Мережа SWL (IV): Ubuntu Precise та ClearOS. Аутентифікація SSSD проти власного LDAP.

Привіт, друзі!. Прямо до справи, не раніше, ніж прочитати статтю «Вступ до мережі з вільним програмним забезпеченням (I): Презентація ClearOS»І завантажте пакет покрокових установочних зображень ClearOS (1,1 мега), щоб бути в курсі того, про що йде мова. Без цього читання буде важко наслідувати нас. Добре? Звичний відчайдушний.

Демон служби безпеки системи

Програма SSSD o Демон для служби безпеки системи, є проектом Fedora, який народився з іншого проекту - також від Fedora - FreeIPA. На думку власних творців, коротким та вільно перекладеним визначенням буде:

SSSD - це послуга, яка забезпечує доступ до різних постачальників ідентифікаційних даних та автентифікації. Його можна налаштувати для власного домену LDAP (постачальник ідентифікаторів на основі LDAP з автентифікацією LDAP) або для постачальника ідентифікаторів LDAP із автентифікацією Kerberos. SSSD забезпечує інтерфейс до системи через NSS y PAM, і вставний Back End для підключення до кількох та різних джерел облікових записів.

Ми вважаємо, що перед нами стоїть всебічніше та надійніше рішення для ідентифікації та автентифікації зареєстрованих користувачів у OpenLDAP, ніж розглянуті в попередніх статтях, аспект, який залишається на розсуд кожного та його власного досвіду.

Рішення, запропоноване в цій статті, є найбільш рекомендованим для мобільних комп’ютерів та ноутбуків, оскільки воно дозволяє нам працювати без зв’язку, оскільки SSSD зберігає облікові дані на локальному комп’ютері.

Приклад мережі

• Контролер домену, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Ім'я контролера: CentOS
• Доменне ім'я: друзі.cu
• IP контролера: 10.10.10.60
• ---------------
• Версія Ubuntu: Ubuntu Desktop 12.04.2 Точний.
• Назва команди: необхідність
• IP-адреса: Використання DHCP

Ми готуємо наш Ubuntu

Ми модифікуємо файл /etc/lightdm/lightdm.conf прийняти ручний вхід, і ми залишаємо вам такий вміст:

[SeatDefaults] greeter-session = union-greeter user-session = ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest = false

Після збереження змін ми перезапускаємо файл Лайтдм у консолі, яку викликає Ctrl + Alt + F1 і в ньому ми виконуємо, увійшовши в систему, перезапуск служби sudo lightdm.

Також рекомендується відредагувати файл / Etc / хостів і залиште його таким змістом:

127.0.0.1 localhost 127.0.1.1 точний.amigos.cu точний [----]

Таким чином ми отримуємо відповідні відповіді на команди ім'я хоста y ім'я хосту –fqdn.

Ми перевіряємо, чи працює LDAP-сервер

Ми модифікуємо файл /etc/ldap/ldap.conf і встановіть пакет ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = друзі, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude встановити ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = кроки '
: ~ $ ldapsearch -x -b dc = друзі, dc = cu 'uid = legolas' cn gidNumber

За допомогою двох останніх команд ми перевіряємо наявність сервера OpenLDAP нашого ClearOS. Давайте добре розглянемо результати попередніх команд.

Важливо: ми також перевірили, що Служба ідентифікації на нашому сервері OpenLDAP працює правильно.

Встановлюємо пакет sssd

Також рекомендується встановити пакет палець зробити чеки більш питними, ніж ldapsearch:

: ~ $ sudo aptitude встановити sssd finger

По завершенні установки, сервіс ssd не запускається через відсутність файлу /etc/sssd/sssd.conf. Результат установки відображає це. Отже, ми повинні створити цей файл і залишити його в наступний мінімальний вміст:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, пам # SSSD не запускатиметься, якщо ви не налаштуєте жоден домен. # Додайте нові конфігурації домену як [домен / ] та #, а потім додайте список доменів (у тому порядку, в якому ви хочете, щоб їх # запитували) до атрибута "домени" нижче та розкоментуйте його. domains = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # домен LDAP [домен / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema може бути встановлений на "rfc2307", який зберігає імена учасників групи в атрибуті # "memberuid", або на "rfc2307bis", який зберігає ідентифікатори членів групи в # атрибуті "member". Якщо ви не знаєте цього значення, зверніться до адміністратора LDAP #. # працює з ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = друзі, dc = cu # Зверніть увагу, що включення перерахування матиме помірний вплив на продуктивність. # Отже, значення за замовчуванням для перелічення - FALSE. # Зверніться до посібника sssd.conf для отримання детальної інформації. enumerate = false # Дозволити авторизовані входи в систему, локально зберігаючи хеші паролів (за замовчуванням: false). cache_credentials = true
ldap_tls_reqcert = дозволити
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Після створення файлу ми призначаємо відповідні дозволи та перезапускаємо службу:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo service sssd restart

Якщо ми хочемо збагатити вміст попереднього файлу, рекомендуємо виконати людина sssd.conf та / або ознайомитись із наявною документацією в Інтернеті, починаючи із посилань на початку публікації. Також проконсультуйтеся людина sssd-ldap. Пакунок ssd включає приклад у /usr/share/doc/sssd/examples/sssd-example.conf, який можна використовувати для автентифікації проти Microsoft Active Directory.

Тепер ми можемо використовувати найпитніші команди палець y гетент:

: ~ $ кроки пальців
Логін: strides Ім'я: Strides El Rey Каталог: / home / strides Shell: / bin / bash Ніколи не входив. Пошти немає. Немає плану.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Ми все ще не можемо відправити себе для запуску та спроби автентифікації як користувача на сервері LDAP. Перш ніж ми повинні змінити файл /etc/pam.d/common-session, так що папка користувача автоматично створюється під час запуску сеансу, якщо він не існує, а потім перезавантажується система:

[----]
необхідна сесія pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Наведений вище рядок повинен бути включений ПЕРЕД
# ось модулі за пакетом (блок "Основний") [----]

Тепер, якщо ми перезапустимо:

: ~ $ перезавантаження sudo

Після входу в систему від’єднайте мережу за допомогою диспетчера підключень, вийдіть і знову ввійдіть. Швидше нічого. Запустити в терміналі Ifconfig і вони побачать, що eth0 він взагалі не налаштований.

Активуйте мережу. Будь ласка, вийдіть і увійдіть знову. Перевірте ще раз за допомогою Ifconfig.

Звичайно, для роботи в автономному режимі необхідно принаймні один раз розпочати сеанс, поки OpenLDAP перебуває в режимі онлайн, щоб облікові дані зберігалися на нашому комп’ютері.

Не забуваймо зробити зовнішнього користувача, зареєстрованого в OpenLDAP, членом необхідних груп, завжди звертаючи увагу на користувача, створеного під час встановлення.

Якщо обладнання не хоче вимикати за допомогою аплет потім запустіть у консолі sudo вимкнено щоб вимкнути, та перезавантажити sudo перезапустити. Залишається з’ясувати, чому іноді трапляється вищесказане.

Увага:

Заявити варіант ldap_tls_reqcert = ніколи, у файлі /etc/sssd/sssd.conf, становить ризик для безпеки, як зазначено на сторінці SSSD - FAQ. Значення за замовчуванням «Попит«. Подивитися людина sssd-ldap. Однак у главі 8.2.5 Налаштування доменів З документації Fedora зазначено наступне:

SSSD не підтримує автентифікацію за незашифрованим каналом. Отже, якщо ви хочете автентифікуватись проти сервера LDAP, будь-який TLS/SSL or LDAPS не потрібно.

SSSD він не підтримує автентифікацію за незашифрованим каналом. Тому, якщо ви хочете пройти автентифікацію проти сервера LDAP, це буде необхідно TLS / SLL o LDAP.

Ми особисто думаємо що вирішено рішення з точки зору безпеки цього достатньо для корпоративної локальної мережі. Через WWW Village ми рекомендуємо впровадити зашифрований канал за допомогою TLS або «Рівень транспортної безпеки », між клієнтським комп’ютером та сервером.

Ми намагаємось досягти цього завдяки правильному формуванню самопідписаних сертифікатів або «Самопідпис “На сервері ClearOS, але ми не змогли. Це фактично невирішене питання. Якщо будь-який читач знає, як це зробити, ласкаво просимо пояснити це!