच्छित क्रमाने) आणि त्यास बिनधास्त करा. डोमेन = amigos.cu [एनएसएस] फिल्टर_ग्रुप्स = रूट फिल्टर_यूझर्स = रूट रीकनेक्शन_रेट्री = 3 [पॅम] रीकनेक्शन_रेट्री = 3 # एलडीएपी डोमेन [डोमेन / अमीगोस सीयू] आयडी_प्रोइडर = एलडीएपी
auth_provider = ldap
chpass_provider = ldap # ldap_schema ला "rfc2307" वर सेट केले जाऊ शकते, जे गट सदस्यांची नावे # "मेंबर्युइड" विशेषता मध्ये किंवा "rfc2307bis" वर संग्रहित करते, जे "सदस्या" गुणधर्मात गट सदस्य DN साठवते. आपल्याला हे मूल्य माहित नसल्यास आपल्या एलडीएपी # प्रशासकाला विचारा. # ClearOS ldap_schema = rfc2307 सह कार्य करते
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = मित्रांनो, dc = cu # नोंद घ्या की गणिता सक्षम केल्याने मध्यम कामगिरीवर परिणाम होईल. # परिणामी, गणनेसाठी डीफॉल्ट मूल्य असत्य आहे. # संपूर्ण माहितीसाठी sssd.conf मॅन पृष्ठ पहा. स्थानिक पातळीवर संकेतशब्द हॅश संचयित करून ऑफलाइन लॉगिनना अनुमती द्या (डीफॉल्ट: चुकीचे) cache_credentials = सत्य
ldap_tls_reqcert = परवानगी द्या
ldap_tls_cacert = /etc/ssl/certs/ca-cerર્ટates.crt

एकदा फाइल तयार झाल्यावर, आम्ही संबंधित परवानग्या नियुक्त करतो आणि सेवा पुन्हा सुरू करतो:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: do $ sudo सर्व्हिस sssd रीस्टार्ट

मागील फाईलची सामग्री समृद्ध करू इच्छित असल्यास आम्ही अंमलात आणण्याची शिफारस करतो मॅन sssd.conf आणि / किंवा पोस्टच्या सुरूवातीच्या दुव्यांसह प्रारंभ करून इंटरनेटवरील विद्यमान दस्तऐवजीकरणांचा सल्ला घ्या. तसेच सल्ला घ्या मॅन sssd-ldap. गठ्ठा एसएसडी मध्ये एक उदाहरण समाविष्ट /usr/share/doc/sssd/example/sssd-example.conf, जो मायक्रोसॉफ्ट Directक्टिव्ह डिरेक्टरी विरूद्ध प्रमाणीकृत करण्यासाठी वापरला जाऊ शकतो.

आता आपण सर्वात मद्यपान करण्यायोग्य आज्ञा वापरू शकता हाताचे बोट y उत्साही:

: $ $ बोटाच्या पावलां
लॉगिन: पायides्या नाव: स्ट्रॉइड्स एल रे निर्देशिका: / मुख्यपृष्ठ / स्ट्रिड शेल: / बिन / बॅश कधीही लॉग इन झाला नाही. मेल नाही. योजना नाही.

: ~ $ सुदो गेन्ट पासविड लेगोलास
लेगोलास: *: 1004: 63000: लेगोलास द एल्फ: / होम / लेगोलास: / बिन / बॅश

आम्ही अद्याप स्वत: ला चालविण्यासाठी पाठवू शकत नाही आणि LDAP सर्व्हरवरील वापरकर्ता म्हणून अधिकृत करण्याचा प्रयत्न करू शकत नाही. फाइल सुधारित करण्यापूर्वी /etc/pam.d/common-session, जेणेकरून आपण आपले सत्र प्रारंभ करता तेव्हा वापरकर्त्याचे फोल्डर स्वयंचलितपणे तयार होते, जर ते अस्तित्वात नसेल तर आणि सिस्टम रीबूट करा:

[----]
सत्र आवश्यक आहे pam_mkhomedir.so स्केल = / इत्यादी / स्केल / उमास्क = 0022

### वरील ओळ आधी समाविष्ट करणे आवश्यक आहे
# येथे प्रति-पॅकेज मॉड्यूल आहेत ("प्राथमिक" ब्लॉक) [----]

जर आपण पुन्हा सुरू केले तर:

: do $ सुडो रीबूट

लॉग इन केल्यानंतर, कनेक्शन व्यवस्थापक वापरून नेटवर्क डिस्कनेक्ट करा आणि लॉग आउट करा आणि परत लॉग इन करा. वेगवान काहीही नाही. टर्मिनल मध्ये चालवा ifconfig आणि ते त्यांना दिसेल eth0 हे मुळीच कॉन्फिगर केलेले नाही.

नेटवर्क सक्रिय करा. कृपया लॉग आउट करा आणि पुन्हा लॉग इन करा. सह पुन्हा तपासा ifconfig.

अर्थात, ऑफलाइन कार्य करण्यासाठी, ओपनएलडीएपी ऑनलाइन असताना एकदा तरी सत्र सुरू करणे आवश्यक आहे, जेणेकरुन आमच्या संगणकावर प्रमाणपत्रे जतन केली जातील.

ओपनएलडीएपीमध्ये बाह्य वापरकर्त्यास नोंदणी करण्यास आवश्यक आहे हे विसरू नका, प्रतिष्ठापनवेळी तयार केलेल्या वापरकर्त्याकडे नेहमी लक्ष देऊन.

उपकरणे बंद करू इच्छित नसल्यास ऍपलेट संबंधित, नंतर कन्सोलवर चालवा सूडो पॉवरऑफ बंद करणे, आणि सुडो रीबूट रीस्टार्ट करण्यासाठी वरील कधीकधी का होते हे शोधणे बाकी आहे.

नोट:

पर्याय घोषित करा ldap_tls_reqcert = कधीही नाहीफाइल मध्ये /etc/sssd/sssd.conf, पृष्ठावर म्हटल्याप्रमाणे सुरक्षा जोखीम बनवते एसएसएसडी - सामान्य प्रश्न. डीफॉल्ट मूल्य «आहेमागणी«. पहा मॅन sssd-ldap. तथापि, या प्रकरणात 8.2.5 डोमेन संरचीत करणे फेडोरा दस्तऐवजीकरणातून, खाली सांगितले आहे:

एसएनएसडी विनाएनक्रिप्टेड चॅनेलवर प्रमाणीकरणाला समर्थन देत नाही. परिणामी, आपण एकतर LDAP सर्व्हरविरूद्ध प्रमाणीकरण करायचे असल्यास TLS/SSL or LDAPS आवश्यक आहे.

एसएसएसडी हे विनाएनक्रिप्टेड चॅनेलवर प्रमाणीकरणाला समर्थन देत नाही. म्हणूनच, जर तुम्हाला एलडीएपी सर्व्हरविरूद्ध प्रमाणीकरण करायचे असेल तर ते आवश्यक असेल टीएलएस / एसएलएल o एलडीएपी.

आम्ही वैयक्तिकरित्या विचार करतो समाधानाकडे लक्ष वेधले सुरक्षेच्या दृष्टिकोनातून एंटरप्राइझ लॅनसाठी हे पुरेसे आहे. डब्ल्यूडब्ल्यूडब्ल्यू व्हिलेजच्या माध्यमातून आम्ही एक एनक्रिप्टेड चॅनेल वापरून अंमलात आणण्याची शिफारस करतो TLS किंवा "परिवहन सुरक्षा स्तर », क्लायंट संगणक आणि सर्व्हर दरम्यान.

आम्ही स्वत: ची सही केलेल्या प्रमाणपत्रांच्या योग्य पिढीकडून ते प्राप्त करण्याचा प्रयत्न करतो किंवा «सेल्फ साइन इन “क्लियरओएस सर्व्हरवर, परंतु आम्ही ते करू शकलो नाही. खरं तर हा प्रलंबित प्रश्न आहे. एखाद्या वाचकास हे कसे करावे हे माहित असल्यास, त्याचे वर्णन करण्यास आपले स्वागत आहे!