Mạng SWL (IV): Ubuntu Precise và ClearOS. Xác thực SSSD so với LDAP gốc.

Xin chào các bạn!. Đi thẳng vào vấn đề, không phải trước khi đọc bài báo «Giới thiệu về mạng có phần mềm miễn phí (I): Trình bày về ClearOS»Và tải xuống gói hình ảnh cài đặt ClearOS Step by Step (1,1 mega), để biết chúng ta đang nói về điều gì. Nếu không có bài đọc đó, sẽ rất khó để theo dõi chúng tôi. Được chứ? Thói quen tuyệt vọng.

Daemon dịch vụ bảo mật hệ thống

Chương trình SSSD o Daemon cho Dịch vụ Bảo mật Hệ thống, là một dự án của Fedora, được sinh ra từ một dự án khác - cũng từ Fedora - được gọi là IPA miễn phí. Theo những người sáng tạo riêng, một định nghĩa ngắn gọn và được dịch tự do sẽ là:

SSSD là một dịch vụ cung cấp quyền truy cập vào các nhà cung cấp Nhận dạng và Xác thực khác nhau. Nó có thể được định cấu hình cho miền LDAP gốc (nhà cung cấp danh tính dựa trên LDAP với xác thực LDAP) hoặc cho nhà cung cấp danh tính LDAP có xác thực Kerberos. SSSD cung cấp giao diện cho hệ thống thông qua NSS y PAMvà một Back End có thể chèn để kết nối với nhiều nguồn tài khoản khác nhau.

Chúng tôi tin rằng chúng tôi đang phải đối mặt với một giải pháp toàn diện và mạnh mẽ hơn để xác định và xác thực người dùng đã đăng ký trong OpenLDAP, so với những giải pháp được đề cập trong các bài viết trước, một khía cạnh được để cho mọi người quyết định và trải nghiệm của riêng họ.

Giải pháp được đề xuất trong bài viết này được khuyến nghị nhất cho máy tính di động và máy tính xách tay, vì nó cho phép chúng tôi làm việc không kết nối, vì SSSD lưu trữ thông tin đăng nhập trên máy tính cục bộ.

Ví dụ về mạng

• Bộ điều khiển miền, DNS, DHCP: ClearOS Enterprise 5.2sp1.
• Tên người điều khiển: centos
• Tên miền: bạn bè.cu
• Bộ điều khiển IP: 10.10.10.60
• ---------------
• Phiên bản Ubuntu: Ubuntu Desktop 12.04.2 Chính xác.
• Tên đội: cần
• Địa chỉ IP: Sử dụng DHCP

Chúng tôi chuẩn bị Ubuntu của chúng tôi

Chúng tôi sửa đổi tệp /etc/lightdm/lightdm.conf để chấp nhận đăng nhập thủ công và chúng tôi để lại cho bạn nội dung sau:

[SeatDefaults] welcomeer-session = union-welcomeer user-session = ubuntu welcomeer-show-manual-login = true welcomeer-hide-users = true allow-guest = false

Sau khi lưu các thay đổi, chúng tôi khởi động lại lightdm trong một bảng điều khiển được gọi bởi Ctrl+Alt+F1 và trong đó chúng tôi thực thi, sau khi đăng nhập, khởi động lại dịch vụ sudo lightdm.

Bạn cũng nên chỉnh sửa tệp / Etc / hosts và để lại nó với nội dung sau:

127.0.0.1 localhost 127.0.1.1 precision.amigos.cu precision [----]

Bằng cách này, chúng tôi nhận được các phản hồi thích hợp cho các lệnh hostname y tên máy chủ –fqdn.

Chúng tôi kiểm tra xem máy chủ LDAP có hoạt động không

Chúng tôi sửa đổi tệp /etc/ldap/ldap.conf và cài đặt gói ldap-utils:

: ~ $ sudo nano /etc/ldap/ldap.conf
[----] BASE dc = friends, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ $ sudo aptitude install ldap-utils: ~ $ ldapsearch -x -b 'dc = friends, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = sải bước '
: ~ $ ldapsearch -x -b dc = friends, dc = cu 'uid = legolas' cn gidNumber

Với hai lệnh cuối cùng, chúng tôi kiểm tra tính khả dụng của máy chủ OpenLDAP của ClearOS. Chúng ta hãy xem xét kỹ kết quả đầu ra của các lệnh trước.

Quan trọng: chúng tôi cũng đã xác minh rằng Dịch vụ nhận dạng trong máy chủ OpenLDAP của chúng tôi hoạt động chính xác.

Chúng tôi cài đặt gói sssd

Nó cũng được khuyến khích để cài đặt gói ngón tay để làm cho séc dễ uống hơn ldapsearch:

: ~ $ sudo aptitude cài đặt ngón tay sssd

Sau khi hoàn thành cài đặt, dịch vụ ssd không bắt đầu do thiếu tệp /etc/sssd/sssd.conf. Kết quả cài đặt phản ánh điều này. Do đó, chúng ta phải tạo tệp đó và để nó với nội dung tối thiểu tiếp theo:

: ~ $ sudo nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2 services = nss, pam # SSSD sẽ không khởi động nếu bạn không định cấu hình bất kỳ miền nào. # Thêm cấu hình miền mới dưới dạng [domain / ], và # sau đó thêm danh sách tên miền (theo thứ tự bạn muốn chúng được truy vấn #) vào thuộc tính "domains" bên dưới và bỏ ghi chú. Domain = amigos.cu [nss] filter_groups = root filter_users = root renection_retries = 3 [pam] renection_retries = 3 # LDAP domain [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema có thể được đặt thành "rfc2307", lưu tên thành viên nhóm trong thuộc tính # "memberuid" hoặc thành "rfc2307bis", lưu trữ DN thành viên nhóm trong # thuộc tính "member". Nếu bạn không biết giá trị này, hãy hỏi quản trị viên LDAP # của bạn. # hoạt động với ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = friends, dc = cu # Lưu ý rằng việc bật tính năng liệt kê sẽ có tác động đến hiệu suất vừa phải. # Do đó, giá trị mặc định cho kiểu liệt kê là FALSE. # Tham khảo trang người đàn ông sssd.conf để biết đầy đủ chi tiết. enumerate = false # Cho phép đăng nhập ngoại tuyến bằng cách lưu trữ cục bộ các băm mật khẩu (mặc định: false). cache_credentials = true
ldap_tls_reqcert = cho phép
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Khi tệp đã được tạo, chúng tôi chỉ định các quyền tương ứng và khởi động lại dịch vụ:

: ~ $ sudo chmod 0600 /etc/sssd/sssd.conf
: ~ $ sudo dịch vụ sssd khởi động lại

Nếu chúng tôi muốn làm phong phú nội dung của tệp trước đó, chúng tôi khuyên bạn nên thực hiện người đàn ông sssd.conf và / hoặc tham khảo tài liệu hiện có trên Internet, bắt đầu bằng các liên kết ở đầu bài đăng. Cũng tham khảo người đàn ông sssd-ldap. Gói ssd bao gồm một ví dụ trong /usr/share/doc/sssd/examples/sssd-example.conf, có thể được sử dụng để xác thực với Microsoft Active Directory.

Bây giờ chúng ta có thể sử dụng các lệnh dễ uống nhất ngón tay y nhận được:

: ~ $ ngón tay sải bước
Đăng nhập: strides Tên: Strides El Rey Thư mục: / home / strides Shell: / bin / bash Chưa từng đăng nhập. Không có thư. Không có kế hoạch.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Chúng tôi vẫn không thể tự gửi để chạy và cố gắng xác thực với tư cách là người dùng trên máy chủ LDAP. Trước khi chúng tôi phải sửa đổi tệp /etc/pam.d/common-session, để thư mục của người dùng được tạo tự động khi họ bắt đầu phiên của mình, nếu nó không tồn tại, rồi khởi động lại hệ thống:

[----]
phiên bắt buộc pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Dòng trên phải được bao gồm TRƯỚC
# đây là các mô-đun cho mỗi gói (khối "Chính") [----]

Bây giờ nếu chúng ta khởi động lại:

: ~ $ sudo khởi động lại

Sau khi đăng nhập, ngắt kết nối mạng bằng Trình quản lý kết nối và đăng xuất và đăng nhập lại. Không có gì nhanh hơn. Chạy trong một thiết bị đầu cuối ifconfig và họ sẽ thấy rằng eth0 nó không được cấu hình ở tất cả.

Kích hoạt mạng. Vui lòng đăng xuất và đăng nhập lại. Kiểm tra lại với ifconfig.

Tất nhiên, để hoạt động ngoại tuyến, cần phải bắt đầu một phiên ít nhất một lần khi OpenLDAP trực tuyến, để thông tin đăng nhập được lưu trên máy tính của chúng tôi.

Đừng quên đặt người dùng bên ngoài đã đăng ký trong OpenLDAP trở thành thành viên của các nhóm cần thiết, luôn chú ý đến người dùng được tạo trong quá trình cài đặt.

Nếu thiết bị không muốn tắt bởi applet tương ứng, sau đó chạy trong bảng điều khiển sudo tắt nguồn để tắt, và sudo reboot khởi động lại. Vẫn còn để tìm hiểu tại sao những điều trên đôi khi xảy ra.

Ghi:

Khai báo tùy chọn ldap_tls_reqcert = không bao giờ, Trong tập tin /etc/sssd/sssd.conf, tạo thành một rủi ro bảo mật như đã nêu trên trang SSSD - Câu hỏi thường gặp. Giá trị mặc định là «nhu cầu«. Xem người đàn ông sssd-ldap. Tuy nhiên, trong chương 8.2.5 Định cấu hình miền Từ tài liệu Fedora, những điều sau được nêu:

SSSD không hỗ trợ xác thực qua kênh không được mã hóa. Do đó, nếu bạn muốn xác thực với máy chủ LDAP, TLS/SSL or LDAPS bắt buộc.

SSSD nó không hỗ trợ xác thực qua một kênh không được mã hóa. Do đó, nếu bạn muốn xác thực với máy chủ LDAP, thì cần phải TLS / SLL o LDAP.

Cá nhân chúng tôi nghĩ rằng giải pháp đã giải quyết nó là đủ cho một mạng LAN doanh nghiệp, theo quan điểm bảo mật. Thông qua WWW Village, chúng tôi khuyên bạn nên triển khai kênh được mã hóa bằng cách sử dụng TLS hoặc là "Lớp bảo mật truyền tải », giữa máy khách và máy chủ.

Chúng tôi cố gắng đạt được điều đó từ đúng thế hệ chứng chỉ Tự ký hoặc «Tự ký “Trên máy chủ ClearOS, nhưng chúng tôi không thể. Trên thực tế, nó là một vấn đề đang chờ xử lý. Nếu bạn đọc nào biết cách làm, xin vui lòng giải thích giúp!