SWL شبکه (V): دبیان Wheezy او ClearOS. د اصلي LDAP پروړاندې د SSSD اعتبار.

سلام ملګرو!. مهرباني وکړئ ، ما بیا تکرار کړه ، مخکې لولم «د وړیا سافټویر (I) سره یوې شبکې معرفي کول: د ClearOS وړاندې کول»او د ClearOS مرحلی لخوا د نصب کولو عکسونو کڅوړه ډاونلوډ کړئ (1,1 میګا) ، ترڅو خبر اوسئ چې د هغه څه په اړه وغږیږو. د دې لوستلو پرته دا به اسانه وي چې زموږ تعقیب شي.

د سیستم امنیت خدمت ډیمون

پروګرام SSSD o د سیستم امنیت خدماتو لپاره ډیمون، یوه پروژه ده فیډورا، کوم چې د فیدورا - بل څخه بل پروژې څخه زیږیدلی و وړیا. د دې د خپلو تخلیق کونکو په وینا ، یو لنډ او آزاد ژباړل شوی تعریف به دا وي:

SSSD یو داسې خدمت دی چې د مختلف شناخت او اعتبار ورکولو چمتو کونکو ته لاسرسی چمتو کوي. دا د اصلي LDAP ډومین (د LDAP تصدیق سره د LDAP پر بنسټ پیژندونکي چمتو کونکي) لپاره تنظیم کیدی شي ، یا د کییربروز تصدیق سره د LDAP پیژندونکي چمتو کونکي لپاره. SSSD له لارې سیسټم ته انٹرفیس چمتو کوي NSS y PAM، او د داخليدو وړ پای پای د څو او مختلف حسابونو اصلي سره وصل کیدو لپاره.

موږ باور لرو چې موږ په OpenLDAP کې د راجستر شوي کاروونکو پیژندلو او تایید کولو لپاره خورا پراخه او قوي حل سره مخ یو ، په تیرو مقالو کې ورته اشاره شوي ، یو اړخ چې د هرچا اختیار او د دوی تجربو ته پریښودل کیږي.

په دې مقاله کې وړاندیز شوی حل د ګرځنده کمپیوټرونو او لیپټاپونو لپاره خورا سپارښتنه کیږي ، ځکه چې دا موږ ته د منقولو کار کولو اجازه راکوي ، ځکه چې SSSD په محلي کمپیوټر کې اسناد ساتي.

د جال مثال

  • د ډومین کنټرولر ، DNS ، DHCP: د ClearOS تصدۍ 5.2sp1.
  • د کنټرولونکي نوم: مرکزونه
  • د ډومین نوم: دوستانو. cu
  • کنټرولر IP: 10.10.10.60
  • ---------------
  • دبیان نسخه: چرس
  • د ټیم نوم: ډبیان 7
  • IP پته: د DHCP کارول

موږ ګورو چې د LDAP سرور کار کوي

موږ فایل بدل کوو /etc/ldap/ldap.conf او بنډل ولګوه ldap-utils:

: ~ # نانو /etc/ldap/ldap.conf
[----] BASE dc = ملګري ، dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # اتصال ldap-utils نصب کړئ: ~ d ldapsearch -x -b 'dc = ملګري ، dc = cu' '(اعتراض کلاس = *)': ~ d ldapsearch -x -b dc = ملګري ، dc = cu 'uid = ګامونه
: ~ $ ldapsearch -x -b dc = ملګري ، dc = cu 'uid = legolas' cn gidNumber

د تیرو دوه امرونو سره ، موږ زموږ د ClearOS د OpenLDAP سرور موجودیت چیک کوو. راځئ چې د تیرو امرونو پایلو ته ښه نظر وکړو.

مهم: موږ دا هم تایید کړې چې زموږ په اوپن ایل ډی پی سرور کې د پیژندنې خدمت سم کار کوي.

شبکه-swl-04-کاروونکي

موږ د sssd کڅوړه نصب کوو

دا د بسته نصبولو سپارښتنه هم کیږي د ګوتې ترڅو چکونه د څښاک څخه د څښاک وړ وګرځي ldapsearch:

: ~ # وړتیا د ایس ایس ډي ګوتې ولګوه

د نصب کولو بشپړیدو وروسته ، خدمت ssd د دوتنې ورکیدو له امله نه پيلیږي /etc/sssd/sssd.conf. د نصب کولو محصول دا منعکس کوي. نو ځکه ، موږ باید دا فایل رامینځته کړو او دا د بل لږترلږه مینځپانګه:

: ~ # نانو /etc/sssd/sssd.conf
[sssd] config_file_version = 2 خدمات = nss، Pam # SSSD به نه پیل شي که تاسو هیڅ ډومینونه تنظیم نه کړئ. # د ډومین نوي تشکیلات اضافه کړئ [ډومین / ] برخې ، او # بیا د ډومینونو لیست اضافه کړئ (په هغه ترتیب کې چې تاسو غواړئ دوی # پوښتل شي) لاندې "ډومینز" خاصیت ته اضافه کړئ او غیر منظم یې کړئ. ډومینونه = amigos.cu [nss] فلټر_ګروپ = د ریښې فلټر_ کارونه = د ریښې پخلاینې_ټریټونه = 3 [پام] بیا پخالینه_ریټری = 3 # LDAP ډومین [ډومین / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema "rfc2307" ته ټاکل کیدی شي ، کوم چې د ګروپ غړو نومونه په # "ممبریود" خاصیت کې ذخیره کوي ، یا "rfc2307bis" ته ، کوم چې د # غړي "خاصیت کې د ډلې غړي DNs ذخیره کوي. که تاسو پدې ارزښت نه پوهیږئ ، نو خپل د LDAP # مدیر څخه وپوښتئ. # د ClearOS ldap_schema = rfc2307 سره کار کوي
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = ملګري ، dc = cu # یادونه چې د شمعې وړ کول به د اعتدال فعالیت فعالیت ولري. # په پایله کې ، د شمیرلو لپاره ډیفالټ ارزښت غلط دی. # د بشپړ توضیحاتو لپاره sssd.conf سړي پا toې ته مراجعه وکړئ. انګیرنه = غلط # په محلي ډول د پټنوم هشونو زېرمه کولو له لارې آفلاین ننوتلونو ته اجازه ورکړئ (اصلي: غلط). cache_credentials = ریښتینی
ldap_tls_reqcert = اجازه
ldap_tls_cacert = /etc/ssl/certs/ca-cerર્ટates.crt

یوځل چې فایل رامینځته شو ، موږ اړونده اجازه لیکونه ورکوو او خدمت بیا پیل کوو:

: ~ # چیمډ 0600 /etc/sssd/sssd.conf
: service # خدمت ایس ایس ډي بیاچلول

که موږ غواړو د تیرو فایلونو مینځپانګه بډایه کړو ، نو د اعدام وړاندیز یې کوو سړی sssd.conf او / یا په انټرنیټ کې موجود اسناد سره مشوره وکړئ ، د پوسټ په پیل کې د لینکونو سره پیل کول. هم مشوره وکړئ سړی sssd-ldap. کڅوړه ssd کې یوه بیلګه په /usr/share/doc/sssd/example/sssd-example.conf، کوم چې د مایکروسافټ فعال ډایرکټرۍ پروړاندې د اعتبار لپاره کارول کیدی شي.

اوس موږ کولی شو تر ټولو د څښاک امرونه وکاروو د ګوتې y جینټ:

: $ $ د ګوتو ګامونه
ننوتل: سټریډز نوم: د الی ری لارښود لارښود: / کور / سټریډز شیل: / بن / بېش هیڅکله ننوتل. هیڅ میل نشته. هیڅ پلان نلري.

: do $ sudo geant passwd لیګلاسونه
لیګلاس: *: 1004: 63000: لیګلاس د یلف: / کور / لیګولاس: / بن / باز

موږ لاهم نشو کولی د LDAP سرور کارونکي په توګه تصدیق کړو. مخکې لدې چې موږ باید فایل ترمیم کړو /etc/pam.d/common-session، نو دا چې د کارونکي فولډر په اوتومات ډول رامینځته کیږي کله چې تاسو خپله ناسته پیل کړئ ، که دا شتون نلري ، او بیا سیسټم ریبوټ کړئ:

[----]
ناستې ته اړتیا ده pam_mkhomedir.so سکیل = / etc / skel / umask = 0022

### پورتنۍ کرښه باید مخکې له مخکې پکې شامله شي
# دلته د هر ګېډۍ ماډلونه دي (د "لومړني" بلاک) [----]

موږ خپل Wheezy بیا پیل کوو:

: ~ # ریبوټ

د ننوتلو وروسته ، د اتصال مینیجر په کارولو سره شبکه له سره وباسه او ننوتل او بیرته دننه. ګړندی په ترمینل کې ځغلي که چیرته او دوی به وګوري چې دا ایتکسینکس دا په بشپړ ډول ترتیب شوی ندی.

شبکه فعاله کړئ. مهرباني وکړئ ننوتل او بیا ننوتل سره بیا چیک کړئ که چیرته.

البته ، په آفلاین کار کولو لپاره ، دا اړینه ده چې لږترلږه یو ځل ننوځئ پداسې حال کې چې OpenLDAP آنلاین وي ، نو ځکه چې اسناد زموږ په کمپیوټر کې خوندي کیږي.

راځئ چې هیر نکړو چې خارجي کارن په اوپن ایل ډیپ کې راجستر کړئ د اړینو ډلو غړیتوب ترلاسه کړئ ، تل د نصب کولو پرمهال رامینځته شوي کارونکي ته پاملرنه وکړئ.

يادونه:

اختیار اعلان کړئ ldap_tls_reqcert = هیڅکله نهپه دوتنه کې /etc/sssd/sssd.conf، د امنیت خطر رامینځته کوي لکه څنګه چې په پا onه کې ویل شوي SSSD - FAQ. اصلي ارزښت «دهد تقاضا«. وګورئ سړی sssd-ldap. په هرصورت ، په فصل کې 8.2.5 د ډومینونو تنظیم کول د فیډورا اسنادو څخه ، لاندې بیان شوي:

SSSD په نالیدل شوي چینل د اعتبار ملاتړ نه کوي. په نتیجه کې ، که تاسو غواړئ د LDAP سرور پروړاندې تصدیق وکړئ TLS/SSL or LDAPS اړتیا ده.

SSSD دا په ناتول شوي چینل کې د اعتبار ملاتړ نه کوي. نو ځکه ، که تاسو غواړئ د LDAP سرور پروړاندې مستند شئ ، نو دا به اړین وي TLS / SLL o LDAP.

موږ شخصا فکر کوو چې حل ورته په ګوته شو دا د تصدۍ LAN لپاره کافي دی ، د امنیت له نظره. د WWW کلي له لارې ، موږ د کارولو سره د کوډ شوې چینل پلي کولو وړاندیز کوو ټي ایل ایس یا «د ټرانسپورټ امنیت پرت »، د پیرودونکي کمپیوټر او سرور ترمنځ.

موږ هڅه کوو دا د ځان لاسلیک شوي سندونو درست نسل څخه ترلاسه کولو یا «ځان لاسلیک شو "په ClearOS سرور کې ، مګر موږ نشو کولی. دا په حقیقت کې یوه پاتې ستونزه ده. که کوم لوستونکی پوهیږي چې دا څنګه ترسره کوي ، ښه توضیح یې کړئ!

debian7.amigos.cu


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

8 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   ایلیوټیم 3000 dijo

    ښه.

    1.    فیدوکو dijo

      سلامونه ایلیو ټایم 3000 and and او د نظر ورکولو لپاره مننه !!!

    2.    فیدوکو dijo

      سلامونه eliotime3000 او د مقالې ستاینه لپاره مننه !!!

  2.   کورایی dijo

    عالي! زه غواړم د خپرونې لیکوال ته د هغه د پراخه پوهې شریکولو لپاره او بلاګ ته د هغې د خپرولو اجازه ورکولو لپاره لوی مبارکي وایم.

    مننه!

    1.    فیدوکو dijo

      ستاسو له ستاینې او څرګندونې ډېره مننه !!! ځواک چې تاسو ما ته راکړئ ترڅو ټولنې سره د پوهې شریکولو ته دوام ورکړم ، په کوم کې چې موږ ټول زده کوو.

  3.   فینوبربیتال dijo

    ښه مقاله! یادونه وکړئ چې د سندونو کارولو په اړه ، کله چې تاسو سند تولید کوئ تاسو باید د ldap ترتیب (cn = تشکیل) اضافه کړئ:

    ocLocalSSF: 71
    olcTLSCACertificateFile: / لاره / ته / CA / سند
    olcTLS سند ورکول فایل: / لاره / ته / عامه / سند
    olcTLSCertificateKeyFile: / لاره / ته / خصوصي / کیلي
    ocTLSVerifyClient: هڅه وکړئ
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    د دې (او د سندونو تولید) سره به تاسو د SSL ملاتړ ولرئ.

    مننه!

    1.    فیدوکو dijo

      ستاسو د همکارۍ څخه مننه !!! په هرصورت ، زه په کې د OpenLDAP په اړه 7 مقالې خپروم:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      په دوی کې زه د ایس ایس ایل دمخه د پیل TLS کارولو باندې ټینګار کوم ، کوم چې د openldap.org لخوا وړاندیز شوی. سلامونه @ فینوبربیټال ، او د نظر ورکولو له امله ډیره مننه.
      زما بریښنالیک دی federico@dch.ch.gob.cu، که تاسو غواړئ ډیر تبادله وکړئ. د انټرنیټ لاسرسی زما لپاره خورا ورو دی.

    2.    فینوبربیتال dijo

      د TLS لپاره ترتیب ورته ورته دی ، په یاد ولرئ چې د SSL سره ټرانسپورټ د یوې کوډ شوې چینل څخه رو transparent شوی کیږي ، پداسې حال کې چې په TLS کې د معلوماتو لیږد لپاره دوه اړخیزه کوډ کولو خبرې کیږي؛ د TLS سره لاسي تړون په ورته بندر کې خبرې کیدی شي (389) پداسې حال کې چې د SSL سره خبرې اترې په متبادل بندر کې ترسره کیږي.
      لاندې بدل کړئ:
      ocLocalSSF: 128
      ocTLSVerifyClient: اجازه ورکړه
      ocTLSCipherSuite: نورمال
      (که تاسو د امنیت په اړه متفاوت یاست چې تاسو یې کاروئ:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      او بیا چالانیدل ، تاسو به وروسته د دې سره وګورئ:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      د 'ldap.ipm.org.gt' حل کول…
      د SSL 3.0 ملاتړ لپاره چیک کول ... هو
      ګوري چې ایا٪ COMPAT اړین دی ... نه
      د TLS 1.0 ملاتړ لپاره چیک کول ... هو
      د TLS 1.1 ملاتړ لپاره چیک کول ... هو
      له TLS 1.1 څخه ... N / A ته د فال بیک بیک چیک کول
      د TLS 1.2 ملاتړ لپاره چیک کول ... هو
      د خوندي مذاکراتو ملاتړ لپاره چیک کول ... هو
      د خوندي بیا میشته کیدو ملاتړ (SCSV) لپاره پلټنه کول ... هو

      د کومو سره چې د TLS ملاتړ هم فعال شوی ، تاسو د TLS لپاره 389 (یا 636) او د SSL لپاره 636 (ldaps) کاروئ؛ دوی په بشپړ ډول له یو بل څخه خپلواک دي او تاسو اړتیا نلرئ یو بل د بل کارولو لپاره معلول کړئ.

      مننه!