SWL网络（IV）：Ubuntu Precise和ClearOS。 针对本机LDAP的SSSD身份验证。

你好朋友！。 直截了当，而不是在阅读文章之前«带有免费软件的网络简介（I）：ClearOS的介绍»并下载ClearOS分步安装映像软件包（1,1兆），以了解我们在说什么。 没有阅读，将很难跟随我们。 好的？ 习惯绝望.

系统安全服务守护程序

该计划 固态硬盘 o 系统安全服务的守护程序，是一个项目 Fedora，它也来自另一个项目-也来自Fedora- 自由IPA。 根据其自己的创造者，简短而自由翻译的定义将是：

SSSD是一项提供对不同身份和身份验证提供程序的访问的服务。 可以为本地LDAP域（具有LDAP身份验证的基于LDAP的身份提供程序）或具有Kerberos身份验证的LDAP身份提供程序进行配置。 SSSD通过以下方式提供系统接口 新高中 y PAM，以及可插入的后端以连接到多个不同的帐户来源。

我们相信，与上一篇文章中讨论的解决方案相比，我们面临着一个更全面，更强大的解决方案，用于在OpenLDAP中标识和认证注册用户，这是每个人和他们自己的经验所决定的一个方面.

本文中提出的解决方案是最推荐用于移动计算机和便携式计算机的解决方案，因为它使我们可以在不连接的情况下工作，因为SSSD将凭据存储在本地计算机上。

示例网络

• 域控制器，DNS，DHCP: ClearOS企业版5.2sp1.
• 控制器名称: CentOS的
• 域名: 老友记
• 控制器IP: 10.10.10.60
• ---------------
• Ubuntu版本: Ubuntu Desktop 12.04.2精确。
• 队名: 精确的
• IP地址: 使用DHCP

我们准备我们的Ubuntu

我们修改文件 /etc/lightdm/lightdm.conf 接受手动登录，我们为您提供以下内容：

[SeatDefaults]问候者会话=统一问候者用户会话= ubuntu greeter-show-manual-login = true greeter-hide-users = true allow-guest =假

保存更改后，我们重新启动 轻量级 在由调用的控制台中 Ctrl + Alt + F1 在登录后，我们执行其中的操作 sudo service lightdm重新启动.

还建议编辑文件 / etc / hosts文件 并保留以下内容：

127.0.0.1本地主机127.0.1.1 precision.amigos.cu精确[----]

这样，我们获得了对命令的适当响应 主机 y 主机名–fqdn.

我们检查LDAP服务器是否正常运行

我们修改文件 /etc/ldap/ldap.conf 并安装软件包 ldap 实用程序:

：〜$须藤nano /etc/ldap/ldap.conf
[----] BASE dc =朋友，dc = cu URI ldap：//centos.amigos.cu [----]

：〜$ sudo aptitude install ldap-utils：〜$ ldapsearch -x -b'dc =朋友，dc = cu''（objectclass = *）'：〜$ ldapsearch -x -b dc =朋友，dc = cu'uid =大步前进
：〜$ ldapsearch -x -b dc =朋友，dc = cu'uid = legolas'cn gidNumber

使用最后两个命令，我们检查ClearOS的OpenLDAP服务器的可用性。 让我们看一下前面命令的输出。

重要提示：我们还验证了OpenLDAP服务器中的身份验证服务是否正常运行。

我们安装sssd软件包

还建议安装该软件包 手指 使支票比 搜索引擎:

：〜$ sudo aptitude install sssd finger

安装完成后，服务 固态硬盘 由于缺少文件而无法启动 /etc/sssd/sssd.conf。 安装的输出反映了这一点。 因此，我们必须创建该文件并将其保留在 下一个最低内容:

：〜$须藤nano /etc/sssd/sssd.conf
[sssd] config_file_version = 2服务= nss，pam＃如果未配置任何域，则SSSD将不会启动。 ＃将新的域配置添加为[domain / ]部分，然后＃将域列表（以您希望它们被＃查询的顺序）添加到下面的“ domains”属性中，并取消注释。 域= amigos.cu [nss] filter_groups =根filter_users =根reconnection_retries = 3 [pam] reconnection_retries = 3＃LDAP域[domain / amigos.cu] id_provider = ldap
auth_provider = LDAP
chpass_provider = ldap＃ldap_schema可以设置为“ rfc2307”（将组成员名称存储在＃“ memberuid”属性中），也可以设置为“ rfc2307bis”（将组成员DN存储在＃“ member”属性中）。 如果您不知道此值，请询问您的LDAP＃管理员。 ＃与ClearOS一起使用ldap_schema = rfc2307
ldap_uri = ldap：//centos.amigos.cu
ldap_search_base = dc =朋友，dc = cu＃请注意，启用枚举将对性能产生中等影响。 ＃因此，枚举的默认值为FALSE。 ＃有关完整的详细信息，请参见sssd.conf手册页。 enumerate = false＃通过本地存储密码哈希值来允许离线登录（默认值：false）。 cache_credentials = true
ldap_tls_reqcert =允许
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

创建文件后，我们将分配相应的权限并重新启动服务：

：〜$ sudo chmod 0600 /etc/sssd/sssd.conf
：〜$ sudo服务sssd重新启动

如果我们想丰富先前文件的内容，建议执行 男子sssd.conf 和/或从帖子开头的链接开始，查阅Internet上的现有文档。 也请咨询 男人的sssd-ldap。 包装 固态硬盘 包括一个例子 /usr/share/doc/sssd/examples/sssd-example.conf，可用于针对Microsoft Active Directory进行身份验证。

现在我们可以使用最易喝的命令 手指 y Getent:

：〜$手指大步前进
登录名：strides名称：Strides El Rey目录：/ home / strides Shell：/ bin / bash从未登录。 没有邮件。 没有计划。

：〜$ sudo getent passwd legolas
legolas：*：1004：63000：Legolas The Elf：/ home / legolas：/ bin / bash

我们仍然无法让自己运行并尝试以LDAP服务器的用户身份进行身份验证。 在我们必须修改文件之前 /etc/pam.d/共同会话，以便在您启动会话时自动创建该用户的文件夹（如果该文件夹不存在），然后重新启动系统：

[----]
所需的会话pam_mkhomedir.so skel = / etc / skel / umask = 0022

###以上行必须包含在之前
＃这是每个软件包的模块（“主”块）[----]

现在，如果我们重新启动：

：〜$ sudo重新启动

登录后，使用连接管理器断开网络连接，然后注销并重新登录。 没事的。 在终端中运行 使用ifconfig 他们会看到 eth0 它根本没有配置。

激活网络。 请注销并再次登录。 再次检查 使用ifconfig.

当然，要脱机工作，有必要在OpenLDAP联机时至少启动一次会话，以便将凭据保存在我们的计算机上。

不要忘记让在OpenLDAP中注册的外部用户成为必要组的成员，始终注意安装过程中创建的用户。

如果不想通过以下方式关闭设备 小程序 对应，然后在控制台中运行 须藤断电 关闭，并且 sudo重启 重新启动。 有待找出为什么有时会发生上述情况。

注意:

声明选项 ldap_tls_reqcert =永不，在文件中 /etc/sssd/sssd.conf，构成页面上所述的安全风险 SSSD-常见问题。 默认值为«需求«。 看到 男人的sssd-ldap。 但是，在本章中 8.2.5配置域 从Fedora文档中可以得出以下几点：

SSSD不支持通过未加密的通道进行身份验证。 因此，如果要针对LDAP服务器进行身份验证，则可以 TLS/SSL or LDAPS 是必须的。

固态硬盘 它不支持通过未加密的通道进行身份验证。 因此，如果要针对LDAP服务器进行身份验证，则有必要 TLS / SLL o LDAP的.

我们个人认为 解决方案解决了 从安全的角度来看，这对于企业LAN足够了。 建议通过WWW村使用以下方式实现加密的频道： TLS o«传输安全层»，在客户端计算机和服务器之间。

我们会尝试通过正确生成自签名证书或“自签名 “在ClearOS服务器上，但我们不能。 这确实是一个悬而未决的问题。 如果有任何读者知道该怎么做，欢迎解释！