SWL Ağı (IV): Ubuntu Precise ve ClearOS. Yerel LDAP'ye karşı SSSD kimlik doğrulaması.

Merhaba arkadaşlar!. Doğrudan konuya, makaleyi okumadan önce değil «Özgür Yazılım İçeren Bir Ağa Giriş (I): ClearOS Sunumu»Ve neden bahsettiğimizin farkında olmak için Adım Adım ClearOS kurulum görüntüleri paketini (1,1 mega) indirin. Bu okuma olmadan bizi takip etmek zor olacak. Tamam? Alışılmış çaresiz.

Sistem Güvenliği Hizmeti Daemon

Program SSSD o Sistem Güvenliği Hizmeti için Daemon, bir projesidir Fötr şapkaFedora'dan başka bir projeden doğan ücretsizIPA. Kendi yaratıcılarına göre, kısa ve serbestçe çevrilmiş bir tanım şöyle olacaktır:

SSSD, farklı Kimlik ve Kimlik Doğrulama sağlayıcılarına erişim sağlayan bir hizmettir. Yerel bir LDAP etki alanı (LDAP kimlik doğrulamalı LDAP tabanlı kimlik sağlayıcı) veya Kerberos kimlik doğrulamalı bir LDAP kimlik sağlayıcı için yapılandırılabilir. SSSD, sisteme arayüz sağlar. NSS y PAMve birden çok ve farklı hesap kaynaklarına bağlanmak için eklenebilir bir Arka Uç.

Bir OpenLDAP'deki kayıtlı kullanıcıların tanımlanması ve kimlik doğrulaması için, önceki makalelerde ele alınanlardan daha kapsamlı ve sağlam bir çözümle karşı karşıya olduğumuza inanıyoruz, bu da herkesin takdirine ve kendi deneyimlerine bırakılmıştır..

Bu makalede önerilen çözüm, SSSD kimlik bilgilerini yerel bilgisayarda sakladığından bağlantısız çalışmamıza izin verdiği için mobil bilgisayarlar ve dizüstü bilgisayarlar için en çok önerilen çözümdür.

Örnek ağ

• Etki Alanı Denetleyicisi, DNS, DHCP: ClearOS Kurumsal 5.2sp1.
• Denetleyici Adı: CentOS
• Alan adı: friends.cu
• Denetleyici IP'si: 10.10.10.60
• ---------------
• Ubuntu sürümü: Ubuntu Desktop 12.04.2 Kesin.
• Takım adı: gerek
• IP adresi: DHCP kullanma

Ubuntu'mızı hazırlıyoruz

Dosyayı değiştiriyoruz /etc/lightdm/lightdm.conf manuel girişi kabul ediyor ve size aşağıdaki içeriği bırakıyoruz:

[SeatDefaults] greeter-session = birlik-selamlayan kullanıcı-oturumu = ubuntu karşılama-göster-manuel-giriş = doğru karşılama-gizle-kullanıcılar = doğru izin-misafir = yanlış

Değişiklikleri kaydettikten sonra, lightdm tarafından çağrılan bir konsolda Ctrl + Alt + F1 ve içinde oturum açtıktan sonra çalıştırıyoruz, sudo hizmeti lightdm yeniden başlat.

Dosyayı düzenlemeniz de önerilir. / Etc / hosts ve aşağıdaki içerikle bırakın:

127.0.0.1 localhost 127.0.1.1 kesin.amigos.cu hassas [----]

Bu şekilde komutlara uygun yanıtları elde ederiz. hostname y ana bilgisayar adı –fqdn.

LDAP sunucusunun çalışıp çalışmadığını kontrol ediyoruz

Dosyayı değiştiriyoruz /etc/ldap/ldap.conf ve paketi kurun ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = arkadaşlar, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = arkadaşlar, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = arkadaşlar, dc = cu 'uid = adımlar '
: ~ $ ldapsearch -x -b dc = arkadaşlar, dc = cu 'uid = legolas' cn gidNumber

Son iki komutla, ClearOS'umuzun OpenLDAP sunucusunun kullanılabilirliğini kontrol ediyoruz. Önceki komutların çıktılarına iyice bir göz atalım.

Önemli: OpenLDAP sunucumuzdaki Tanımlama Hizmetinin doğru çalıştığını da doğruladık.

Sssd paketini kuruyoruz

Paketin yüklenmesi de önerilir parmak çekleri daha içilebilir hale getirmek için ldapsearch:

: ~ $ sudo aptitude install sssd finger

Kurulumun tamamlanmasının ardından servis ssd eksik dosya nedeniyle başlamıyor /etc/sssd/sssd.conf. Enstalasyonun çıktısı bunu yansıtıyor. Bu nedenle, bu dosyayı oluşturmalı ve onu sonraki minimum içerik:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD herhangi bir etki alanı yapılandırmazsanız başlamaz. # Yeni etki alanı yapılandırmalarını [etki alanı / ] bölümlerini seçin ve # ardından (istediğiniz sırayla # sorgulanmasını istediğiniz sırayla) alanların listesini aşağıdaki "alanlar" özniteliğine ekleyin ve açıklamayı kaldırın. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP alan [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema, grup üye adlarını # "memberuid" özniteliğinde saklayan "rfc2307" veya grup üyesi DN'lerini # "üye" özniteliğinde depolayan "rfc2307bis" olarak ayarlanabilir. Bu değeri bilmiyorsanız, LDAP # yöneticinize sorun. # ClearOS ile çalışır ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = arkadaşlar, dc = cu # Numaralandırmayı etkinleştirmenin performans üzerinde orta düzeyde bir etkisi olacağını unutmayın. # Sonuç olarak, numaralandırma için varsayılan değer FALSE'dir. # Tüm ayrıntılar için sssd.conf man sayfasına bakın. enumerate = false # Parola karmalarını yerel olarak depolayarak çevrimdışı oturum açmaya izin verin (varsayılan: false). cache_credentials = true
ldap_tls_reqcert = izin ver
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Dosya oluşturulduktan sonra, ilgili izinleri atar ve hizmeti yeniden başlatırız:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd yeniden başlat

Önceki dosyanın içeriğini zenginleştirmek istiyorsak, adam sssd.conf ve / veya gönderinin başındaki bağlantılardan başlayarak İnternet'teki mevcut belgelere başvurun. Ayrıca danışın adam sssd-ldap. Paket ssd bir örnek içerir /usr/share/doc/sssd/examples/sssd-example.confMicrosoft Active Directory'ye karşı kimlik doğrulaması yapmak için kullanılabilir.

Artık en içilebilir komutları kullanabiliriz parmak y alıcı:

: ~ $ parmak adımları
Oturum açma: strides Ad: Strides El Rey Dizin: / home / strides Shell: / bin / bash Hiç oturum açmadınız. Posta yok. Plan yok.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas Elf: / home / legolas: / bin / bash

Kendimizi LDAP sunucusunda bir kullanıcı olarak çalıştırmaya ve kimlik doğrulamaya gönderemiyoruz. Dosyayı değiştirmeden önce /etc/pam.d/ortak oturum, böylece oturumunuz yoksa, oturumunuzu başlattığınızda kullanıcının klasörü otomatik olarak oluşturulur ve ardından sistemi yeniden başlatın:

[----]
oturum gerekli pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Yukarıdaki satır ÖNCE dahil edilmelidir
# paket başına modüller ("Birincil" blok) [----]

Şimdi yeniden başlatırsak:

: ~ $ sudo yeniden başlatma

Oturum açtıktan sonra, Bağlantı Yöneticisi'ni kullanarak ağ bağlantısını kesin ve oturumu kapatıp tekrar açın. Daha hızlı hiçbir şey. Bir terminalde çalıştırın ifconfig ve görecekler ki eth0 hiç yapılandırılmamış.

Ağı etkinleştirin. Lütfen çıkış yapın ve tekrar giriş yapın. İle tekrar kontrol edin ifconfig.

Elbette çevrimdışı çalışmak için, kimlik bilgilerinin bilgisayarımıza kaydedilmesi için OpenLDAP çevrimiçiyken en az bir kez oturum başlatmak gerekir.

OpenLDAP'de kayıtlı harici kullanıcıyı, kurulum sırasında oluşturulan kullanıcıya her zaman dikkat ederek, gerekli grupların bir üyesi yapmayı unutmayalım.

Ekipman, cihazı kullanarak kapatmak istemiyorsa uygulaması sonra bir konsolda koş sudo kapatma kapatmak için ve sudo reboot yeniden başlatmak. Yukarıdakilerin bazen neden olduğunu bulmaya devam ediyor.

Dikkat:

Seçenek bildir ldap_tls_reqcert = asla, dosyanın içinde /etc/sssd/sssd.conf, sayfada belirtildiği gibi bir güvenlik riski oluşturur SSSD - SSS. Varsayılan değer «talep«. Görmek adam sssd-ldap. Ancak bölümde 8.2.5 Alanları Yapılandırma Fedora belgelerinde aşağıdakiler belirtilmiştir:

SSSD, şifrelenmemiş bir kanal üzerinden kimlik doğrulamayı desteklemez. Sonuç olarak, bir LDAP sunucusunda kimlik doğrulaması yapmak isterseniz, TLS/SSL or LDAPS gerekli.

SSSD şifrelenmemiş bir kanal üzerinden kimlik doğrulamayı desteklemez. Bu nedenle, bir LDAP sunucusunda kimlik doğrulaması yapmak istiyorsanız, bu gerekli olacaktır. TLS / SLL o LDAP.

Şahsen düşünüyoruz çözümün hitap ettiği güvenlik açısından bir Kurumsal LAN için yeterlidir. WWW Köyü aracılığıyla, şifrelenmiş bir kanalın uygulanmasını öneririz. TLS veya «Taşıma Güvenliği Katmanı », istemci bilgisayar ve sunucu arasında.

Bunu, Kendinden İmzalı sertifikaların doğru neslinden elde etmeye çalışıyoruz veya «Kendinden İmzalı ClearOS sunucusunda, ama yapamadık. Aslında beklemede olan bir konudur. Herhangi bir okuyucu bunu nasıl yapacağını biliyorsa, açıklamaktan memnuniyet duyarız!