Сеть SWL (V): Debian Wheezy и ClearOS. Аутентификация SSSD с использованием собственного LDAP.

Привет друзья!. Пожалуйста, повторяю, прочтите перед «Введение в сеть с бесплатными программами (I): презентация ClearOS»И загрузите пакет установочных образов ClearOS Step-by-Step (1,1 мега), чтобы быть в курсе того, о чем мы говорим. Без этого чтения будет трудно следить за нами.

Демон службы безопасности системы

Программа SSSD o Демон службы безопасности системы, это проект Fedora, который родился из другого проекта - также из Fedora - под названием БесплатноIPA. Согласно его собственным создателям, короткое и свободно переведенное определение будет следующим:

SSSD - это служба, которая обеспечивает доступ к различным поставщикам удостоверений и аутентификации. Его можно настроить для собственного домена LDAP (поставщик удостоверений на основе LDAP с аутентификацией с использованием LDAP) или для поставщика удостоверений LDAP с аутентификацией с использованием Kerberos. SSSD обеспечивает интерфейс с системой через NSS y ВПП, а также вставляемый Back End для подключения к нескольким и разным источникам учетных записей.

Мы считаем, что перед нами более комплексное и надежное решение для идентификации и аутентификации зарегистрированных пользователей в OpenLDAP, чем те, которые рассматривались в предыдущих статьях, и этот аспект остается на усмотрение каждого и его собственного опыта..

Предлагаемое в этой статье решение является наиболее рекомендуемым для мобильных компьютеров и ноутбуков, так как оно позволяет нам работать автономно, поскольку SSSD хранит учетные данные на локальном компьютере.

Пример сети

• Контроллер домена, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Имя контроллера: CentOS
• Доменное имя: friends.cu
• Контроллер IP: 10.10.10.60
• ---------------
• Версия Debian: Уизи.
• Название команды: дебиан7
• IP-адрес: Использование DHCP

Проверяем, что сервер LDAP работает

Модифицируем файл /etc/ldap/ldap.conf и установите пакет ldap-утилиты:

: ~ # нано /etc/ldap/ldap.conf
[----] BASE dc = friends, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = шаги '
: ~ $ ldapsearch -x -b dc = друзья, dc = cu 'uid = legolas' cn gidNumber

С помощью последних двух команд мы проверяем доступность сервера OpenLDAP нашей ClearOS. Давайте внимательно посмотрим на результаты предыдущих команд.

Важно: мы также проверили, что служба идентификации на нашем сервере OpenLDAP работает правильно.

Устанавливаем пакет sssd

Также рекомендуется установить пакет палец сделать чеки более удобными, чем ldapsearch:

: ~ # aptitude install sssd finger

По завершении установки сервис твердотельный накопитель не запускается из-за отсутствия файла /etc/sssd/sssd.conf. Результат установки отражает это. Следовательно, мы должны создать этот файл и оставить его с следующий минимальный контент:

: ~ # нано /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD не запустится, если вы не настроите какие-либо домены. # Добавить новые конфигурации домена как [домен / ] и # затем добавьте список доменов (в том порядке, в котором вы хотите # их запрашивать) в атрибут «домены» ниже и раскомментируйте его. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # домен LDAP [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema может иметь значение «rfc2307», которое сохраняет имена членов группы в атрибуте # «memberuid», или «rfc2307bis», при котором DN членов группы хранится в # атрибуте «member». Если вы не знаете это значение, обратитесь к администратору LDAP #. # работает с ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # Обратите внимание, что включение перечисления будет иметь умеренное влияние на производительность. # Следовательно, значение по умолчанию для перечисления - FALSE. # См. Полную информацию на странице руководства sssd.conf. enumerate = false # Разрешить автономные входы в систему путем локального сохранения хэшей паролей (по умолчанию: false). cache_credentials = true
ldap_tls_reqcert = разрешить
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

После создания файла мы назначаем соответствующие разрешения и перезапускаем службу:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # перезапуск службы sssd

Если мы хотим обогатить содержимое предыдущего файла, мы рекомендуем выполнить человек sssd.conf и / или обратитесь к существующей документации в Интернете, начиная со ссылок в начале сообщения. Также проконсультируйтесь человек sssd-ldap. Пакет твердотельный накопитель включает пример в /usr/доля/doc/sssd/примеры/sssd-example.conf, который можно использовать для аутентификации в Microsoft Active Directory.

Теперь мы можем использовать самые удобные команды палец y получить:

: ~ $ палец шагов
Логин: strides Имя: Strides El Rey Каталог: / home / strides Shell: / bin / bash Не входил в систему. Почты нет. Нет плана.

: ~ $ sudo getent passwd леголас
леголас: *: 1004: 63000: Леголас Эльф: / home / legolas: / bin / bash

Мы по-прежнему не можем пройти аутентификацию как пользователь сервера LDAP. Прежде чем мы должны изменить файл /etc/pam.d/общая сессия, чтобы папка пользователя автоматически создавалась при запуске сеанса, если она не существует, а затем перезагружаете систему:

[----]
требуется сеанс pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Вышеуказанная строка должна быть включена ДО
# вот модули для каждого пакета ("Основной" блок) [----]

Перезапускаем наш Wheezy:

: ~ # перезагрузка

После входа в систему отключите сеть с помощью диспетчера подключений, выйдите из системы и снова войдите. Быстрее ничего. Запустить в терминале Ifconfig и они увидят, что eth0 он вообще не настроен.

Активируйте сеть. Пожалуйста, выйдите из системы и войдите снова. Проверить еще раз с Ifconfig.

Конечно, для работы в автономном режиме необходимо хотя бы один раз войти в систему, пока OpenLDAP находится в сети, чтобы учетные данные были сохранены на нашем компьютере.

Не забываем сделать внешнего пользователя, зарегистрированного в OpenLDAP, членом необходимых групп, всегда обращая внимание на пользователя, созданного при установке.

примечание:

Объявить вариант ldap_tls_reqcert = никогда, в файле /etc/sssd/sssd.conf, представляет собой угрозу безопасности, как указано на странице SSSD - FAQ. Значение по умолчанию - «спрос«. Видеть человек sssd-ldap. Однако в главе 8.2.5 Настройка доменов В документации Fedora указано следующее:

SSSD не поддерживает аутентификацию по незашифрованному каналу. Следовательно, если вы хотите пройти аутентификацию на сервере LDAP, либо TLS/SSL or LDAPS не требуется.

SSSD он не поддерживает аутентификацию по незашифрованному каналу. Поэтому, если вы хотите пройти аутентификацию на сервере LDAP, это будет необходимо TLS / SLL o LDAP.

Мы лично думаем что решение адресовано с точки зрения безопасности этого достаточно для корпоративной локальной сети. Через WWW Village мы рекомендуем реализовать зашифрованный канал, используя TLS или же "Уровень безопасности транспорта »между клиентским компьютером и сервером.

Мы стараемся добиться этого за счет правильной генерации самоподписанных сертификатов или «Самоподписанный «На сервере ClearOS, но мы не смогли. На самом деле это нерешенная проблема. Если кто-то из читателей знает, как это сделать, добро пожаловать, чтобы объяснить!