د SWL شبکه (IV): اوبنټو دقیق او ClearOS. د اصلي LDAP پروړاندې د SSSD اعتبار.

سلام ملګرو!. مستقیم ټکي ته ، د مقالې لوستلو دمخه نه «د وړیا سافټویر (I) سره یوې شبکې معرفي کول: د ClearOS وړاندې کول»او د ClearOS مرحله لخوا د مرحله نصب کولو عکسونو کڅوړه ډاونلوډ کړئ (1,1 میګا) ، د هغه څه په اړه پوهیدل چې موږ یې په اړه خبرې کوو. د دې لوستلو پرته دا به اسانه وي چې زموږ تعقیب شي. سمه ده؟ عادت نا امید.

د سیستم امنیت خدمت ډیمون

پروګرام SSSD o د سیستم امنیت خدماتو لپاره ډیمون، یوه پروژه ده فیډورا، کوم چې د فیدورا - بل څخه بل پروژې څخه زیږیدلی و وړیا. د دې د خپلو تخلیق کونکو په وینا ، یو لنډ او آزاد ژباړل شوی تعریف به دا وي:

SSSD یو داسې خدمت دی چې د مختلف شناخت او اعتبار ورکولو چمتو کونکو ته لاسرسی چمتو کوي. دا د اصلي LDAP ډومین (د LDAP تصدیق سره د LDAP پر بنسټ پیژندونکي چمتو کونکي) لپاره تنظیم کیدی شي ، یا د کییربروز تصدیق سره د LDAP پیژندونکي چمتو کونکي لپاره. SSSD له لارې سیسټم ته انٹرفیس چمتو کوي NSS y PAM، او د داخليدو وړ پای پای د څو او مختلف حسابونو اصلي سره وصل کیدو لپاره.

موږ باور لرو چې موږ په OpenLDAP کې د راجستر شوي کاروونکو پیژندلو او تایید کولو لپاره خورا پراخه او قوي حل سره مخ یو ، په تیرو مقالو کې ورته اشاره شوي ، یو اړخ چې د هرچا اختیار او د دوی تجربو ته پریښودل کیږي.

په دې مقاله کې وړاندیز شوی حل د ګرځنده کمپیوټرونو او لیپټاپونو لپاره خورا سپارښتنه کیږي ، ځکه چې دا موږ ته د منقولو کار کولو اجازه راکوي ، ځکه چې SSSD په محلي کمپیوټر کې اسناد ساتي.

د جال مثال

  • د ډومین کنټرولر ، DNS ، DHCP: د ClearOS تصدۍ 5.2sp1.
  • د کنټرولونکي نوم: مرکزونه
  • د ډومین نوم: دوستانو. cu
  • کنټرولر IP: 10.10.10.60
  • ---------------
  • د اوبونټو نسخه: د اوبونټو ډیسټاپ 12.04.2 دقیق.
  • د ټیم نوم: سمه
  • IP پته: د DHCP کارول

موږ خپل اوبونتو چمتو کوو

موږ فایل بدل کوو /etc/lightdm/lightdm.conf لاسي ننوتل منو ، او موږ تاسو د لاندې مینځپانګې سره پریږدو:

[SeatDefaults] ګریټر سیشن = د یووالي-ګریټر کارونکي سیشن = اوبنټو ګریټر-ښایسته لارښود -نظیر = ریښتیني ګریټر-پټ-کارونکي = ریښتیني اجازه-میلمه = غلط

د بدلونونو خوندي کولو وروسته ، موږ یې بیاچالان کوو ر Lightا په یوه کونسول کې د غوښتل شوي چې لخوا Ctrl + Alt + F1 او پدې کې موږ د ننوتلو وروسته ، اعدام کوو د sudo خدمت لاټریډم بیا پیلول.

دا د فایل ترمیم کولو لپاره هم وړاندیز کیږي / etc / host او دا د لاندې مینځپانګې سره پریږدئ:

127.0.0.1 سیمه ییز هست 127.0.1.1 precise.amigos.cu precise [----]

پدې توګه موږ د امرونو مناسب ځوابونه ترلاسه کوو کوربه نوم y کوربه نوم –fqdn.

موږ ګورو چې د LDAP سرور کار کوي

موږ فایل بدل کوو /etc/ldap/ldap.conf او بنډل ولګوه ldap-utils:

: ~ $ سوډو نانو /etc/ldap/ldap.conf
[----] BASE dc = ملګري ، dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo وړتیا نصب کړئ ldap-utils: ~ $ ldapsearch -x -b 'dc = ملګري ، dc = cu' '(اعتراض کلاس = *)': ~ d ldapsearch -x -b dc = ملګري ، dc = cu 'uid = ګامونه '
: ~ $ ldapsearch -x -b dc = ملګري ، dc = cu 'uid = legolas' cn gidNumber

د تیرو دوه امرونو سره ، موږ زموږ د ClearOS د OpenLDAP سرور موجودیت چیک کوو. راځئ چې د تیرو امرونو پایلو ته ښه نظر وکړو.

مهم: موږ دا هم تایید کړې چې زموږ په اوپن ایل ډی پی سرور کې د پیژندنې خدمت سم کار کوي.

شبکه-swl-04-کاروونکي

موږ د sssd کڅوړه نصب کوو

دا د بسته نصبولو سپارښتنه هم کیږي د ګوتې ترڅو چکونه د څښاک څخه د څښاک وړ وګرځي ldapsearch:

: ss $ sudo وړتیا د ایس ایس ډي ګوتې نصب کړئ

د نصب کولو بشپړیدو وروسته ، خدمت ssd د دوتنې ورکیدو له امله نه پيلیږي /etc/sssd/sssd.conf. د نصب کولو محصول دا منعکس کوي. نو ځکه ، موږ باید دا فایل رامینځته کړو او دا د بل لږترلږه مینځپانګه:

: ~ $ سوډو نانو /etc/sssd/sssd.conf
[sssd] config_file_version = 2 خدمات = nss، Pam # SSSD به نه پیل شي که تاسو هیڅ ډومینونه تنظیم نه کړئ. # د ډومین نوي تشکیلات اضافه کړئ [ډومین / ] برخې ، او # بیا د ډومینونو لیست اضافه کړئ (په هغه ترتیب کې چې تاسو غواړئ دوی # پوښتل شي) لاندې "ډومینز" خاصیت ته اضافه کړئ او غیر منظم یې کړئ. ډومینونه = amigos.cu [nss] فلټر_ګروپ = د ریښې فلټر_ کارونه = د ریښې پخلاینې_ټریټونه = 3 [پام] بیا پخالینه_ریټری = 3 # LDAP ډومین [ډومین / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema "rfc2307" ته ټاکل کیدی شي ، کوم چې د ګروپ غړو نومونه په # "ممبریود" خاصیت کې ذخیره کوي ، یا "rfc2307bis" ته ، کوم چې د # غړي "خاصیت کې د ډلې غړي DNs ذخیره کوي. که تاسو پدې ارزښت نه پوهیږئ ، نو خپل د LDAP # مدیر څخه وپوښتئ. # د ClearOS ldap_schema = rfc2307 سره کار کوي
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = ملګري ، dc = cu # یادونه چې د شمعې وړ کول به د اعتدال فعالیت فعالیت ولري. # په پایله کې ، د شمیرلو لپاره ډیفالټ ارزښت غلط دی. # د بشپړ توضیحاتو لپاره sssd.conf سړي پا toې ته مراجعه وکړئ. انګیرنه = غلط # په محلي ډول د پټنوم هشونو زېرمه کولو له لارې آفلاین ننوتلونو ته اجازه ورکړئ (اصلي: غلط). cache_credentials = ریښتینی
ldap_tls_reqcert = اجازه
ldap_tls_cacert = /etc/ssl/certs/ca-cerર્ટates.crt

یوځل چې فایل رامینځته شو ، موږ اړونده اجازه لیکونه ورکوو او خدمت بیا پیل کوو:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo خدمت sssd بیا پیل

که موږ غواړو د تیرو فایلونو مینځپانګه بډایه کړو ، نو د اعدام وړاندیز یې کوو سړی sssd.conf او / یا په انټرنیټ کې موجود اسناد سره مشوره وکړئ ، د پوسټ په پیل کې د لینکونو سره پیل کول. هم مشوره وکړئ سړی sssd-ldap. کڅوړه ssd کې یوه بیلګه په /usr/share/doc/sssd/example/sssd-example.conf، کوم چې د مایکروسافټ فعال ډایرکټرۍ پروړاندې د اعتبار لپاره کارول کیدی شي.

اوس موږ کولی شو تر ټولو د څښاک امرونه وکاروو د ګوتې y جینټ:

: $ $ د ګوتو ګامونه
ننوتل: سټریډز نوم: د الی ری لارښود لارښود: / کور / سټریډز شیل: / بن / بېش هیڅکله ننوتل. هیڅ میل نشته. هیڅ پلان نلري.

: do $ sudo geant passwd لیګلاسونه
لیګلاس: *: 1004: 63000: لیګلاس د یلف: / کور / لیګولاس: / بن / باز

موږ لاهم نشو کولی ځان د چلولو لپاره ولیږو او هڅه وکړو چې په LDAP سرور کې د کارونکي په توګه تصدیق کړو. مخکې لدې چې موږ باید فایل ترمیم کړو /etc/pam.d/common-session، نو دا چې د کارونکي فولډر په اوتومات ډول رامینځته کیږي کله چې تاسو خپله ناسته پیل کړئ ، که دا شتون نلري ، او بیا سیسټم ریبوټ کړئ:

[----]
ناستې ته اړتیا ده pam_mkhomedir.so سکیل = / etc / skel / umask = 0022

### پورتنۍ کرښه باید مخکې له مخکې پکې شامله شي
# دلته د هر ګېډۍ ماډلونه دي (د "لومړني" بلاک) [----]

اوس که موږ بیا پیل وکړو:

: do $ سوډبوټ

د ننوتلو وروسته ، د اتصال مینیجر په کارولو سره شبکه له سره وباسه او ننوتل او بیرته دننه. ګړندی په ترمینل کې ځغلي که چیرته او دوی به وګوري چې دا ایتکسینکس دا په بشپړ ډول ترتیب شوی ندی.

شبکه فعاله کړئ. مهرباني وکړئ ننوتل او بیا ننوتل سره بیا چیک کړئ که چیرته.

البته ، په آفلاین کار کولو لپاره ، دا اړینه ده چې ناسته لږترلږه یوځل پیل کړئ پداسې حال کې چې OpenLDAP آنلاین وي ، نو ځکه چې اسناد زموږ په کمپیوټر کې خوندي کیږي.

راځئ چې هیر نکړو چې خارجي کارن په اوپن ایل ډیپ کې راجستر کړئ د اړینو ډلو غړیتوب ولرئ ، تل د نصب کولو پرمهال رامینځته شوي کارونکي ته ګورئ.

که وسایل نه غواړي د لخوا بند شي مڼه اړونده ، بیا په کنسول کې منډه کړئ sudo ځواکفول بندول ، او sudo रीبټ بیا پیلول. دا پاتې ده چې ومومي چې ولې پورتني ځینې وختونه پیښیږي.

يادونه:

اختیار اعلان کړئ ldap_tls_reqcert = هیڅکله نهپه دوتنه کې /etc/sssd/sssd.conf، د امنیت خطر رامینځته کوي لکه څنګه چې په پا onه کې ویل شوي SSSD - FAQ. اصلي ارزښت «دهد تقاضا«. وګورئ سړی sssd-ldap. په هرصورت ، په فصل کې 8.2.5 د ډومینونو تنظیم کول د فیډورا اسنادو څخه ، لاندې بیان شوي:

SSSD په نالیدل شوي چینل د اعتبار ملاتړ نه کوي. په نتیجه کې ، که تاسو غواړئ د LDAP سرور پروړاندې تصدیق وکړئ TLS/SSL or LDAPS اړتیا ده.

SSSD دا په ناتول شوي چینل کې د اعتبار ملاتړ نه کوي. نو ځکه ، که تاسو غواړئ د LDAP سرور پروړاندې مستند شئ ، نو دا به اړین وي TLS / SLL o LDAP.

موږ شخصا فکر کوو چې حل ورته په ګوته شو دا د تصدۍ LAN لپاره کافي دی ، د امنیت له نظره. د WWW کلي له لارې ، موږ د کارولو سره د کوډ شوې چینل پلي کولو وړاندیز کوو ټي ایل ایس یا «د ټرانسپورټ امنیت پرت »، د پیرودونکي کمپیوټر او سرور ترمنځ.

موږ هڅه کوو دا د ځان لاسلیک شوي سندونو درست نسل څخه ترلاسه کولو یا «ځان لاسلیک شو "په ClearOS سرور کې ، مګر موږ نشو کولی. دا په حقیقت کې یوه پاتې ستونزه ده. که کوم لوستونکی پوهیږي چې دا څنګه ترسره کوي ، ښه توضیح یې کړئ!

ګامونه - ناتوانه شوی


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

4 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   elav dijo

    بل مارک ته یوه مقاله 😀

    1.    فیدوکو dijo

      د نظر ورکولو او سلامونو څخه مننه !!!

  2.   Joel dijo

    سلام. زه هڅه کوم چې دا د اوبنټو سرور او بل اوبنټو سره د پیرودونکي په توګه کار وکړم ، او هرڅه وصل شوي خورا ښه کار کوي ، مګر کله چې زه سرور بند کړم یا شبکه له مینځه وړم ، نو دا د کاروونکو پاسورډونه نه مني. زه نه پوهیږم چې زه څه غلط کیدی شم. ایا دا کیدی شي ځکه چې زه د امنیت (ssl) کارولو لپاره د ldap سرور ترتیب نه کړم؟

    1.    بریباوټ dijo

      همدا لامل دی ، ځکه چې تاسو کوډ شوی چینل نلرئ ، نو دا به ستاسو پټنوم ونه مني.