Merhaba arkadaşlar!. Lütfen tekrar ediyorum, daha önce okuyun «Özgür Yazılım İçeren Bir Ağa Giriş (I): ClearOS Sunumu»Ve neden bahsettiğimizin farkında olmak için Adım Adım ClearOS kurulum görüntüleri paketini (1,1 mega) indirin. Bu okuma olmadan bizi takip etmek zor olacak.
Sistem Güvenliği Hizmeti Daemon
Program SSSD o Sistem Güvenliği Hizmeti için Daemon, bir projesidir Fötr şapkaFedora'dan başka bir projeden doğan ücretsizIPA. Kendi yaratıcılarına göre, kısa ve serbestçe çevrilmiş bir tanım şöyle olacaktır:
SSSD, farklı Kimlik ve Kimlik Doğrulama sağlayıcılarına erişim sağlayan bir hizmettir. Yerel bir LDAP etki alanı (LDAP kimlik doğrulamalı LDAP tabanlı kimlik sağlayıcı) veya Kerberos kimlik doğrulamalı bir LDAP kimlik sağlayıcı için yapılandırılabilir. SSSD, sisteme arayüz sağlar. NSS y PAMve birden çok ve farklı hesap kaynaklarına bağlanmak için eklenebilir bir Arka Uç.
Bir OpenLDAP'deki kayıtlı kullanıcıların tanımlanması ve kimlik doğrulaması için, önceki makalelerde ele alınanlardan daha kapsamlı ve sağlam bir çözümle karşı karşıya olduğumuza inanıyoruz, bu da herkesin takdirine ve kendi deneyimlerine bırakılmıştır..
Bu makalede önerilen çözüm, SSSD kimlik bilgilerini yerel bilgisayarda sakladığından bağlantısız çalışmamıza izin verdiği için mobil bilgisayarlar ve dizüstü bilgisayarlar için en çok önerilen çözümdür.
Örnek ağ
- Etki Alanı Denetleyicisi, DNS, DHCP: ClearOS Kurumsal 5.2sp1.
- Denetleyici Adı: CentOS
- Alan adı: friends.cu
- Denetleyici IP'si: 10.10.10.60
- ---------------
- Debian versiyonu: Hırıltılı.
- Takım adı: debian7
- IP adresi: DHCP kullanma
LDAP sunucusunun çalışıp çalışmadığını kontrol ediyoruz
Dosyayı değiştiriyoruz /etc/ldap/ldap.conf ve paketi kurun ldap-utils:
: ~ # nano /etc/ldap/ldap.conf [----] BASE dc = arkadaşlar, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = arkadaşlar, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = arkadaşlar, dc = cu 'uid = adımlar ' : ~ $ ldapsearch -x -b dc = arkadaşlar, dc = cu 'uid = legolas' cn gidNumber
Son iki komutla, ClearOS'umuzun OpenLDAP sunucusunun kullanılabilirliğini kontrol ediyoruz. Önceki komutların çıktılarına iyice bir göz atalım.
Önemli: OpenLDAP sunucumuzdaki Tanımlama Hizmetinin doğru çalıştığını da doğruladık.
Sssd paketini kuruyoruz
Paketin yüklenmesi de önerilir parmak çekleri daha içilebilir hale getirmek için ldapsearch:
: ~ # aptitude sssd parmak yükle
Kurulumun tamamlanmasının ardından servis ssd eksik dosya nedeniyle başlamıyor /etc/sssd/sssd.conf. Enstalasyonun çıktısı bunu yansıtıyor. Bu nedenle, bu dosyayı oluşturmalı ve onu sonraki minimum içerik:
: ~ # nano /etc/sssd/sssd.conf [sssd] config_file_version = 2 services = nss, pam # SSSD herhangi bir etki alanı yapılandırmazsanız başlamaz. # Yeni etki alanı yapılandırmalarını [etki alanı / ] bölümlerini seçin ve # ardından (istediğiniz sırayla # sorgulanmasını istediğiniz sırayla) alanların listesini aşağıdaki "alanlar" özniteliğine ekleyin ve açıklamayı kaldırın. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP alan [domain / amigos.cu] id_provider = ldap auth_provider = ldap chpass_provider = ldap # ldap_schema, grup üye adlarını # "memberuid" özniteliğinde saklayan "rfc2307" veya grup üyesi DN'lerini # "üye" özniteliğinde depolayan "rfc2307bis" olarak ayarlanabilir. Bu değeri bilmiyorsanız, LDAP # yöneticinize sorun. # ClearOS ile çalışır ldap_schema = rfc2307 ldap_uri = ldap: //centos.amigos.cu ldap_search_base = dc = arkadaşlar, dc = cu # Numaralandırmayı etkinleştirmenin performans üzerinde orta düzeyde bir etkisi olacağını unutmayın. # Sonuç olarak, numaralandırma için varsayılan değer FALSE'dir. # Tüm ayrıntılar için sssd.conf man sayfasına bakın. enumerate = false # Parola karmalarını yerel olarak depolayarak çevrimdışı oturum açmaya izin verin (varsayılan: false). cache_credentials = true ldap_tls_reqcert = izin ver ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
Dosya oluşturulduktan sonra, ilgili izinleri atar ve hizmeti yeniden başlatırız:
: ~ # chmod 0600 /etc/sssd/sssd.conf : ~ # hizmet sssd yeniden başlatma
Önceki dosyanın içeriğini zenginleştirmek istiyorsak, adam sssd.conf ve / veya gönderinin başındaki bağlantılardan başlayarak İnternet'teki mevcut belgelere başvurun. Ayrıca danışın adam sssd-ldap. Paket ssd bir örnek içerir /usr/share/doc/sssd/examples/sssd-example.confMicrosoft Active Directory'ye karşı kimlik doğrulaması yapmak için kullanılabilir.
Artık en içilebilir komutları kullanabiliriz parmak y alıcı:
: ~ $ parmak adımları Oturum açma: strides Ad: Strides El Rey Dizin: / home / strides Shell: / bin / bash Hiç oturum açmadınız. Posta yok. Plan yok. : ~ $ sudo getent passwd legolas legolas: *: 1004: 63000: Legolas Elf: / home / legolas: / bin / bash
Yine de LDAP sunucusunun bir kullanıcısı olarak kimlik doğrulaması yapamıyoruz. Dosyayı değiştirmeden önce /etc/pam.d/ortak oturum, böylece oturumunuz yoksa, oturumunuzu başlattığınızda kullanıcının klasörü otomatik olarak oluşturulur ve ardından sistemi yeniden başlatın:
[----]
oturum gerekli pam_mkhomedir.so skel = / etc / skel / umask = 0022
### Yukarıdaki satır ÖNCE dahil edilmelidir
# paket başına modüller ("Birincil" blok) [----]
Wheezy'imizi yeniden başlatıyoruz:
: ~ # yeniden başlatma
Oturum açtıktan sonra, Bağlantı Yöneticisi'ni kullanarak ağ bağlantısını kesin ve oturumu kapatıp tekrar açın. Daha hızlı hiçbir şey. Bir terminalde çalıştırın ifconfig ve görecekler ki eth0 hiç yapılandırılmamış.
Ağı etkinleştirin. Lütfen çıkış yapın ve tekrar giriş yapın. İle tekrar kontrol edin ifconfig.
Elbette çevrimdışı çalışmak için, kimlik bilgilerinin bilgisayarımıza kaydedilmesi için OpenLDAP çevrimiçiyken en az bir kez oturum açmanız gerekir.
OpenLDAP'de kayıtlı harici kullanıcıyı, kurulum sırasında oluşturulan kullanıcıya her zaman dikkat ederek, gerekli grupların bir üyesi yapmayı unutmayalım.
Dikkat:
Seçenek bildir ldap_tls_reqcert = asla, dosyanın içinde /etc/sssd/sssd.conf, sayfada belirtildiği gibi bir güvenlik riski oluşturur SSSD - SSS. Varsayılan değer «talep«. Görmek adam sssd-ldap. Ancak bölümde 8.2.5 Alanları Yapılandırma Fedora belgelerinde aşağıdakiler belirtilmiştir:
SSSD, şifrelenmemiş bir kanal üzerinden kimlik doğrulamayı desteklemez. Sonuç olarak, bir LDAP sunucusunda kimlik doğrulaması yapmak isterseniz,
TLS/SSLorLDAPSgerekli.SSSD şifrelenmemiş bir kanal üzerinden kimlik doğrulamayı desteklemez. Bu nedenle, bir LDAP sunucusunda kimlik doğrulaması yapmak istiyorsanız, bu gerekli olacaktır. TLS / SLL o LDAP.
Şahsen düşünüyoruz çözümün hitap ettiği güvenlik açısından bir Kurumsal LAN için yeterlidir. WWW Köyü aracılığıyla, şifrelenmiş bir kanalın uygulanmasını öneririz. TLS veya «Taşıma Güvenliği Katmanı », istemci bilgisayar ve sunucu arasında.
Bunu, Kendinden İmzalı sertifikaların doğru neslinden elde etmeye çalışıyoruz veya «Kendinden İmzalı ClearOS sunucusunda, ama yapamadık. Aslında beklemede olan bir konudur. Herhangi bir okuyucu bunu nasıl yapacağını biliyorsa, açıklamaktan memnuniyet duyarız!
Mükemmel.
Selamlar ElioTime3000 ve yorum yaptığınız için teşekkürler !!!
Selamlar eliotime3000 ve makale için övgü için teşekkürler !!!
Mükemmel! Yayının yazarını engin bilgi birikimini paylaştığı için ve yayınlanmasına izin verdiği için bloga büyük bir tebrik etmek istiyorum.
Çok teşekkür ederim
Övgü ve yorumunuz için çok teşekkür ederim !!! Hepimizin öğrendiği toplumla bilgiyi paylaşmaya devam etmem için bana verdiğin güç.
Güzel makale! Sertifikaların kullanımıyla ilgili olarak, sertifikayı oluşturduğunuzda ldap yapılandırmasına eklemeniz gerektiğini unutmayın (cn = config):
olcYerelSSF: 71
olcTLSCACertificateFile: / yol / / ca / cert
olcTLSCertificateFile: / yol / / genel / sertifika
olcTLSCertificateKeyFile: / yol / özel / anahtar
olcTLSVerifyClient: deneyin
olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1
Bununla (ve sertifikaları oluştururken) SSL desteğine sahip olacaksınız.
Selamlar!
Katkınız için teşekkürler !!! Ancak OpenLDAP ile ilgili 7 makale yayınlıyorum:
http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
https://blog.desdelinux.net/ldap-introduccion/
Bunlarda, openldap.org tarafından önerilen SSL'den önce TLS'yi başlat kullanımını vurguluyorum. Selamlar @phenobarbital ve yorum yaptığınız için çok teşekkür ederim.
Eposta adresim federico@dch.ch.gob.cu, daha fazla değiş tokuş yapmak istemeniz durumunda. İnternete erişim benim için çok yavaş.
TLS için yapılandırma aynıdır, SSL ile aktarımın şifreli bir kanal üzerinden şeffaf hale getirildiği, TLS'de ise veri aktarımı için iki yönlü bir şifreleme görüşüldüğü hatırlanır; TLS ile anlaşma aynı bağlantı noktasında (389) görüşülebilirken, SSL ile görüşme alternatif bir bağlantı noktasında yapılır.
Aşağıdakileri değiştirin:
olcYerelSSF: 128
olcTLSVerifyClient: izin ver
olcTLSCipherSuite: NORMAL
(kullandığınız güvenlik konusunda paranoyak iseniz:
olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)
ve yeniden başlatın, daha sonra şununla göreceksiniz:
gnutls-cli-debug -p 636 ldap.ipm.org.gt
'Ldap.ipm.org.gt' çözümleniyor…
SSL 3.0 desteği kontrol ediliyor… evet
% COMPAT gerekip gerekmediği kontrol ediliyor… hayır
TLS 1.0 desteği kontrol ediliyor… evet
TLS 1.1 desteği kontrol ediliyor… evet
TLS 1.1'den… N / A'ya geri dönüş kontrol ediliyor
TLS 1.2 desteği kontrol ediliyor… evet
Güvenli yeniden pazarlık desteği kontrol ediliyor… evet
Güvenli yeniden anlaşma desteği (SCSV) kontrol ediliyor… evet
Hangi TLS desteğinin etkinleştirildiği ile, TLS için 389 (veya 636) ve SSL için 636 (ldaps) kullanırsınız; birbirlerinden tamamen bağımsızdırlar ve birini kullanmak için diğerini devre dışı bırakmanıza gerek yoktur.
Selamlar!