СВЛ мрежа (В): Дебиан Вхеези и ЦлеарОС. СССД аутентификација против матичног ЛДАП-а.

Здраво пријатељи! Молим вас, понављам, прочитајте пре «Увод у мрежу са бесплатним софтвером (И): Презентација ЦлеарОС-а»И преузмите пакет инсталационих слика ЦлеарОС Степ-би-Степ (1,1 мега) да бисте били свесни о чему говоримо. Без тог читања биће тешко пратити нас.

Даемон Систем Сецурити Сервице

Програм СССД o Даемон за Систем Сецурити Сервице, је пројекат од федора, који је рођен из другог пројекта - такође из Федоре - тзв ФрееИПА. Према сопственим творцима, кратка и слободно преведена дефиниција била би:

СССД је услуга која омогућава приступ различитим добављачима идентитета и потврде идентитета. Може се конфигурисати за изворни ЛДАП домен (добављач идентитета заснован на ЛДАП-у са ЛДАП аутентификацијом) или за добављача ЛДАП идентитета са Керберос аутентификацијом. СССД пружа интерфејс систему кроз НСС y Пам, и уметнути задњи крај за повезивање са више и различитих порекла налога.

Верујемо да се суочавамо са свеобухватнијим и робуснијим решењем за идентификацију и потврду идентитета регистрованих корисника у ОпенЛДАП-у, од оних која су обрађена у претходним чланцима, аспект који је препуштен дискрецији сваког појединца и његовом сопственом искуству..

Решење предложено у овом чланку се највише препоручује за мобилне рачунаре и преносне рачунаре, јер нам омогућава рад без везе, јер СССД чува акредитиве на локалном рачунару.

Пример мреже

• Контролер домена, ДНС, ДХЦП: ЦлеарОС Ентерприсе 5.2сп1.
• Име контролера: ЦентОС
• Име домена: пријатељи.цу
• ИП контролера: 10.10.10.60
• ---------------
• Дебиан верзија: Вхеези.
• Име тима: дебиан7
• ИП адреса: Коришћење ДХЦП-а

Проверавамо да ли ЛДАП сервер ради

Измењујемо датотеку /етц/лдап/лдап.цонф и инсталирајте пакет лдап-утилс:

: ~ # нано /етц/лдап/лдап.цонф
[----] БАСЕ дц = пријатељи, дц = цу УРИ лдап: //центос.амигос.цу [----]

: ~ # аптитуде инсталл лдап-утилс: ~ $ лдапсеарцх -к -б 'дц = пријатељи, дц = цу' '(објецтцласс = *)': ~ $ лдапсеарцх -к -б дц = пријатељи, дц = цу 'уид = кораци
: ~ $ лдапсеарцх -к -б дц = пријатељи, дц = цу 'уид = леголас' цн гидНумбер

Са последње две команде проверавамо доступност ОпенЛДАП сервера нашег ЦлеарОС-а. Погледајмо добро излазе претходних наредби.

Важно: Такође смо потврдили да Услуга идентификације на нашем ОпенЛДАП серверу ради исправно.

Инсталирамо сссд пакет

Такође се препоручује инсталирање пакета прст како би чекови постали питкији од лдапсеарцх:

: ~ # аптитуде инсталирај сссд прст

По завршетку инсталације, услуга сссд не почиње због недостајуће датотеке /етц/сссд/сссд.цонф. Резултат инсталације то одражава. Стога морамо створити ту датотеку и оставити је са следећи минимални садржај:

: ~ # нано /етц/сссд/сссд.цонф
[сссд] цонфиг_филе_версион = 2 услуге = нсс, пам # СССД се неће покренути ако не конфигуришете ниједан домен. # Додај нове конфигурације домена као [домен / ], и #, а затим додајте листу домена (редоследом којим желите да буду # упитани) атрибуту „домени“ испод и ракоментирајте га. домени = амигос.цу [нсс] филтер_гроупс = роот филтер_усерс = роот рецоннецтион_ретриес = 3 [пам] рецоннецтион_ретриес = 3 # ЛДАП домен [домен / амигос.цу] ид_провидер = лдап
аутх_провидер = лдап
цхпасс_провидер = лдап # лдап_сцхема се може поставити на "рфц2307", који чува имена чланова групе у атрибуту "" мемберуид "или на" рфц2307бис ", који чува ДН чланове групе у # атрибуту" мембер ". Ако не знате ову вредност, питајте свог ЛДАП # администратора. # ради са ЦлеарОС лдап_сцхема = рфц2307
лдап_ури = лдап: //центос.амигос.цу
лдап_сеарцх_басе = дц = пријатељи, дц = цу # Имајте на уму да ће омогућавање набрајања имати умерен утицај на перформансе. # Према томе, подразумевана вредност за набрајање је ФАЛСЕ. # Погледајте детаљне информације о сссд.цонф страници. енумерате = фалсе # Дозволи пријављивање ван мреже локалним чувањем хеша лозинке (подразумевано: фалсе). цацхе_цредентиалс = труе
лдап_тлс_рекцерт = дозволи
лдап_тлс_цацерт = /етц/ссл/цертс/ца-цертифицатес.црт

Једном када је датотека креирана, додељујемо одговарајуће дозволе и поново покрећемо услугу:

: ~ # цхмод 0600 /етц/сссд/сссд.цонф
: ~ # сервис сссд рестарт

Ако желимо да обогатимо садржај претходне датотеке, препоручујемо извршавање човек сссд.цонф и / или консултујте постојећу документацију на Интернету, почевши од веза на почетку поста. Такође се консултујте човек сссд-лдап. Пакет сссд укључује пример у /уср/схаре/доц/сссд/екамплес/сссд-екампле.цонф, који се може користити за потврду идентитета против Мицрософт Ацтиве Дирецтори.

Сада можемо користити најпитке наредбе прст y гетент:

: ~ $ корака прста
Логин: стридес Име: Стридес Ел Реи Директоријум: / хоме / стридес Схелл: / бин / басх Никада пријављен. Нема поште. Без плана.

: ~ $ судо гетент пассвд леголас
леголе: *: 1004: 63000: Леголас вилењак: / хоме / леголас: / бин / басх

Још увек не можемо да се потврдимо као корисник ЛДАП сервера. Пре него што морамо изменити датотеку /етц/пам.д/цоммон-сессион, тако да се корисничка мапа аутоматски креира када започнете сесију, ако она не постоји, а затим поново покрените систем:

[----]
потребна сесија пам_мкхомедир.со скел = / етц / скел / умаск = 0022

### Горњи ред мора бити наведен ПРЕ
# овде су модули по пакету (блок "Примарни") [----]

Поново покрећемо наш Вхеези:

: ~ # ребоот

Након пријављивања, искључите мрежу помоћу Цоннецтион Манагер-а и одјавите се и поново пријавите. Брже ништа. Покрените у терминалу ифцонфиг и видеће да је етхКСНУМКС уопште није конфигурисан.

Активирајте мрежу. Молимо вас да се одјавите и пријавите поново. Проверите поново са ифцонфиг.

Наравно, да бисте радили ван мреже, потребно је да се пријавите бар једном док је ОпенЛДАП на мрежи, тако да се акредитиви чувају на нашем рачунару.

Не заборавимо да спољног корисника регистрованог у ОпенЛДАП-у учинимо чланом потребних група, увек обраћајући пажњу на корисника створеног током инсталације.

Приметити:

Изјави опцију лдап_тлс_рекцерт = никад, у Датотеци /етц/сссд/сссд.цонф, представља безбедносни ризик како је наведено на страници СССД - Честа питања. Подразумевана вредност је «потражња«. Видите човек сссд-лдап. Међутим, у поглављу 8.2.5 Конфигурисање домена Из Федора документације наводи се следеће:

СССД не подржава потврду идентитета преко нешифрованог канала. Сходно томе, ако желите да се аутентификујете против ЛДАП сервера, било који TLS/SSL or LDAPS је потребно.

СССД не подржава потврду идентитета преко нешифрованог канала. Стога, ако желите да се аутентификујете против ЛДАП сервера, биће потребно ТЛС / СЛЛ o ЛДАП.

Ми лично мислимо да се решење бавило са сигурносне тачке гледишта довољно је за ЛАН предузећа. Кроз ВВВ Виллаге препоручујемо примену шифрованог канала користећи ТЛС или «Транспортни ниво заштите », између клијентског рачунара и сервера.

Трудимо се да то постигнемо исправном генерацијом самопотписаних сертификата или «Селф Сигнед „На ЦлеарОС серверу, али нисмо могли. То је у ствари питање на чекању. Ако било који читалац зна како се то ради, добродошао је да то објасни!