SWL நெட்வொர்க் (IV): உபுண்டு துல்லியமான மற்றும் ClearOS. சொந்த LDAP க்கு எதிரான SSSD அங்கீகாரம்.

வணக்கம் நண்பர்களே!. நேராக, கட்டுரையைப் படிப்பதற்கு முன்பு அல்ல «இலவச மென்பொருள் (I) கொண்ட பிணைய அறிமுகம்: ClearOS இன் விளக்கக்காட்சி»மேலும், நாம் எதைப் பற்றி பேசுகிறோம் என்பதை அறிந்து கொள்ள, ClearOS படி படிப்படியான நிறுவல் படங்கள் தொகுப்பை (1,1 மெகா) பதிவிறக்கவும். அந்த வாசிப்பு இல்லாமல் நம்மைப் பின்தொடர்வது கடினம். சரி? பழக்கவழக்கங்கள்.

கணினி பாதுகாப்பு சேவை டீமான்

திட்டம் எஸ்.எஸ்.எஸ்.டி. o கணினி பாதுகாப்பு சேவைக்கான டீமான், ஒரு திட்டம் ஃபெடோரா, இது ஃபெடோராவிலிருந்து அழைக்கப்பட்ட மற்றொரு திட்டத்திலிருந்து பிறந்தது ஃப்ரீய்பா. அதன் சொந்த படைப்பாளர்களின் கூற்றுப்படி, ஒரு குறுகிய மற்றும் சுதந்திரமாக மொழிபெயர்க்கப்பட்ட வரையறை:

SSSD என்பது வெவ்வேறு அடையாள மற்றும் அங்கீகார வழங்குநர்களுக்கு அணுகலை வழங்கும் ஒரு சேவையாகும். இது ஒரு சொந்த LDAP டொமைனுக்காக (LDAP அங்கீகாரத்துடன் LDAP- அடிப்படையிலான அடையாள வழங்குநர்) அல்லது கெர்பரோஸ் அங்கீகாரத்துடன் LDAP அடையாள வழங்குநருக்காக கட்டமைக்கப்படலாம். SSSD மூலம் கணினிக்கு இடைமுகத்தை வழங்குகிறது என்.எஸ்.எஸ் y பிஏஎம், மற்றும் பல மற்றும் வேறுபட்ட கணக்கு தோற்றங்களுடன் இணைக்க செருகக்கூடிய பின் இறுதியில்.

முந்தைய கட்டுரைகளில் உரையாற்றப்பட்டதை விட, ஒரு திறந்த எல்.டி.ஏ.பி-யில் பதிவுசெய்யப்பட்ட பயனர்களை அடையாளம் காண்பதற்கும் அங்கீகரிப்பதற்கும் ஒரு விரிவான மற்றும் வலுவான தீர்வை நாங்கள் எதிர்கொள்கிறோம் என்று நாங்கள் நம்புகிறோம், இது அனைவரின் விருப்பத்திற்கும் அவர்களின் சொந்த அனுபவங்களுக்கும் விடப்பட்ட ஒரு அம்சமாகும்.

இந்த கட்டுரையில் முன்மொழியப்பட்ட தீர்வு மொபைல் கணினிகள் மற்றும் மடிக்கணினிகளுக்கு மிகவும் பரிந்துரைக்கப்படுகிறது, ஏனெனில் இது துண்டிக்கப்படாமல் செயல்பட அனுமதிக்கிறது, ஏனெனில் SSSD உள்ளூர் கணினியில் சான்றுகளை சேமிக்கிறது.

எடுத்துக்காட்டு பிணையம்

• டொமைன் கன்ட்ரோலர், டி.என்.எஸ், டி.எச்.சி.பி.: ClearOS Enterprise 5.2sp1.
• கட்டுப்படுத்தி பெயர்: CentOS
• டொமைன் பெயர்: friends.cu
• கட்டுப்படுத்தி ஐபி: 10.10.10.60
• ---------------
• உபுண்டு பதிப்பு: உபுண்டு டெஸ்க்டாப் 12.04.2 துல்லியமானது.
• அணியின் பெயர்: துல்லியமான
• ஐபி முகவரி: DHCP ஐப் பயன்படுத்துதல்

நாங்கள் எங்கள் உபுண்டு தயார் செய்கிறோம்

கோப்பை மாற்றியமைக்கிறோம் /etc/lightdm/lightdm.conf கையேடு உள்நுழைவை ஏற்க, பின்வரும் உள்ளடக்கத்துடன் நாங்கள் உங்களை விட்டு விடுகிறோம்:

[சீட் டிஃபால்ட்ஸ்] வாழ்த்து-அமர்வு = ஒற்றுமை-வாழ்த்து பயனர்-அமர்வு = உபுண்டு வாழ்த்து-காட்சி-கையேடு-உள்நுழைவு = உண்மையான வாழ்த்து-மறை-பயனர்கள் = உண்மையான அனுமதி-விருந்தினர் = பொய்

மாற்றங்களைச் சேமித்த பிறகு, நாங்கள் மறுதொடக்கம் செய்கிறோம் லைட்.டி.எம் ஒரு கன்சோலில் செயல்படுத்தப்பட்டது Ctrl+Alt+F1 அதில் உள்நுழைந்த பிறகு, sudo service lightdm மறுதொடக்கம்.

கோப்பைத் திருத்தவும் பரிந்துரைக்கப்படுகிறது / Etc / hosts பின்வரும் உள்ளடக்கத்துடன் அதை விடுங்கள்:

127.0.0.1 லோக்கல் ஹோஸ்ட் 127.0.1.1 துல்லியமான.அமிகோஸ்.கு துல்லியமான [----]

இந்த வழியில் கட்டளைகளுக்கு பொருத்தமான பதில்களைப் பெறுகிறோம் ஹோஸ்ட்பெயரைக் y புரவலன் பெயர் –fqdn.

LDAP சேவையகம் செயல்படுகிறதா என்பதை நாங்கள் சரிபார்க்கிறோம்

கோப்பை மாற்றியமைக்கிறோம் /etc/ldap/ldap.conf தொகுப்பை நிறுவவும் ldap-utils:

: ~ ud sudo nano /etc/ldap/ldap.conf
[----] BASE dc = நண்பர்கள், dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude ldap-utils ஐ நிறுவவும்: ~ d ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ d ldapsearch -x -b dc = friends, dc = cu 'uid = முன்னேற்றம் '
: ~ $ ldapsearch -x -b dc = நண்பர்கள், dc = cu 'uid = legolas' cn gidNumber

கடைசி இரண்டு கட்டளைகளுடன், எங்கள் ClearOS இன் OpenLDAP சேவையகத்தின் கிடைக்கும் தன்மையை சரிபார்க்கிறோம். முந்தைய கட்டளைகளின் வெளியீடுகளை நன்கு பார்ப்போம்.

முக்கியமானது: எங்கள் OpenLDAP சேவையகத்தில் அடையாள சேவை சரியாக வேலை செய்கிறது என்பதையும் சரிபார்க்கிறோம்.

நாங்கள் sssd தொகுப்பை நிறுவுகிறோம்

தொகுப்பை நிறுவவும் பரிந்துரைக்கப்படுகிறது விரல் காசோலைகளை விட குடிக்கக்கூடியதாக மாற்ற ldapsearch:

: sd $ sudo aptitude sssd finger ஐ நிறுவவும்

நிறுவல் முடிந்ததும், சேவை ssd கோப்பு இல்லாததால் தொடங்கவில்லை /etc/sssd/sssd.conf. நிறுவலின் வெளியீடு இதை பிரதிபலிக்கிறது. எனவே, நாம் அந்த கோப்பை உருவாக்கி அதை விட்டுவிட வேண்டும் அடுத்த குறைந்தபட்ச உள்ளடக்கம்:

: ~ ud sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, நீங்கள் எந்த களங்களையும் உள்ளமைக்கவில்லை என்றால் pam # SSSD தொடங்காது. # புதிய டொமைன் உள்ளமைவுகளை [டொமைன் / ] பிரிவுகள், மற்றும் # பின்னர் களங்களின் பட்டியலைச் சேர்க்கவும் (அவை # வினவப்பட வேண்டும் என்று நீங்கள் விரும்பும் வரிசையில்) கீழே உள்ள "களங்கள்" பண்புக்கூறுக்குச் சேர்த்து, அதைக் கட்டுப்படுத்தவும். களங்கள் = amigos.cu [nss] filter_groups = root filter_users = root recnection_retries = 3 [pam] recnection_retries = 3 # LDAP கள [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema ஐ "rfc2307" என அமைக்கலாம், இது குழு உறுப்பினர்களின் பெயர்களை # "memberuid" பண்புக்கூறில் சேமிக்கிறது, அல்லது "rfc2307bis" க்கு குழு உறுப்பினர் DN களை # "உறுப்பினர்" பண்புக்கூறில் சேமிக்கிறது. இந்த மதிப்பு உங்களுக்குத் தெரியாவிட்டால், உங்கள் LDAP # நிர்வாகியிடம் கேளுங்கள். # ClearOS ldap_schema = rfc2307 உடன் வேலை செய்கிறது
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = நண்பர்கள், dc = cu # கணக்கீட்டை இயக்குவது மிதமான செயல்திறன் தாக்கத்தை ஏற்படுத்தும் என்பதை நினைவில் கொள்க. # இதன் விளைவாக, கணக்கீட்டிற்கான இயல்புநிலை மதிப்பு தவறானது. # முழு விவரங்களுக்கு sssd.conf man பக்கத்தைப் பார்க்கவும். enumerate = false # கடவுச்சொல் ஹாஷ்களை உள்நாட்டில் சேமிப்பதன் மூலம் ஆஃப்லைன் உள்நுழைவுகளை அனுமதிக்கவும் (இயல்புநிலை: தவறானது). cache_credentials = உண்மை
ldap_tls_reqcert = அனுமதி
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

கோப்பு உருவாக்கப்பட்டதும், அதனுடன் தொடர்புடைய அனுமதிகளை ஒதுக்கி சேவையை மறுதொடக்கம் செய்கிறோம்:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ud $ சூடோ சேவை sssd மறுதொடக்கம்

முந்தைய கோப்பின் உள்ளடக்கத்தை வளப்படுத்த விரும்பினால், இயக்க பரிந்துரைக்கிறோம் மனிதன் sssd.conf மற்றும் / அல்லது இடுகையின் தொடக்கத்தில் உள்ள இணைப்புகளுடன் தொடங்கி இணையத்தில் இருக்கும் ஆவணங்களை அணுகவும். ஆலோசிக்கவும் மனிதன் sssd-ldap. பொட்டலம் ssd இல் ஒரு எடுத்துக்காட்டு அடங்கும் /usr/share/doc/sssd/examples/sssd-example.conf, இது மைக்ரோசாஃப்ட் ஆக்டிவ் டைரக்டரிக்கு எதிராக அங்கீகரிக்க பயன்படுகிறது.

இப்போது நாம் மிகவும் குடிக்கக்கூடிய கட்டளைகளைப் பயன்படுத்தலாம் விரல் y பெறுதல்:

: $ $ விரல் முன்னேற்றம்
உள்நுழைவு: முன்னேற்றங்கள் பெயர்: ஸ்ட்ரைட்ஸ் எல் ரே அடைவு: / home / strides Shell: / bin / bash ஒருபோதும் உள்நுழையவில்லை. அஞ்சல் இல்லை. திட்டம் இல்லை.

: ud $ sudo getent passwd legolas
லெகோலாஸ்: *: 1004: 63000: லெகோலாஸ் தி எல்ஃப்: / ஹோம் / லெகோலாஸ்: / பின் / பாஷ்

எல்.டி.ஏ.பி சேவையகத்தில் பயனராக அங்கீகரிக்க முயற்சிக்க நாங்கள் இன்னும் நம்மை அனுப்ப முடியாது. நாம் கோப்பை மாற்றுவதற்கு முன் /etc/pam.d/common-session, இதனால் உங்கள் அமர்வைத் தொடங்கும்போது பயனரின் கோப்புறை தானாகவே உருவாக்கப்படும், அது இல்லாவிட்டால், கணினியை மீண்டும் துவக்கவும்:

[----]
அமர்வு தேவை pam_mkhomedir.so skel = / etc / skel / umask = 0022

### மேலே உள்ள வரியை முன் சேர்க்க வேண்டும்
# இங்கே ஒவ்வொரு தொகுப்பு தொகுதிகள் ("முதன்மை" தொகுதி) [----]

இப்போது நாம் மறுதொடக்கம் செய்தால்:

: ud $ சூடோ மறுதொடக்கம்

உள்நுழைந்த பிறகு, இணைப்பு மேலாளரைப் பயன்படுத்தி பிணையத்தைத் துண்டித்து வெளியேறி மீண்டும் உள்நுழைக. வேகமாக எதுவும் இல்லை. ஒரு முனையத்தில் இயக்கவும் ifconfig என்ற அவர்கள் அதை பார்ப்பார்கள் eth0 இது கட்டமைக்கப்படவில்லை.

பிணையத்தை செயல்படுத்தவும். வெளியேறி மீண்டும் உள்நுழைக. உடன் மீண்டும் சரிபார்க்கவும் ifconfig என்ற.

நிச்சயமாக, ஆஃப்லைனில் வேலை செய்ய, ஓபன்எல்டிஏபி ஆன்லைனில் இருக்கும்போது ஒரு முறையாவது ஒரு அமர்வைத் தொடங்குவது அவசியம், இதனால் நற்சான்றிதழ்கள் எங்கள் கணினியில் சேமிக்கப்படும்.

OpenLDAP இல் பதிவுசெய்யப்பட்ட வெளிப்புற பயனரை தேவையான குழுக்களில் உறுப்பினராக்க மறக்க வேண்டாம், நிறுவலின் போது உருவாக்கப்பட்ட பயனருக்கு எப்போதும் கவனம் செலுத்துகிறோம்.

உபகரணங்கள் அணைக்க விரும்பவில்லை என்றால் ஆப்லெட் தொடர்புடையது, பின்னர் ஒரு கன்சோலில் இயக்கவும் சூடோ பவர்ஆஃப் அணைக்க, மற்றும் sudo reboot மறுதொடக்கம் செய்ய. மேற்கூறியவை சில நேரங்களில் ஏன் நிகழ்கின்றன என்பதைக் கண்டுபிடிக்க இது உள்ளது.

குறிப்பு:

விருப்பத்தை அறிவிக்கவும் ldap_tls_reqcert = ஒருபோதும், கோப்பில் /etc/sssd/sssd.conf, பக்கத்தில் கூறப்பட்டுள்ளபடி பாதுகாப்பு அபாயத்தை உருவாக்குகிறது SSSD - கேள்விகள். இயல்புநிலை மதிப்பு «தேவை«. பார் மனிதன் sssd-ldap. எனினும், அத்தியாயத்தில் 8.2.5 களங்களை கட்டமைத்தல் ஃபெடோரா ஆவணத்திலிருந்து, இது பின்வருவனவற்றைக் கேட்கிறது:

மறைகுறியாக்கப்பட்ட சேனலில் அங்கீகாரத்தை SSSD ஆதரிக்கவில்லை. இதன் விளைவாக, நீங்கள் ஒரு LDAP சேவையகத்திற்கு எதிராக அங்கீகரிக்க விரும்பினால் TLS/SSL or LDAPS தேவை.

எஸ்.எஸ்.எஸ்.டி. இது மறைகுறியாக்கப்பட்ட சேனலின் அங்கீகாரத்தை ஆதரிக்காது. எனவே, நீங்கள் ஒரு எல்.டி.ஏ.பி சேவையகத்திற்கு எதிராக அங்கீகரிக்க விரும்பினால், அது அவசியம் டி.எல்.எஸ் / எஸ்.எல்.எல் o LDAP,.

நாங்கள் தனிப்பட்ட முறையில் சிந்திக்கிறோம் தீர்வு உரையாற்றினார் பாதுகாப்பு கண்ணோட்டத்தில் ஒரு நிறுவன லானுக்கு இது போதுமானது. WWW கிராமத்தின் மூலம், ஒரு மறைகுறியாக்கப்பட்ட சேனலைப் பயன்படுத்தி பரிந்துரைக்கிறோம் டிஎல்எஸ் அல்லது «போக்குவரத்து பாதுகாப்பு அடுக்கு », கிளையன்ட் கணினி மற்றும் சேவையகத்திற்கு இடையில்.

சுய கையொப்பமிட்ட சான்றிதழ்களின் சரியான தலைமுறையிலிருந்து அல்லது அதை அடைய முயற்சிக்கிறோம்சுய கையொப்பமிடப்பட்டது “ClearOS சேவையகத்தில், ஆனால் எங்களால் முடியவில்லை. இது உண்மையில் நிலுவையில் உள்ள பிரச்சினை. எந்தவொரு வாசகருக்கும் அதை எப்படி செய்வது என்று தெரிந்தால், அதை விளக்க வரவேற்கிறோம்!