Windows отдавна се доставя в комплекти с интегрирана система за мрежово удостоверяване и единично влизане. Преди Windows 2000 домейн контролерите на Windows NT предоставяха на клиентите на Windows услуги за удостоверяване, използвайки NTLM протокола. Въпреки че NTLM не беше толкова краден, сякаш беше даден на място, по-добре да го свалим, фрагменти, давайки ясно решение на проблема с необходимостта от дублиране на облачните записи на coristuvach на различни сървъри на мрежата.
Започвайки с Windows 2000, Microsoft премина от NTLM към Active Directory и интегрира услугата за удостоверяване на Kerberos. Kerberos е значително защитен за NTLM и също така се мащабира по-добре. Междувременно Kerberos беше стандартът на вселената, който вече е победител в системите Linux и UNIX, което отвори вратата за интегриране на тези платформи с Windows.
Проверка за удостоверяване на Linux
Гръбнакът на Linux (а също и библиотеките на GNU, върху които се работи върху новата) не разчиташе на един-единствен механизъм за автентичност. В резултат на това доставчиците на добавки за Linux бяха взети преди да бъдат разработени авторитетните схеми за автентичност. Беше възможно да се достигне или чрез търсене на хеш кодовете на имена и пароли в /etc/passwd (текстов файл, който традиционно се използва за отмъщение за появата на данни в Linux) или чрез търсене на различен (и ясен) механизъм .
Гамата от механизми за повторна проверка на коректността, която е viyshov, buv цветни. През 1995г Sun предложи механизъм, наречен Pluggable Authentication Modules (PAM). PAM предостави широк набор от API интерфейси за удостоверяване, които могат да се използват от всички дистрибутори на добавки, както и сървърен елемент, който може да бъде конфигуриран от администратора, което позволява свързването на различни схеми за удостоверяване. Използване на PAM API за проверка на автентичността и интерфейси
Повечето версии на Linux са снабдени с много PAM модули за удостоверяване, включително модули, които поддържат удостоверяване в LDAP директорията и удостоверяване с Kerberos wiki. Тези модули могат да бъдат избрани за удостоверяване в Active Directory, но в същото време можете да определите стойността на обмена, както е описано по-долу в тази статия.
Самба и Уинбинд
Самба- целият проект е базиран на нов код, който е метод за интеграция между Windows и Linux среди. Samba включва компоненти, които предоставят на компютрите с Linux достъп до файлови услуги и други Windows, както и предоставят базирани на Linux услуги, които имитират домейн контролери на Windows NT 4.0. С клиентските компоненти на Samba, Linux компютрите могат да бъдат достъпни от услугите за удостоверяване на Windows, които се предоставят от Windows NT и домейн контролерите на Active Directory.
За нас, особено частта от Samba, наречена Winbind. Winbind е демон („услуга“ в термините на Windows), който работи на клиенти на Samba и работи като прокси за комуникация между PAM и NSS, който работи на компютър с Linux, от една страна, и Active Directory, който работи на контролери на домейна, s іnshgo. Zokrema, Winbind използва Kerberos, за да провери автентичността на Active Directory и LDAP за извличане на информация за ядра и групи. Winbind също така предоставя допълнителни услуги като възможност за показване на домейн контролер, алгоритъм на wincrow, подобен на DCLOCATOR Active Directory, и възможност за премахване на пароли за Active Directory, като се свържете с контролер на домейн за RPC помощ.
Winbind избягва проблеми, които се спестяват чрез просто използване на Kerberos с помощта на PAM. Zocrema, заместител на кодиране на твърд домейн контролер за PAM удостоверяване. Winbind избира домейн контролер, за да търси записи на DNS локатор, подобно на това как да деактивирате модула на Microsoft DC LOCATOR.
Три стратегии за удостоверяване
Променяйки наличността на LDAP, Kerberos и Winbind на компютрите с Linux, има три различни стратегии за внедряване, които могат да бъдат направени, за да се даде възможност на компютър с Linux да спечели Active Directory за удостоверяване.
Съветник за LDAP удостоверяванеНай-простият, но най-малко надежден начин за използване на удостоверяване на Active Directory за удостоверяване е да се коригира PAM през LDAP удостоверяване, както е показано на Ориз. един. Ако искате Active Directory като LDAPv3 услуга, клиентите на Windows разчитат на удостоверяване на Kerberos (с NTLM като резервен вариант), а не на LDAP.
Време за проверка на автентичността на LDAP (ще се обадя на LDAP) Тази парола се презаписва с текст през границата. Това е опасно и неприемливо за по-големи цели.
Ориз. Повторна проверка на автентичността в Active Directory с помощта на LDAP
Единственият начин да помогнете за намаляване на риска от изчистване на предаването на данни в облак е да шифровате комуникационния канал клиент-Active Directory с другата страна на SSL връзката. Това е напълно възможно, но също така полага допълнителни усилия за управление на SSL сертификати както на компютъра на домейн контролера, така и на компютъра с Linux. В допълнение, LDAP PAM модулът няма да поддържа промяна на изпуснати пароли.
Wicker LDAP и KerberosДруга стратегия за използване на Active Directory за Linux Authentication Refactoring е да се закърпи PAM за Kerberos и NSS Authentication за LDAP удостоверяване, за да се търси информация за root групи, както е показано на Ориз. 2. Схемата Tsya може да бъде по-добра от vіdnosnoї zahishchennosti, а в nіy vikoristovuyutsya vbudovanі възможност на Linux. Въпреки това, той не подправя записите за издаване на DNS услуга (SRV), които публикуват контролери на домейни на Active Directory, за да проверите списъка с контролери на домейни, за да проверите коректността за тях. Освен това не дава особено интуитивен начин за хакване на текущи пароли за Active Directory или доскоро адекватен на шегата на членовете на групата.
Ориз. 2. Повторна проверка на автентичността в Active Directory с помощта на LDAP и Kerberos
Winbind WikisourceТретият начин да използвате Active Directory за удостоверяване на Linux е да настроите PAM и NSS, за да печелите кликвания към ключовата програма Winbind. Winbind ще превежда различни PAM и NSS заявки към победи в Active Directory, LDAP, Kerberos или RPC, което е най-подходящо. На Ориз. 3посочи наочния край на стратегията.
Ориз. Повторна проверка на автентичността в Active Directory с помощта на Winbind
Нашият план за изпълнение
Подобрената интеграция с Active Directory ме накара да избера Winbind за Red Hat Enterprise Linux 5 (RHEL5) за моя проект за интеграция на Linux-Active Directory. RHEL5 е стрийминг версия на комерсиалната версия на Red Hat Linux и е популярен сред корпоративните центрове за данни.
За RHEL5, след като сте проверили препратката чрез Active Directory, всъщност имате нужда от пет следващите стъпки:
- Познайте и вземете най-новия пакет Samba и други наследени компоненти.
- Изберете Samba.
- Преинсталирайте тези настройки на Samba.
- Вземете Linux, PAM и самия NSS.
- Настройте Active Directory.
В предстоящите раздели статиите са описани в доклада.
Търсене на необходимите програми
Една от най-големите характеристики между Linux и Windows е, че Linux се състои от малко ядро на операционната система и голяма колекция от компоненти, които са добре обгрижени и инсталирани. Възможно е да се създават по-внимателно подбрани Linux комплекти, които са оптимални за задачи за пеене, а също и да се работи още по-сгъваемо, за да се настрои сървър и да се управлява. Различните дистрибуции го обработват по различни начини. Red Hat (и неговият некомерсиален братовчед Fedora) използва Red Hat Package Manager (RPM), за да инсталира и управлява тези компоненти.
Компонентите на Linux за Red Hat се предлагат в две форми. RPM файлове за замяна на dvіykovі файлове, yakі са били zadalegіnі dіdіdіdіdіdіdіdіdіdіdіdіdіbranііdіnі за nіvnanіnіnієnіnіnіїїїїїїї, пускане на Linux и archіtektury uCPU. Така че можете да вземете и инсталирате, например, версия 1.3.8-5 на Common UNIX Printing System (CUPS), избрана за Fedora версия 10, която работи на процесор с архитектура Intel x86. Въз основа на наличието на дузина различни архитектури на процесора, повече от 100 версии на Linux и хиляди пакети и версии, можете да избирате от броя на два RPM пакета.
Външните RPM файлове, от друга страна, извличат действителния изходен код на този пакет. Vіd koristuvacha ochіkuєtsya, scho vіn zavantazhivat і vіdnі vіdnі і файли, nalashtuє parametrov sbirannya, іslja kompіlyuіє і і композирайте dvіykovі і файлове. Идеята за избор на хост операционна система, която е алчна за инсталиране на Windows, която е да инсталирате това, което Microsoft поставя на инсталационния компактдиск на Windows, а след това мениджърът на пакети да работи с процеса по забележително безболезнен и напълно глупав начин. Групата Samba пуска актуализации за сигурност и корекции с лудо темпо; Повече от ден и змия 2008 г. пусна няколко издания на Samba 3.2, които отмъстиха за над 100 помилвания и коригираха сигурността. За този проект взех изходните кодови файлове на останалата стабилна версия на Samba, версия 3.0.31.
Защо съм zavantazhivnyy Samba код вместо предварително компилиран набор от двоични файлове? Съжалявам, знам, че първо опитах повече. Но след известно време разбрах с мениджъра, че двата файла, които изтеглих, не са събрани по начин, който е необходим за поддържане на автентичността на Active Directory. Zocrema, кодът, който настройва идентификатори на Linux в Active Directory, включително включвания в стандартните компилации, така че имах шанс да пресъздам Samba с правилни параметри за изграждане. Съобщава се, че ще разгледам хранителния статус на идентификаторите по-долу.
Ако искате Linux да бъде малко ядро само по себе си, изданието на Red Hat Enterprise има анонимен пакет, инсталиран зад него. Звукът сериозно пита живот, което ви позволява да отворите отново същата работеща операционна система, но зад гърба на инсталираните пакети за един час конфликт с програмите, сякаш прехвърляте за инсталиране по-късно.
Не включих Samba в моята инсталация на Red Hat (обадете се на Samba install за заключване), но трябваше да актуализирам новата версия. Въпреки това, по-нова версия на Samba все още ще поддържа по-нови версии на редица други библиотеки и помощни програми, които вече са инсталирани. Проблемите, свързани с подобни угари, могат да изнервят, но можете лесно да победите RPM.
Използвайте анонимни уеб сайтове, на които се хостват два RPM пакета. Този, който туитнах (само този, който първо знае VIN) се казва PBONE и гърми на rpm.pbone.net. Мога ръчно да търся пакетите, а на новия всички dvd файлове, които бяха необходими за архитектурата на моя процесор (i386) и версията на операционната система (Red Hat Enterprise Linux 5/Fedora 7 и 8).
Имах възможност да купувам и купувам пакети, които бяха изплатени Ориз. 4за да изберете останалата версия на Samba 3.0 (и има ново дърво от версии 3.2, но не съм го пробвал). Моля, имайте предвид, че всички пакети отговарят на условията за изданието на Fedora Core (fc). Разпространение на фондации на Red Hat, базирано на същите стари кодове, които Fedora печели, е по-лудо. Пакетите, избрани за Fedora Core 7 и по-нови версии, се прилагат към RHEL5 без промяна. Преместете получените RPM файлове в директорията /usr/src/redhat/RPMS.
Ориз. 4. Пакети, необходими за инсталиране и инсталиране на Samba 3.0.31
Съхранение на Samba
Първата стъпка в сглобяването на Samba е да получите правилния изходящ RPM пакет. Изтеглих пакета RPM с код за издаване на Samba 3.0.31 от уебсайта на PBONE. Dalіmіstіtіtіtіtіtіtіtіmіtіtаnаtаnаnіtії RPM файл vіdnіhіdnіkіv /usr/src/redhat/SRPMS; Това е стандартната директория за RPM пакети и часовите кодове за процеса на вземане.
Отворете сесията към терминала („Прозорец на командния ред“ в термините на Windows) и отидете до папката SRPMS. След това, тъй като е повреден, инсталирайте пакета от кодове за изход за допълнителна команда, както е показано на Ориз. пет.
Ориз. пет. Инсталиране на пакета RPM от изходни кодове на Samba
Ако има предупреждение за извинението „user mockbuild не съществува – използва root“, не се хвалете. Това извинение показва тези, които не са инсталирали сервизните програми на колекцията от макет. Процесът на сгъване е практичен и без тях.
След това отидете в директорията /usr/src/redhat/SPECS и редактирайте файла samba.spec, за да промените параметрите за избор на Samba. Намерете реда, който започва с "CFLAGS=" и променете на "--with-shared-modules=idmap_ad,idmap_rid" Този параметър гарантира, че по време на процеса на избор ще има код, който правилно превежда уникалните идентификатори на Linux (UID) за Active Directory. На Ориз. 6параметър за задържане на курсора.
Ориз. 6. Параметър за сгъване със споделени модули („с модули, които са споделени заедно“)
Може да се наложи да актуализирате някои от библиотеките на вашия компютър, за да можете правилно да изберете и инсталирате Samba; tse лежи в ред, какви версии на библиотеките вече са инсталирани. В съзнанието си имах шанс да инсталирам пакети, преопаковани за Ориз. 4, с командата rpm-install; в някои случаи имах шанс, vtіm, да преодолея опцията --force, за да оправя някои проблеми с угара.
За да инсталирате Samba, отидете до директорията /usr/src/redhat и въведете rpmbuild -bb SPECS/samba.spec, както е показано на Ориз. 7. В резултат на процедурата новият RPM файл samba-3.0.31-0.i386 ще бъде оставен в директорията /usr/src/redhat/RPMS. Ще инсталираме този RPM файл по-късно в хода на проекта.
Ориз. 7. Създаване на двоичен файл RPM Samba
Настройка на Linux робот с мрежа
За да отмени помощта на Active Directory, компютърът с Linux е отговорен за способността на майка си да се свързва с контролера на домейна. Ако може да се случи, е необходимо да се фиксират три параметъра на мярката.
На първо място, важно е да се преразгледа, че средният интерфейс на компютъра с Linux е надстроен с важен ранг, или чрез DHCP протокола, или чрез разпознаване на валиден IP адрес и мрежова маска за допълнителната команда ifconfig. За RHEL5 можете да настроите робота да измерва, като изберете її (Мрежа) от System | Администриране (Система | Администриране), както е показано в Ориз. 8.
Ориз. 8. Полагане на мрежата
Нека променим, че услугата за разрешаване на DNS имена за компютъра с Linux е инсталирана на същия хост на същия DNS сървър за имена като контролера на домейна; в повечето случаи това е домейн контролер в домейн, докато не се наложи да донесете Linux компютър, ако приемем, че DNS печели, интегриран с Active Directory. Ако DNS е разрешено да бъде фиксиран в раздела DNS, тогава сервизната програма се настройва, както е показано на Ориз. девет.
9. Установете основно разрешение за DNS
Nareshti, след приключване на тези задачи е необходимо да се инсталира името на Linux, за да се покаже това име в домейна. Ако можете да го инсталирате, победна програма за фиксиране на мярката, изглежда, че не е нужно да работите с подходящ ранг.
Променете файла /etc/hosts и добавете запис под записа localhost.localdomain във формуляра
Регулиране на времето за синхронизация в Linux
Протоколът Kerberos разчита на наличието на системи за удостоверяване в края на годината за постигане на висока точност на синхронизиране. За промоции Active Directory позволява максимална надбавка за пет кредита. За да се гарантира, че Linux системите се рестартират от системите за контролер на домейн от тази година между тях, е необходимо да се надстроят Linux системите, за да обслужват NTP протокола на домейн контролера.
Нека стартираме помощната програма за дата и час на сървъра на Linux от System | Администриране и изберете раздела NTP протокол. Задайте флага Активиране на протокола за мрежово време („Активиране на NTP протокола“) и добавете IP адреса на домейн контролера, който трябва да бъде променен възможно най-скоро. Внимание, че домейн контролерът в домейна е виновен, за да отмъсти за ролята на FSMO имитатора на основния домейн контролер (PDC). На Ориз. 10дупето на инсталацията на обединен dzherel час за Linux.
Ориз. 10. Внедряване на NTP протокола
Настройка на PAM и NSS
PAM и NSS nadayat zasіb z'ednannya Linux програми, като например работна среда, която Winbind. Подобно на много услуги на Linux, PAM и NSS се конфигурират чрез текстови файлове. На гърба на ръката ми можем да разгледаме кръпките на PAM.
PAM се надява да направи някакъв принос за проверка на автентичността. Zasіb authentifikatsії позволява на zastosunka да посочи кой печели йога. Zasіb oblіkovih zadіv naє функции ї cheruvannya oblіkovyh записи, yakі не stosuyuutsya autentifіkatsії, като zamezhennya час вход. Събирането на пароли се осигурява от механизми за искане на пароли и управлението им. Zasіb сесии vykonuє zavdannya инсталация и vidalennya програми, като stosuyuyutsya koristuvacha, като регистриране и създаване на файлове в категорията на определен koristuvach.
Файловете за персонализиране на PAM в Red Hat се съхраняват в директорията /etc/pam.d, която би била текстовият файл за скин програмата, като PAM хака за удостоверяване. Например файлът /etc/pam.d/gdm съдържа информация за настройката на PAM за Gnome Desktop Manager (GDM), средата за заключване на работния плот на Red Hat. Има няколко реда линии във файла на кожата за корекция на PAM, кожата за всеки от тях може да е някакъв аспект от процеса на удостоверяване на PAM. На Ориз. единадесетпоказано като настройка на PAM за GDM.
Ориз. единадесет. Файл за персонализиране на RAM за Gnome Desktop Manager
Записване на кожата във формата на файла за настройка на PAM файл<группа управления> <элемент управления> <модуль> <параметры>, де<группа управления>dpovіdaє zabou, до каква степен трябва да се зададе записът: удостоверяване, облачни записи, пароли или сесии. Ключови думи, описани на Ориз. 12, изглежда PAM, как да направя запис на кръпката. Третата стъпка е да замените файла с името на споделената PAM библиотека в директорията за сигурност /lib/. Глобалните библиотеки са в състояние да улавят динамично код, подобен на Windows DLL. Допълнителни термини след името на модула - това са параметрите, които се предават от PAM модула на основната библиотека.
Ориз. 12. Ключови ключови думи PAM
ключова дума | Описание |
| Задължително („Обовъязково“) | Ако модул е успешно създаден, тогава PAM ще продължи да брои записи за контролната група и резултатите ще бъдат заменени от резултатите от модулите, които са изпуснати. Ако не, тогава PAM ще продължи изчислението, но ще върне обратно добавката zbіy, която е била платена. |
| Необходим | Ако модулът работи успешно, PAM продължава да брои записите на групата за управление. Ако не, тогава PAM ще върне допълнението, което сте извикали, без допълнителна обработка. |
| Достатъчно | Ако модулът работи успешно, PAM ще върне успешния резултат към допълнението, върху което е щракнато. В противен случай PAM ще продължи с изчисляването, но резултатите ще бъдат присвоени на следващите модули. |
| По избор ("Neoob"език") | PAM игнорира резултатите от модула, като единичен модул, в отговор на контролната група. |
| Включете | PAM е включен във файла за персонализиране на PAM, върху който е дадена заявката, както и в новия процес на запис. |
Можете да запомните, че групата за управление на кожата може да има няколко записа. PAM обработва записите по ред, извиквайки имената на модулите. След това модулът проверява за успех или неуспех и PAM със сигурност зависи от ключовата дума, която се контролира.
Моля, имайте предвид, че PAM файлът за GDM може да има системно удостоверяване за всички групи за удостоверяване. Това е начинът, по който PAM задава поведението на удостоверяване за промоции на GDM. Променяйки system-auth, можете да промените едно и също поведение за всички програми, за които има системен файл за удостоверяване на PAM настройки. Файлът за удостоверяване на системата зад ключалката е показан Ориз. 13.
Ориз. 13. PAM модул системен файл за удостоверяване
Модулът за предаване към блока за преобразуване на имена (NSS) получава конкретна информация за събирането на тези системи в търговеца на софтуер, приблизително по същия начин, по който PAM получава данни за удостоверяване. NSS позволява на администратора да определи начина, по който се запазват системните бази данни. Zocrema, администраторът може да каже как се запазва информацията за името и паролата. За нас е необходимо, така че програмите да търсят информация за ползвателите в Active Directory с помощта на Winbind, трябва да променим настройката на NSS, за да я покажем.
Red Hat включва малък графичен инструмент за настройка на PAM и NSS, наречен system-config-uthentication. Ще говорите за още промени (но не всички), които трябва да бъдат въведени във файловете system-auth и nss.conf.
Стартирайте програмата system-config-uthentication и можете да видите диалогов прозорец, подобен на този, показан на Ориз. четиринадесет. Задайте Winbind ensign както в раздела User Information (Информация за koristuvach, има нов файл nss.conf), така и в раздела Authentication, или модифицирайте файла за удостоверяване на системата.
Ориз. четиринадесет. диалогов прозорец за идентификация на systemconfig
Натиснете бутона Configure Winbind и ще се покаже диалогов прозорец, сочещ към Ориз. 15. В полето Winbind Domain въведете името на домейна, в който може да се провери автентификацията на хоста, и изберете "voiced" като модел за защита. Въведете името на DNS домейна на домейна на Active Directory в полето Winbind ADS Realm. В полето Winbind Domain Controllers въведете или името на домейн контролера, за чиято помощ трябва да проверите препратката за системата Linux, или отметка, която показва тези, които Winbind трябва да избере контролера на домейна, като потърси SRV записите в DNS.
Ориз. 15. Настройка на диалоговия прозорец Winbind
Изберете подходящ интерпретатор за заключването, което е по вина на майката на Active Directory; Избрах bash (Bourne-again Shell) от моята vpadka. Не се занимавайте с бутона Присъединяване към домейн на нито един етап. Компютърът ще бъде причислен към новия домейн.
Файлът /etc/pam.d/system-auth трябва да направи още една допълнителна промяна, след като поддръжката на Winbind бъде променена. Когато Linux root е влязъл в системата, системата ще покаже наличието на домашната директория. Домашната директория има много параметри и елементи за настройка на специфична ползавач, богата на това, което е подобно на системния регистър на Windows. Проблемът тук изглежда е, че главните папки се създават в Active Directory, Linux не създава автоматично домашната директория на основната папка. За щастие PAM може да бъде конфигуриран да се събужда като част от настройката на сесията.
Отворете файла /etc/pam.d/system-auth, след това превъртете надолу по екрана и вмъкнете реда „session optional map_mkhomedir.so skel=/etc/skel umask=0644“ преди останалата част от разделения ред на сесията (div. Ориз. 16). Този ред е създаден в началната директория на PAM за koristuvach, тъй като все още няма такова нещо. Ще маркирате /etc/skel като „скелет“ за шаблона и ще разпознаете маската за разрешения 0644 (прочетете за записа за файла, прочетете за основната група и прочетете за решението) на новата папка.
Ориз. 16 Създаване на домашен каталог за koristuvachіv
Инсталирана и настройка на Samba
За да инсталирате файловете Samba dvukovі, създадени schoyno, отидете в директорията /usr/src/redhat/RPMS. Всички RPM файлове, създадени от командата rpmbuild, се появяват в една и съща директория. Имайте предвид, че Samba включва dvukovi файлове, което позволява на клиента на Linux да получи достъп до споделеното файлово хранилище в Windows (или Samba), както и код, който позволява на системата Linux да работи като файлов сървър на Windows, сървър на Windows за друг и домейн контролер в стил Windows NT 4.0.
За да позволите на Linux да се удостоверява срещу Active Directory, не е необходимо нищо; Дозиране на режийни Samba файлове и двойни файлове от Samba клиента. За наше удобство тези файлове са разделени на два RPM файла: samba-client-3.0.31-0.i386.rpm и samba-common-3.0.31-0.i386.rpm. Инсталирайте RPM файловете с помощта на rpm --install. Ще дам задник: rpm --install samba-common-3.0.31-0.i386.rpm. (Внимавайте, трябва да поставите RPM файла -common преди него.)
След като инсталирате двоичните файлове на клиента Samba, е необходимо да промените настройката на Samba за промоция, така че Winbind да обработва удостоверяването с помощта на Active Directory. Цялата информация за настройката на Samba (клиент, сървър) може да бъде намерена в текстовия файл smb.conf, който се намира в директорията /etc/samba. Smb.conf може да съдържа голям брой параметри и дори повече информация за йога може да надхвърли обхвата на тази статистика. На уебсайта samba.org и на система за разработка на Linux има доклад за smb.conf.
Първата стъпка е да настроите Winbind и да използвате Active Directory за удостоверяване. Моделът на защита в smb.conf трябва да бъде празен. Програмата за обслужване на system-config-uthentication вече е малка за инсталиране сама, но повторното потвърждаване никога няма да се провали. Отворете файла smb.conf, за да редактирате и да разберете стойностите на опциите за членове на домейна. Намерете реда, който започва от „сигурност“ и променете реда, който гласи като „сигурност = реклами“. На следващия етап ще бъде определено как Winbind ще настрои участниците в сигурността на Windows, като групи и идентификатори на Linux, и това ще изисква по-подробно обяснение.
Проблемът със задаване на идентификатори
Автентичността на ядрата на Linux с помощта на Active Directory има един голям проблем и все още не съм го разбрал - проблемът с уникалните идентификатори (UID) за ядра от тази група. Вътрешно нито Linux, нито Windows се наричат coristuvachiv с истинските си имена, vicorista е уникален вътрешен идентификатор. В Windows се разграничават идентификатори за сигурност (SID), които са структурата на променливия живот и дават уникално разпознаване на лезията на кожата в домейна на Windows. SID също е уникален идентификатор на домейн, така че Windows да може да прави разлика между различните домейни.
Схемата на Linux е изключително проста. Кожената кутия на компютър с Linux може да има UID, който е само 32-битово цяло число. Ale area dії ії іdіdіfіkata UID е заобиколен от самия компютър. Няма гаранция, че карта с UID 436 на една Linux машина е идентична с карта с UID 436 на друга Linux машина. В краен случай е необходимо да се свържете към скин компютър, достъп до който е необходим, което е неприятна ситуация.
Merezhevі администратори Linux zvіshuyut tsyu проблем, като merezhevy autentifikatsіyu за помощ или abomerezhovoї іnformatsіynoї система (Мрежова информационна система - NIS), или цялата LDAP директория. На системата за удостоверяване на Мережева е даден UID за coristuvach и всички компютри Linux, които са с ядро от тази система, ще бъдат обработени от същите идентификатори на coristuvach група. В тази ситуация имам заместник Active Directory за дадените уникални идентификатори на coristuvacs и групи.
За да реша този проблем, използвам две стратегии. Първата (и също така най-очевидна) стратегия е да създадете UID за етикета на кожата и да запазите идентификатора на групата за допълнителния ID обект в Active Directory. Когато е блокиран, ако Winbind се обърка с разрешенията на грешката, мога да потърся неговия UID и да го настроя на Linux като вътрешен идентификатор на грешката. Winbind използва тази схема, за да зададе идентификатори на Active Directory (или idmap_ad). На Ориз. 17индикации за процеса на задаване на идентификатори на Active Directory.
Ориз. 17. Процесът на задаване на идентификатори на Active Directory
Единственият недостатък на идентификацията на идентификаторите на Active Directory е необходимостта от механизъм за видимост на идентификаторите на кожата coristuvacha и групи, както и тяхната уникалност в границите на гората. Информацията за отчитане може да бъде намерена на белия панел „Настройка на Active Directory за съвпадение на идентификатори на Active Directory“.
Засега има една стратегия за задаване на идентификатори, която е много по-богата от административните такси. Да предположим, че Windows SID уникално идентифицира хоста в средата на домейна, както и самия домейн. Частта от SID, която уникално идентифицира ядрото в домейна, се нарича RID и всъщност е 32-битово цяло число. Така Winbind може просто да извлече RID от SID за един час, когато потребителят влезе в системата, и след това да извлече RID като уникален вътрешен UID. Winbind използва тази стратегия, за да зададе RID или idmap_rid идентификатори. На Ориз. осемнадесетпоказва се колко действително работи операторът RID.
Ориз. осемнадесет. Изявление RID
Настройката на RID може да преобладава над нулеви административни стойности, но не е възможно да се спечели в среда с богат домейн чрез възможността да се прояви една стойност на RID в основните стойности в редица домейни. Ale за разкриване на един домейн на Active Directory, изявлението RID е правилният избор.
За да конфигурирате политиката за идентификация на Winbind, отворете файла /etc/samba/smb.conf, за да го редактирате отново и добавете низа "idmap backend = ad" за алтернативната политика на Active Directory или "idmap backend = rid" за етикета RID. Променете при видимостта на другите редове, сякаш за да посочите стратегията за настройка на файла.
Има някои други параметри, които трябва да бъдат добавени към smb.conf файла за Winbind. Навигирайте като PAM инсталации до създаването на домашната директория за пилинга на кожата, преди да влезете, трябва да кажете на Winbind какво е името. Можем просто да добавим реда "template homedir = /home/%U" към smb.conf (div. Ориз. 19). Излишно е да казвам Winbind, който ще бъде /дом/<имя пользователя>. Не забравяйте първо да създадете /home директорията.
Ориз. 19. Посочване на името на домашната директория
Допускане до домейна и влизане в системата
Сега, ако сливането, PAM, NSS и Samba Winbind са настроени правилно, е време да донесете Linux компютъра в домейна. Можете също да използвате командата Samba Net, за да ви помогне. В командния интерпретатор въведете "net ads join -U"<имя администратора>". Заменете<имя администратора>в името на публичния запис, което може да бъде достатъчно, за да доведе компютрите в домейна.
Командата net подканва за паролата на koristuvach. Всичко работи добре, стига се до компютъра в домейна. За да покажете създадения запис на изображение на компютър, можете да използвате добавката на Active Directory - втвърдяване на компютъра.
Можете да протестирате срещу лагера за помощ с инструмента за тестване на Winbind, който се нарича wbinfo. Точно както wbinfo -t, ще има протести срещу доверието между компютъра и домейна. В резултат на това wbinfo -u ще замени всички основни домейни, а wbinfo -g - всички групи.
След като Linux компютърът се присъедини успешно към домейна, следващата стъпка ще бъде да се опитате да влезете в системата за допълнителен публичен запис на паролата на Active Directory. Потърсете извън системата на компютър с Linux и вижте в системата, като използвате името на Active Directory. Ако всичко е правилно, тогава може да има възможност за влизане в системата.
Настройка на Active Directory за процеса на настройка на Active Directory идентификатори
Тази информация е запазена само за тези, които печелят идентификаторите на Active Directory. Тези, които са спечелили победата над изявлението RID, могат спокойно да не уважават този панел.
Преди да можете да влезете в системата на сървъра на Red Hat със запис в Active Directory, трябва да направите промени в Active Directory. Първо, схемата на Active Directory трябва да добави атрибути, които се използват от Winbind за събиране на основната информация. Под един час работа с Windows Server 2003 R2 схемата е готова преди спирането. В по-голяма по-ранна версия на схемата на Active Directory ще трябва да разширите пакета Microsoft Services за UNIX (SFU).
Допълнителна информация можете да намерите в Услуги за UNIX на TechNet. SFU също така включва допълнителна мощност за потребителите на Active Directory, която е оборудвана с конзола за управление на Microsoft Computers (MMC), която ви позволява да извличате информация за индивидуални и групови модификатори, изисквани от Linux.
Тъй като схемата е правилно инсталирана, е необходимо да се дадат идентификатори на Linux на всички coristuvachas (i групи, членове на такива смърди), така че те да могат да влизат в Linux компютъра. Това означава, че трябва да зададете стойност за атрибутите uidNumber и gidNumber за съответната група, за да можете да влезете в компютър с Linux. Ale до паметта на делата на vimogi към тези атрибути:
- Linux ще изисква UID за скин пилера, за да провери неговата валидност. Тъй като трябва да извлечем информацията за koristuvach в Active Directory, кожата на skin record на koristuvach, в която влизате в системата на вашия Linux компютър, отговаря за уникалния атрибут uidNumber. По-конкретно, това, което печели за uidNumber, е нетривиално, но може да бъде уникално за всички низове, които могат да влизат в компютър с Linux.
- Коренът на Linux също е отговорен за идентификатора на промоционалната група, така че коренът на Active Directory, който влиза в компютъра с Linux, също зависи от стойността на атрибута gidNumber. Tse значението може да бъде уникално в средата на coristuvachiv, но може уникално да обозначава група.
- скингрупата на Active Directory е отговорна за уникална стойност за своя атрибут gidNumber. Строго погледнато, за групи като цяло е нормално да няма стойност за атрибута gidNumber, но ако Winbind е автентичен, той ще посочи, че групата на кожата е до точката, в която стойността на gidNumber е уникална. Imovirno, по-лесно е просто да преминете към очевидността на групата на кожата на уникалната стойност на gidNumber.
- Winbind проверява дали групата маркери на кожата, която сърфира в Active Directory, ще бъде член на групата маркери на домейна, така че winbind също така проверява дали групата маркери на домейна може да има стойност за своя атрибут gidNumber.
И защо не поръчате?
Инсталирането на компютър с Linux за удостоверяване с помощта на Active Directory и чрез Winbind е нетривиален проект. Използвам масата от елементи, тъй като е необходимо да се подобри, че безличните речи, тъй като е възможно да се произнасят погрешно. Фактът, че скин версията на Linux и Samba могат лесно да се конкурират за своите възможности, не улеснява нещата. Ale іsnuє ниско dzherel, scho іstat іnformatsiyu про тези scho vіdbuvaєtsya.
Първо, това е системен регистрационен файл на Linux, който се съхранява в /var/log/messages. Samba ще постави във файла информация за стойностите на подразделенията, като например името на файла или настройката е лоша. Krim файл към системния регистър, собствени файлове към лог за Samba и Winbind. Можете да го намерите в /var/log/samba и да смърдите, за да дадете на corystuvache допълнителна информация.
Отчитането (и общото) отчитане на регистрационните файлове, виждани от Winbind, може да бъде подобрено чрез промяна на скрипта за стартиране, за да се зададе същото натоварване. Редактирайте скрипта на обвивката /etc/init.d/winbind и добавете "-d 5" към командата winbind. За да увеличите процента на заплатата до 5 (да приемем стойността от 1 до 10), така че можете да настроите winbind да създава по-подробна информация за помилванията.
За да може Winbind да комуникира с домейн контролер, е възможно да се запишат пакетите с помощта на допълнителна помощна програма като Netmon 3.1. Позволете ми да анализирам какво прави самият Winbind. Можете също да запишете дневника за сигурност на Windows на контролера на домейна, в който ще бъдат въведени тестове за удостоверяване.
Сега, след като започна да работи, какво можем да направим?
Сега, когато всичко е направено добре, вече можете да влезете в Linux системи, използвайки прикритието на данни, които се поддържат в Active Directory. Това великолепие е сравнимо с управлението на локално удостоверяване на компютър с Linux и с незащитени системи като NIS. Това ви позволява да централизирате управлението на koristuvachs в едно хранилище за записи на Active Directory.
Але, тук няма такива изказвания, все едно можеха да измислят решението на истината. В първата стъпка, otrimanny tekhnіchnі n_dtrimki тук - късмет отдясно. Много Linux организации всъщност не разбират Active Directory, но напомняне, както можете да видите в Linux, ще бъдете напълно зависими от някой, който чете въведението ви и настроението ви за днес.
Освен това, пакетът Samba не може да бъде пренесен или замъглен. Поради наличието на облачни записи в Linux, с някои индикации за изходните идентификатори, е необходимо ръчно да се прецени дали те запазват своите UID идентификатори, преди да ги прехвърлят в Active Directory.
Nareshti, една от най-важните програми за Active Directory, групова политика, не е достъпна от Samba, но трябва да се работи върху нея. Докато една Linux система може да отиде до Active Directory за помощ от Samba, не можете да се забърквате с груповата политика.
Решения за доставчици на трети страни
Повторната проверка на компютрите с Linux за помощ с Active Directory очевидно е от дясната страна, но създаването на мощно решение за помощ със Samba Winbind, включително, не е просто кошмар. Читателите могат да си помислят, че някои от виновните пост-служители на PZ са виновни, че изиграват повече прошка от победоносните решения, а вонята прави разлика.
Някои от пост-майсторите на сигурността на търговския софтуер улесниха инсталирането на различна версия на това, което демонстрирах в тази статия. Вземете код и преносимост за много популярни версии на Linux, UNIX и Apple Macintosh, както и поддръжка за управление на компютри с Linux за допълнителна групова политика.
Chotiri компании: Centrify, Likewise Software, Quest Software и Symark. Всички пощенски лидери предоставят подобна функционалност, включително защита на групови политики в широк спектър от дистрибуции на Linux. Likewise Software наскоро пусна код за неговото внедряване, наречен Likewise Open, в опит да премахне компонента на груповата политика от търговски продукт. По същия начин Open ще бъде достъпен за много големи издания на Linux. (Кажете ми една тайна: докато пишех тази статия, моята компания NetPro беше забранена от Quest Software.)
Какво мога да направя, за да контролирам системата за удостоверяване с помощта на Samba и Winbind, ако са налични търговски опции? Дори ако бюджетът не прехвърля стотинки към програмите за интеграция, използването на Samba с йога код може да бъде безплатно. С това отнемате и целия външен код, за да бъдете привилегирован човек. Но пренасянето на основните компютри с Linux и основните UID е труден проблем.
От друга страна, ще отнеме един час, за да приложите тази инсталация, или ако имате нужда от компютър с Linux, ще е необходимо да го прехвърлите, или скъсяване на фактора на мощността, тогава познаването на търговски решения може да е разумно. Във времена на необходимост от управление на груповата политика няма алтернатива.
Но be-yaké решение за интегриране на автентичността с Linux системи с Active Directory скоро ще бъде успешно, за да отиде до ремонт на голям брой наклонени записи на coristuvachiv, да подобри сигурността на системата и да се надяваме, че едно съкровище от доказателства за одита. І tse dosit obґruntuvanі причини, schob опитайте zastosuvati yogo.
Джил Къркпатрик- Следващ >
Двуфакторната автентификация (2FA) е същият метод за удостоверяване, който се използва за въвеждане на публичен запис или добавяне на фрагмент от информация. Crimium комбинация от името на паролата, 2FA vimag, изплаква паролата чрез въвеждане на допълнителна информация, като еднократна парола (OTP, например, шестцифрен код за преобразуване).
Като цяло 2FA ви позволява да въвеждате различни видове информация:
- Schos, scho koristuvach знам (например парола)
- И така, какво мога да направя (например код за потвърждение, генериран от специално допълнение - автентикатор).
2FA е вид многофакторно удостоверяване (MFA). Методът на MFA е допълнение към това, което ползувачът знае и към това, което може, можем да помогнем, чим вино. Биометрични данни: тънко разпознаване на звуците на пръстите на гласа ви.
2FA помага да се защити процеса на удостоверяване за първата услуга или ще го добавя: въведете паролата за нападателя, нападателят също ще се нуждае от код за сигурност и за когото се изисква достъп до разширението, в което има удостоверител програма. Поради тази причина много онлайн услуги показват възможността за активиране на 2FA за публични записи на coristuvach, за да се насърчи сигурността на акаунтите на нивото на удостоверяване.
Това ръководство ще ви каже как да настроите 2FA зад модула на Google PAM за администратори без root root в Ubuntu 18.04. Ако не се нуждаете от 2FA за не-root root, все още можете да получите достъп до компютъра си с вашия root акаунт. Инструкции за попълване на ръководството, за да можете да ги получите както на сървъри, така и на етажни инсталации, както локални, така и отдалечени.
Wimogi
- Ubuntu 18.04 сървър или по-прилична работна среда. Сървърът на Ubuntu 18.04 трябва да бъде надстроен до .
- Удостоверител, инсталиран на мобилно устройство (например Google Authenticator или Authy). С тази помощ можете безопасно да сканирате QR кода.
1: Инсталиране на модула Google PAM
За да настроите 2FA на Ubuntu 18.04, трябва да инсталирате модула Google PAM за Linux. Pluggable Authentication Module (PAM) е механизмът за удостоверяване на Linux. Модулът на Google PAM позволява на вашия акаунт да премине 2FA удостоверяване, което се генерира от Google OTP код.
Вижте системата като бърза sudo проверка, която направихте през първия час от настройката на пощата на сървъра:
ssh [защитен с имейл] _server_ip
Актуализирайте индекса на пакета Ubuntu, за да запазите останалата версия на удостоверителя:
sudo apt-получи актуализация
След актуализиране на хранилищата, инсталирайте останалата версия на PAM модула:
sudo apt-get install libpam-google-authenticator
Това е малък пакет без депозити, така че инсталацията ще отнеме няколко секунди. Вече имаме 2FA за sudo koristuvach.
Стъпка 2: Настройте двуфакторна автентификация
Сега, ако сте инсталирали PAM модула, стартирайте йога, за да генерирате QR код за ползавача. Не е нужно да създавате код, но нямате нужда от 2FA в Ubuntu, освен ако не активирате нейната.
Изпълнете командата google-authenticator, за да стартирате и инсталирате PAM модула:
google-автентикатор
Командата ще ви попита количество храна и избор на конфигурация. Върнете го, каквото искате, така че жетоните ще бъдат разменени за един час. Удостоверителните токени, разменени по час, ще изтекат след единичен интервал (стават 30 секунди за повече системи за заключване). Жетоните с разменени часове са безопасни, по-ниските токени без такива обмени и повече реализации на 2FA са победоносни. Можете да изберете всяка опция тук, но ви препоръчваме да изберете Да и да спечелите токени за удостоверяване на час:
Искате ли токените за удостоверяване да бъдат базирани на време (y/n) y
Vіdpovіvshi y on tse pitannі, vіbachit kіlka kіlka vіvennіnі в конзолата:
- QR-код: този код, който трябва да бъде сканиран за допълнителна програма за удостоверяване. След като сте сканирали йога, програмата ще създаде нов OTP на кожата за 30 секунди.
- Секретен ключ: Това е алтернативен начин за настройка на програма за удостоверяване. Ако използвате програмата съветник, ако не приемате QR сканирането, можете да въведете секретния ключ, за да настроите удостоверителя.
- Код за потвърждение: първият шестцифрен код, който генерира конкретния QR код.
- Код за изтриване при спешни случаи. Тези еднократни токени (те също се наричат резервни кодове), те ви позволяват да преминете 2FA удостоверяване, така че използвате прикачен файл за удостоверяване. Запазете своя qi код на следващото място, така че блокирането на formovy запис да бъде деблокирано.
След като персонализирате вашата програма за удостоверяване и запазите резервния си код на сигурно място, програмата ще ви попита дали искате да изтеглите конфигурационния файл. Ако получите n, ще трябва да стартирате програмата за надграждане отново. Въведете y, за да запазите промяната и да продължите:
Искате ли да актуализирам вашия файл "~/.google_authenticator" (y/n) y
След това програмата ще ви попита дали искате да въведете различен код за удостоверяване повече от веднъж. За заключване можете да завъртите кода на кожата само веднъж, стига да не са минали 30 секунди от създаването. Това е най-сигурният избор, до този, който печели срещу атаки на многократно потвърждение от нападателя, сякаш е възможно да отнеме вашия код за потвърждение. Ето защо е по-добре да оградите vikoristanny кодове повече от веднъж. Дайте доказателство y, за да можете да съберете bagatarase vikoristan от същия токен:
Искате ли да забраните многократното използване на едно и също удостоверяване
жетон? Чиито списък знаете, че участък от 30-те години, но тя расте
вашите промени в обяснението или за да ви помогнат да добавите човешка атака (y / n) y
След това трябва да кажете, каквото искате, че токените за удостоверяване са получени един час след края на големия им срок. Коди вече е чувствителен до един час, тази смрад може да не се цаца, защото стопанските ви постройки не са синхронизирани. Тази опция ви позволява да заобиколите този проблем, като увеличите часа на кодовете за проверка за промоции, така че кодовете за удостоверяване да се приемат по всяко време (например вашите разширения не са синхронизирани). Най-добре е да преминете към факта, че часът е на всичките ви разширения за синхронизация, към това можете да намалите малко сигурността на системата. Дайте доказателство n за захранващата верига, за да не преувеличавате термина di token:
По подразбиране жетоните са добри за 30 секунди и за да се компенсират
Възможност за изкривяване на времето между клиент и сървър, което може да бъде допълнително
токен преди и след текущото време. Ако имате проблеми с бедните
синхронизиране на времето, можете да промените прозореца от неговия по подразбиране
размер от 1:30 минути до около 4 минути. Искате ли да го направите (y/n) n
Остана храна: искате ли да разрешите обмена на броя проби за влизане в системата. Не позволявайте повече от три скорошни опита за влизане в системата за 30 секунди, за да подобрите сигурността на системата. Увеличете tse obezhennya, vіdpovіvshi y:
Ако компютърът, в който влизате, не е закален срещу груба сила
Опитите за влизане, можете да защитите модула за удостоверяване.
По подразбиране нападателите трябва да бъдат ограничени до 3 опита за влизане на всеки 30 секунди.
Искате ли да активирате ограничаване на скоростта (y/n) y
Внедрихме и генерирахме 2FA кода зад помощта на PAM модула. Сега трябва да активирате 2FA във вашата среда.
Стъпка 3: Активиране на 2FA в Ubuntu
Модулът на Google PAM вече генерира 2FA кодиране за удостоверяване, но системата на Ubuntu все още не знае какво да хакне кода в процеса на удостоверяване. На какъв етап е необходимо да се актуализира конфигурацията на Ubuntu, за да се коригира поддръжката на 2FA токен към добавянето към оригиналното удостоверяване.
Тук има два пътя:
- Можете да използвате двуфакторно удостоверяване от време на време, ако влезете в системата, и веднъж, ако получите sudo права.
- Можете да използвате 2FA за по-малко от час, за да влезете в системата, или когато получите sudo права, ще ви трябва само паролата на koristuvach.
Първият вариант ще бъде идеален за дива среда, de bazhano защити дали е diї, което означава sudo привилегии. Друг практичен подход за местната работна маса, de vie е единственото ядро на системата.
Забележка: Ако активирате 2FA на отдалечена машина, преди да откажете достъпа чрез SSH, трябва да прочетете две и три стъпки от ръководството, първо продължете с робота. Допълнителни подробности в това ръководство, за да стигнете до всички инсталации на Ubuntu, но в средата ще са необходими допълнителни настройки, така че SSH услугата да знае за 2FA.
Ако не използвате SSH за достъп, преди да инсталирате Ubuntu, можете просто да преминете към следващата част от това ръководство.
Активирайте 2FA при влизане и дайте sudo разрешения
За да може системата да спечели 2FA за един час за влизане и допълнителни заявки за привилегии, трябва да редактирате файла /etc/pam.d/common-auth, като добавите ред в края на правилния файл.
Файлът с обща автентификация zastosovuetsya преди всички механизми за удостоверяване в системата, независимо от носителя. Vіn също zastosovuєtsya преди zatochiv authentifikatsiї, yakі vіdbuyutsya след влизането на koristuvach в системата, например, за един час, за да получите правата на sudo, ако нов пакет е инсталиран в терминала.
Отвори файл:
sudo nano /etc/pam.d/common-auth
Добавете в края на файла:
...
# и ето още модули за пакет (блокът "Допълнителен")
сесия се изисква pam_unix.so
Този ред включва поддръжка на 2FA в системата за удостоверяване на Ubuntu за едночасово влизане през модула Google PAM. Опцията nullok позволява на легитимните притежатели на акаунти да имат достъп до системата, ако приемем, че не са настроили 2FA удостоверяване за техния косвен акаунт. С други думи, користуванти, които са задали 2FA, ще бъдат виновни за въвеждане на код за удостоверяване, когато влязат, в този час, ако не са изпълнили командата google-authenticator, те могат да влязат в системата за своите стандартни облачни данни, смърд доки няма да установят 2FA.
Запазете и затворете файла.
Заявете 2FA по-малко при влизане
Ако искате 2FA да бъде активирана само когато влезете в средата на работния плот, трябва да редактирате конфигурационния файл на мениджъра на работния плот, който ще спечелите. Името на конфигурационния файл се извиква от името на средата на работната таблица. Например, конфигурационният файл за gdm (заключване на Ubuntu, започвайки от Ubuntu 16.04) е /etc/pam.d/gdm.
На сървър без глава (като виртуален сървър) ще трябва да редактирате файла /etc/pam.d/common-session. Отворете файла по подразбиране във вашата среда:
sudo nano /etc/pam.d/common-session
Добавете видео реда в края на файла:
#
# /etc/pam.d/common-session - модули, свързани със сесията, общи за всички услуги
#
...
# # и ето още модули за пакет (блокът "Допълнителен")
сесия се изисква pam_unix.so
сесия по избор pam_systemd.so
# край на конфигурацията за pam-auth-update
изисква се удостоверяване pam_google_authenticator.so nullok
Сега Ubuntu vimagatime 2FA, ако се свържете със системата през командния ред (локално, отдалечено чрез SSH), няма да можете да изпълнявате команди от sudo.
Настроихте Ubuntu да поддържа 2FA. Сега е време да протестирате срещу конфигурацията и да преконфигурирате, че когато влезете във вашата Ubuntu система, ще бъдете подканени да въведете код за сигурност.
Стъпка 4: Тестване на двуфакторна автентификация
Преди сте създали 2FA за съвпадение на кодове на кожата за 30 секунди. Сега опитайте да отидете до вашата среда на Ubuntu.
Потърсете извън системата и вижте отново в моята среда на Ubuntu:
ssh [защитен с имейл] _server_ip
Ако потвърждавате удостоверяване, базирано на парола, ще бъдете подканени да въведете паролата на ваучера:
Забележка: Ако на отдалечения сървър спечелите удостоверяване за сертификати, няма да бъде поискана парола. Ключът ще бъде изпратен и приет автоматично. Ще трябва да въведете само код за потвърждение.
Въведете парола, след което ще бъдете подканени да въведете 2FA кода:
Код за потвърждение:
След това го занесете в системата:
[защитен с имейл] _server_ip: ~#
Тъй като 2FA е активирана само за влизане, вече няма да е необходимо да въвеждате кода за потвърждение на 2FA, докато сесията приключи или няма да бъдете ръчно влизани.
Тъй като сте активирали 2FA чрез файла common-auth, ще бъдете подканени да направите същото с sudo привилегии, когато използвате дермално влизане:
[защитен с имейл] _server_ip: ~# sudo -s
sudo парола за 8host:
Код за потвърждение:
[защитен с имейл] _server_ip:
Объркахте, че конфигурацията на 2FA работи правилно. Сякаш нещо се обърка и системата не поиска код за потвърждение, върнете се към третия дял на ядрото и проверете отново дали сте прочели правилния файл за удостоверяване на Ubuntu.
5: Предотвратете блокиране на 2FA
За да похарчите сигурността на вашето мобилно приложение, е важно да предадете резервния метод, за да възстановите достъпа до физическия си акаунт с помощта на 2FA. Ако имате инсталирана 2FA в миналото, имате няколко опции за възстановяване на достъпа след блокиране:
- Запазете резервно копие на секретни конфигурационни кодове на сигурно място. Можете да го направите ръчно или да използвате удостоверяване, като Authy, за да дадете функция за архивиране на кода.
- Запазете кода за подновяване на безопасно място извън средата на средата с поддръжка за 2FA, до която можете да получите достъп до различни нужди.
Тъй като нямате достъп до параметрите за архивиране, можете да опитате да възстановите достъпа до локалния носител или до отдалечен сървър с поддръжка на 2FA по друг начин.
6: Възстановете достъпа до местни медии (по избор)
Докато имате физически достъп до колата, можете да влезете в режима на актуализиране, за да деактивирате 2FA. Режимът на ревизия е общ тип (подобен на vykonannya) в Linux, който е победител за vykonanny административни задачи. Ще трябва да направите отново настройките в GRUB, за да стигнете до режима на актуализиране.
За да получите достъп до GRUB, рестартирайте компютъра си:
Когато се появи менюто GRUB, превключете, за да видите записа на Ubuntu. Причината за инсталацията на 18.04 е за промоция, но може да се поправи, така че си я сменил ръчно след инсталацията.
След това натиснете клавиша e на клавиатурата си, за да редактирате конфигурацията на GRUB, преди да нахлуете във вашата система.
Отидете до края на файла и намерете реда, който започва с linux и завършва с $vt_handoff. Преминете към края на реда и добавете systemd.unit=rescue.target. Променете решението си, ако искате да опитате между $vt_handoff и systemd.unit=rescue.target. Искате ли да позволите на машината Ubuntu да влезе в режим на иновации.
След като направите промяна, запазете файла за допълнителната комбинация от клавиши Ctrl + X. Вашата машина ще бъде обновена и ще се облегнете на командния ред. Натиснете клавиша Enter, за да отидете в режим на актуализиране.
Облягайки се на командния ред, отворете конфигурационния файл на Google Authenticator, който се намира в домашната директория на блокирания koristuvach.
nano /home/8host/.google-authenticator
Първият ред на този файл е секретният ключ на koristuvach, който е победител за настройка на удостоверителя.
Сега имате две възможности:
- Можете да копирате секретния ключ и да настроите удостоверителя.
- Ако искате да започнете с чист arkush, можете да преразпределите файла ~/.google-authenticator, за да деактивирате 2FA за този koristuvach. След като влезете отново, можете да преконфигурирате 2FA и да извлечете новия таен ключ.
Във всеки случай можете да възстановите системата след блокиране на 2FA в локалната среда с помощта на грабване на GRUB. Dali mi rozpovimo, как да отворя достъп до блокираната отдалечена среда.
7: Подсилване на достъпа до отдалечения център (по избор)
Ако външният ви вид sudoer е блокиран от далечна среда, можете да го включите едновременно или да преконфигурирате 2FA с помощта на root.
Преглед на системата като root root:
ssh [защитен с имейл] _server_ip
След като влезете, отворете файла Google Authenticator, който се намира в началната директория на блокирания потребител:
sudo nano /home/8host/.google_authenticator
Първият ред на този файл е секретният ключ на koristuvach, който ви е необходим, за да настроите автентикатора.
Сега имате два пътя:
- Ако искате да преконфигурирате новите или изтрити прикачени файлове, можете да промените секретния ключ, за да преконфигурирате софтуера за удостоверяване.
- Ако искате да започнете от чист лист, можете да посетите отново файла /home/8host/.google_authenticator, за да деактивирате 2FA за този хост. След като влезете с sudo, можете да преконфигурирате 2FA и да извлечете новия таен ключ.
За всяка от тези опции можете да промените след заместващото блокиране на 2FA, заместник на външния вид на основния запис.
Висновок
С това ръководство поправихте 2FA на машина с Ubuntu 18.04. Двуфакторното удостоверяване осигурява допълнителни разходи за защита на публичния запис на системата като цяло. Ако използвате стандартни облачни данни, ще трябва също да въведете допълнителен код за потвърждение, за да влезете. За да ограбите невъзможността за вземане на неоторизиран достъп до вашия oblіkovogo запис, така че злосторникът да може да влезе във вашите oblіkovі данни.
Етикети: ,- Инсталирана версия на ROSA Enterprise Linux Server не по-ниска от 6.8 в конфигурация "Стандартен ROSA Server".
- Достъп до хранилището
- Прикачен Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC наведнъж от четеца. При закачането е виновен сертификатът
За да премахнете достъпа до хранилището, премахнете ключа от услугата за поддръжка и изпълнете следната команда с права на администратор:
ехо<ключ>> /etc/rosa-support-id-server
Zastosovnіst
Инструкциите описват инсталирането и персонализирането на помощните програми ROSA Enterprise Linux Server, необходими за удостоверяване с победите на Rutoken ECP. Прикладът е с архитектура AMD64; за 32-битова система всичко ще бъде същото до имената на папките.
След като процедурата за удостоверяване за Rutoken ECP бъде въведена по-долу, тя ще стане възможна, но няма да бъде обвързваща.
Инсталирани компоненти
Инсталирайте необходимите и премахнете конфликтни помощни програми (изисква се администраторски права):
Su yum инсталирайте ccid opensc pam_pkcs11 gdm-plugin-smartcard yum премахнете coolkey
Инсталирайте библиотеката PKCS#11 за Rutoken ECP (важно е да инсталирате библиотеката след инсталиране на помощни програми):
- Отидете на уебсайта на Rutoken: https://www.rutoken.ru/support/download/pkcs/.
- Отидете в раздела "За GNU/Linux Cores" и щракнете върху "rtPKCS11ecp Library for GNU/Linux RPM 64-bit (x64)".
- Заявете и инсталирайте пакета (изисква се администраторска парола).
Nalashtuvannya
Ще изградя повторна проверка в системата и видимост върху новата необходима информация
- Бягай pcscd(изисква администраторски права):
- Завършете основния процес pcscd, като това boov:
В този момент жетонът може да бъде вмъкнат в различни рози.
- уиконаит:
- Отворете раздела или отворете терминала и въведете командата в него:
Лозята са с видими параметри и името на сградата. По-долу е даден пример за визия.
- Обърнете присъствието в токена на необходимата информация за допълнителната офанзивна команда (необходимата парола е типа на токена):
Wisnovku е отговорен за обекта на сертификата. Такива параметри, като идентификатор и етикет, могат да се променят, когато задържите курсора на мишката по-ниско.
Добавяне на сертификат за доверие
- Създайте база данни с доверени сертификати (изисква администраторски права):
- Копирайте сертификата от токена (необходима парола за токен. Параметърът ID може да бъде взет от изхода на командата pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l):
- Добавете сертификат към попечителя (изисква администраторски права):
Промяна на конфигурационни файлове
За да промените конфигурационните файлове, имате нужда от администраторски права.
pam_pkcs11.conf
- Създайте (например на работния плот) текстов файл pam_pkcs11.conf със следното:
- Преместете файла в директорията /etc/pam_pkcs11/:
системно удостоверяване
- Свържете модула към системата за авторизация на PAM:
- Отворете файла system-auth в редактора наноили mcedit:
- Добавете в следващия ред:
- запишете файла (
тема_картографиране
- Следвайте командите:
- Копирайте горната команда от файла /etc/pam_pkcs11/subject_mapping и посочете към кой предмет принадлежи сертификатът.
Могат да се видят редица конфигурации:
Проверка на командата pkcs11_inspect -><имя_пользователя>
Повторно удостоверяване през конзолата
- Отворете нов прозорец или раздел на конзолата.
- Ударете командата su<имя_пользователя>(им'я ползавача е посочена в subject_mapping).
Пример за визия:
След като проверите повторно удостоверяването през конзолата, можете да почистите режима на усилване. За това вземете думата debug от файла /etc/pam.d/sysauth в дадения ред и поставете debug false вместо true от файла /etc/pam_pkcs11/pam_pkcs11.conf.
Заключване на екрана
- Отворете файла pkcs11_eventmgr за редактиране (изисква администраторски права):
След редактиране конфигурационният файл може да изглежда така:
Pkcs11_eventmgr (# Изпълнява се във фонов режим? Предполага debug=false, ако true daemon = true; # показване на съобщения за отстраняване на грешки? debug = false; # време на запитване в секунди polling_time = 1; # време на изтичане в секунди # по подразбиране = 0 (без изтичане) exp 0 ; # pkcs11 модул за използване на pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # списък на събитията и действията # Картата вмъкната събитие card_insert # крайна последователност от действия # quit: край на програмата on_error = ignore; ) # Картата е премахната събитие card_remove ( on_error = ignore; action = "gdmflexiserver"; ) # Твърде много времева карта е премахната събитие expire_time ( on_error = ignore; action = "/bin /false"; ) )
- Добавете помощна програма pkcs11_eventmgrпри автоматично придобиване. За кой от тях редактирайте файла .bash_profile на кореспондента, за да удостоверите:
- Завършете файла с ред, който стартирате pkcs11_eventmgr.
Butt file.bash_profile след редактиране:
Когато избирате удостоверяване за допълнителен токен, екранът изглежда така.
От 2020 г. бъдещето на криптирането за GOST R 34.10-2001 трябва да се основава на оградата, а също така всички организации, тъй като взаимодействат с държавни структури, са объркани от терминологията в подкрепа на новия стандарт - 2012 до годината. Ако работите в някой от тях, тогава не подминавайте: в тези статии ще говорим за това как да решим проблема, използвайки сървъра CentOS 7 и пакета CryptoPro JCP.
Ако вече знаете за всичко, тогава има малко исторически доказателства.
През 1994 г. Федералната служба за сигурност (ФСБ) прилага ниски стандарти и призовава за защита на обмена на документи между организации и други участници в този процес. Един от тези подходи за сигурност се превърна в електронен цифров подпис на документи, а един от стандартите е GOST R 34.10-94, който описва алгоритъма за формиране и повторна проверка на електронен цифров подпис. Приет и въведен от уважаемия Държавен стандарт на Русия от 23 януари 1994 г., № 154, продължен до 2001 г.
За промяната получихме въвеждането на GOST R 34.10-2001 - стандартни подобрения, разширения за осигуряване на по-голяма стабилност на алгоритъма. Ale hour да не стои на мисията, алгоритмите и методите за криптозащита се променят и след единадесет години GOST R 34.10-2001 се променя на GOST R 34.10-2012.
В новия стандарт първият вариант не може да се променя, докато параметрите не останат непроменени. Стойността на секретния ключ трябва да е близка до 256 бита, но е прехвърлена към хеш функция с максимален хеш код от 256 или 512 бита. Основното е въвеждането на новия стандарт - опции с допълнителни параметри и схеми, включително хешове за стандарта GOST R 34.11-2012 "Стрибог".
ИНФО
Стрибог е богът на древните думи, който ходатайства пред ветровете, чакайте всичко, което се показва на открито. Вероятно и мрачни технологии. За отчет за тези шифри прочетете статиите "" и "".
В жестоката съдба на 2014 г. ФСБ обяви началото на прехода към приемането на новия национален стандарт GOST R 34.10-2012 с цел електронен подпис за информация, за да не отмъщава информацията, за установяване на държавна тайна. Разполагаме с документ № 149/7/1/3-58 от 31 септември 2014 г. „За процедурата за преминаване към приемане на нови ECP стандарти и функции за хеширане”, като инсталирахме такова помощно средство.
- Pіsl 31 гърди 2013 ROCKITI STIFIFIKATSIUY ИГРАХА ЕЛЕКТРОННА PIDPISA на Vіdpovіdnіst Vimogam до Zavobiv Elektrona Pіdpisu, работа на 27.12.2011 ROK №796, Yakscho Usich дартс не се защитава от Funstay-20yy, R12010, 2011.
- На 31 март 2018 г. датата на подаване на оградата беше GOST R 34.10-2001 за формиране на електронен подпис.
Министерството на съобщенията създаде план за преминаване към стандарта (PDF). На практика се оказа, че всичко не е толкова просто и преходът се случи до 31 декември 2019 г. Защото така.
- Много суверенни и общински органи не са готови да преминат към нов стандарт за електронен подпис GOST-2012 чрез въвеждане на подпис на Ровно PZ.
- За да се издаде сертификат за нова марка, е необходимо, разбира се, да има нов GOST, този сертификат на Главния център, за потвърждаване на формации със стандартите GOST-2012. Posvidchuvalni centry извади йога от утъпканите пътеки на рока 2018. Издаването на сертификати за всички користувачи ще отнеме допълнителен час.
В същото време има два стандарта за криптопротектор за работата на ECP, и ale tim, който използва GOST-2001, терминът е необходим за robit. Зимата, както изглежда, е близо, но това означава, че проверката ни е ниска с прилагането на стандартите GOST-2012.
Ще ви кажа как да внедрите FSB zasib SKZI сертификация (CryptoPro JCP) на Linux сървъра под Java JDK церемонии. До речта, тъй като ty dosі vykoristovuєsh DERZHSTANDART-2001, на сайта CryptoPro є chudova, raja tobi її прочете, ние няма да.
Цялата документация между участниците в обмена се подчинява на принципа CMEV (система за междуелектронна оперативна съвместимост). Допълнение може да бъде участник в такава система, или може да не е наясно с принципа на обмен на документи по никакъв начин не се променя. За простота нарисувах малка схема.
Цени
По правило публикувайте лиценз за софтуерно решение. CryptoPro JCP не е евтин и ако една работна станция струва 1200 рубли, тогава сървърните лицензи струват много повече - близо 30 000 за скин ядро (или две процесорни ядра на Intel с активиран Hyper Threading).
Инсталиран и настроен крипто доставчик
В моя случай работя на виртуална машина с CentOS 7, но нямам никакви проблеми с избора на хардуерно решение за тази Linux дистрибуция. Убедете се, че отборите сами ще бъдат такива.
Ние създаваме местна coristuvacha, pіd yakim pratsyuvatime PZ, scho vykoristovuє podpis dokumentіv.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash потребител; sudo grep потребител /etc/passwd
Инсталирайте правилно Java JDK. Vikachuemo необходимия дистрибуторски комплект.
$wget --header "Cookie: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Разопаковайте архивите и проверете дали папката Java е готова за копиране.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Копирайте папката в дистрибуцията за приложния софтуер. Ще играя використ /опт.
$ sudo cp -rf jdk1.8.0_191 /opt/
Проверете какво е копирано правилно. Както е необходимо, променете собственика на папката на root.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R корен: корен /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Ще напишем промени в инструмента за заточване на Java JDK за всички ключалки.
$ sudo vi /etc/profile.d/oracle.sh
Файлът се записва по-долу:
Експортиране на JAVA_HOME=/opt/jdk1.8.0_191 експортиране JRE_HOME=/opt/jdk1.8.0_191/jre export PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre/
Тъй като на сървъра има няколко версии на Java JDK, е необходимо да регистрирате алтернативи за новата версия.
$ sudo алтернативи --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 2 $ sudo алтернативи --install /usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2 $ sudo алтернативи --инсталирайте /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ sudo алтернативи --set jar /opt/jdk1.8.0_181/bin/jar $ sudo алтернативи --задайте jar /opt/jdk1.8.0_191/bin/jar $ sudo алтернативи --set javac /opt/jdk1.8.0_191/bin/javac $ sudo алтернативи --config java
От менюто изберете опция 2 (или тази, която ще доведе до по-нова версия на Java). Не забравяйте да коригирате разрешенията на JRE systemPrefs.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Проверете инсталираната версия на Java.
$ java-версия
java версия "1.8.0_191"
Java(TM) SE Runtime Environment (build 1.8.0_191-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.191-b12, смесен режим)
Копирайте папката с дистрибуционния комплект CryptoPro JCP от дистрибуцията за приложния софтуер.
$ sudo cp -rf jcp-2.0.40035 /opt/
Проверено е, че всичко е копирано правилно.
$ ls -al /opt/jcp-2.0.40035/
Виждаме правата за изпълнение на скриптове.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Проверяваме собственика, че правата върху папката могат да бъдат root. Да отидем при нея.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
За да избегнете проблеми по време на инсталацията, проверете броя на ядрата на процесора и проверете лиценза. Можете да определите броя на ядрата с командата nproc.
Нека да преминем към инсталирането на доставчика на крипто JCP. Под часа на инсталиране ще трябва да сте свързани към ниско захранване.
Промоцията е достъпна само за членове
Вариант 1. Елате на „сайта“, за да прочетете всички материали на сайта
Членството със съвместно назначен срок ви дава достъп до всички материали на Хакера, за да увеличите специалната натрупваща се отстъпка и да ви позволи да натрупате професионален рейтинг на Xakep Score!
