SWL Network (IV): Ubuntu Precise og ClearOS. SSSD-autentisering mot innfødt LDAP.

fico

7 minutter

Hei venner!. Rett på sak, ikke før du leser artikkelen «Introduksjon til et nettverk med fri programvare (I): Presentasjon av ClearOS»Og last ned ClearOS Step by Step installasjonsbildepakken (1,1 mega) for å være klar over hva vi snakker om. Uten den lesingen vil det være vanskelig å følge oss. Greit? Vanlig desperat.

System Security Service Daemon

Programmet SSSD o Daemon for System Security Service, er et prosjekt av Fedora, som ble født fra et annet prosjekt - også fra Fedora - kalt FreeIPA. Ifølge sine egne skapere vil en kort og fritt oversatt definisjon være:

SSSD er en tjeneste som gir tilgang til forskjellige leverandører av identitet og godkjenning. Den kan konfigureres for et naturlig LDAP-domene (LDAP-basert identitetsleverandør med LDAP-godkjenning), eller for en LDAP-identitetsleverandør med Kerberos-godkjenning. SSSD gir grensesnittet til systemet gjennom NSS y PAM, og en innsettbar backend for å koble til flere og forskjellige kontoopprinnelser.

Vi mener at vi står overfor en mer omfattende og robust løsning for identifisering og autentisering av registrerte brukere i en OpenLDAP, enn de som er omtalt i de foregående artiklene, et aspekt som er overlatt til skjønn for alle og deres egne erfaringer..

Løsningen som er foreslått i denne artikkelen, er den mest anbefalte for mobile datamaskiner og bærbare datamaskiner, siden den lar oss jobbe frakoblet, siden SSSD lagrer legitimasjonen på den lokale datamaskinen.

Eksempel på nettverk

  • Domenekontroller, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Kontrollerens navn: CentOS
  • Domenenavn: venner.cu
  • Kontroller-IP: 10.10.10.60
  • ---------------
  • Ubuntu-versjon: Ubuntu Desktop 12.04.2 Presis.
  • Lagnavn: presis
  • IP-adresse: Bruker DHCP

Vi forbereder Ubuntu

Vi endrer filen /etc/lightdm/lightdm.conf for å godta manuell pålogging, og vi gir deg følgende innhold:

[SeatDefaults] greeter-session = enhet-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Etter å ha lagret endringene, starter vi på nytt lightdm i en konsoll påkalt av Ctrl+Alt+F1 og i den utfører vi, etter innlogging, sudo service lightdm start på nytt.

Det anbefales også å redigere filen / Etc / hosts og la det være med følgende innhold:

127.0.0.1 localhost 127.0.1.1 presis.amigos.cu presis [----]

På denne måten får vi de riktige svarene på kommandoene vertsnavn y vertsnavn –fqdn.

Vi sjekker at LDAP-serveren fungerer

Vi endrer filen /etc/ldap/ldap.conf og installer pakken ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = venner, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo aptitude installere ldap-utils: ~ $ ldapsearch -x -b 'dc = venner, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = venner, dc = cu 'uid = skritt
: ~ $ ldapsearch -x -b dc = venner, dc = cu 'uid = legolas' cn gidNumber

Med de to siste kommandoene sjekker vi tilgjengeligheten av OpenLDAP-serveren til ClearOS. La oss ta en god titt på utgangene til de forrige kommandoene.

Viktig: vi har også bekreftet at identifikasjonstjenesten i OpenLDAP-serveren vår fungerer riktig.

nettverk-swl-04-brukere

Vi installerer sssd-pakken

Det anbefales også å installere pakken finger å gjøre sjekker mer drikkbare enn ldapsearch:

: ~ $ sudo aptitude installer sssd finger

Etter fullført installasjon, tjenesten ssd starter ikke på grunn av manglende fil /etc/sssd/sssd.conf. Produksjonen fra installasjonen gjenspeiler dette. Derfor må vi lage den filen og la den være med neste minimumsinnhold:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD starter ikke hvis du ikke konfigurerer noen domener. # Legg til nye domenekonfigurasjoner som [domene / ] seksjoner, og # legg deretter til listen over domener (i den rekkefølgen du vil at de skal bli spurt #) til attributtet "domener" nedenfor, og fjern kommentaren. domener = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema kan settes til "rfc2307", som lagrer navnene på gruppemedlemmer i attributtet # "memberuid", eller til "rfc2307bis", som lagrer gruppemedlems-DN i # "medlem" -attributtet. Hvis du ikke kjenner denne verdien, kan du spørre LDAP # -administratoren. # fungerer med ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = venner, dc = cu # Merk at aktivering av opptelling vil ha en moderat ytelsespåvirkning. # Derfor er standardverdien for oppregning FALSK. # Se mannssiden sssd.conf for detaljer. enumerate = false # Tillat frakoblede pålogginger ved å lagre passordhash lokalt (standard: false). cache_credentials = true
ldap_tls_reqcert = tillat
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Når filen er opprettet, tildeler vi de tilsvarende tillatelsene og starter tjenesten på nytt:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Hvis vi vil berike innholdet i den forrige filen, anbefaler vi at du kjører den mann sssd.conf og / eller se den eksisterende dokumentasjonen på Internett, og start med lenkene i begynnelsen av innlegget. Også konsultere mann sssd-ldap. Pakken ssd inkluderer et eksempel i /usr/share/doc/sssd/examples/sssd-example.conf, som kan brukes til å autentisere mot en Microsoft Active Directory.

Nå kan vi bruke de mest drikkbare kommandoene finger y høflig:

: ~ $ finger skritt
Pålogging: strides Navn: Strides El Rey Directory: / home / strides Shell: / bin / bash Aldri logget inn. Ingen post. Ingen plan.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Vi kan fremdeles ikke sende oss selv til å løpe og prøve å godkjenne som bruker på LDAP-serveren. Før vi må endre filen /etc/pam.d/common-session, slik at brukerens mappe opprettes automatisk når du starter økten, hvis den ikke eksisterer, og deretter starter systemet på nytt:

[----]
økt kreves pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Linjen ovenfor må være inkludert FØR
# her er modulene per pakke ("Primær" -blokken) [----]

Nå hvis vi starter på nytt:

: ~ $ sudo omstart

Etter at du har logget på, kobler du fra nettverket ved hjelp av Connection Manager og logger ut og igjen. Raskere ingenting. Kjør i en terminal ifconfig og de vil se at eth0 det er ikke konfigurert i det hele tatt.

Aktiver nettverket. Vennligst logg ut og logg inn igjen. Sjekk igjen med ifconfig.

Selvfølgelig, for å jobbe frakoblet, er det nødvendig å starte en økt minst en gang mens OpenLDAP er online, slik at legitimasjonen lagres på datamaskinen vår.

La oss ikke glemme å gjøre den eksterne brukeren registrert i OpenLDAP til et medlem av de nødvendige gruppene, og alltid ta hensyn til brukeren som ble opprettet under installasjonen.

Hvis utstyret ikke vil slå seg av med applet kjør deretter i en konsoll sudo strøm av å slå av, og sudo reboot å starte på nytt. Det gjenstår å finne ut hvorfor det ovennevnte noen ganger skjer.

note:

Erklære alternativ ldap_tls_reqcert = aldri, i filen /etc/sssd/sssd.conf, utgjør en sikkerhetsrisiko som angitt på siden SSSD - FAQ. Standardverdien er «etterspørsel«. Se mann sssd-ldap. Imidlertid i kapittelet 8.2.5 Konfigurere domener Fra Fedora-dokumentasjonen er følgende oppgitt:

SSSD støtter ikke autentisering over en ukryptert kanal. Derfor, hvis du også vil autentisere mot en LDAP-server TLS/SSL or LDAPS er nødvendig.

SSSD den støtter ikke autentisering over en ukryptert kanal. Derfor, hvis du vil autentisere mot en LDAP-server, vil det være nødvendig TLS / SLL o LDAP.

Vi tenker personlig at løsningen adressert det er tilstrekkelig for et Enterprise LAN, fra et sikkerhetsmessig synspunkt. Gjennom WWW Village anbefaler vi å implementere en kryptert kanal ved hjelp av TLS eller «Transportsikkerhetslag », mellom klientdatamaskinen og serveren.

Vi prøver å oppnå det fra riktig generering av selvsignerte sertifikater eller «Selvsignert “På ClearOS-serveren, men vi kunne ikke. Det er faktisk et ventende problem. Hvis noen lesere vet hvordan du gjør det, kan du gjerne forklare det!

skritt-frakoblet


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   livlig sa
    hace 10 år

    En annen artikkel til Bokmerker 😀

    Svar til elav
    1.    Federico sa
      hace 10 år

      Takk for kommentar og hilsen !!!

      Svar på federico
  2.   Joel sa
    hace 10 år

    Hei. Jeg prøver å få det til å fungere med en ubuntu-server og en annen ubuntu som klient, og tilkoblet fungerer alt veldig bra, men når jeg stopper serveren eller kobler fra nettverket, godtar den ikke passordene til brukerne. Jeg aner ikke hva jeg kan gjøre galt. Kan det være fordi jeg ikke har ldap-serveren konfigurert til å bruke sikkerhet (ssl)?

    Svar på joel
    1.    braybaut sa
      hace 9 år

      Det er nettopp derfor, siden du ikke har den krypterte kanalen, vil den ikke akseptere passordet ditt.

      Svar på braybaut