Röd SWL (V): Debian Wheezy och ClearOS. SSSD-autentisering mot naturlig LDAP.

Hej kompisar!. Snälla, upprepar jag, läs innan «Introduktion till ett nätverk med fri programvara (I): presentation av ClearOS»Och ladda ner ClearOS steg för steg installationsbildpaket (1,1 mega) för att vara medveten om vad vi pratar om. Utan den läsningen blir det svårt att följa oss.

System Security Service Daemon

Programmet SSSD o Daemon för System Security Service, är ett projekt av fedora, som föddes från ett annat projekt - även från Fedora - kallat FreeIPA. Enligt sina egna skapare skulle en kort och fritt översatt definition vara:

SSSD är en tjänst som ger åtkomst till olika identitets- och autentiseringsleverantörer. Den kan konfigureras för en naturlig LDAP-domän (LDAP-baserad identitetsleverantör med LDAP-autentisering) eller för en LDAP-identitetsleverantör med Kerberos-autentisering. SSSD tillhandahåller gränssnittet till systemet genom NSS y PAM, och en infogbar Back End för att ansluta till flera och olika kontors ursprung.

Vi tror att vi står inför en mer omfattande och robust lösning för identifiering och autentisering av registrerade användare i en OpenLDAP än de som behandlats i föregående artiklar, en aspekt som överlåts åt alla och deras egna erfarenheter.

Lösningen som föreslås i den här artikeln är den mest rekommenderade för mobila datorer och bärbara datorer, eftersom det gör att vi kan arbeta frånkopplade, eftersom SSSD lagrar referenserna på den lokala datorn.

Exempel på nätverk

  • Domänkontrollant, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Kontrollantens namn: centos
  • Domän namn: vänner.cu
  • Styrenhetens IP: 10.10.10.60
  • ---------------
  • Debian-version: Väsande.
  • Lagets namn: debian7
  • IP-adress: Använda DHCP

Vi kontrollerar att LDAP-servern fungerar

Vi ändrar filen /etc/ldap/ldap.conf och installera paketet ldap-verktyg:

: ~ # nano /etc/ldap/ldap.conf
[----] BAS dc = vänner, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude installera ldap-utils: ~ $ ldapsearch -x -b 'dc = vänner, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = vänner, dc = cu 'uid = framsteg
: ~ $ ldapsearch -x -b dc = vänner, dc = cu 'uid = legolas' cn gidNumber

Med de två sista kommandona kontrollerar vi tillgängligheten av OpenLDAP-servern för vår ClearOS. Låt oss ta en titt på utdata från tidigare kommandon.

Viktigt: vi har också verifierat att identifieringstjänsten på vår OpenLDAP-server fungerar korrekt.

nätverk-swl-04-användare

Vi installerar sssd-paketet

Det rekommenderas också att installera paketet finger för att göra kontroller mer drickbara än ldapsearch:

: ~ # aptitude installera sssd finger

Efter installationen, tjänsten ssd startar inte på grund av saknad fil /etc/sssd/sssd.conf. Produktionen från installationen speglar detta. Därför måste vi skapa den filen och lämna den med nästa minsta innehåll:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD startar inte om du inte konfigurerar några domäner. # Lägg till nya domänkonfigurationer som [domän / ] -avsnitt och # lägg sedan till listan med domäner (i den ordning du vill att de ska ifrågasättas) i attributet "domäner" nedan och avmarkera den. domäner = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema kan ställas in på "rfc2307", som lagrar gruppmedlemsnamn i attributet "" medlemuid "eller till" rfc2307bis ", som lagrar gruppmedlems-DN i #" attributet "medlem". Om du inte känner till detta värde, fråga din LDAP # -administratör. # fungerar med ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = vänner, dc = cu # Observera att aktivering av uppräkning kommer att ha en måttlig prestandapåverkan. # Följaktligen är standardvärdet för uppräkning FALSKT. # Se mansidan sssd.conf för fullständig information. enumerate = false # Tillåt inloggningar offline genom att lokalt lagra lösenordshashar (standard: false). cache_credentials = true
ldap_tls_reqcert = tillåt
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

När filen har skapats tilldelar vi motsvarande behörigheter och startar om tjänsten:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # service sssd starta om

Om vi ​​vill berika innehållet i den tidigare filen rekommenderar vi att den körs man sssd.conf och / eller konsultera den befintliga dokumentationen på Internet, med början med länkarna i början av inlägget. Rådfråga också man sssd-ldap. Förpackningen ssd innehåller ett exempel i /usr/share/doc/sssd/examples/sssd-example.conf, som kan användas för att autentisera mot en Microsoft Active Directory.

Nu kan vi använda de mest drickbara kommandona finger y gegent:

: ~ $ fingersteg
Login: strides Namn: Strides El Rey Directory: / home / strides Shell: / bin / bash Inloggad aldrig. Ingen post. Ingen plan.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Vi kan fortfarande inte verifiera som användare av LDAP-servern. Innan vi måste ändra filen /etc/pam.d/common-session, så att användarens mapp automatiskt skapas när du startar din session, om den inte finns och sedan startar om systemet:

[----]
session krävs pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Ovanstående rad måste inkluderas INNAN
# här är modulerna per paket ("Primär" -blocket) [----]

Vi startar om vår Wheezy:

: ~ # starta om

Efter inloggning kopplar du bort nätverket med Connection Manager och loggar ut och åter in. Snabbare ingenting. Kör i en terminal ifconfig och de kommer att se att eth0 den är inte konfigurerad alls.

Aktivera nätverket. Logga ut och logga in igen. Kontrollera igen med ifconfig.

För att arbeta offline är det naturligtvis nödvändigt att logga in minst en gång medan OpenLDAP är online, så att uppgifterna sparas på vår dator.

Låt oss inte glömma att göra den externa användaren registrerad i OpenLDAP till en medlem av de nödvändiga grupperna, alltid uppmärksamma den användare som skapades under installationen.

anteckning:

Förklara alternativ ldap_tls_reqcert = aldrig, i filen /etc/sssd/sssd.conf, utgör en säkerhetsrisk som anges på sidan SSSD - FAQ. Standardvärdet är «Efterfrågan«. Ser man sssd-ldap. Men i kapitlet 8.2.5 Konfigurera domäner Från Fedora-dokumentationen anges följande:

SSSD stöder inte autentisering över en okrypterad kanal. Följaktligen, om du vill autentisera mot en LDAP-server heller TLS/SSL or LDAPS krävs.

SSSD den stöder inte autentisering över en okrypterad kanal. Därför är det nödvändigt om du vill autentisera mot en LDAP-server TLS / SLL o LDAP.

Vi tänker personligen att lösningen adresserades det räcker för ett Enterprise LAN, ur säkerhetssynpunkt. Genom WWW Village rekommenderar vi att du implementerar en krypterad kanal med TLS eller «Transportsäkerhetslager », mellan klientdatorn och servern.

Vi försöker uppnå detta genom rätt generering av självsignerade certifikat eller «Självsignerad ”På ClearOS-servern, men vi kunde inte. Det är verkligen en pågående fråga. Om någon läsare vet hur man gör det, välkommen att förklara det!

debian7.amigos.cu


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

8 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   eliotime3000 sade

    Utmärkt.

    1.    federico sade

      Hälsningar ElioTime3000 och tack för din kommentar !!!

    2.    federico sade

      Hälsningar eliotime3000 och tack för beröm för artikeln !!!

  2.   kurayi sade

    Excellent! Jag vill gratulera författaren till publikationen för att dela sin enorma kunskap och till bloggen för att tillåta publicering av den.

    Tack!

    1.    federico sade

      Tack så mycket för ditt beröm och kommentar !!! Styrka att du ger mig att fortsätta dela kunskap med samhället, där vi alla lär oss.

  3.   fenobarbital sade

    Bra artikel! Observera att när du genererar certifikatet måste du lägga till ldap-konfigurationen (cn = config):

    olcLocalSSF: 71
    olcTLSCACertificateFile: / path / to / ca / ​​cert
    olcTLSCertificateFile: / path / to / public / cert
    olcTLSCertificateKeyFile: / sökväg / till / privat / nyckel
    olcTLSVerifyClient: försök
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Med detta (och generera certifikaten) får du SSL-stöd.

    Hälsningar!

    1.    federico sade

      Tack för ditt bidrag !!! Men jag publicerar 7 artiklar om OpenLDAP i:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      I dem betonar jag användningen av Start TLS före SSL, vilket rekommenderas av openldap.org. Hälsningar @phenobarbital, och tack så mycket för att du kommenterade.
      Min email är federico@dch.ch.gob.cu, om du vill byta mer. Att komma åt Internet går väldigt långsamt för mig.

    2.    fenobarbital sade

      För TLS är konfigurationen densamma, kom ihåg att med SSL görs transporten transparent över en krypterad kanal, medan i TLS förhandlas en tvåvägskryptering för transport av data; med TLS kan handskakningen förhandlas på samma port (389) medan med SSL förhandlas på en alternativ port.
      Ändra följande:
      olcLocalSSF: 128
      olcTLSVerifyClient: tillåt
      olcTLSCipherSuite: NORMAL
      (om du är paranoid om säkerhet som du använder:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      och starta om, du kommer att se senare med:
      gnutls-cli-debug -p 636 ldap.ipm.org.gt

      Löser 'ldap.ipm.org.gt' ...
      Letar efter SSL 3.0-stöd ... ja
      Kontrollerar om% COMPAT krävs ... nej
      Letar efter TLS 1.0-stöd ... ja
      Letar efter TLS 1.1-stöd ... ja
      Kontrollerar reserv från TLS 1.1 till ... Ej tillämpligt
      Letar efter TLS 1.2-stöd ... ja
      Letar efter säkert omförhandlingsstöd ... ja
      Letar efter Safe Renegotiation support (SCSV) ... ja

      Med vilken TLS-stöd också är aktiverat använder du 389 (eller 636) för TLS och 636 (ldaps) för SSL; de är helt oberoende av varandra och du behöver inte ha en inaktiverad för att använda den andra.

      Hälsningar!