Windows se již dlouho dodávají v sadách s integrovaným systémem mesh autentizace a jednotného přihlašování. Před Windows 2000 poskytovaly řadiče domény Windows NT klientům Windows služby ověřování pomocí protokolu NTLM. I když NTLM nebylo tak krádeže, bylo to, jako by to bylo dáno na místě, raději jsme to sundali, střepy, což dává jasné řešení problému potřeby duplikovat cloudové záznamy o coristuvach na různých serverech síť.
Počínaje Windows 2000 přešel Microsoft z NTLM na Active Directory a integroval autentizační službu Kerberos. Kerberos je výrazně chráněn pro NTLM a také se lépe škáluje. Mezitím byl Kerberos standardem vesmíru, který již vítězí na systémech Linux a UNIX, což otevřelo dveře k integraci těchto platforem s Windows.
Kontrola autentizace Linuxu
Mnoho Linuxů (stejně jako GNU knihovny, na kterých se pracovalo) se nespoléhá na jediný mechanismus autenticity. V důsledku toho byli dodavatelé doplňků Linuxu přijati dříve, než byla vyvinuta autoritativní schémata pravosti. Bylo možné dosáhnout buď hledáním hash kódů jmen a hesel v /etc/passwd (textový soubor, který se tradičně používá k pomstě za vzhled dat v Linuxu), nebo hledáním jiného (a jasného) mechanismu .
Rozsah mechanismů pro opětovné ověření správnosti, který je viyshov, buv neželezný. V roce 1995 Sun navrhl mechanismus nazvaný Pluggable Authentication Modules (PAM). PAM poskytl širokou škálu autentizačních rozhraní API, která mohou používat všichni distributoři doplňků, a také serverový prvek, který může konfigurovat správce, což umožňuje připojení různých autentizačních schémat. Použití PAM API pro ověřování autenticity a rozhraní Rozhraní Name Server Switch (NSS) API pro vyhledávání informací o hostiteli umožnilo dodavatelům doplňků pro Linux psát méně kódu a administrátorům Linuxu zvládnout proces ověřování samostatně.
Většina verzí Linuxu byla dodána s mnoha moduly pro ověřování PAM, včetně modulů, které podporují ověřování v adresáři LDAP a ověřování pomocí wiki Kerberos. Tyto moduly lze vybrat pro autentizaci v Active Directory, ale zároveň můžete určit hodnotu výměny, jak je popsáno níže v tomto článku.
Samba a Winbind
Samba- celý projekt je založen na novém kódu, který je metodou integrace mezi prostředím Windows a Linux. Samba obsahuje komponenty, které počítačům se systémem Linux umožňují přístup k souborovým službám a dalším Windows, a také poskytují služby založené na Linuxu, které napodobují řadiče domény Windows NT 4.0. S klientskými součástmi Samba mohou počítače se systémem Linux používat služby ověřování Windows, které poskytují řadiče domény Windows NT a Active Directory.
Pro nás především část Samby, zvaná Winbind. Winbind je démon („služba“ v podmínkách Windows), který funguje na klientech Samba a funguje jako proxy pro komunikaci mezi PAM a NSS, která funguje na počítači s Linuxem, z jedné strany a Active Directory, která funguje na řadičích doména, s іnshgo. Zokrema, Winbind pomocí Kerberos ke kontrole pravosti Active Directory a LDAP pro extrahování informací o jádrech a skupinách. Winbind také poskytuje další služby, jako je schopnost zobrazit řadič domény, algoritmus wincrow podobný DCLOCATOR Active Directory a možnost zrušit hesla Active Directory kontaktováním řadiče domény pro pomoc RPC.
Winbind se vyhýbá problémům, které jsou zachráněny jednoduchým použitím Kerberos pro pomoc PAM. Zocrema, náhrada za pevné kódování řadiče domény pro ověřování PAM Winbind vybere řadič domény, aby hledal záznamy lokátoru DNS, podobně jako při deaktivaci modulu DC LOCATOR společnosti Microsoft.
Tři autentizační strategie
V závislosti na dostupnosti LDAP, Kerberos a Winbind na počítačích se systémem Linux existují tři různé implementační strategie, které lze provést, aby počítač se systémem Linux získal možnost získat Active Directory pro ověřování.
Průvodce ověřením LDAP Nejjednodušším, ale nejméně spolehlivým způsobem, jak používat Active Directory k ověřování, je záplata PAM přes ověřování LDAP, jak je uvedeno v Rýže. jeden. Pokud chcete Active Directory jako službu LDAPv3, klienti Windows spoléhají na ověřování Kerberos (s NTLM jako záložní řešení) spíše než na LDAP.
Čas ověření pravosti LDAP (zavolám LDAP) Toto heslo je přepsáno textem přes okraj. To je pro větší účely nebezpečné a nepřijatelné.
Rýže. Opětovná kontrola pravosti v Active Directory pomocí nápovědy LDAP
Jediným způsobem, jak pomoci zmírnit riziko zúčtování cloudového přenosu dat, je zašifrovat komunikační kanál klient-Active Directory s druhou stranou připojení SSL. Je to naprosto možné, ale také to vynakládá další úsilí na správu certifikátů SSL jak na počítači řadiče domény, tak na počítači se systémem Linux. Modul LDAP PAM navíc nebude podporovat změnu zahozených hesel.
Proutěný LDAP a Kerberos Další strategií pro použití Active Directory pro Linux Authentication Refactoring je záplata PAM pro Kerberos a NSS Authentication pro autentizaci LDAP za účelem hledání informací o kořenových skupinách, jak je znázorněno na Rýže. 2. Schéma Tsya může být lepší než vіdnosnoї zahishchennosti a v nіy vikoristovuyutsya vbudovanі možnost Linuxu. Neovlivňuje však záznamy o vydání služby DNS (SRV), které publikují řadiče domény služby Active Directory, aby zkontrolovaly první sadu řadičů domény a zkontrolovaly jejich správnost. Neposkytuje také nijak zvlášť intuitivní způsob hackování aktuálních hesel Active Directory nebo až donedávna adekvátní vtipu členů skupiny.
Rýže. 2. Ověření pravosti v Active Directory pomocí LDAP a Kerberos
Wikisource Winbind Třetím způsobem použití Active Directory pro ověřování Linuxu je nastavení PAM a NSS pro získávání kliknutí na klíčový program Winbind. Winbind přeloží různé požadavky PAM a NSS na vítězství Active Directory, LDAP, Kerberos nebo RPC, podle toho, co je nejvhodnější. Na Rýže. 3 ukázal na naochny zadek strategie.
Rýže. Opětovná kontrola pravosti ve službě Active Directory pomocí nápovědy Winbind
Náš plán realizace
Vylepšená integrace Active Directory mě přiměla vybrat si Winbind pro Red Hat Enterprise Linux 5 (RHEL5) pro svůj projekt integrace Linux-Active Directory. RHEL5 je streamovaná verze komerční verze Red Hat Linuxu a je oblíbená u podnikových datových center.
Pro RHEL5 po kontrole reference prostřednictvím Active Directory potřebujete ve skutečnosti pět dalších kroků:
- Poznejte a získejte nejnovější balíček Samba a další starší komponenty.
- Vyberte Sambu.
- Znovu nainstalujte nastavení Samby.
- Získejte Linux, PAM a samotný NSS.
- Nastavte Active Directory.
V nadcházejících divizích jsou články popsány ve zprávě.
Vyhledejte požadované programy
Jednou z největších vlastností mezi Linuxem a Windows je to, že Linux se skládá z malého jádra operačního systému a velké sbírky komponent, o které je dobře postaráno a které se instalují. Je možné vytvářet pečlivěji vybrané linuxové sady, které jsou optimální pro pěvecké úkoly, a také pracovat ještě složitěji na nastavení serveru a jeho správě. Různé distribuce to řeší různými způsoby. Red Hat (a jeho nekomerční sestřenice Fedora) používá Red Hat Package Manager (RPM) k instalaci a správě těchto komponent.
Linuxové komponenty pro Red Hat přicházejí ve dvou podobách. RPM soubory nahradit dvіykovі soubory, yakі byly zadalegіnі dіdіdіdіdіdіdіdіdіdіdіdіdіbranііdіnі pro nіvnаnіnіnі pro nіvnаnіnіnі pro nіvnаnіnіnі pro nіvnаnіnіn nіїїt Můžete tedy uchopit a nainstalovat například verzi 1.3.8-5 Common UNIX Printing System (CUPS), vybranou pro Fedoru verze 10, která běží na CPU architektury Intel x86. Na základě přítomnosti tuctu různých CPU architektur, více než 100 vydání Linuxu a tisíců balíčků a verzí si můžete vybrat z počtu dvou RPM balíčků.
Exteriérové soubory RPM na druhé straně získávají skutečný výstupní kód tohoto balíčku. Vіd koristuvacha ochіkuєtsya, scho vіn zavantazhivat і vіdnі vіdnі і soubory, nalashtuє parametrů sbirannya, іslja kompіlyuіє і і compose dvіykov soubory. Myšlenka vybrat si hostitelský operační systém, který je chamtivý pro instalaci Windows, což znamená nainstalovat to, co Microsoft vloží na instalační CD Windows, a poté správce balíčků zpracovat proces pozoruhodně bezbolestným a zcela pošetilým způsobem. Skupina Samba zavádí bezpečnostní aktualizace a opravy šíleným tempem; Více než den a had 2008 vydal několik vydání Samby 3.2, která pomstila více než 100 omilostnění a opravila zabezpečení. Pro tento projekt jsem vzal soubory výstupního kódu zbývající stabilní verze Samby, verze 3.0.31.
Proč jsem zavantazhivnyy kód Samba místo předem zkompilované sady binárních souborů? Omlouvám se, já vím, nejdřív jsem toho zkusil víc. Ale po chvíli jsem se správcem zjistil, že dva soubory, které jsem stáhl, nebyly shromážděny způsobem, který byl nezbytný pro zachování autenticity Active Directory. Zocrema, kód, který nastavuje linuxové identifikátory v Active Directory, včetně zahrnutí do standardních sestavení, takže jsem měl šanci znovu sestavit Sambu se správnými parametry sestavení. Na nutriční stav identifikátorů se údajně podívám níže.
Pokud chcete, aby byl Linux sám o sobě malým jádrem, vydání Red Hat Enterprise má za sebou nainstalovaný anonymní balíček. Zvuk se vážně ptá na život, což vám umožní znovu otevřít stejný funkční operační systém, ale za zády nainstalovaných balíčků je hodina v konfliktu s programy, jako byste se přenesli k instalaci později.
Sambu jsem do své instalace Red Hat nezahrnul (pro uzamčení volejte instalaci Samby), ale potřeboval jsem aktualizovat novou verzi. Novější verze Samby však bude stále podporovat novější verze řady dalších servisních knihoven a nástrojů, které jsou již nainstalovány. Problémy spojené s podobnými úhory mohou být o nervy, ale RPM snadno porazíte.
Používejte anonymní webové stránky, na kterých jsou hostovány dva balíčky RPM. Ten, který jsem tweetoval (jen ten, kdo zná VIN jako první), se jmenuje PBONE a burcuje na rpm.pbone.net. Mohu ručně vyhledat balíčky a na novém také všechny dvd soubory, které byly nezbytné pro architekturu mého CPU (i386) a vydání operačního systému (Red Hat Enterprise Linux 5/Fedora 7 a 8).
Měl jsem možnost koupit a koupit balíčky, které byly proplaceny Rýže. 4 vybrat zbývající verzi Samby 3.0 (a je tu nový strom verzí 3.2, ale nezkoušel jsem to). Vezměte prosím na vědomí, že všechny balíčky jsou způsobilé pro vydání Fedora Core (fc). Distribuce základů Red Hat založená na stejných starých kodexech, které vyhrává Fedora, je v ní mnohem bláznivější. Balíčky vybrané pro Fedora Core 7 a novější verze jsou aplikovány na RHEL5 beze změny. Přesuňte získané soubory RPM do adresáře /usr/src/redhat/RPMS.
Rýže. 4. Balíčky potřebné k instalaci a instalaci Samby 3.0.31
Úložiště samby
Prvním krokem při sestavování Samby je získat správný odchozí balíček RPM. Stáhl jsem si balíček RPM s kódem vydání Samba 3.0.31 z webu PBONE. Dalіmіstіtіtіtіtіtіtіtіmіtіtаnаtаnаnіtії soubor RPM vіdnіhіdnіkіv /usr/src/redhat/SRPMS; Toto je standardní adresář pro RPM pakety a hodinové kódy pro proces vychystávání.
Otevřete relaci k terminálu („okno příkazového řádku“ v podmínkách Windows) a přejděte do složky SRPMS. Poté, když je poškozený, nainstalujte balíček výstupních kódů pro další příkaz, jak je znázorněno na Rýže. Pět.
Rýže. Pět. Instalace balíčku RPM výstupních kódů Samba
Pokud se objeví varování o prominutí "uživatelský mockbuild neexistuje-použití root", nechlubte se. Tato pardon označuje ty, kteří si nenainstalovali servisní programy mock-up kolekce. Proces skládání je praktický a bez nich.
Poté přejděte do adresáře /usr/src/redhat/SPECS a upravte soubor samba.spec, abyste změnili parametry výběru Samba. Najděte řádek, který začíná "CFLAGS=" a změňte ho na "--with-shared-modules=idmap_ad,idmap_rid" Tento parametr zaručuje, že během procesu výběru bude existovat kód, který správně přeloží jedinečné identifikátory Linuxu (UID) pro Active Directory. Na Rýže. 6 parametr hover.
Rýže. 6. Skládací parametr se sdílenými moduly („s moduly, které jsou sdíleny společně“)
Možná budete muset aktualizovat některé knihovny na vašem počítači, abyste mohli správně vybrat a nainstalovat Sambu; tse položte v pořadí, jaké verze knihoven jsou již nainstalovány. V mé mysli jsem měl šanci nainstalovat balíčky, přebalené pro Rýže. 4, pomocí příkazu rpm-install; v některých případech jsem měl šanci, vtіm, překonat volbu --force, abych vyřešil některé problémy ladem.
Chcete-li nainstalovat Sambu, přejděte do adresáře /usr/src/redhat a zadejte rpmbuild -bb SPECS/samba.spec, jak je uvedeno v Rýže. 7. V důsledku tohoto postupu bude nový RPM soubor samba-3.0.31-0.i386 ponechán v adresáři /usr/src/redhat/RPMS. Tento soubor RPM nainstalujeme později v průběhu projektu.
Rýže. 7. Vytvoření binárního souboru RPM Samba
Nastavení linuxového robota se sítí
Aby bylo možné přepsat pomoc Active Directory, je počítač se systémem Linux zodpovědný za schopnost matky kontaktovat řadič domény. Pokud by k tomu mohlo dojít, je nutné zafixovat tři parametry opatření.
V první řadě je důležité znovu zvážit, že mediánové rozhraní na počítači s Linuxem bylo povýšeno o důležitou úroveň, ať už prostřednictvím protokolu DHCP, nebo pomocí rozpoznání platné IP adresy a síťové masky pro další příkaz ifconfig. U RHEL5 můžete nastavit robota tak, aby měřil výběrem її (Network) z nabídky System | Správa (Systém | Správa), jak je znázorněno na Rýže. 8.
Rýže. 8. Rozložení pletiva
Změňme, že služba překladu názvů DNS pro počítač se systémem Linux je nainstalována na stejném hostiteli stejného jmenného serveru DNS jako řadič domény; ve většině případů se jedná o doménový řadič v doméně, dokud není nutné přinést počítač s Linuxem, za předpokladu, že vyhraje DNS, integrovaný s Active Directory. Pokud je povoleno opravit DNS na záložce DNS, pak je servisní program nastaven, jak je znázorněno na Rýže. devět.
9. Vytvořte základní oprávnění DNS
Nareshti, po dokončení těchto úkolů je nutné nainstalovat jméno Linux, aby se toto jméno zobrazovalo v doméně. Pokud jej můžete nainstalovat, vítězný program pro opravu míry, zdá se, že nemusíte pracovat se správnou hodností.
Změňte soubor /etc/hosts a přidejte položku pod položku localhost.localdomain ve formuláři
Úprava času synchronizace v systému Linux
Protokol Kerberos spoléhá na přítomnost systémů ověřování na konci roku, aby bylo dosaženo vysoké přesnosti synchronizace. Pro propagační akce umožňuje Active Directory maximální povolenou částku pěti kreditů. Aby bylo zajištěno, že se systémy Linux mezitím restartují ze systémů řadičů domény daného roku, je nutné upgradovat systémy Linux, aby obsluhovaly protokol NTP řadiče domény.
Spusťte nástroj Date & Time na serveru Linux ze System | Správa a vyberte kartu Protokol NTP. Nastavte příznak Enable Network Time Protocol ("Povolit protokol NTP") a přidejte IP adresu řadiče domény, kterou je potřeba co nejdříve změnit. Pozor, na vině je doménový řadič v doméně, abychom pomstili roli imitátoru FSMO primárního doménového řadiče (PDC). Na Rýže. 10 zadek instalace sloučené hodiny dzherel pro Linux.
Rýže. 10. Implementace protokolu NTP
Nastavení PAM a NSS
PAM a NSS nadayat zasіb z'ednannya Linux programy, jako je pracovní médium, které Winbind. Podobně jako mnoho linuxových služeb se PAM a NSS konfigurují pomocí textových souborů. Na hřbetu mé ruky se můžeme podívat na záplatování PAM.
PAM doufá, že přispěje k ověření pravosti. Zasіb authentifikatsії umožňuje zastosunkovi určit, kdo vyhraje jógu. Zasіb oblіkovih zadіv naє funkce ї cheruvannya oblіkovyh záznamy, yakі ne stosuyuutsya autentifіkatsії, jako je zamezhennya hodinový vstup. Sběr hesel zajišťují mechanismy pro vyžádání hesel a jejich správu. Zasіb sessions vykonuє zavdannya instalace a vidalennya programy, jako je stosuyuyutsya koristuvacha, jako je protokolování a vytváření souborů v kategorii konkrétního koristuvach.
Soubory přizpůsobení PAM v Red Hat jsou uloženy v adresáři /etc/pam.d, což by byl textový soubor pro skin program, jako je hack PAM pro ověřování. Například soubor /etc/pam.d/gdm obsahuje informace o nastavení PAM pro Gnome Desktop Manager (GDM), prostředí pro zamykání plochy Red Hat. V souboru vzhledu je několik řádků pro záplatování PAM, vzhled kteréhokoli z nich může být určitým aspektem procesu ověřování PAM. Na Rýže. jedenáct zobrazeno jako nastavení PAM pro GDM.
Rýže. jedenáct. Soubor přizpůsobení RAM pro Gnome Desktop Manager
Zadání vzhledu ve formuláři souboru nastavení souboru PAM<группа управления> <элемент управления> <модуль> <параметры>, de<группа управления>dpovіdaє zabou, do jaké míry má být záznam nastaven: autentizace, cloudové záznamy, hesla nebo relace. Klíčová slova popsaná na Rýže. 12, zdá se, PAM, jak udělat záznam o záplatování. Třetím krokem je nahrazení souboru názvem sdílené knihovny PAM v adresáři zabezpečení /lib/. Globální knihovny jsou schopny dynamicky zachytit kód podobný Windows DLL. Další výrazy za názvem modulu – to jsou parametry, které předává modul PAM hlavní knihovny.
Rýže. 12. Klíčová klíčová slova PAM
klíčové slovo | Popis |
| Povinné ("Obov'yazkovo") | Pokud je modul úspěšně vytvořen, PAM bude pokračovat v počítání záznamů pro kontrolní skupinu a výsledky budou nahrazeny výsledky modulů, které byly vynechány. Pokud ne, PAM bude pokračovat ve výpočtu, ale vrátí zpět zbіy dodatek, který byl zaplacen. |
| Požadované | Pokud modul úspěšně běží, PAM pokračuje v počítání záznamů kontrolní skupiny. Pokud ne, pak PAM vrátí dodatek, který jste zavolali, bez dalšího zpracování. |
| Dostatečný | Pokud modul běží úspěšně, pak PAM vrátí úspěšný výsledek do dodatku, na který jste klikli. V opačném případě bude PAM pokračovat ve výpočtu, ale výsledky budou přiřazeny dalším modulům. |
| Volitelné ("Neoob"Jazyk") | PAM ignoruje výsledky modulu jako jednoho modulu v reakci na kontrolní skupinu. |
| Zahrnout | PAM je zahrnut v souboru přizpůsobení PAM, na kterém je zadán požadavek, a také v novém procesu nahrávání. |
Můžete si pamatovat, že skupina správy vzhledů může mít několik záznamů. PAM zpracovává záznamy v pořadí a vyvolává názvy modulů. Poté modul zkontroluje úspěch nebo selhání a PAM jistě závisí na klíčovém slově, které je řízeno.
Vezměte prosím na vědomí, že soubor PAM pro GDM může mít ověření systému pro všechny skupiny ověřování. Toto je způsob, jakým PAM nastavuje chování ověřování pro propagace GDM. Úpravou ověření systému můžete upravit stejné chování pro všechny programy, pro které existuje soubor ověření systému pro nastavení PAM. Soubor ověření systému za zámkem je zobrazen v Rýže. 13.
Rýže. 13. Soubor systémového ověření modulu PAM
Modul přenosu do bloku konverze jmen (NSS) přijímá specifické informace o shromažďování těchto systémů u prodejce softwaru, přibližně stejným způsobem jako PAM získává autentizační detaily. NSS umožňuje správci určit způsob ukládání systémových databází. Zocrema, správce může říct, jak jsou uloženy informace o jméně a hesle. Je pro nás nutné, aby programy vyhledávaly informace o corylistech v Active Directory pomocí Winbindu, musíme změnit nastavení NSS tak, aby je zobrazovaly.
Red Hat obsahuje malý grafický nástroj pro nastavení PAM a NSS nazvaný system-config-authentication. Budete mluvit o dalších změnách (ale ne o všech), které by měly být zadány v souborech system-auth a nss.conf.
Spusťte program system-config-authentication a uvidíte dialog podobný tomu zobrazenému v Rýže. čtrnáct. Nastavit prapor Winbind jak na záložce User Information (Informace o koristuvách, je nový soubor nss.conf), tak na záložce Authentication, případně upravit soubor system-auth.
Rýže. čtrnáct. dialogové okno systemconfig-authentication
Stiskněte tlačítko Configure Winbind a zobrazí se dialogové okno, které ukazuje na Rýže. 15. Do pole Winbind Domain zadejte název domény, ve které lze ověřit autentizaci hostitele, a jako model zabezpečení vyberte „voiced“. Do pole Winbind ADS Realm zadejte název domény DNS domény Active Directory. Do pole Winbind Domain Controllers zadejte buď název doménového řadiče, pro jehož nápovědu musíte zkontrolovat referenci pro systém Linux, nebo zaškrtnutí, které označuje ty, které by Winbind měl vybrat doménový řadič dotazem na SRV záznamy. v DNS.
Rýže. 15. Nastavení dialogu Winbind
Vyberte vhodný interpret pro zámek, který má na svědomí matka Active Directory; Z mé vpadky jsem si vybral bash (Bourne-again Shell). V žádné fázi se neobtěžujte tlačítkem Připojit se k doméně. Počítač bude přiřazen k nové doméně.
Soubor /etc/pam.d/system-auth potřebuje po úpravě podpory Winbind provést ještě jednu další změnu. Když je root Linux přihlášen do systému, systém zobrazí přítomnost domovského adresáře. Domovský adresář má spoustu parametrů a prvků pro nastavení konkrétních koristuvach bohatých na to, co je podobné registru Windows. Zdá se, že problém je v tom, že kořenové složky jsou vytvářeny v Active Directory, Linux nevytváří automaticky domovský adresář kořenové složky. Naštěstí lze PAM nakonfigurovat tak, aby se probudil jako součást nastavení relace.
Otevřete soubor /etc/pam.d/system-auth, posuňte se na obrazovce dolů a vložte řádek „session optional map_mkhomedir.so skel=/etc/skel umask=0644“ před zbytek řádku rozdělení relace (div. Rýže. 16). Tento řádek byl vytvořen v domovském adresáři PAM pro koristuvach, protože zatím nic takového neexistuje. Označíte /etc/skel jako „kostru“ pro šablonu a rozpoznáte masku oprávnění 0644 (čtení pro záznam pro soubor, čtení pro hlavní skupinu a čtení pro řešení) nové složky.
Rýže. 16. Vytvoření domácího katalogu pro koristuvachіv
Instalace a nastavení Samby
Chcete-li nainstalovat soubory Samba dvukovі, schoyno vytvořené, přejděte do adresáře /usr/src/redhat/RPMS. Všechny soubory RPM vytvořené příkazem rpmbuild se objeví ve stejném adresáři. Mějte na paměti, že Samba obsahuje soubory dvukovi, které umožňují linuxovému klientovi získat přístup ke sdílenému úložišti souborů ve Windows (nebo Sambě), a také kód, který umožňuje systému Linux pracovat jako souborový server Windows, server Windows jiný a řadič domény ve stylu Windows NT 4.0.
Aby se Linux mohl ověřovat proti Active Directory, není potřeba nic; Dávkování režijních souborů Samba a dvojitých souborů z klienta Samba. Pro naše pohodlí jsou tyto soubory rozděleny do dvou souborů RPM: samba-client-3.0.31-0.i386.rpm a samba-common-3.0.31-0.i386.rpm. Nainstalujte soubory RPM pomocí rpm --install. Dám zadek: rpm --install samba-common-3.0.31-0.i386.rpm. (Buďte opatrní, musíte před něj umístit soubor RPM -common.)
Po instalaci binárních souborů klienta Samba je nutné upravit nastavení Samby pro propagaci, aby Winbind řešil autentizaci pomocí Active Directory. Veškeré informace o nastavení Samby (klient, server) naleznete v textovém souboru smb.conf, který se nachází v adresáři /etc/samba. Smb.conf může obsahovat velké množství parametrů a ještě více informací o józe může přesahovat rámec tohoto statu. Na webu samba.org a na vývojovém systému Linux je zpráva o smb.conf.
Prvním krokem je nastavení Winbind a použití Active Directory pro ověřování. Model zabezpečení v smb.conf by měl být prázdný. Servisní program system-config-authentication je již malý na instalaci sám o sobě, ale opětovné ověření nikdy nezklame. Otevřete soubor smb.conf, který chcete upravit, a zjistěte hodnoty Možnosti člena domény. Najděte řádek, který začíná „security“ a změňte řádek, který zní jako „security = ads“. V další fázi bude určeno, jak Winbind nastaví účastníkům zabezpečení Windows, jako jsou tyto skupiny, identifikátory Linuxu, a to bude vyžadovat podrobnější vysvětlení.
Problém nastavení identifikátorů
Autenticita linuxových jader pro pomoc Active Directory má jeden velký problém a zatím jsem na něj nepřišel - problém jedinečných identifikátorů (UID) pro jádra té skupiny. Interně se Linux ani Windows nenazývají coristuvachiv skutečnými jmény, vicorista je jedinečný interní identifikátor. Ve Windows se rozlišují identifikátory zabezpečení (SID), které jsou strukturou proměnlivého života a poskytují jedinečné rozpoznání kožní léze v doméně Windows. SID je také jedinečný identifikátor domény, takže systém Windows může rozlišovat mezi různými doménami.
Schéma Linuxu je bohatě jednoduché. Kožená krabice na počítači se systémem Linux může mít UID, což je pouze 32bitové celé číslo. Ale oblast dії ії іdіdіfіkatа UID je obklopena samotným počítačem. Neexistuje žádná záruka, že karta s UID 436 na jednom počítači se systémem Linux je totožná s kartou s UID 436 na jiném počítači se systémem Linux. V krajním případě je nutné se připojit ke skinovému počítači, ke kterému je nutný přístup, což je nešťastná situace.
Správci Merezhevі Linux zvіshuyut tsyu problém, dávat merezhevy autentifikatsіyu o pomoc nebo abo merezhovoї іnformatsіynoї systém (Network Information System - NIS), nebo celý adresář LDAP. Autentizačnímu systému Merezheva je přiděleno UID pro coristuvach a všechny linuxové počítače, které jsou opatřeny jádrem tohoto systému, budou opatřeny stejnými identifikátory skupiny coristuvach. V této situaci mám zprostředkovanou Active Directory pro dané jedinečné identifikátory coristuvachů a skupin.
K vyřešení tohoto problému používám dvě strategie. První (a také nejzřejmější) strategií je vytvořit UID pro dermální kožní značku a uložit ID skupiny pro další objekt ID v Active Directory. Když se zasekne, pokud Winbind zasáhne s oprávněními chyby, mohu vyhledat její UID a nastavit ji na Linux jako interní ID chyby. Winbind používá toto schéma k nastavení identifikátorů Active Directory (nebo idmap_ad). Na Rýže. 17 indikace procesu nastavování identifikátorů Active Directory.
Rýže. 17. Proces nastavení identifikátorů služby Active Directory
Jediným nedostatkem identifikace identifikátorů Active Directory je potřeba mechanismu pro viditelnost identifikátorů kožních coristuvacha a skupin a také jejich jedinečnost v hranicích lesa. Informace o hlášení lze nalézt na bílém panelu „Nastavení Active Directory pro shodu identifikátorů Active Directory“.
Prozatím existuje jedna strategie nastavování identifikátorů, která je mnohem méně bohatá než administrativní poplatky. Předpokládejme, že Windows SID jednoznačně identifikuje hostitele uprostřed domény a také doménu samotnou. Část SID, která jednoznačně identifikuje jádro v doméně, se nazývá RID a je to ve skutečnosti 32bitové celé číslo. Winbind tedy může pouze extrahovat RID z SID na hodinu, když se uživatel přihlásí do systému, a poté extrahovat RID jako jedinečné interní UID. Winbind používá tuto strategii k nastavení RID nebo idmap_rid id. Na Rýže. osmnáct je ukázáno, jak moc příkaz RID skutečně funguje.
Rýže. osmnáct. Prohlášení RID
Nastavení RID může převažovat nad nulovými administrativními hodnotami, ale není možné vyhrát v bohatém doménovém médiu prostřednictvím schopnosti projevit jedinou hodnotu RID v základních hodnotách v řadě domén. Ale pro odhalení jedné domény Active Directory je příkaz RID správnou volbou.
Chcete-li nakonfigurovat zásady ID Winbindu, otevřete soubor /etc/samba/smb.conf, znovu jej upravte a přidejte řetězec „idmap backend = ad“ pro alternativní zásadu Active Directory nebo „idmap backend = rid“ pro štítek RID. Změňte viditelnost ostatních řádků, jako by naznačovala strategii nastavení souboru.
Existují některé další parametry, které je třeba přidat do souboru smb.conf pro Winbind. Přejděte jako instalace PAM k vytvoření domovského adresáře pro slupovač kůže před přihlášením, musíte sdělit Winbind, jak se jmenuje. Mohli bychom jen přidat řádek "template homedir = /home/%U" do smb.conf (div. Rýže. 19). Netřeba říkat, Winbind, který bude /domov/<имя пользователя>. Nezapomeňte nejprve vytvořit adresář /home.
Rýže. 19. Zadání názvu domovského adresáře
Vstup do domény a vstup do systému
Nyní, pokud jsou sloučení, PAM, NSS a Samba Winbind správně nastaveny, je čas přenést počítač s Linuxem do domény. Můžete také použít příkaz Samba Net, který vám pomůže. Do příkazového interpretu zadejte „net ads join -U“<имя администратора>". Vyměňte<имя администратора>ve jménu veřejného záznamu, což může stačit k přivedení počítačů do domény.
Příkaz net vyzve k zadání hesla koristuvach. Vše funguje dobře, přijde to do počítače v doméně. Pro zobrazení vytvořeného obrazového záznamu počítače lze použít modul snap-in Active Directory - hardening počítače.
Proti táboru o pomoc můžete protestovat pomocí testovacího nástroje Winbind, který se nazývá wbinfo. Stejně jako u wbinfo -t dojde k protestům proti důvěře mezi počítačem a doménou. V důsledku toho wbinfo -u přepíše všechny základní domény a wbinfo -g - všechny skupiny.
Jakmile se počítač se systémem Linux úspěšně připojí k doméně, dalším krokem bude pokusit se přihlásit do systému pro další veřejný záznam hesla Active Directory. Vyhledejte systém na počítači se systémem Linux a podívejte se do systému pomocí názvu Active Directory. Pokud je vše v pořádku, pak může existovat možnost přihlášení do systému.
Nastavení služby Active Directory pro proces nastavení identifikátorů služby Active Directory
Tyto informace jsou vyhrazeny pouze pro ty, kteří získají identifikátory Active Directory. Ti, kteří zvítězili nad prohlášením RID, mohou tomuto panelu v klidu vzdát úctu.
Než budete moci vstoupit do systému na serveru Red Hat se záznamem Active Directory, musíte provést změny v Active Directory. Nejprve musí schéma Active Directory přidat atributy, které používá Winbind ke shromažďování základních informací. Za hodinu práce se systémem Windows Server 2003 R2 je schéma připraveno před zastavením. Ve větší dřívější verzi schématu Active Directory budete muset rozšířit balíček Microsoft Services for UNIX (SFU).
Další informace lze nalézt v Services for UNIX na TechNet. SFU také obsahuje další výkonnou stránku pro uživatele služby Active Directory, která je vybavena konzolou Microsoft Computers Management Console (MMC), která vám umožňuje získávat informace o individuálních a skupinových modifikátorech vyžadovaných systémem Linux.
Protože bylo schéma správně nainstalováno, je nutné dát linuxové identifikátory všem coristuvachům (i skupinám, členům takových smradů), aby se mohli přihlásit do linuxového počítače. To znamená, že musíte přiřadit hodnotu atributům uidNumber a gidNumber pro odpovídající skupinu, abyste se mohli přihlásit k počítači se systémem Linux. Ale vedle vzpomínky na činy vimogi k těmto atributům:
- Linux bude vyžadovat UID pro odlupování kůže k ověření jeho platnosti. Protože potřebujeme načíst informace o koristuvach v Active Directory, skin záznamu o vzhledu koristuvach, který se přihlásíte do systému na vašem počítači Linux, je zodpovědný za jedinečný atribut uidNumber. Konkrétně to, co vyhraje pro uidNumber, není triviální, ale může být jedinečné pro všechny řetězce, které se mohou přihlásit k počítači se systémem Linux.
- Kořenový adresář systému Linux je také zodpovědný za ID propagační skupiny, takže kořenový adresář služby Active Directory, který se přihlašuje k počítači se systémem Linux, také závisí na hodnotě atributu gidNumber. Význam Tse může být jedinečný uprostřed koristuvachiv, ale může jednoznačně označovat skupinu.
- Skupina skinů Active Directory je zodpovědná za jedinečnou hodnotu svého atributu gidNumber. Přísně vzato, pro skupiny jako celek je normální nemít hodnotu pro atribut gidNumber, ale pokud je hodnota atributu gidNumber autentická, Winbind poukazuje na to, že skupina skinů je až do bodu, kde je hodnota gidNumber unikátní. Imovirno, je snazší prostě přepnout na zjevnost skupiny skinů jedinečné hodnoty gidNumber.
- Winbind zkontroluje, že skupina značek vzhledu, která prochází Active Directory, bude členem skupiny značek domény, takže winbind také zkontroluje, že skupina značek domény může mít hodnotu pro svůj atribut gidNumber.
A proč si neobjednáš?
Instalace počítače se systémem Linux pro ověřování pomocí nápovědy Active Directory a prostřednictvím Winbind je netriviální projekt. Využívám množství prvků, jak je třeba zlepšit, těch neosobních projevů, jak je lze špatně vyslovit. Skutečnost, že skinová verze Linuxu a Samby může snadno konkurovat svými schopnostmi, nic neulehčuje. Ale іsnuє nízké dzherel, scho іstat іnformatsiyu pro ty scho vіdbuvaєtsya.
Za prvé, toto je soubor protokolu systému Linux, který je uložen na /var/log/messages. Samba vloží do souboru informace o hodnotách pododdílů, jako je název souboru nebo nastavení je špatné. Krim soubor do systémového logu, vlastní soubory do logu pro Samba a Winbind. Můžete to najít v /var/log/samba a smrad poskytnout corystuvache další informace.
Hlášení (a obecné) hlášení protokolů, které vidí Winbind, lze zlepšit změnou spouštěcího skriptu tak, aby nastavil stejné zatížení. Upravte skript shellu /etc/init.d/winbind a přidejte "-d 5" do příkazu winbind. Chcete-li zvýšit platovou sazbu na 5 (předpokládejme hodnotu 1 až 10), můžete si nastavit winbind pro vytváření podrobnějších informací o prominutích.
Aby mohl Winbind komunikovat s řadičem domény, je možné zapisovat pakety pomocí dalšího nástroje, jako je Netmon 3.1. Umožňují mi analyzovat, co dělá samotný Winbind. Můžete také zaznamenat protokol zabezpečení Windows na řadiči domény, do kterého budou zapsány ověřovací testy.
Teď, když to začalo fungovat, co můžeme dělat?
Nyní, když je vše pěkně provedeno, se nyní můžete přihlásit k systémům Linux pomocí masky dat, která je podporována v Active Directory. Tato velkolepost je srovnatelná s místní správou identit na počítači se systémem Linux a s nezabezpečenými systémy, jako je NIS. To vám umožní centralizovat správu koristuvachů do jednoho úložiště záznamů Active Directory.
Ale, tady nejsou takové řeči, jako by se mohly dopracovat k řešení pravdy. V prvním kroku zde otrimanny tekhnіchnі n_dtrimki - hodně štěstí vpravo. Mnoho linuxových organizací ve skutečnosti Active Directory nerozumí, ale připomínáme, jak můžete vidět v Linuxu, že budete zcela závislí na někom, kdo si přečte váš úvod a vaši dnešní náladu.
Balíček Samba navíc nelze přenést nebo smazat. Vzhledem k přítomnosti cloudových záznamů v Linuxu s určitými indikacemi původních identifikátorů je nutné před přenosem do Active Directory ručně přehodnotit, zda si své identifikátory UID uloží.
Nareshti, jeden z nejdůležitějších programů Active Directory, skupinová politika, není ze Samby k dispozici, ale je třeba na něm zapracovat. Zatímco linuxový systém může přejít do Active Directory pro pomoc od Samby, nemůžete si zahrávat se zásadami skupiny.
Řešení pro dodavatele třetích stran
Překontrolování počítačů se systémem Linux kvůli pomoci s Active Directory je samozřejmě na správné straně, ale vytvoření výkonného řešení pro pomoc se Samba Winbind včetně, není jen noční můra. Čtenáři si mohou myslet, že někteří z provinilých zaměstnanců PZ mají na svědomí větší odpuštění z vítězných rozhodnutí a ten smrad dělá rozdíl.
Někteří z post-mistrů komerčního softwarového zabezpečení usnadnili instalaci jiné verze toho, co jsem předvedl v tomto článku. Získejte kód a přenositelnost pro mnoho oblíbených verzí systémů Linux, UNIX a Apple Macintosh a také podporu pro správu počítačů se systémem Linux pro další zásady skupiny.
Společnosti Chotiri: Centrify, Likewise Software, Quest Software a Symark. Všichni vedoucí poštovních služeb poskytují podobnou funkcionalitu, včetně ochrany skupinových zásad v celé řadě distribucí Linuxu. Společnost Likewise Software nedávno vydala kód pro svou implementaci nazvaný Likewise Open, aby z komerčního produktu odstranil komponentu skupinové politiky. Likewise Open bude k dispozici pro mnoho hlavních verzí Linuxu. (Řekni mi tajemství: když jsem psal tento článek, moje společnost NetPro byla zakázána společností Quest Software.)
Co mohu udělat pro ovládání autentizačního systému pomocí Samba a Winbind, pokud jsou dostupné komerční možnosti? I když rozpočet nepřevádí haléře na integrační programy, používání Samby s yogo kódem může být bezplatné. Tím také odeberete celý externí kód, abyste mohli být privilegovanou osobou. Ale portování základních linuxových počítačů a základních UID je ožehavý problém.
Na druhou stranu implementace té instalace zabere hodinu, nebo pokud potřebujete počítač s Linuxem, bude nutné jej přenést nebo zkrátit účiník, pak může být rozumné znát komerční řešení. V době potřeby řídit skupinovou politiku neexistuje žádná alternativa.
Ale ať už je to řešení, jak integrovat linuxové systémy s Active Directory, brzy se vyplatí jít do opravy velkého množství šikmých záznamů coristuvachiv, zlepšit zabezpečení systému a doufejme, že jediný poklad důkazů pro audit. І tse dosit obґruntuvanі příčiny, schob zkuste zastosuvati yogo.
Jill Kirkpatrick- Další >
Two-Factor Authentication (2FA) je stejná metoda autentizace, která se používá k zadání veřejného záznamu nebo přidání fragmentu informací. Kriminální kombinace názvu hesla, 2FA vimag, vzlykání hesla zadáním dalších informací, jako je jednorázové heslo (OTP, například šestimístný konverzní kód).
Obecně vám 2FA umožňuje zadávat různé typy informací:
- Schos, scho koristuvach vědět (například heslo)
- Co tedy mohu dělat (například potvrzovací kód, vygenerovaný speciálním dodatkem - autentizátorem).
2FA je typ vícefaktorové autentizace (MFA). Metoda MFA je doplněk k tomu, co koristuvach ví, a k tomu, co umí, můžeme pomoci, chim víno. Tse biometric data: rozpoznání zvuků prstů vašeho hlasu tenké.
2FA pomáhá chránit autentizační proces pro první službu, případně doplním: zadejte heslo pro útočníka, útočník bude potřebovat i bezpečnostní kód a pro koho je vyžadován přístup k rozšíření, ve kterém je autentizátor program. Z tohoto důvodu mnoho online služeb ukazuje možnost povolení 2FA pro veřejné záznamy o coristuvach, pro podporu bezpečnosti účtů na úrovni autentizace.
Tato příručka vám řekne, jak nastavit 2FA za modulem Google PAM pro správce root bez oprávnění root v Ubuntu 18.04. Pokud nepotřebujete 2FA pro non-root root, stále můžete přistupovat k počítači pomocí vašeho root účtu. Pokyny k dokončení příručky, abyste je mohli dostat jak na servery, tak na podlahové instalace, místní i vzdálené.
Wimogi
- Server Ubuntu 18.04 nebo slušnější pracovní prostředí. Server Ubuntu 18.04 je třeba upgradovat na .
- Authenticator nainstalovaný na mobilním zařízení (například Google Authenticator nebo Authy). S touto nápovědou můžete bezpečně naskenovat QR kód.
1: Instalace modulu Google PAM
Chcete-li nastavit 2FA na Ubuntu 18.04, musíte nainstalovat modul Google PAM pro Linux. Pluggable Authentication Module (PAM) je linuxový autentizační mechanismus. Modul Google PAM umožňuje vašemu účtu předat ověření 2FA, které je generováno kódem Google OTP.
Podívejte se na systém jako na rychlou sudo kontrolu, kterou jste provedli během první hodiny nastavení pošty na serveru:
ssh [e-mail chráněný] _ip_serveru
Aktualizujte index balíčků Ubuntu, abyste zachovali zbývající verzi ověřovače:
aktualizace sudo apt-get
Po aktualizaci repozitářů nainstalujte zbývající verzi modulu PAM:
sudo apt-get install libpam-google-authenticator
Jedná se o malé balení bez záloh, takže instalace zabere pár sekund. Nyní máme 2FA pro sudo koristuvach.
Krok 2: Nastavte dvoufaktorové ověřování
Nyní, pokud jste nainstalovali modul PAM, spusťte jógu a vygenerujte QR kód pro koristuvach. Nemusíte vytvářet kód, ale na Ubuntu nepotřebujete 2FA, pokud nepovolíte її.
Spuštěním příkazu google-authenticator spusťte a nainstalujte modul PAM:
google-autenticator
Příkaz se vás zeptá na počet potravin a výběr konfigurace. Získejte to zpět, ať už chcete, aby se žetony hodinu vyměňovaly. Autentizační tokeny, vyměňované po hodině, vyprší po jediném intervalu (u více systémů se pro uzamčení stanou 30 sekundami). Tokeny s vyměněnými hodinami jsou bezpečné, nižší tokeny bez takových výměn a více implementací 2FA vítězí. Zde si můžete vybrat libovolnou možnost, ale doporučujeme zvolit Ano a vyhrát ověřovací tokeny do hodiny:
Chcete, aby byly autentizační tokeny založené na čase (y/n) y
Vіdpovіvshi y on tse pitannі, vіbachit kіlka kіlka vіvennіnі v konzole:
- QR kód: tento kód, který je třeba naskenovat pro další ověřovací program. Po naskenování jógy program na 30 sekund vytvoří nový skin OTP.
- Tajný klíč: Toto je alternativní způsob nastavení ověřovacího programu. Pokud používáte program průvodce a neakceptujete skenování QR, můžete zadat tajný klíč pro nastavení ověřovače.
- Ověřovací kód: první šestimístný kód, který generuje konkrétní QR kód.
- Nouzový stírací kód. Tyto jednorázové tokeny (nazývají se také rezervní kódy) umožňují předat autentizaci 2FA, takže použijete přílohu autentizátora. Uložte si svůj qi kód na další místo, aby se odblokovalo blokování oblikového záznamu.
Po přizpůsobení ověřovacího programu a uložení záložního kódu na bezpečné místo se vás program zeptá, zda chcete stáhnout konfigurační soubor. Pokud dostanete n, budete muset znovu spustit program aktualizace. Zadejte y pro uložení změny a pokračujte:
Chcete, abych aktualizoval váš soubor „~/.google_authenticator“ (y/n) y
Poté se vás program zeptá, zda chcete vícekrát zadat jiný ověřovací kód. Pro uzamčení můžete kód skinu otočit pouze jednou, pokud od vytvoření neuplynulo 30 sekund. Toto je nejbezpečnější volba, ta, která vyhraje proti útokům opakovaného potvrzování od útočníka, jako by bylo možné sebrat váš potvrzovací kód. Proto je lepší oplotit vikoristany kódy více než jednou. Uveďte důkaz y, abyste mohli sbírat bagatarase vikoristánu stejného tokenu:
Chcete zakázat více použití stejného ověření?
žeton? Čí seznam víte, že úsek z 30. let, ale roste
vaše změny ve vysvětlení nebo vám pomohou přidat lidský útok (y / n) y
Pak musíte říct, co chcete, že autentizační tokeny byly přijaty hodinu po skončení jejich skvělého období. Cody je již citlivý až na hodinu, ten smrad nemusí být spratsyuvat, protože vaše přístavby nejsou synchronizovány. Tato možnost vám umožňuje obejít tento problém zvýšením hodiny kontrolních kódů pro akce, takže ověřovací kódy budou přijaty kdykoli (například vaše rozšíření nejsou synchronizována). Nejlepší je přejít na to, že na všech vašich synchronizačních pobočkách je hodina, tím můžete trochu snížit zabezpečení systému. Uveďte důkaz n na energetickém řetězci, abyste nepřeháněli výraz di token:
Ve výchozím nastavení jsou žetony dobré po dobu 30 sekund a za účelem kompenzace
Možnost časového posunu mezi klientem a serverem, který může být navíc
token před a po aktuálním čase. Máte-li problémy s chudými
synchronizaci času, můžete změnit výchozí okno
velikost od 1:30 min do cca 4 min. Chcete tak učinit (ano/ne) n
Remain food: chcete povolit výměnu počtu vzorků pro vstup do systému. Nedovolte více než tři nedávné pokusy o přihlášení do systému po dobu 30 sekund, abyste zlepšili zabezpečení systému. Zvýšit tse obezhennya, vіdpovіvshi y:
Pokud počítač, do kterého se přihlašujete, není odolný proti hrubé síle
Pokusy o přihlášení, můžete zabezpečit ověřovací modul.
Ve výchozím nastavení by měli být útočníci omezeni na 3 pokusy o přihlášení každých 30 sekund.
Chcete povolit omezení rychlosti (y/n) y
Za pomocí modulu PAM jsme implementovali a vygenerovali kód 2FA. Nyní musíte ve svém prostředí povolit 2FA.
Krok 3: Aktivace 2FA v Ubuntu
Modul Google PAM nyní generuje kódování 2FA pro autentizaci, ale systém Ubuntu zatím neví, jaký kód v procesu ověřování hacknout. V jaké fázi je nutné aktualizovat konfiguraci Ubuntu, aby se podpora 2FA tokenu přizpůsobila přidání k původní autentizaci.
Jsou zde dvě cesty:
- Dvoufaktorovou autentizaci můžete použít jednou za čas, pokud se přihlásíte do systému, a jednou, pokud získáte práva sudo.
- 2FA můžete používat méně než hodinu pro přihlášení do systému, nebo když získáte práva sudo, budete potřebovat pouze heslo koristuvach.
První možnost bude ideální pro divoké médium, de bazhano chránit, zda je diї, což znamená práva sudo. Dalším praktickým přístupem pro místní pracovní stůl je de vie, jediné jádro systému.
Poznámka: Pokud povolíte 2FA na vzdáleném počítači, musíte si před odmítnutím přístupu přes SSH přečíst dva a tři kroky z manuálu, nejprve pokračujte s robotem. Další podrobnosti v této příručce, abyste se dostali ke všem instalacím Ubuntu, ale uprostřed to bude vyžadovat další vylepšení, aby služba SSH věděla o 2FA.
Pokud pro přístup před instalací Ubuntu nepoužíváte SSH, můžete přejít na další část této příručky.
Při přihlašování povolte 2FA a udělte oprávnění sudo
Aby systém vyhrával 2FA na hodinu pro zadání a další žádosti o oprávnění, musíte upravit soubor /etc/pam.d/common-auth a přidat řádek na konec správného souboru.
Společný autentizační soubor zastosovuetsya před všemi mechanismy autentizace v systému, bez ohledu na médium. Vіn také zastosovuєtsya před zatochiv authentifikatsiї, yakі vіdbuyutsya po vstupu koristuvach do systému, například na hodinu získat práva sudo, pokud je v terminálu nainstalován nový balíček.
Otevřít soubor:
sudo nano /etc/pam.d/common-auth
Na konec souboru přidejte:
...
# a zde jsou další moduly pro jednotlivé balíčky (blok "Další")
relace vyžaduje pam_unix.so
Tento řádek obsahuje podporu 2FA v ověřovacím systému Ubuntu pro hodinové přihlášení prostřednictvím modulu Google PAM. Možnost nullok umožňuje legitimním držitelům účtu přístup do systému za předpokladu, že nemají nastavenou autentizaci 2FA pro svůj šikmý účet. Jinými slovy, korystuvanci, kteří si nastavili 2FA, se provinili tím, že při přihlášení zadali ověřovací kód, v tu hodinu, pokud nespustili příkaz google-authenticator, se mohou přihlásit do systému pro svá standardní cloudová data, smrad doky nezaloží 2FA.
Uložte a zavřete soubor.
Při přihlašování požadujte o 2FA méně
Pokud chcete, aby byla 2FA povolena pouze při přihlášení doprostřed plochy, je potřeba upravit konfigurační soubor správce plochy, který vyhrajete. Název konfiguračního souboru je volán jménem středu pracovní tabulky. Například konfigurační soubor pro gdm (Ubuntu lock-in, počínaje Ubuntu 16.04) je /etc/pam.d/gdm.
Na bezhlavém serveru (jako je virtuální server) budete muset upravit soubor /etc/pam.d/common-session. Otevřete výchozí soubor ve svém prostředí:
sudo nano /etc/pam.d/common-session
Přidejte řádek videa na konec souboru:
#
# /etc/pam.d/common-session - moduly týkající se relace společné pro všechny služby
#
...
# # a zde jsou další moduly pro jednotlivé balíčky (blok "Další")
relace vyžaduje pam_unix.so
session volitelné pam_systemd.so
# konec konfigurace pam-auth-update
vyžadováno ověření pam_google_authenticator.so nullok
Nyní Ubuntu vimagatime 2FA, pokud se připojíte k systému prostřednictvím příkazového řádku (lokálně, vzdáleně přes SSH), nebudete moci spouštět příkazy ze sudo.
Vylepšili jste Ubuntu tak, aby podporovalo 2FA. Nyní je čas protestovat proti konfiguraci a překonfigurovat, že když se přihlásíte do systému Ubuntu, budete vyzváni k zadání bezpečnostního kódu.
Krok 4: Testování dvoufaktorové autentizace
Dříve jste vytvořili 2FA pro shodu kódů vzhledu za 30 sekund. Nyní zkuste přejít do prostředí Ubuntu.
Vyhledejte ze systému a znovu uvidíte v mém prostředí Ubuntu:
ssh [e-mail chráněný] _ip_serveru
Pokud potvrzujete ověření na základě hesla, budete vyzváni k zadání hesla voucheru:
Poznámka: Pokud na vzdáleném serveru vyhrajete ověření certifikátů, nebude vyžadováno žádné heslo. Klíč bude odeslán a přijat automaticky. Budete muset zadat pouze potvrzovací kód.
Zadejte heslo, po kterém budete vyzváni k zadání kódu 2FA:
Ověřovací kód:
Poté jej přeneste do systému:
[e-mail chráněný] _server_ip: ~#
Vzhledem k tomu, že 2FA je povoleno pouze pro přihlášení, nebudete již muset zadávat potvrzovací kód 2FA, dokud relace neskončí nebo nebudete ručně přihlášeni.
Protože jste povolili 2FA prostřednictvím souboru common-auth, budete při použití dermálního přihlášení vyzváni, abyste udělali totéž s právy sudo:
[e-mail chráněný] _server_ip: ~# sudo -s
sudo heslo pro 8host:
Ověřovací kód:
[e-mail chráněný] _ip_serveru:
Zpackal jsi, že konfigurace 2FA funguje správně. Jako by se něco pokazilo a systém se neptal na potvrzovací kód, vraťte se zpět na třetí oddíl jádra a znovu zkontrolujte, zda jste si přečetli správný ověřovací soubor Ubuntu.
5: Zabraňte blokování 2FA
V zájmu utracení jakéhokoli zabezpečení vaší mobilní aplikace je důležité předat metodu zálohování pro obnovení přístupu k vašemu fyzickému účtu za pomoci 2FA. Pokud jste v minulosti nainstalovali 2FA, máte několik možností, jak obnovit přístup po zablokování:
- Uložte záložní kopii tajných konfiguračních kódů na bezpečné místo. Můžete to udělat ručně nebo použít autentizaci, jako je Authy, pro poskytnutí funkce zálohování kódu.
- Uložte kód obnovy na bezpečném místě mimo střed s podporou 2FA, ke kterému můžete získat přístup k různým potřebám.
Protože nemáte přístup k parametrům zálohování, můžete zkusit obnovit přístup k místnímu serveru nebo ke vzdálenému serveru s podporou 2FA jiným způsobem.
6: Obnovte přístup k místním médiím (volitelné)
Dokud máte fyzický přístup k vozu, můžete vstoupit do režimu aktualizace a vypnout 2FA. Režim revize je obecný typ (podobný stejnému jako vykonaný) v Linuxu, který vítězí v vykonaných administrativních úlohách. Abyste se dostali do režimu aktualizace, budete muset znovu provést nastavení v GRUB.
Chcete-li získat přístup ke GRUB, restartujte počítač:
Když se objeví nabídka GRUB, přepněte a uvidíte položku Ubuntu. Důvod instalace 18.04 je pro propagaci, ale jde to opravit, takže jsi to po instalaci ručně změnil.
Poté stiskněte klávesu e na klávesnici pro úpravu konfigurace GRUB, než napadnete váš systém.
Přejděte na konec souboru a najděte řádek, který začíná linuxem a končí $vt_handoff. Přejděte na konec řádku a přidejte systemd.unit=rescue.target. Změňte názor, pokud chcete zkusit mezi $vt_handoff a systemd.unit=rescue.target. Chcete umožnit stroji Ubuntu vstoupit do režimu inovace?
Po provedení změny uložte soubor pro další kombinaci kláves Ctrl + X. Stisknutím klávesy Enter přejděte do režimu aktualizace.
Opřete se o příkazový řádek a otevřete konfigurační soubor Google Authenticator, který se nachází v domovském adresáři zablokovaných koristuvach.
nano /home/8host/.google-authenticator
První řádek tohoto souboru je tajný klíč koristuvach, který je vítězný pro nastavení autentizátora.
Nyní máte dvě možnosti:
- Můžete zkopírovat tajný klíč a nastavit autentizátor.
- Pokud chcete začít s čistým arkush, můžete redistribuovat soubor ~/.google-authenticator a zakázat 2FA pro tento koristuvach. Po opětovném přihlášení můžete překonfigurovat 2FA a získat nový tajný klíč.
V každém případě můžete obnovit systém po zablokování 2FA v místním prostředí za pomoci grabování GRUBu. Dali mi rozpovimo, jak otevřít přístup k zablokovanému vzdálenému středu.
7: Posílení přístupu ke vzdálenému centru (volitelné)
Pokud je váš vzhled sudoeru blokován ze vzdáleného středu, můžete jej zapnout současně nebo překonfigurovat 2FA pomocí root.
Zobrazit systém jako root root:
ssh [e-mail chráněný] _ip_serveru
Po přihlášení otevřete soubor Google Authenticator, který se nachází v domovském adresáři zablokovaných koristuvach:
sudo nano /home/8host/.google_authenticator
První řádek tohoto souboru je tajný klíč koristuvach, který potřebujete k nastavení autentizátoru.
Nyní máte dvě cesty:
- Pokud chcete překonfigurovat nové nebo vymazané přílohy, můžete změnit tajný klíč a překonfigurovat ověřovací software.
- Pokud chcete začít od čistého stolu, můžete znovu navštívit soubor /home/8host/.google_authenticator a deaktivovat 2FA pro daného hostitele. Po přihlášení pomocí sudo můžete překonfigurovat 2FA a získat nový tajný klíč.
Pro kteroukoli z těchto možností můžete po zástupném zablokování 2FA změnit zástupný vzhled kořenového záznamu.
Višňovok
Pomocí této příručky jste opravili 2FA na počítači Ubuntu 18.04. Dvoufaktorová autentizace zajišťuje dodatečné náklady na ochranu veřejného záznamu systému jako celku. Pokud používáte standardní cloudová data, budete k přihlášení také muset zadat další ověřovací kód. Okrást nemožnost neoprávněného přístupu k vašemu oblіkovogo záznamu, aby se pachatel mohl dostat do vašich oblіkovі dat.
Štítky: ,- Nainstalovaný ROSA Enterprise Linux Server verze ne nižší než 6.8 v konfiguraci "Standard ROSA Server".
- Přístup do úložiště
- Připojený Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC najednou ze čtečky. V příloze je na vině certifikát
Chcete-li odebrat přístup k úložišti, odeberte klíč ze služby podpory a proveďte následující příkaz s právy správce:
echo<ключ>> /etc/rosa-support-id-server
Zastosovnіst
Pokyny popisují instalaci a přizpůsobení obslužných programů ROSA Enterprise Linux Server potřebných pro autentizaci s vítězstvími Rutoken ECP. Pažba má architekturu AMD64; u 32bitového systému bude vše stejné až po názvy složek.
Jakmile bude níže uveden postup ověřování pro Rutoken ECP, bude možný, ale nebude závazný.
Instalované komponenty
Nainstalujte potřebné a odeberte konfliktní nástroje (vyžadují práva správce):
Su yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard yum remove coolkey
Nainstalujte knihovnu PKCS#11 pro Rutoken ECP (je důležité nainstalovat knihovnu po instalaci utilit):
- Přejděte na web Rutoken: https://www.rutoken.ru/support/download/pkcs/.
- Přejděte na kartu „Pro jádra GNU/Linux“ a klikněte na „Knihovna rtPKCS11ecp pro GNU/Linux RPM 64-bit (x64)“.
- Vyžádejte si a nainstalujte balíček (je vyžadováno heslo správce).
Nalashtuvannya
Na nových požadovaných informacích zabuduji opětovné ověření v systému a zviditelnění
- Běh pcscd(vyžaduje administrátorská práva):
- Dokončete základní proces pcscd, jako tento boov:
V tuto chvíli lze žeton vložit do různých růží.
- Wikonaite:
- Otevřete kartu nebo otevřete terminál a zadejte do něj příkaz:
Vinice mají viditelné parametry a název stavby. Níže je uveden příklad vize.
- Změňte přítomnost požadovaných informací na tokenu pro další útočný příkaz (požadované heslo je typ tokenu):
Wisnovku odpovídá za objekt certifikátu. Takové parametry, jako je ID a štítek, lze změnit, když umístíte kurzor níže.
Přidání certifikátu důvěry
- Vytvořte databázi důvěryhodných certifikátů (vyžaduje administrátorská práva):
- Zkopírujte certifikát z tokenu (požadované heslo tokenu. Parametr ID lze převzít z výstupu příkazu pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l) :
- Přidejte certifikát důvěryhodnému uživateli (vyžaduje práva správce):
Změna konfiguračních souborů
Pro změnu konfiguračních souborů potřebujete administrátorská práva.
pam_pkcs11.conf
- Vytvořte (například na ploše) textový soubor pam_pkcs11.conf s následujícím:
- Přesuňte soubor do adresáře /etc/pam_pkcs11/:
system-auth
- Připojte modul k autorizačnímu systému PAM:
- Otevřete soubor ověření systému v editoru nano nebo mcedit:
- Přidejte do dalšího řádku:
- uložení souboru (
předmět_mapování
- Postupujte podle příkazů:
- Zkopírujte výše uvedený příkaz ze souboru /etc/pam_pkcs11/subject_mapping a uveďte, kterému subjektu certifikát patří.
Lze vidět řadu konfigurací:
Kontrola příkazu pkcs11_inspect -><имя_пользователя>
Opětovné ověření autentizace prostřednictvím konzoly
- Otevřít nové okno nebo kartu konzoly.
- Pusťte příkaz su<имя_пользователя>(im'ya koristuvacha je specifikován v subject_mapping).
Příklad vize:
Po opětovné kontrole ověření prostřednictvím konzoly můžete vyčistit režim zesílení. Za tímto účelem vezměte slovo debug ze souboru /etc/pam.d/sysauth v daném řádku a vložte debug false místo true ze souboru /etc/pam_pkcs11/pam_pkcs11.conf.
Zámek obrazovky
- Otevřete soubor pkcs11_eventmgr pro úpravy (vyžaduje práva správce):
Po úpravě konfiguračního souboru může vypadat takto:
Pkcs11_eventmgr (# Spustit na pozadí? Znamená debug=false, pokud true démon = true; # zobrazit ladicí zprávy? debug = false; # doba dotazování v sekundách polling_time = 1; # doba vypršení platnosti v sekundách # výchozí = 0 (žádné vypršení platnosti) exp 0 ; # modul pkcs11 k použití pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # seznam událostí a akcí # Vložená karta událost card_insert # konec sekvence akcí # quit: end program on_error = ignore; ) # Karta byla odstraněna událost card_remove ( on_error = ignorovat; action = "gdmflexiserver"; ) # Příliš mnoho události odstraněné časové karty expire_time ( on_error = ignorovat; action = "/bin /false"; ) )
- Přidat utilitu pkcs11_eventmgr v automatické akvizici. Pro který z nich upravte soubor .bash_profile korespondenta k ověření:
- Ukončete soubor řádkem, který spustíte pkcs11_eventmgr.
Butt file.bash_profile po úpravě:
Při výběru ověření pro další token vypadá obrazovka asi takto.
Od roku 2020 by měla být éra šifrování pro GOST R 34.10-2001 založena na plotu a také všechny organizace, které interagují se státními strukturami, jsou zmateny terminologií, aby přizpůsobily nový standard - 2012 aktuálnímu roku. Pokud v některém z nich pracujete, nepřecházejte: v těchto článcích o nich budeme hovořit, jak problém vyřešit pomocí serveru CentOS 7 a balíčku CryptoPro JCP.
Pokud už o všem víte, pak je jen málo historických důkazů.
V roce 1994 Federální bezpečnostní služba (FSB) zavedla nízké standardy a výzvy vyzývající k ochraně výměny dokumentů mezi organizacemi a dalšími účastníky tohoto procesu. Jedním z takových bezpečnostních přístupů se stal elektronický digitální podpis dokumentů a jedním ze standardů je GOST R 34.10-94, který popisuje algoritmus pro vytváření a opětovné ověřování elektronického digitálního podpisu. Přijato a zavedeno ctihodným Derzhstandartem Ruska ze dne 23. ledna 1994, č. 154, propratováno do roku 2001.
Pro změnu jsme obdrželi zavedení GOST R 34.10-2001 - standardní vylepšení, rozšíření pro zajištění větší stability algoritmu. Po hodině nestát na misi se mění algoritmy a metody kryptoochrany a za jedenáct let se GOST R 34.10-2001 mění na GOST R 34.10-2012.
V nové normě nebylo možné první variantu změnit, dokud se parametry nezměnily. Hodnota tajného klíče by se měla blížit 256 bitům, ale byla přenesena do hašovací funkce s maximálním hašovacím kódem 256 nebo 512 bitů. Hlavní věc je zavedení nového standardu - možnosti s dalšími parametry a schématy, včetně hashů pro standard GOST R 34.11-2012 "Stribog".
INFO
Stribog je bůh starověkých slov, který se přimlouvá s větry, čeká na vše, co se ukáže na volném prostranství. Možná a také ponuré technologie. Pro zprávu o těchto šifrách si přečtěte články „“ že „“.
V nelítostném osudu roku 2014 FSB oznámila začátek přechodu na přijetí nového národního standardu GOST R 34.10-2012 za účelem elektronického podpisu pro informace, aby nedošlo k pomstě za informace, aby byla stanovena státní tajemství. Máme dokument č. 149/7/1/3-58 ze dne 31. září 2014 „O postupu při přechodu na přijetí nových standardů ECP a hashovacích funkcí“, kde jsme takovou pomůcku nainstalovali.
- Pіsl 31 prsa 2013 ROCKITI STIFIFIKATSIUY HRALA ELEKTRONICKÁ PIDPISA na Vіdpovіdnіst Vimogam to Zavobiv Elektrona Pіdpisu, work on 27.12.2011 ROK №796, the Yaksicho Usі796, Yaksicho Usі4
- Dne 31. března 2018 bylo dnem podání plotu GOST R 34.10-2001 pro vytvoření elektronického podpisu.
Ministerstvo komunikací vytvořilo plán přechodu na standard (PDF). V praxi se ukázalo, že vše není tak jednoduché a přechod proběhl do 31. prosince 2019. Protože ano.
- Mnoho suverénních a obecních úřadů není připraveno přejít na nový standard elektronického podpisu GOST-2012 zavedením podpisu na Rivne PZ.
- Pro vystavení certifikátu nové značky je nutné mít jako samozřejmost nový GOST, ten certifikát Hlavního centra, k potvrzení formací s normami GOST-2012. Posvidchuvalni centrum vyřadilo jógu ze zajetých kolejí rocku roku 2018. Vydání certifikátů pro všechny coristuvachy bude trvat další hodinu.
Ve stejné době, existují dva standardy pro krypto-ochrance pro práci ECP, a ale tim, který vikoristovuє GOST-2001, termín je nezbytný pro robit. Zima, jak se zdá, je blízko, ale to znamená, že kontrola je nízká na nás s implementací norem GOST-2012.
Řeknu vám, jak nasadit certifikaci FSB zasib SKZI (CryptoPro JCP) na linuxový server v rámci obřadů Java JDK. Do projevu, jak ty dosі vykoristovuєsh DERZHSTANDART-2001, na webu CryptoPro є chudova, raja tobi її číst, nebudeme.
Veškerá dokumentace mezi účastníky burzy podléhá principu CMEV (systém mezielektronické interoperability). Dodatek může být účastníkem takového systému, nebo nemusí být obeznámen s principem výměny dokumentů se žádným způsobem nemění. Pro jednoduchost jsem nakreslil malé schéma.
Ceny
Zpravidla zveřejněte licenci na softwarové řešení. CryptoPro JCP není levné, a pokud jedna pracovní stanice stojí 1200 rublů, pak serverové licence stojí výrazně více - téměř 30 000 za jádro skinu (nebo dvě jádra procesoru Intel s povoleným Hyper Threading).
Instalovaný a upravený poskytovatel kryptoměn
V mém případě pracuji na virtuálním stroji s CentOS 7, ale nemám problémy s výběrem hardwarového řešení pro danou distribuci Linuxu. Usі dії, že týmy budou samy takové.
Vytváříme místní coristuvacha, pіd yakim pratsyuvatime PZ, scho vykoristovuє podpis dokumentіv.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash uživatel; uživatel sudo grep /etc/passwd
Nainstalujte Java JDK správně. Nezbytná distribuční sada Vikachuemo.
$wget --header "Cookie: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Rozbalte archivy a zkontrolujte, zda je složka Java připravena ke kopírování.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Zkopírujte složku do distribuce aplikačního softwaru. Budu hrát vicoristu /opt.
$ sudo cp -rf jdk1.8.0_191 /opt/
Ověřte, co bylo zkopírováno správně. V případě potřeby změňte vlastníka složky na root.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R root:root /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Zapíšeme změny do Java JDK ořezávátka pro všechny zámky.
$ sudo vi /etc/profile.d/oracle.sh
Soubor je zapsán dále:
Export JAVA_HOME=/opt/jdk1.8.0_191 export JRE_HOME=/opt/jdk1.8.0_191/jre export PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre/
Protože je na serveru několik verzí Java JDK, je nutné zaregistrovat alternativy pro novou verzi.
$ sudo alternatives --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 2 $ sudo alternatives --install /usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2 $ sudo alternatives --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ alternativy sudo --set jar /opt/jdk1.8.0_181/bin/jar $ alternativy sudo --set jar /opt/jdk1.8.0_191/bin/jar $ sudo alternatives --set javac /opt/jdk1.8.0_191/bin/javac $ sudo alternatives --config java
Z nabídky vyberte možnost 2 (nebo tu, která přinese novější verzi Javy). Nezapomeňte opravit oprávnění v JRE systemPrefs.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Ověřte nainstalovanou verzi Javy.
$ java verze
Java verze "1.8.0_191"
Java(TM) SE Runtime Environment (sestavení 1.8.0_191-b12)
Java HotSpot™ 64-Bit Server VM (sestavení 25.191-b12, smíšený režim)
Zkopírujte složku s distribuční sadou CryptoPro JCP z distribuce aplikačního softwaru.
$ sudo cp -rf jcp-2.0.40035 /opt/
Je ověřeno, že vše bylo zkopírováno správně.
$ ls -al /opt/jcp-2.0.40035/
Vidíme práva ke spouštění skriptů.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Zkontrolujeme vlasnik, že práva ke složce mohou být root. Pojďme k ní.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
Abyste předešli problémům při instalaci, zkontrolujte počet jader na procesoru a zkontrolujte licenci. Počet jader můžete určit pomocí příkazu nproc.
Přejděme k instalaci poskytovatele kryptoměn JCP. Do hodiny instalace budete muset být připojeni ke zdroji nízkého napětí.
Propagace je k dispozici pouze členům
Možnost 1. Přijďte na „stránku“ a přečtěte si všechny materiály na stránce
Členství se společně přiděleným termínem vám poskytuje přístup ke všem materiálům Hackera, abyste zvýšili speciální kumulativní slevu a umožnili vám získat profesionální hodnocení Xakep Score!
