Përshëndetje miq!. Ju lutem, e përsëris, lexoni para «Hyrje në një Rrjet me Softuer të Lirë (I): Prezantimi i ClearOS»Dhe shkarkoni paketën e instalimit hap pas hapi të ClearOS (1,1 mega), për të qenë të vetëdijshëm për atë që po flasim. Pa atë lexim do të jetë e vështirë të na ndiqni.
Shërbimi i Sigurisë së Sistemit Daemon
Programi SSSD o Daemon për Shërbimin e Sigurisë së Sistemit, është një projekt i Fedora, i cili lindi nga një projekt tjetër - gjithashtu nga Fedora - i quajtur Pa pagesë IPA. Sipas krijuesve të vet, një përkufizim i shkurtër dhe i përkthyer lirisht do të ishte:
SSSD është një shërbim që siguron qasje në ofrues të ndryshëm të Identitetit dhe Vërtetimit. Mund të konfigurohet për një domen LDAP vendas (ofruesi i identitetit i bazuar në LDAP me vërtetim LDAP), ose për një ofrues identiteti LDAP me vërtetim Kerberos. SSSD siguron ndërfaqen në sistem përmes NSS y Pam, dhe një Fund Mbrapa i futshëm për t'u lidhur me origjina të shumta dhe të ndryshme të llogarisë.
Ne besojmë se po përballemi me një zgjidhje më gjithëpërfshirëse dhe të fuqishme për identifikimin dhe vërtetimin e përdoruesve të regjistruar në një OpenLDAP, sesa ato të trajtuara në artikujt paraardhës, një aspekt që i lihet gjykimit të secilit dhe përvojave të tyre..
Zgjidhja e propozuar në këtë artikull është më e rekomanduara për kompjutera mobil dhe laptopë, pasi na lejon të punojmë të shkëputur, pasi që SSSD ruan kredencialet në kompjuterin lokal.
Rrjeti Shembull
- Kontrolluesi i domenit, DNS, DHCP: Ndërmarrja ClearOS 5.2sp1.
- Emri i kontrolluesit: cent
- Emri i domenit: miqtë.cu
- IP-ja e kontrolluesit: 10.10.10.60
- ---------------
- Versioni Debian: Gulçimë
- Emri i ekipit: debian7
- Adresa IP: Përdorimi i DHCP
Ne kontrollojmë që serveri LDAP po punon
Ne modifikojmë skedarin /etc/ldap/ldap.conf dhe instaloni paketën ldap-utils:
: # nano /etc/ldap/ldap.conf [----] BAZA dc = miq, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aftësi instaloni ldap-utils: ~ $ ldapsearch -x -b 'dc = miq, dc = cu "(objekt klasi = *)": ~ $ ldapsearch -x -b dc = miq, dc = cu' uid = hapa ' : ~ $ ldapsearch -x -b dc = miq, dc = cu 'uid = legolas' cn gidNumri
Me dy komandat e fundit, ne kontrollojmë disponueshmërinë e serverit OpenLDAP të ClearOS-it tonë. Le të shohim mirë rezultatet e komandave të mëparshme.
E rëndësishme: ne gjithashtu kemi verifikuar që Shërbimi i Identifikimit në serverin tonë OpenLDAP funksionon si duhet.
Ne instalojmë paketën sssd
Rekomandohet gjithashtu të instaloni paketën gisht për t'i bërë kontrollet më të pijshëm sesa ldapsearch:
: ~ # aftësi instalo gishtin sssd
Pas përfundimit të instalimit, shërbimi ssd nuk fillon për shkak të skedarit që mungon /etc/sssd/sssd.conf. Prodhimi i instalimit pasqyron këtë. Prandaj, ne duhet ta krijojmë atë skedar dhe ta lëmë atë me përmbajtja tjetër minimale:
: # nano /etc/sssd/sssd.conf [sssd] config_file_version = 2 shërbime = nss, pam # SSSD nuk do të fillojë nëse nuk konfiguroni ndonjë domen. # Shto konfigurime të reja domain si [domain / ] seksionet, dhe # pastaj shtoni listën e domeneve (sipas rendit që dëshironi që ato të # pyeten) në atributin "domains" më poshtë dhe hiqni komentin e saj. domenet = grupet e filtrit = amigos.cu [përdoruesit e filtrit të rrënjës = përdoruesit e rilidhjes së rrënjës = 3 [pam] rikoneksionet e rilidhjes = 3 # fusha LDAP [domeni / amigos.cu] id_provider = ldap siguruesi i autorit = ldap chpass_provider = ldap # ldap_schema mund të vendoset në "rfc2307", i cili ruan emrat e anëtarëve të grupit në atributin # "memberuid", ose në "rfc2307bis", i cili ruan DN-të e anëtarëve të grupit në # atributin "anëtar". Nëse nuk e dini këtë vlerë, pyesni administratorin tuaj LDAP #. # punon me ClearOS ldap_schema = rfc2307 ldap_uri = ldap: //centos.amigos.cu ldap_search_base = dc = miq, dc = cu # Vini re se mundësimi i numërimit do të ketë një ndikim të moderuar të performancës. # Si pasojë, vlera e paracaktuar për numërimin është E GABUAR. # Referojuni faqes sssd.conf për detaje të plota. numëro = false # Lejo hyrjet jashtë linje duke ruajtur lokalisht hashet e fjalëkalimit (parazgjedhur: false). kredencialet e cache = e vërtetë ldap_tls_reqcert = lejo ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
Pasi të jetë krijuar skedari, ne caktojmë lejet përkatëse dhe rifillojmë shërbimin:
: # chmod 0600 /etc/sssd/sssd.conf : ~ # shërbim sssd rinis
Nëse duam të pasurojmë përmbajtjen e skedarit të mëparshëm, ne rekomandojmë ekzekutimin njeriu sssd.konf dhe / ose konsultohuni me dokumentacionin ekzistues në Internet, duke filluar me lidhjet në fillim të postimit. Gjithashtu këshillohuni njeriu sssd-ldap. Pakoja ssd përfshin një shembull në /usr/share/doc/sssd/examples/sssd-example.conf, i cili mund të përdoret për të vërtetuar kundër një Drejtori Active të Microsoft.
Tani mund të përdorim komandat më të pijshme gisht y marr:
: ~ Hapat e gishtave $ Identifikimi: hapat Emri: Drejtimet e Strides El Rey: / home / hapat Shell: / bin / bash Asnjëherë nuk je i regjistruar Nuk ka postë. Asnjë plan. : ~ $ sudo getent passwd legolas legolas: *: 1004: 63000: Legolas Elf: / shtëpi / legolas: / bin / bash
Ende nuk mund të vërtetojmë si përdorues në serverin LDAP. Para se të duhet të modifikojmë skedarin /etc/pam.d/comance-session, në mënyrë që dosja e përdoruesit të krijohet automatikisht kur filloni sesionin tuaj, nëse nuk ekziston, dhe pastaj rindizni sistemin:
[----] seanca e nevojshme pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Rreshti i mësipërm duhet të përfshihet PARA # këtu janë modulet për paketë (blloku "Primar") [----]
Ne rifillojmë Wheezy tonë:
: ~ # reboot
Pasi të keni hyrë, shkëputni rrjetin duke përdorur Menaxherin e Lidhjes dhe dilni dhe përsëri hyni brenda. Asgjë më e shpejtë. Drejtoni në një terminal ifconfig dhe ata do të shohin se eth0 nuk është konfiguruar fare.
Aktivizoni rrjetin. Ju lutemi identifikohuni dhe identifikohuni përsëri. Kontrolloni përsëri me ifconfig.
Sigurisht, për të punuar jashtë linje, është e nevojshme të hyni të paktën një herë ndërsa OpenLDAP është në internet, në mënyrë që kredencialet të ruhen në kompjuterin tonë.
Mos harrojmë ta bëjmë përdoruesin e jashtëm të regjistruar në OpenLDAP një anëtar të grupeve të nevojshme, gjithmonë duke i kushtuar vëmendje përdoruesit të krijuar gjatë instalimit.
Shënim:
Deklaroni opsionin ldap_tls_reqcert = kurrë, në Dosje /etc/sssd/sssd.conf, përbën një rrezik sigurie siç thuhet në faqe SSSD - FAQ. Vlera e paracaktuar është «kërkesë« Shiko njeriu sssd-ldap. Sidoqoftë, në kapitull 8.2.5 Konfigurimi i Domeneve Nga dokumentacioni i Fedora, thuhet si më poshtë:
SSSD nuk mbështet vërtetimin në një kanal të pakriptuar. Si pasojë, nëse doni të vërtetoni kundër një serveri LDAP, ose
TLS/SSL
orLDAPS
nevojitet.SSSD nuk mbështet vërtetimin në një kanal të pakriptuar. Prandaj, nëse doni të vërtetoni kundër një serveri LDAP, do të jetë e nevojshme TLS / SLL o LDAP.
Ne personalisht mendojmë që zgjidhja të adresohet është i mjaftueshëm për një LAN të Ndërmarrjes, nga pikëpamja e sigurisë. Përmes fshatit WWW, ne rekomandojmë zbatimin e një kanali të koduar duke përdorur TLS ose «Shtresa e Sigurisë së Transportit », midis kompjuterit të klientit dhe serverit.
Ne përpiqemi ta arrijmë atë nga gjenerimi i saktë i certifikatave të vetë nënshkruar ose «Nënshkruar vetë “Në serverin ClearOS, por nuk mundëm. Në fakt është një çështje në pritje. Nëse ndonjë lexues e di se si ta bëjë këtë, mirë se vini ta shpjegoni!
Excellent.
Përshëndetje ElioTime3000 dhe faleminderit për komentin !!!
Përshëndetje eliotime3000 dhe faleminderit për lavdërimin e artikullit !!!
Shkëlqyeshëm! Dua të shpreh një urim të madh për autorin e botimit për ndarjen e njohurive të tij të mëdha dhe për blogun për lejimin e botimit të tij.
Faleminderit!
Faleminderit shumë për lavdërimet dhe komentet tuaja !!! Forca që ju më jepni për të vazhduar ndarjen e njohurive me komunitetin, në të cilin të gjithë mësojmë.
Artikull i mirë!, Vini re se në lidhje me përdorimin e certifikatave, kur gjeneroni certifikatën duhet të shtoni në konfigurimin ldap (cn = konfigurim):
olcLocalSSF: 71
Dosja olcTLSCACertificate: / shtegu / në / ca / çert
olcTLSCertificateFile: / shtegu / për / publik / cert
olcTLSCertificateKeyFile: / shtegu / tek / privat / çelësi
olcTLSVerifyClient: provoni
olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1
Me këtë (dhe gjenerimin e certifikatave) do të keni mbështetje SSL.
Përshëndetje!
Faleminderit për kontributin tuaj !!! Sidoqoftë, unë botoj 7 artikuj rreth OpenLDAP në:
http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
https://blog.desdelinux.net/ldap-introduccion/
Në to theksoj përdorimin e Start TLS para SSL, i cili rekomandohet nga openldap.org. Përshëndetje @phenobarbital, dhe faleminderit shumë për komentin.
Emaili im është federico@dch.ch.gob.cu, në rast se doni të shkëmbeni më shumë. Hyrja në internet është shumë e ngadaltë për mua.
Për TLS konfigurimi është i njëjtë, duke kujtuar se me SSL transporti bëhet transparent mbi një kanal të koduar, ndërsa në TLS negociohet një kriptim i dyanshëm për transportin e të dhënave; me TLS shtrëngimi i duarve mund të negociohet në të njëjtën port (389) ndërsa me SSL negocimi bëhet në një port alternativ.
Ndryshoni sa vijon:
olcLocalSSF: 128
olcTLSVerifyClient: lejo
olcTLSCipherSuite: NORMALE
(nëse jeni paranojak për sigurinë që përdorni:
olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)
dhe rifilloni, do ta shihni më vonë me:
gnutls-cli-debug -p 636 ldap.ipm.org.gt
Zgjidhja e 'ldap.ipm.org.gt'
Po kontrollon mbështetjen SSL 3.0… po
Po kontrollon nëse kërkohet% COMPAT… jo
Po kontrollon për mbështetjen e TLS 1.0… po
Po kontrollon për mbështetjen e TLS 1.1… po
Kontrollimi i kthimit nga TLS 1.1 në… N / A
Po kontrollon për mbështetjen e TLS 1.2… po
Po kontrollon për mbështetje të sigurt të rinegocimit ... po
Po kontrollon për mbështetje të sigurt të rinegocimit (SCSV)… po
Me të cilën mbështetja TLS është gjithashtu e aktivizuar, ju përdorni 389 (ose 636) për TLS dhe 636 (ldaps) për SSL; ata janë plotësisht të pavarur nga njëri-tjetri dhe nuk keni nevojë të keni njërën me aftësi të kufizuara për të përdorur tjetrën.
Përshëndetje!