СВЛ мрежа (ИВ): Убунту Прецисе и ЦлеарОС. СССД аутентификација против матичног ЛДАП-а.

Здраво пријатељи! Право на ствар, не пре читања чланка «Увод у мрежу са бесплатним софтвером (И): Презентација ЦлеарОС-а»И преузмите ЦлеарОС корак-по-корак инсталациони пакет слика (1,1 мега), да бисте били свесни о чему говоримо. Без тог читања биће тешко пратити нас. У реду? Уобичајено очајно.

Даемон Систем Сецурити Сервице

Програм СССД o Даемон за Систем Сецурити Сервице, је пројекат од федора, који је рођен из другог пројекта - такође из Федоре - тзв ФрееИПА. Према сопственим творцима, кратка и слободно преведена дефиниција била би:

СССД је услуга која омогућава приступ различитим добављачима идентитета и потврде идентитета. Може се конфигурисати за изворни ЛДАП домен (добављач идентитета заснован на ЛДАП-у са ЛДАП аутентификацијом) или за добављача ЛДАП идентитета са Керберос аутентификацијом. СССД пружа интерфејс систему кроз НСС y Пам, и уметнути задњи крај за повезивање са више и различитих порекла налога.

Верујемо да се суочавамо са свеобухватнијим и робуснијим решењем за идентификацију и потврду идентитета регистрованих корисника у ОпенЛДАП-у, од оних која су обрађена у претходним чланцима, аспект који је препуштен дискрецији сваког појединца и његовом сопственом искуству..

Решење предложено у овом чланку се највише препоручује за мобилне рачунаре и преносне рачунаре, јер нам омогућава рад без везе, јер СССД чува акредитиве на локалном рачунару.

Пример мреже

• Контролер домена, ДНС, ДХЦП: ЦлеарОС Ентерприсе 5.2сп1.
• Име контролера: ЦентОС
• Име домена: пријатељи.цу
• ИП контролера: 10.10.10.60
• ---------------
• Убунту верзија: Убунту Десктоп 12.04.2 Прецизно.
• Име тима: прецизан
• ИП адреса: Коришћење ДХЦП-а

Ми припремамо наш Убунту

Измењујемо датотеку /етц/лигхтдм/лигхтдм.цонф да прихватите ручно пријављивање и остављамо вам следећи садржај:

[СеатДефаултс] греетер-сессион = јединство-греетер усер-сессион = убунту греетер-схов-мануал-логин = труе греетер-хиде-усерс = труе аллов-гуест = фалсе

Након чувања промена, поново покрећемо Лигхтдм у конзоли на коју се позива Цтрл + Алт + Ф1 и у њему извршавамо, након пријављивања, судо сервис лигхтдм рестарт.

Такође се препоручује уређивање датотеке / Етц / хостс и оставите га са следећим садржајем:

127.0.0.1 лоцалхост 127.0.1.1 прецизно.амигос.цу прецизно [----]

На тај начин добијамо одговарајуће одговоре на наредбе хоста y име хоста –фкдн.

Проверавамо да ли ЛДАП сервер ради

Измењујемо датотеку /етц/лдап/лдап.цонф и инсталирајте пакет лдап-утилс:

: ~ $ судо нано /етц/лдап/лдап.цонф
[----] БАСЕ дц = пријатељи, дц = цу УРИ лдап: //центос.амигос.цу [----]

: ~ $ судо аптитуде инсталирај лдап-утилс: ~ $ лдапсеарцх -к -б 'дц = пријатељи, дц = цу' '(објецтцласс = *)': ~ $ лдапсеарцх -к -б дц = пријатељи, дц = цу 'уид = кораци '
: ~ $ лдапсеарцх -к -б дц = пријатељи, дц = цу 'уид = леголас' цн гидНумбер

Са последње две команде проверавамо доступност ОпенЛДАП сервера нашег ЦлеарОС-а. Погледајмо добро излазе претходних наредби.

Важно: Такође смо потврдили да Услуга идентификације на нашем ОпенЛДАП серверу ради исправно.

Инсталирамо сссд пакет

Такође се препоручује инсталирање пакета прст како би чекови постали питкији од лдапсеарцх:

: ~ $ судо аптитуде инсталирај сссд прст

По завршетку инсталације, услуга сссд не почиње због недостајуће датотеке /етц/сссд/сссд.цонф. Резултат инсталације то одражава. Стога морамо створити ту датотеку и оставити је са следећи минимални садржај:

: ~ $ судо нано /етц/сссд/сссд.цонф
[сссд] цонфиг_филе_версион = 2 услуге = нсс, пам # СССД се неће покренути ако не конфигуришете ниједан домен. # Додај нове конфигурације домена као [домен / ], и #, а затим додајте листу домена (редоследом којим желите да буду # упитани) атрибуту „домени“ испод и ракоментирајте га. домени = амигос.цу [нсс] филтер_гроупс = роот филтер_усерс = роот рецоннецтион_ретриес = 3 [пам] рецоннецтион_ретриес = 3 # ЛДАП домен [домен / амигос.цу] ид_провидер = лдап
аутх_провидер = лдап
цхпасс_провидер = лдап # лдап_сцхема се може поставити на "рфц2307", који чува имена чланова групе у атрибуту "" мемберуид "или на" рфц2307бис ", који чува ДН чланове групе у # атрибуту" мембер ". Ако не знате ову вредност, питајте свог ЛДАП # администратора. # ради са ЦлеарОС лдап_сцхема = рфц2307
лдап_ури = лдап: //центос.амигос.цу
лдап_сеарцх_басе = дц = пријатељи, дц = цу # Имајте на уму да ће омогућавање набрајања имати умерен утицај на перформансе. # Према томе, подразумевана вредност за набрајање је ФАЛСЕ. # Погледајте детаљне информације о сссд.цонф страници. енумерате = фалсе # Дозволи пријављивање ван мреже локалним чувањем хеша лозинке (подразумевано: фалсе). цацхе_цредентиалс = труе
лдап_тлс_рекцерт = дозволи
лдап_тлс_цацерт = /етц/ссл/цертс/ца-цертифицатес.црт

Једном када је датотека креирана, додељујемо одговарајуће дозволе и поново покрећемо услугу:

: ~ $ судо цхмод 0600 /етц/сссд/сссд.цонф
: ~ $ судо сервице сссд рестарт

Ако желимо да обогатимо садржај претходне датотеке, препоручујемо извршавање човек сссд.цонф и / или консултујте постојећу документацију на Интернету, почевши од веза на почетку поста. Такође се консултујте човек сссд-лдап. Пакет сссд укључује пример у /уср/схаре/доц/сссд/екамплес/сссд-екампле.цонф, који се може користити за потврду идентитета против Мицрософт Ацтиве Дирецтори.

Сада можемо користити најпитке наредбе прст y гетент:

: ~ $ корака прста
Логин: стридес Име: Стридес Ел Реи Директоријум: / хоме / стридес Схелл: / бин / басх Никада пријављен. Нема поште. Без плана.

: ~ $ судо гетент пассвд леголас
леголе: *: 1004: 63000: Леголас вилењак: / хоме / леголас: / бин / басх

Још увек не можемо да се пошаљемо да покренемо и покушамо да се аутентификујемо као корисник на ЛДАП серверу. Пре него што морамо изменити датотеку /етц/пам.д/цоммон-сессион, тако да се корисничка мапа аутоматски креира када започнете сесију, ако она не постоји, а затим поново покрените систем:

[----]
потребна сесија пам_мкхомедир.со скел = / етц / скел / умаск = 0022

### Горњи ред мора бити наведен ПРЕ
# овде су модули по пакету (блок "Примарни") [----]

Сада ако поново покренемо:

: ~ $ судо ребоот

Након пријављивања, искључите мрежу помоћу Цоннецтион Манагер-а и одјавите се и поново пријавите. Брже ништа. Покрените у терминалу ифцонфиг и видеће да је етхКСНУМКС уопште није конфигурисан.

Активирајте мрежу. Молимо вас да се одјавите и пријавите поново. Проверите поново са ифцонфиг.

Наравно, да бисте радили ван мреже, потребно је да започнете сесију најмање једном док је ОпенЛДАП на мрежи, тако да се акредитиви чувају на нашем рачунару.

Не заборавимо да спољног корисника регистрованог у ОпенЛДАП-у учинимо чланом потребних група, увек обраћајући пажњу на корисника створеног током инсталације.

Ако опрема не жели да је искључи апплет одговарајући, а затим покрените у конзоли судо поверофф да се искључи и судо ребоот рестартовати. Остаје да откријемо зашто се горе наведено понекад дешава.

Приметити:

Изјави опцију лдап_тлс_рекцерт = никад, у Датотеци /етц/сссд/сссд.цонф, представља безбедносни ризик како је наведено на страници СССД - Честа питања. Подразумевана вредност је «потражња«. Видите човек сссд-лдап. Међутим, у поглављу 8.2.5 Конфигурисање домена Из Федора документације наводи се следеће:

СССД не подржава потврду идентитета преко нешифрованог канала. Сходно томе, ако желите да се аутентификујете против ЛДАП сервера, било који TLS/SSL or LDAPS је потребно.

СССД не подржава потврду идентитета преко нешифрованог канала. Стога, ако желите да се аутентификујете против ЛДАП сервера, биће потребно ТЛС / СЛЛ o ЛДАП.

Ми лично мислимо да се решење бавило са сигурносне тачке гледишта довољно је за ЛАН предузећа. Кроз ВВВ Виллаге препоручујемо примену шифрованог канала користећи ТЛС или «Транспортни ниво заштите », између клијентског рачунара и сервера.

Трудимо се да то постигнемо исправном генерацијом самопотписаних сертификата или «Селф Сигнед „На ЦлеарОС серверу, али нисмо могли. То је у ствари питање на чекању. Ако било који читалац зна како се то ради, добродошао је да то објасни!