Привет друзья!. Сразу к делу, не раньше прочтения статьи «Введение в сеть с бесплатными программами (I): презентация ClearOS»И загрузите пакет установочных образов ClearOS Step-by-Step (1,1 мега), чтобы быть в курсе того, о чем мы говорим. Без этого чтения за нами будет трудно следить. Хорошо? Привычный отчаянный.
Демон службы безопасности системы
Программа SSSD o Демон службы безопасности системы, это проект Fedora, который родился из другого проекта - также из Fedora - под названием БесплатноIPA. Согласно его собственным создателям, короткое и свободно переведенное определение будет следующим:
SSSD - это служба, которая обеспечивает доступ к различным поставщикам удостоверений и аутентификации. Его можно настроить для собственного домена LDAP (поставщик удостоверений на основе LDAP с аутентификацией с использованием LDAP) или для поставщика удостоверений LDAP с аутентификацией с использованием Kerberos. SSSD обеспечивает интерфейс с системой через NSS y ВПП, а также вставляемый Back End для подключения к нескольким и разным источникам учетных записей.
Мы считаем, что перед нами более комплексное и надежное решение для идентификации и аутентификации зарегистрированных пользователей в OpenLDAP, чем те, которые рассматривались в предыдущих статьях, и этот аспект остается на усмотрение каждого и его собственного опыта..
Предлагаемое в этой статье решение является наиболее рекомендуемым для мобильных компьютеров и ноутбуков, так как оно позволяет нам работать автономно, поскольку SSSD хранит учетные данные на локальном компьютере.
Пример сети
- Контроллер домена, DNS, DHCP: ClearOS Enterprise 5.2sp1.
- Имя контроллера: CentOS
- Доменное имя: friends.cu
- Контроллер IP: 10.10.10.60
- ---------------
- Версия Ubuntu: Ubuntu Desktop 12.04.2 Точная.
- Название команды: необходимость
- IP-адрес: Использование DHCP
Готовим наш Ubuntu
Модифицируем файл /etc/lightdm/lightdm.conf принять вход в систему вручную, и мы оставим вам следующий контент:
[SeatDefaults] greeter-session = unity-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false
После сохранения изменений перезапускаем лайтдм в консоли, вызванной Ctrl + Alt + F1 и в нем выполняем, после входа в систему, sudo service lightdm перезапуск.
Также рекомендуется отредактировать файл / Etc / хостов и оставьте его со следующим содержанием:
127.0.0.1 localhost 127.0.1.1 точный.amigos.cu точный [----]
Таким образом мы получаем соответствующие ответы на команды хоста y имя хоста –fqdn.
Проверяем, что сервер LDAP работает
Модифицируем файл /etc/ldap/ldap.conf и установите пакет ldap-утилиты:
: ~ $ sudo nano /etc/ldap/ldap.conf [----] BASE dc = friends, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = шаги ' : ~ $ ldapsearch -x -b dc = друзья, dc = cu 'uid = legolas' cn gidNumber
С помощью последних двух команд мы проверяем доступность сервера OpenLDAP нашей ClearOS. Давайте внимательно посмотрим на результаты предыдущих команд.
Важно: мы также проверили, что служба идентификации на нашем сервере OpenLDAP работает правильно.
Устанавливаем пакет sssd
Также рекомендуется установить пакет палец сделать чеки более удобными, чем ldapsearch:
: ~ $ sudo aptitude install sssd finger
По завершении установки сервис твердотельный накопитель не запускается из-за отсутствия файла /etc/sssd/sssd.conf. Результат установки отражает это. Следовательно, мы должны создать этот файл и оставить его с следующий минимальный контент:
: ~ $ sudo nano /etc/sssd/sssd.conf [sssd] config_file_version = 2 services = nss, pam # SSSD не запустится, если вы не настроите какие-либо домены. # Добавить новые конфигурации домена как [домен / ] и # затем добавьте список доменов (в том порядке, в котором вы хотите # их запрашивать) в атрибут «домены» ниже и раскомментируйте его. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # домен LDAP [domain / amigos.cu] id_provider = ldap auth_provider = ldap chpass_provider = ldap # ldap_schema может иметь значение «rfc2307», которое сохраняет имена членов группы в атрибуте # «memberuid», или «rfc2307bis», при котором DN членов группы хранится в # атрибуте «member». Если вы не знаете это значение, обратитесь к администратору LDAP #. # работает с ClearOS ldap_schema = rfc2307 ldap_uri = ldap: //centos.amigos.cu ldap_search_base = dc = friends, dc = cu # Обратите внимание, что включение перечисления будет иметь умеренное влияние на производительность. # Следовательно, значение по умолчанию для перечисления - FALSE. # См. Полную информацию на странице руководства sssd.conf. enumerate = false # Разрешить автономные входы в систему путем локального сохранения хэшей паролей (по умолчанию: false). cache_credentials = true ldap_tls_reqcert = разрешить ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
После создания файла мы назначаем соответствующие разрешения и перезапускаем службу:
: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf : ~ $ sudo service sssd restart
Если мы хотим обогатить содержимое предыдущего файла, мы рекомендуем выполнить человек sssd.conf и / или обратитесь к существующей документации в Интернете, начиная со ссылок в начале сообщения. Также проконсультируйтесь человек sssd-ldap. Пакет твердотельный накопитель включает пример в /usr/доля/doc/sssd/примеры/sssd-example.conf, который можно использовать для аутентификации в Microsoft Active Directory.
Теперь мы можем использовать самые удобные команды палец y получить:
: ~ $ палец шагов Логин: strides Имя: Strides El Rey Каталог: / home / strides Shell: / bin / bash Не входил в систему. Почты нет. Нет плана. : ~ $ sudo getent passwd леголас леголас: *: 1004: 63000: Леголас Эльф: / home / legolas: / bin / bash
Мы по-прежнему не можем запустить себя и попытаться пройти аутентификацию в качестве пользователя на сервере LDAP. Прежде чем мы должны изменить файл /etc/pam.d/общая сессия, чтобы папка пользователя автоматически создавалась при запуске сеанса, если она не существует, а затем перезагружаете систему:
[----] требуется сеанс pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Вышеуказанная строка должна быть включена ДО # вот модули для каждого пакета ("Основной" блок) [----]
Теперь, если мы перезапустим:
: ~ $ sudo перезагрузка
После входа в систему отключите сеть с помощью диспетчера подключений, выйдите из системы и снова войдите. Быстрее ничего. Запустить в терминале Ifconfig и они увидят, что eth0 он вообще не настроен.
Активируйте сеть. Пожалуйста, выйдите из системы и войдите снова. Проверить еще раз с Ifconfig.
Конечно, для работы в автономном режиме необходимо хотя бы один раз запустить сеанс, пока OpenLDAP находится в сети, чтобы учетные данные были сохранены на нашем компьютере.
Не забываем сделать внешнего пользователя, зарегистрированного в OpenLDAP, членом необходимых групп, всегда обращая внимание на пользователя, созданного при установке.
Если оборудование не желает отключать апплет соответствующий, затем запустите в консоли судо poweroff выключить, и перезагрузка sudo перезагрузить. Осталось выяснить, почему такое иногда случается.
примечание:
Объявить вариант ldap_tls_reqcert = никогда, в файле /etc/sssd/sssd.conf, представляет собой угрозу безопасности, как указано на странице SSSD - FAQ. Значение по умолчанию - «спрос«. Видеть человек sssd-ldap. Однако в главе 8.2.5 Настройка доменов В документации Fedora указано следующее:
SSSD не поддерживает аутентификацию по незашифрованному каналу. Следовательно, если вы хотите пройти аутентификацию на сервере LDAP, либо
TLS/SSL
orLDAPS
не требуется.SSSD он не поддерживает аутентификацию по незашифрованному каналу. Поэтому, если вы хотите пройти аутентификацию на сервере LDAP, это будет необходимо TLS / SLL o LDAP.
Мы лично думаем что решение адресовано с точки зрения безопасности этого достаточно для корпоративной локальной сети. Через WWW Village мы рекомендуем реализовать зашифрованный канал, используя TLS или же "Уровень безопасности транспорта »между клиентским компьютером и сервером.
Мы стараемся добиться этого за счет правильной генерации самоподписанных сертификатов или «Самоподписанный «На сервере ClearOS, но мы не смогли. На самом деле это нерешенная проблема. Если кто-то из читателей знает, как это сделать, добро пожаловать, чтобы объяснить!
Еще одна статья в Закладки 😀
Спасибо за комментарий и привет !!!
Привет. Я пытаюсь заставить его работать с сервером ubuntu и другим ubuntu в качестве клиента, и все подключено, все работает очень хорошо, но когда я останавливаю сервер или отключаю сеть, он не принимает пароли пользователей. Понятия не имею, что я делаю не так. Может быть, это из-за того, что у меня нет сервера ldap, настроенного для использования безопасности (ssl)?
Именно поэтому, поскольку у вас нет зашифрованного канала, он не примет ваш пароль.