Sieť SWL (V): Debian Wheezy a ClearOS. SSSD autentifikácia proti natívnemu LDAP.

Dobrý deň, priatelia!. Prosím, opakujem, prečítajte si pred «Úvod do siete so slobodným softvérom (I): Prezentácia systému ClearOS»A stiahnite si balík inštalačných obrázkov ClearOS (1,1 mega), aby ste si boli vedomí toho, o čom hovoríme. Bez tohto čítania bude ťažké nás nasledovať.

Démon bezpečnostnej služby systému

Program SSSD o Démon pre službu zabezpečenia systému, je projektom spoločnosti Fedora, ktorý vznikol z iného projektu - tiež z Fedory - tzv Freepa. Podľa vlastných tvorcov by krátka a voľne preložená definícia bola:

SSSD je služba, ktorá poskytuje prístup k rôznym poskytovateľom identity a autentifikácie. Môže byť nakonfigurovaný pre natívnu doménu LDAP (poskytovateľ identity založený na LDAP s autentifikáciou LDAP) alebo pre poskytovateľa identity LDAP s autentifikáciou Kerberos. SSSD poskytuje rozhranie do systému prostredníctvom NSS y PAMa vložiteľné koncové zariadenie na pripojenie k viacerým a rôznym pôvodom účtu.

Veríme, že stojíme pred komplexnejším a robustnejším riešením identifikácie a autentifikácie registrovaných používateľov v OpenLDAP, ako je riešenie uvedené v predchádzajúcich článkoch, čo je aspekt, ktorý je ponechaný na uváženie každého a jeho vlastných skúseností..

Riešenie navrhované v tomto článku je najviac odporúčané pre mobilné počítače a notebooky, pretože nám umožňuje pracovať odpojene, pretože SSSD ukladá prihlasovacie údaje do lokálneho počítača.

Ukážka siete

• Radič domény, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Názov správcu: CentOS
• Doménové meno: friends.cu
• Controller IP: 10.10.10.60
• ---------------
• Verzia Debianu: Sipot.
• Názov tímu: debian7
• IP adresa: Pomocou protokolu DHCP

Skontrolujeme, či server LDAP funguje

Upravíme súbor /etc/ldap/ldap.conf a nainštalujte balík ldap-utils:

: ~ # nano /etc/ldap/ldap.conf
[----] ZÁKLAD dc = priatelia, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = priatelia, dc = cu 'uid = kroky
: ~ $ ldapsearch -x -b dc = priatelia, dc = cu 'uid = legolas' cn gidNumber

Pomocou posledných dvoch príkazov skontrolujeme dostupnosť servera OpenLDAP nášho systému ClearOS. Poďme sa dobre pozrieť na výstupy predchádzajúcich príkazov.

Dôležité: overili sme tiež, že identifikačná služba na našom serveri OpenLDAP funguje správne.

Nainštalujeme balík sssd

Odporúča sa tiež nainštalovať balík prst aby boli kontroly pitnejšie ako ldapsearch:

: ~ # aptitude nainštalovať sssd prst

Po dokončení inštalácie služba ssd sa nespustí z dôvodu chýbajúceho súboru /etc/sssd/sssd.conf. Toto odráža výstup zariadenia. Preto musíme tento súbor vytvoriť a nechať ho s ďalší minimálny obsah:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD sa nespustí, ak nenakonfigurujete žiadne domény. # Pridajte nové konfigurácie domény ako [doména / ] a # a potom pridajte zoznam domén (v poradí, v akom chcete, aby sa na ne dotazovalo #) k atribútu „domains“ nižšie a odkomentujte ho. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # doména LDAP [doména / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema je možné nastaviť na „rfc2307“, ktorý ukladá mená členov skupiny do atribútu # „memberuid“, alebo na „rfc2307bis“, ktorý ukladá DN členov skupiny do # atribútu „member“. Ak túto hodnotu nepoznáte, obráťte sa na svojho správcu LDAP #. # pracuje s ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = priatelia, dc = cu # Upozorňujeme, že povolenie výpočtu bude mať mierny dopad na výkon. # Z toho vyplýva, že predvolená hodnota pre výpočet je FALSE. # Podrobnosti nájdete na manuálovej stránke sssd.conf. enumerate = false # Povoliť offline prihlásenia lokálnym ukladaním hashov hesiel (predvolené nastavenie: false). cache_credentials = true
ldap_tls_reqcert = povoliť
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Po vytvorení súboru pridelíme príslušné povolenia a reštartujeme službu:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # reštart služby sssd

Ak chceme obohatiť obsah predchádzajúceho súboru, odporúčame vykonať muž sssd.conf a / alebo si prečítajte existujúcu dokumentáciu na internete, počnúc odkazmi na začiatku príspevku. Tiež sa poraďte muž sssd-ldap. Balík ssd obsahuje príklad v /usr/share/doc/sssd/examples/sssd-example.conf, ktoré je možné použiť na autentifikáciu proti službe Microsoft Active Directory.

Teraz môžeme používať najpijateľnejšie príkazy prst y getent:

: ~ $ kroky prsta
Prihlásenie: strides Názov: Strides El Rey Adresár: / home / strides Shell: / bin / bash Nikdy neprihlásený. Žiadna pošta. Žiadny plán.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Stále sa nemôžeme autentifikovať ako používateľ servera LDAP. Skôr ako budeme musieť súbor upraviť /etc/pam.d/common-session, takže priečinok používateľa sa automaticky vytvorí pri spustení relácie, ak neexistuje, a potom reštartuje systém:

[----]
vyžaduje sa relácia pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Vyššie uvedený riadok musí byť zahrnutý PRED
# tu sú moduly na balík (blok „Primárne“) [----]

Reštartujeme náš Wheezy:

: ~ # reštart

Po prihlásení odpojte sieť pomocou Správcu pripojení a odhláste sa a znova sa prihláste. Rýchlejšie nič. Spustiť v termináli ifconfig a uvidia, že eth0 nie je vôbec nakonfigurovaný.

Aktivujte sieť. Odhláste sa a znova sa prihláste. Skontrolujte znova pomocou ifconfig.

Pre prácu v režime offline je samozrejme potrebné prihlásiť sa aspoň raz, keď je OpenLDAP online, aby sa poverenia ukladali do nášho počítača.

Nezabudnite urobiť z externého používateľa registrovaného v OpenLDAP člena potrebných skupín, pričom vždy venujte pozornosť používateľovi vytvorenému počas inštalácie.

Poznámka::

Vyhlásiť možnosť ldap_tls_reqcert = nikdy, v priečinku /etc/sssd/sssd.conf, predstavuje bezpečnostné riziko, ako je uvedené na stránke SSSD - časté otázky. Predvolená hodnota je «dopyt«. Pozri muž sssd-ldap. Avšak v kapitole 8.2.5 Konfigurácia domén Z dokumentácie Fedory sa vyžaduje nasledovné:

SSSD nepodporuje autentifikáciu cez nezašifrovaný kanál. Preto, ak sa chcete autentifikovať proti serveru LDAP, buď TLS/SSL or LDAPS je nutné.

SSSD nepodporuje autentifikáciu cez nezašifrovaný kanál. Preto, ak sa chcete autentifikovať proti serveru LDAP, bude to nevyhnutné TLS / SLL o LDAP.

My osobne si myslíme že riešenie riešilo je to z hľadiska bezpečnosti postačujúce pre Enterprise LAN. Prostredníctvom WWW Village odporúčame implementovať šifrovaný kanál pomocou TLS alebo «Vrstva zabezpečenia dopravy »medzi klientskym počítačom a serverom.

Snažíme sa to dosiahnuť správnym generovaním certifikátov podpísaných sebou alebo «Podpísaný sám sebou "Na serveri ClearOS, ale nemohli sme." Je to skutočne nevyriešená otázka. Ak niektorý čitateľ vie, ako na to, uvítajte ho vysvetliť!