Rrjeti SWL (V): Debian Wheezy dhe ClearOS. Vërtetimi i SSSD kundër LDAP-it vendas.

Përshëndetje miq!. Ju lutem, e përsëris, lexoni para «Hyrje në një Rrjet me Softuer të Lirë (I): Prezantimi i ClearOS»Dhe shkarkoni paketën e instalimit hap pas hapi të ClearOS (1,1 mega), për të qenë të vetëdijshëm për atë që po flasim. Pa atë lexim do të jetë e vështirë të na ndiqni.

Shërbimi i Sigurisë së Sistemit Daemon

Programi SSSD o Daemon për Shërbimin e Sigurisë së Sistemit, është një projekt i Fedora, i cili lindi nga një projekt tjetër - gjithashtu nga Fedora - i quajtur Pa pagesë IPA. Sipas krijuesve të vet, një përkufizim i shkurtër dhe i përkthyer lirisht do të ishte:

SSSD është një shërbim që siguron qasje në ofrues të ndryshëm të Identitetit dhe Vërtetimit. Mund të konfigurohet për një domen LDAP vendas (ofruesi i identitetit i bazuar në LDAP me vërtetim LDAP), ose për një ofrues identiteti LDAP me vërtetim Kerberos. SSSD siguron ndërfaqen në sistem përmes NSS y Pam, dhe një Fund Mbrapa i futshëm për t'u lidhur me origjina të shumta dhe të ndryshme të llogarisë.

Ne besojmë se po përballemi me një zgjidhje më gjithëpërfshirëse dhe të fuqishme për identifikimin dhe vërtetimin e përdoruesve të regjistruar në një OpenLDAP, sesa ato të trajtuara në artikujt paraardhës, një aspekt që i lihet gjykimit të secilit dhe përvojave të tyre..

Zgjidhja e propozuar në këtë artikull është më e rekomanduara për kompjutera mobil dhe laptopë, pasi na lejon të punojmë të shkëputur, pasi që SSSD ruan kredencialet në kompjuterin lokal.

Rrjeti Shembull

  • Kontrolluesi i domenit, DNS, DHCP: Ndërmarrja ClearOS 5.2sp1.
  • Emri i kontrolluesit: cent
  • Emri i domenit: miqtë.cu
  • IP-ja e kontrolluesit: 10.10.10.60
  • ---------------
  • Versioni Debian: Gulçimë
  • Emri i ekipit: debian7
  • Adresa IP: Përdorimi i DHCP

Ne kontrollojmë që serveri LDAP po punon

Ne modifikojmë skedarin /etc/ldap/ldap.conf dhe instaloni paketën ldap-utils:

: # nano /etc/ldap/ldap.conf
[----] BAZA dc = miq, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aftësi instaloni ldap-utils: ~ $ ldapsearch -x -b 'dc = miq, dc = cu "(objekt klasi = *)": ~ $ ldapsearch -x -b dc = miq, dc = cu' uid = hapa '
: ~ $ ldapsearch -x -b dc = miq, dc = cu 'uid = legolas' cn gidNumri

Me dy komandat e fundit, ne kontrollojmë disponueshmërinë e serverit OpenLDAP të ClearOS-it tonë. Le të shohim mirë rezultatet e komandave të mëparshme.

E rëndësishme: ne gjithashtu kemi verifikuar që Shërbimi i Identifikimit në serverin tonë OpenLDAP funksionon si duhet.

përdoruesit e rrjetit-swl-04

Ne instalojmë paketën sssd

Rekomandohet gjithashtu të instaloni paketën gisht për t'i bërë kontrollet më të pijshëm sesa ldapsearch:

: ~ # aftësi instalo gishtin sssd

Pas përfundimit të instalimit, shërbimi ssd nuk fillon për shkak të skedarit që mungon /etc/sssd/sssd.conf. Prodhimi i instalimit pasqyron këtë. Prandaj, ne duhet ta krijojmë atë skedar dhe ta lëmë atë me përmbajtja tjetër minimale:

: # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 shërbime = nss, pam # SSSD nuk do të fillojë nëse nuk konfiguroni ndonjë domen. # Shto konfigurime të reja domain si [domain / ] seksionet, dhe # pastaj shtoni listën e domeneve (sipas rendit që dëshironi që ato të # pyeten) në atributin "domains" më poshtë dhe hiqni komentin e saj. domenet = grupet e filtrit = amigos.cu [përdoruesit e filtrit të rrënjës = përdoruesit e rilidhjes së rrënjës = 3 [pam] rikoneksionet e rilidhjes = 3 # fusha LDAP [domeni / amigos.cu] id_provider = ldap
siguruesi i autorit = ldap
chpass_provider = ldap # ldap_schema mund të vendoset në "rfc2307", i cili ruan emrat e anëtarëve të grupit në atributin # "memberuid", ose në "rfc2307bis", i cili ruan DN-të e anëtarëve të grupit në # atributin "anëtar". Nëse nuk e dini këtë vlerë, pyesni administratorin tuaj LDAP #. # punon me ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = miq, dc = cu # Vini re se mundësimi i numërimit do të ketë një ndikim të moderuar të performancës. # Si pasojë, vlera e paracaktuar për numërimin është E GABUAR. # Referojuni faqes sssd.conf për detaje të plota. numëro = false # Lejo hyrjet jashtë linje duke ruajtur lokalisht hashet e fjalëkalimit (parazgjedhur: false). kredencialet e cache = e vërtetë
ldap_tls_reqcert = lejo
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Pasi të jetë krijuar skedari, ne caktojmë lejet përkatëse dhe rifillojmë shërbimin:

: # chmod 0600 /etc/sssd/sssd.conf
: ~ # shërbim sssd rinis

Nëse duam të pasurojmë përmbajtjen e skedarit të mëparshëm, ne rekomandojmë ekzekutimin njeriu sssd.konf dhe / ose konsultohuni me dokumentacionin ekzistues në Internet, duke filluar me lidhjet në fillim të postimit. Gjithashtu këshillohuni njeriu sssd-ldap. Pakoja ssd përfshin një shembull në /usr/share/doc/sssd/examples/sssd-example.conf, i cili mund të përdoret për të vërtetuar kundër një Drejtori Active të Microsoft.

Tani mund të përdorim komandat më të pijshme gisht y marr:

: ~ Hapat e gishtave $
Identifikimi: hapat Emri: Drejtimet e Strides El Rey: / home / hapat Shell: / bin / bash Asnjëherë nuk je i regjistruar Nuk ka postë. Asnjë plan.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas Elf: / shtëpi / legolas: / bin / bash

Ende nuk mund të vërtetojmë si përdorues në serverin LDAP. Para se të duhet të modifikojmë skedarin /etc/pam.d/comance-session, në mënyrë që dosja e përdoruesit të krijohet automatikisht kur filloni sesionin tuaj, nëse nuk ekziston, dhe pastaj rindizni sistemin:

[----]
seanca e nevojshme pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Rreshti i mësipërm duhet të përfshihet PARA
# këtu janë modulet për paketë (blloku "Primar") [----]

Ne rifillojmë Wheezy tonë:

: ~ # reboot

Pasi të keni hyrë, shkëputni rrjetin duke përdorur Menaxherin e Lidhjes dhe dilni dhe përsëri hyni brenda. Asgjë më e shpejtë. Drejtoni në një terminal ifconfig dhe ata do të shohin se eth0 nuk është konfiguruar fare.

Aktivizoni rrjetin. Ju lutemi identifikohuni dhe identifikohuni përsëri. Kontrolloni përsëri me ifconfig.

Sigurisht, për të punuar jashtë linje, është e nevojshme të hyni të paktën një herë ndërsa OpenLDAP është në internet, në mënyrë që kredencialet të ruhen në kompjuterin tonë.

Mos harrojmë ta bëjmë përdoruesin e jashtëm të regjistruar në OpenLDAP një anëtar të grupeve të nevojshme, gjithmonë duke i kushtuar vëmendje përdoruesit të krijuar gjatë instalimit.

Shënim:

Deklaroni opsionin ldap_tls_reqcert = kurrë, në Dosje /etc/sssd/sssd.conf, përbën një rrezik sigurie siç thuhet në faqe SSSD - FAQ. Vlera e paracaktuar është «kërkesë« Shiko njeriu sssd-ldap. Sidoqoftë, në kapitull 8.2.5 Konfigurimi i Domeneve Nga dokumentacioni i Fedora, thuhet si më poshtë:

SSSD nuk mbështet vërtetimin në një kanal të pakriptuar. Si pasojë, nëse doni të vërtetoni kundër një serveri LDAP, ose TLS/SSL or LDAPS nevojitet.

SSSD nuk mbështet vërtetimin në një kanal të pakriptuar. Prandaj, nëse doni të vërtetoni kundër një serveri LDAP, do të jetë e nevojshme TLS / SLL o LDAP.

Ne personalisht mendojmë që zgjidhja të adresohet është i mjaftueshëm për një LAN të Ndërmarrjes, nga pikëpamja e sigurisë. Përmes fshatit WWW, ne rekomandojmë zbatimin e një kanali të koduar duke përdorur TLS ose «Shtresa e Sigurisë së Transportit », midis kompjuterit të klientit dhe serverit.

Ne përpiqemi ta arrijmë atë nga gjenerimi i saktë i certifikatave të vetë nënshkruar ose «Nënshkruar vetë “Në serverin ClearOS, por nuk mundëm. Në fakt është një çështje në pritje. Nëse ndonjë lexues e di se si ta bëjë këtë, mirë se vini ta shpjegoni!

debian7.amigos.cu


8 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   eliotime3000 dijo

    Excellent.

    1.    federico dijo

      Përshëndetje ElioTime3000 dhe faleminderit për komentin !!!

    2.    federico dijo

      Përshëndetje eliotime3000 dhe faleminderit për lavdërimin e artikullit !!!

  2.   kurayi dijo

    Shkëlqyeshëm! Dua të shpreh një urim të madh për autorin e botimit për ndarjen e njohurive të tij të mëdha dhe për blogun për lejimin e botimit të tij.

    Faleminderit!

    1.    federico dijo

      Faleminderit shumë për lavdërimet dhe komentet tuaja !!! Forca që ju më jepni për të vazhduar ndarjen e njohurive me komunitetin, në të cilin të gjithë mësojmë.

  3.   fenobarbital dijo

    Artikull i mirë!, Vini re se në lidhje me përdorimin e certifikatave, kur gjeneroni certifikatën duhet të shtoni në konfigurimin ldap (cn = konfigurim):

    olcLocalSSF: 71
    Dosja olcTLSCACertificate: / shtegu / në / ca / ​​çert
    olcTLSCertificateFile: / shtegu / për / publik / cert
    olcTLSCertificateKeyFile: / shtegu / tek / privat / çelësi
    olcTLSVerifyClient: provoni
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Me këtë (dhe gjenerimin e certifikatave) do të keni mbështetje SSL.

    Përshëndetje!

    1.    federico dijo

      Faleminderit për kontributin tuaj !!! Sidoqoftë, unë botoj 7 artikuj rreth OpenLDAP në:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      Në to theksoj përdorimin e Start TLS para SSL, i cili rekomandohet nga openldap.org. Përshëndetje @phenobarbital, dhe faleminderit shumë për komentin.
      Emaili im është federico@dch.ch.gob.cu, në rast se doni të shkëmbeni më shumë. Hyrja në internet është shumë e ngadaltë për mua.

    2.    fenobarbital dijo

      Për TLS konfigurimi është i njëjtë, duke kujtuar se me SSL transporti bëhet transparent mbi një kanal të koduar, ndërsa në TLS negociohet një kriptim i dyanshëm për transportin e të dhënave; me TLS shtrëngimi i duarve mund të negociohet në të njëjtën port (389) ndërsa me SSL negocimi bëhet në një port alternativ.
      Ndryshoni sa vijon:
      olcLocalSSF: 128
      olcTLSVerifyClient: lejo
      olcTLSCipherSuite: NORMALE
      (nëse jeni paranojak për sigurinë që përdorni:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      dhe rifilloni, do ta shihni më vonë me:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      Zgjidhja e 'ldap.ipm.org.gt'
      Po kontrollon mbështetjen SSL 3.0… po
      Po kontrollon nëse kërkohet% COMPAT… jo
      Po kontrollon për mbështetjen e TLS 1.0… po
      Po kontrollon për mbështetjen e TLS 1.1… po
      Kontrollimi i kthimit nga TLS 1.1 në… N / A
      Po kontrollon për mbështetjen e TLS 1.2… po
      Po kontrollon për mbështetje të sigurt të rinegocimit ... po
      Po kontrollon për mbështetje të sigurt të rinegocimit (SCSV)… po

      Me të cilën mbështetja TLS është gjithashtu e aktivizuar, ju përdorni 389 (ose 636) për TLS dhe 636 (ldaps) për SSL; ata janë plotësisht të pavarur nga njëri-tjetri dhe nuk keni nevojë të keni njërën me aftësi të kufizuara për të përdorur tjetrën.

      Përshëndetje!