Nẹtiwọọki SWL (V): Debian Wheezy ati ClearOS. Ijẹrisi SSSD lodi si abinibi LDAP.

Kaabo awọn ọrẹ !. Jọwọ, Mo tun sọ, ka ṣaaju «Ifihan si Nẹtiwọọki pẹlu Sọfitiwia ọfẹ (I): Ifihan ti ClearOS»Ati ṣe igbasilẹ package awọn fifi sori ẹrọ Igbese-nipasẹ-Igbese ClearOS (1,1 mega), lati ni akiyesi ohun ti a n sọrọ nipa. Laisi kika yẹn o yoo nira lati tẹle wa.

Iṣẹ Aabo Eto Daemon

Eto naa SSD o Daemon fun Iṣẹ Aabo Eto, jẹ iṣẹ akanṣe ti Fedora, eyiti a bi lati inu iṣẹ akanṣe miiran-tun lati Fedora- ti a pe Ọfẹ IPA. Gẹgẹbi awọn ẹlẹda tirẹ, itumọ kukuru ati larọwọto itumọ yoo jẹ:

SSSD jẹ iṣẹ ti o pese iraye si oriṣiriṣi idanimọ ati awọn olupese Ijeri. O le tunto fun ibugbe LDAP abinibi (olupese idanimọ orisun LDAP pẹlu ijẹrisi LDAP), tabi fun olupese idanimọ LDAP pẹlu ijẹrisi Kerberos. SSSD n pese wiwo si eto nipasẹ SSN y Pam, ati Afikun Afẹhinti ifibọ lati sopọ si ọpọ ati awọn orisun iroyin oriṣiriṣi.

A gbagbọ pe a nkọju si okeerẹ diẹ sii ati ojutu to lagbara fun idanimọ ati idaniloju ti awọn olumulo ti a forukọsilẹ ni OpenLDAP, ju awọn ti a ṣalaye ninu awọn nkan ti o ṣaju, abala kan ti o fi silẹ fun lakaye ti gbogbo eniyan ati awọn iriri tiwọn..

Ojutu ti a dabaa ninu nkan yii ni a ṣe iṣeduro julọ fun awọn kọnputa alagbeka ati kọǹpútà alágbèéká, nitori o gba wa laaye lati ṣiṣẹ asopọ, niwon SSSD tọju awọn iwe-ẹri lori kọnputa agbegbe.

Nẹtiwọọki apẹẹrẹ

  • Oludari Aṣẹ, DNS, DHCP: Idawọlẹ ClearOS 5.2sp1.
  • Orukọ Adarí: senti
  • Orukọ ase: ọrẹ.cu
  • Adarí IP: 10.10.10.60
  • ---------------
  • Ẹya Debian: Whezy.
  • Egbe egbe: Debian7
  • Adirẹsi IP: Lilo DHCP

A ṣayẹwo pe olupin LDAP n ṣiṣẹ

A ṣe atunṣe faili naa /etc/ldap/ldap.conf ki o si fi package sii Awọn ohun elo ldap:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = awọn ọrẹ, dc = cu URI ldap: //centos.amigos.cu [----]
: ~ # aptitude fi sori ẹrọ awọn ohun elo ldap: ~ $ ldapsearch -x -b 'dc = awọn ọrẹ, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = awọn ọrẹ, dc = cu 'uid = awọn igbesẹ '
: ~ $ ldapsearch -x -b dc = awọn ọrẹ, dc = cu 'uid = legolas' cn gidNumber

Pẹlu awọn ofin meji to kẹhin, a ṣayẹwo wiwa ti olupin OpenLDAP ti ClearOS wa. Jẹ ki a wo awọn abajade ti awọn ofin ti tẹlẹ.

Pataki: a tun ti rii daju pe Iṣẹ Idanimọ ninu olupin OpenLDAP wa n ṣiṣẹ ni deede.

nẹtiwọọki-swl-04-awọn olumulo

A fi sori ẹrọ package sssd

O tun ṣe iṣeduro lati fi sori ẹrọ package ika lati ṣe awọn sọwedowo diẹ mimu ju awọn ldapsearch:

: ~ # aptitude fi ika sssd sii

Lẹhin ipari ti fifi sori ẹrọ, iṣẹ naa ssd ko bẹrẹ nitori faili ti o padanu /etc/sssd/sssd.conf. Iṣajade ti fifi sori ẹrọ ṣe afihan eyi. Nitorinaa, a gbọdọ ṣẹda faili yẹn ki o fi silẹ pẹlu tókàn kere akoonu:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = Awọn iṣẹ 2 = nss, pam # SSSD kii yoo bẹrẹ ti o ko ba tunto awọn ibugbe kankan. # Ṣafikun awọn atunto agbegbe tuntun bi [ašẹ / ] awọn apakan, ati # lẹhinna ṣafikun atokọ ti awọn ibugbe (ni aṣẹ ti o fẹ ki wọn beere # ni ibeere) si ikawe "awọn ibugbe" ni isalẹ ati ṣoki rẹ. awọn ibugbe = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP ìkápá [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema ni a le ṣeto si "rfc2307", eyiti o tọju awọn orukọ ọmọ ẹgbẹ ninu ẹya # "memberuid", tabi si "rfc2307bis", eyiti o tọju awọn ẹgbẹ ẹgbẹ DNs ni ẹbun # ẹgbẹ "." Ti o ko ba mọ iye yii, beere olutọju LDAP # rẹ. # n ṣiṣẹ pẹlu ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = awọn ọrẹ, dc = cu # Akiyesi pe ṣiṣe kika yoo ni ipa iṣẹ ṣiṣe alabọde. # Nitori naa, iye aiyipada fun kika ni IKU. # Tọkasi oju-iwe eniyan sssd.conf fun awọn alaye ni kikun. enumerate = eke # Gba awọn ibuwolu wọle ni aisinipo laaye nipasẹ titoju awọn eli igbaniwọle ti agbegbe (aiyipada: eke) cache_credentials = otitọ
ldap_tls_reqcert = gba laaye
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Lọgan ti a ti ṣẹda faili, a fi awọn igbanilaaye ti o baamu silẹ ki o tun bẹrẹ iṣẹ naa:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # iṣẹ sssd tun bẹrẹ

Ti a ba fẹ lati bùkún akoonu ti faili ti tẹlẹ, a ṣeduro ṣiṣe eniyan sssd.conf ati / tabi kan si awọn iwe aṣẹ ti o wa lori Intanẹẹti, bẹrẹ pẹlu awọn ọna asopọ ni ibẹrẹ ifiweranṣẹ. Tun kan si alagbawo ọkunrin sssd-ldap. Apoti naa ssd pẹlu apẹẹrẹ ninu /usr/share/doc/sssd/emples/sssd-example.conf, eyiti a le lo lati jẹrisi lodi si Ilana Iroyin Microsoft.

Bayi a le lo awọn ofin mimu julọ ika y gba wọle:

: ~ $ ika ẹsẹ
Wọle: awọn strides Orukọ: Strides El Rey Directory: / ile / awọn atẹgun Ikarahun: / bin / bash Ko wọle. Ko si meeli. Ko si Eto.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / ile / legolas: / bin / bash

A ko tun le jẹri bi olumulo ti olupin LDAP. Ṣaaju ki a to ṣe atunṣe faili naa /etc/pam.d/ipo-igba, ki folda olumulo ni a ṣẹda laifọwọyi nigbati o ba bẹrẹ igba rẹ, ti ko ba si, ati lẹhinna atunbere eto naa:

[---]
igba ti a nilo pam_mkhomedir.so skel = / ati be be lo / skel / umask = 0022

### Laini ti o wa loke gbọdọ wa ni Ṣaaju
# nibi ni awọn modulu fun-package (bulọọki “Akọbẹrẹ”) [----]

A tun bẹrẹ Wheezy wa:

: ~ # atunbere

Lẹhin ti o wọle, ge asopọ nẹtiwọọki nipa lilo Oluṣakoso Asopọ ki o jade ki o pada sẹhin. Yiyara ohunkohun. Ṣiṣe ni ebute kan ifconfig nwọn o si ri pe awọn eth0 ko ṣe atunto rara.

Mu nẹtiwọọki ṣiṣẹ. Jọwọ jade ki o wọle lẹẹkansi. Ṣayẹwo lẹẹkansi pẹlu ifconfig.

Nitoribẹẹ, lati ṣiṣẹ ni aisinipo, o jẹ dandan lati wọle ni o kere ju lẹẹkan nigba ti OpenLDAP wa lori ayelujara, ki awọn iwe eri naa wa ni fipamọ lori kọnputa wa.

Jẹ ki a maṣe gbagbe lati jẹ ki olumulo ita ti a forukọsilẹ ni OpenLDAP ọmọ ẹgbẹ ti awọn ẹgbẹ pataki, nigbagbogbo ṣe akiyesi si olumulo ti o ṣẹda lakoko fifi sori ẹrọ.

Akọsilẹ:

Sọ aṣayan ldap_tls_reqcert = rara, ninu Faili naa /etc/sssd/sssd.conf, jẹ eewu aabo bi a ti sọ lori oju-iwe naa SSSD - Awọn ibeere. Iye aiyipada ni «eletan«. Wo ọkunrin sssd-ldap. Sibẹsibẹ, ninu ori iwe 8.2.5 Awọn atunto Awọn ibugbe Lati iwe Fedora, atẹle yii ni a sọ:

SSSD ko ṣe atilẹyin ìfàṣẹsí lori ikanni ti ko ni aṣiri. Nitorinaa, ti o ba fẹ lati jeri si olupin LDAP kan, boya TLS/SSL or LDAPS o ni lati fi si.

SSD ko ṣe atilẹyin ìfàṣẹsí lori ikanni ti ko ni aṣiri. Nitorinaa, ti o ba fẹ jẹrisi lodi si olupin LDAP, yoo jẹ dandan TLS / SLL o LDAP.

A tikalararẹ ro pe ojutu naa koju o to fun LAN Idawọlẹ, lati oju wiwo aabo. Nipasẹ abule WWW, a ṣe iṣeduro imuse ikanni ti paroko ni lilo TLS tabi «Ipele Aabo Irinna, laarin kọmputa alabara ati olupin.

A gbiyanju lati ṣaṣeyọri rẹ lati iran ti o tọ ti awọn iwe-ẹri Sowo ara ẹni tabi «Ara Fowo ara ẹni “Lori olupin ClearOS, ṣugbọn a ko le ṣe. O jẹ ni otitọ ọrọ isunmọtosi kan. Ti eyikeyi oluka ba mọ bi o ṣe le ṣe, ṣe itẹwọgba lati ṣalaye rẹ!

debian7.amigos.cu


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Awọn asọye 8, fi tirẹ silẹ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade.

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.

  1.   igbagbogbo3000 wi

    O tayọ

    1.    Frederick wi

      Ẹ Ẹ ElioTime3000 ati ọpẹ fun asọye !!!

    2.    Frederick wi

      Ẹ kí eliotime3000 ati ọpẹ fun iyin fun nkan naa !!!

  2.   kurayi wi

    O dara julọ! Mo fẹ lati fi ikini nla ranṣẹ si onkọwe ti atẹjade fun pinpin imọ nla rẹ ati si bulọọgi fun gbigba ikede rẹ.

    E dupe!

    1.    Frederick wi

      O ṣeun pupọ fun iyin ati asọye rẹ !!! Agbara ti o fun mi lati tẹsiwaju pinpin imọ pẹlu agbegbe, ninu eyiti gbogbo wa kọ.

  3.   phenobarbital wi

    Nkan ti o dara!, Ṣe akiyesi pe nipa lilo awọn iwe-ẹri, nigbati o ba ṣẹda iwe-ẹri o gbọdọ ṣafikun si iṣeto ldap (cn = config):

    AgbegbeCSS: 71
    olcTLSCACAC ifọwọsiFile: / ona / si / ca / ​​cert
    olcTLSCertificateFile: / ọna / si / gbangba / cert
    olcTLSCertificateKeyFile: / ọna / si / ikọkọ / bọtini
    olcTLSVerifyClient: gbiyanju
    olcTLSCipherSuite: + RSA: + AES-256-CBC: + SHA1

    Pẹlu eyi (ati ipilẹṣẹ awọn iwe-ẹri) iwọ yoo ni atilẹyin SSL.

    Saludos!

    1.    Frederick wi

      O ṣeun fun ilowosi rẹ !!! Sibẹsibẹ, Mo gbejade awọn nkan 7 nipa OpenLDAP ni:
      http://humanos.uci.cu/2014/01/servicio-de-directorio-con-ldap-introduccion/
      https://blog.desdelinux.net/ldap-introduccion/
      Ninu wọn Mo tẹnumọ lilo Ibẹrẹ TLS ṣaaju SSL, eyiti a ṣe iṣeduro nipasẹ openldap.org. Ẹ kí @phenobarbital, ati pe o ṣeun pupọ fun asọye.
      Imeeli mi ni federico@dch.ch.gob.cu, ni ọran ti o fẹ ṣe paṣipaarọ diẹ sii. Wiwọle si Intanẹẹti jẹ o lọra pupọ fun mi.

    2.    phenobarbital wi

      Fun TLS iṣeto naa jẹ kanna, ni iranti pe pẹlu SSL gbigbe ni a ṣe ni gbangba lori ikanni ti paroko, lakoko ti o wa ni TLS fifi ẹnọ kọ nkan ọna meji ṣe adehun iṣowo fun gbigbe data; pẹlu TLS ọwọ ọwọ le ṣe adehun iṣowo lori ibudo kanna (389) lakoko ti o wa pẹlu SSL idunadura naa ṣe lori ibudo miiran.
      Yi awọn atẹle pada:
      AgbegbeCSS: 128
      olcTLSVerifyClient: gba laaye
      olcTLSCipherSuite: NIPA
      (ti o ba jẹ alaigbọn nipa aabo o lo:
      olcTLSCipherSuite: SECURE256:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC)

      ki o tun bẹrẹ, iwọ yoo rii nigbamii pẹlu:
      gnutls-cli-n ṣatunṣe aṣiṣe -p 636 ldap.ipm.org.gt

      Ṣiṣe ipinnu 'ldap.ipm.org.gt'…
      Ṣiṣayẹwo fun atilẹyin SSL 3.0… bẹẹni
      Ṣiṣayẹwo boya% COMPAT nilo… rara
      Ṣiṣayẹwo fun atilẹyin TLS 1.0… bẹẹni
      Ṣiṣayẹwo fun atilẹyin TLS 1.1… bẹẹni
      Ṣiṣayẹwo pada sẹhin lati TLS 1.1 si… N / A
      Ṣiṣayẹwo fun atilẹyin TLS 1.2… bẹẹni
      Ṣiṣayẹwo fun atilẹyin isọdọkan Ailewu… bẹẹni
      Ṣiṣayẹwo fun atilẹyin isọdọkan Ailewu (SCSV)… bẹẹni

      Pẹlu eyiti atilẹyin TLS tun ṣiṣẹ, o lo 389 (tabi 636) fun TLS ati 636 (ldaps) fun SSL; wọn jẹ ominira patapata fun ara wọn ati pe o ko nilo lati ni alaabo ọkan lati lo ekeji.

      Saludos!

bool (otitọ)