Windows se već dugo isporučuje u setovima s integriranim sustavom mrežne provjere autentičnosti i jedinstvene prijave. Prije Windows 2000, Windows NT kontroleri domene davali su Windows klijentima usluge provjere autentičnosti koristeći NTLM protokol. Iako NTLM nije toliko krao, kao da je dat na licu mjesta, bolje da ga skinemo, krhotine, dajući jasno rješenje problema potrebe dupliciranja zapisa u oblaku coristuvacha na različitim serverima mreža.
Počevši od Windowsa 2000, Microsoft je prešao s NTLM-a na Active Directory i integrirao Kerberos uslugu provjere autentičnosti. Kerberos je značajno zaštićen za NTLM, a također se bolje skalira. U međuvremenu, Kerberos je bio standard svemira, koji već pobjeđuje na Linux i UNIX sustavima, što je otvorilo vrata integraciji ovih platformi s Windowsima.
Linux provjera autentifikacije
Okosnica Linuxa (a također i GNU knjižnica na kojima se radilo na novom) nije se oslanjala samo na jedan mehanizam autentičnosti. Kao rezultat toga, dobavljači dodataka za Linux su uzeti prije nego što su razvijene autoritativne sheme autentičnosti. Bilo je moguće doći ili traženjem hash kodova imena i lozinki na /etc/passwd (tekstualna datoteka koja se tradicionalno koristi za osvetu izgleda podataka u Linuxu) ili traženjem drugačijeg (i jasnog) mehanizma .
Raspon mehanizama za ponovnu provjeru ispravnosti, koji je viyshov, buv obojeni. Godine 1995 Sun je predložio mehanizam nazvan Pluggable Authentication Modules (PAM). PAM je osigurao širok raspon API sučelja za autentifikaciju, koje mogu koristiti svi distributeri dodataka, kao i element poslužitelja koji može konfigurirati administrator, što omogućuje povezivanje različitih shema provjere autentičnosti. Korištenje PAM API-ja za provjeru autentičnosti i sučelja API za prebacivanje poslužitelja imena (NSS) za traženje informacija o hostu omogućio je dobavljačima dodataka za Linux da pišu manje koda, a administratorima Linuxa da sami rukovode procesom provjere autentičnosti.
Većina Linux izdanja isporučena je s mnogim PAM modulima za provjeru autentičnosti, uključujući module koji podržavaju provjeru autentičnosti u LDAP direktoriju i provjeru autentičnosti s Kerberos wikijem. Ovi moduli se mogu odabrati za provjeru autentičnosti u Active Directory, ali u isto vrijeme možete odrediti vrijednost razmjene, kao što je opisano u nastavku u ovom članku.
Samba i Winbind
Samba- cijeli se projekt temelji na novom kodu, koji je metoda integracije između Windows i Linux okruženja. Samba uključuje komponente koje Linux računalima daju pristup uslugama datoteka i drugim Windowsima, kao i pružaju usluge temeljene na Linuxu koje oponašaju Windows NT 4.0 kontrolere domene. S komponentama klijenta Samba, Linux računala mogu koristiti usluge Windows Authentication, koje pružaju Windows NT i Active Directory kontroleri domene.
Za nas, posebno dio Sambe, koji se zove Winbind. Winbind je demon (“usluga” u Windows terminima), koji radi na Samba klijentima i radi kao proxy za komunikaciju između PAM-a i NSS-a, koji radi na Linux računalu, s jedne strane, i Active Directory-a koji radi na kontrolerima domena, s ínshgo. Zokrema, Winbind koristeći Kerberos za provjeru autentičnosti Active Directory-a i LDAP-a za izdvajanje informacija o jezgri i grupama. Winbind također pruža dodatne usluge kao što je mogućnost prikaza kontrolera domene, wincrow algoritam sličan DCLOCATOR Active Directory i mogućnost ispuštanja Active Directory lozinki kontaktiranjem kontrolera domene za RPC pomoć.
Winbind izbjegava probleme koji se spremaju jednostavnom upotrebom Kerberosa uz pomoć PAM-a. Zocrema, zamjena za kodiranje tvrdog kontrolera domene za PAM provjeru autentičnosti Winbind odabire kontroler domene da traži zapise DNS lokatora slično kao kako onemogućiti Microsoft DC LOCATOR modul.
Tri strategije provjere autentičnosti
Promjenom dostupnosti LDAP-a, Kerberosa i Winbind-a na Linux računalima, postoje tri različite strategije implementacije koje se mogu učiniti kako bi se Linux računalu dalo mogućnost osvajanja Active Directory-a za provjeru autentičnosti.
Čarobnjak za LDAP autentifikaciju Najjednostavniji, ali najmanje pouzdan način korištenja Active Directoryja za autentifikaciju je zakrpa PAM preko LDAP provjere autentičnosti, kao što je prikazano u Riža. jedan. Ako želite Active Directory kao LDAPv3 uslugu, Windows klijenti se oslanjaju na Kerberos provjeru autentičnosti (s NTLM kao zamjenu), a ne na LDAP.
Vrijeme provjere autentičnosti LDAP-a (nazvat ću LDAP) Ova lozinka se prepisuje tekstom kroz rub. To je nesigurno i neprihvatljivo za veće svrhe.
Riža. Ponovna provjera autentičnosti u Active Directory uz pomoć LDAP-a
Jedini način da se smanji rizik čišćenja prijenosa podataka u oblaku je šifriranje komunikacijskog kanala klijent-Active Directory s drugom stranom SSL veze. Savršeno je moguće, ali također ulaže dodatne napore za upravljanje SSL certifikatima kako na računalu kontrolera domene tako i na računalu s Linuxom. Osim toga, LDAP PAM modul neće podržavati promjenu ispuštenih lozinki.
Pleteni LDAP i Kerberos Druga strategija za korištenje Active Directory za Linux Authentication Refactoring je zakrpa PAM-a za Kerberos i NSS provjere autentičnosti za LDAP provjeru autentičnosti za traženje informacija o korijenskim grupama, kao što je prikazano u Riža. 2. Tsya shema može biti superiornija od vídnosnoí̈ zahishchennosti, au níy vikoristovuyutsya vbudovaní mogućnosti Linuxa. Međutim, ne mijenja zapise izdanja DNS usluge (SRV) koji objavljuju Active Directory kontrolere domene kako bi provjerili popis kontrolera domene kako bi provjerili njihovu ispravnost. Također ne daje posebno intuitivan način hakiranja trenutnih Active Directory lozinki ili, donedavno, adekvatan šali članova grupe.
Riža. 2. Ponovna provjera autentičnosti u Active Directoryju uz pomoć LDAP-a i Kerberosa
Winbind Wikiizvor Treći način korištenja provjere autentičnosti Active Directory za Linux je postavljanje PAM-a i NSS-a za dobivanje klikova na ključni Winbind program. Winbind će prevesti različite PAM i NSS zahtjeve u Active Directory pobjede, LDAP, Kerberos ili RPC, što god je najprikladnije. Na Riža. 3 ukazao na naočnu stražnju stranu strategije.
Riža. Ponovna provjera autentičnosti u Active Directory uz pomoć Winbind
Naš plan implementacije
Poboljšana integracija Active Directoryja natjerala me da odaberem Winbind za Red Hat Enterprise Linux 5 (RHEL5) za moj projekt integracije Linux-Active Directory. RHEL5 je streaming verzija komercijalnog izdanja Red Hat Linuxa i popularna je u korporativnim podatkovnim centrima.
Za RHEL5, nakon što provjerite referencu putem Active Directory, trebate, zapravo, pet sljedećih koraka:
- Upoznajte i nabavite najnoviji Samba paket i druge naslijeđene komponente.
- Odaberite Sambu.
- Ponovno instalirajte te postavke Sambe.
- Nabavite sam Linux, PAM i NSS.
- Postavite Active Directory.
U nadolazećim podjelama, članci su opisani u izvješću.
Potražite potrebne programe
Jedna od najvećih značajki između Linuxa i Windowsa je ta što se Linux sastoji od male jezgre operacijskog sustava i velike zbirke komponenti, o kojima se dobro brine i koje su instalirane. Moguće je izraditi pomnije odabrane Linux komplete koji su optimalni za pjevanje zadataka, a također i još složenije raditi na postavljanju poslužitelja i upravljanju njime. Različite distribucije to rješavaju na različite načine. Red Hat (i njegov nekomercijalni rođak Fedora) koristi Red Hat Package Manager (RPM) za instaliranje i upravljanje tim komponentama.
Linux komponente za Red Hat dolaze u dva oblika. RPM datoteke za zamjenu dvíykoví datoteka, yakí su zadalegíní dídídídídídídídídídídídídíbraníídíní za nívnaníníníênínínííí̈í̈í̈í̈ í̈í̈í̈, izdanje Linuxa i arhítektury uCPU. Tako možete preuzeti i instalirati, na primjer, verziju 1.3.8-5 Common UNIX Printing System (CUPS), odabranu za Fedora verziju 10, koja radi na procesoru Intel x86 arhitekture. Na temelju prisutnosti desetak različitih CPU arhitektura, više od 100 Linux izdanja i tisuće paketa i verzija, možete birati između dva RPM paketa.
Vanjske RPM datoteke, s druge strane, dohvaćaju stvarni izlazni kod tog paketa. Víd koristuvacha ochíkuêtsya, scho vín zavantazhivat í vídní vídní í datoteke, nalashtuê parametrov sbirannya, íslja kompílyuíê í í sastaviti dvíykoví í datoteke. Ideja odabira glavnog operativnog sustava koji je pohlepan za instalaciju Windowsa, a to je instaliranje onoga što Microsoft stavi na Windows instalacijski CD, a zatim upravitelja paketa koji će odraditi proces na izuzetno bezbolan i potpuno glup način. Samba grupa izdaje sigurnosna ažuriranja i popravke ludim tempom; Više od jednog dana i zmija 2008. izdalo je nekoliko izdanja Sambe 3.2, koja je osvetila preko 100 pomilovanja i ispravljena sigurnost. Za ovaj projekt uzeo sam datoteke izlaznog koda preostale stabilne verzije Sambe, verzija 3.0.31.
Zašto sam zavantazhivnyy Samba kod umjesto unaprijed kompajliranog skupa binarnih datoteka? Žao mi je, znam, što sam prvo pokušao više. Ali nakon nekog vremena, s upraviteljem sam saznao da dvije datoteke koje sam preuzeo nisu prikupljene na način koji je bio neophodan za održavanje autentičnosti Active Directoryja. Zocrema, kod koji postavlja Linux identifikatore u Active Directory, uključujući uključenja u standardne verzije, tako da sam imao priliku obnoviti Sambu s odgovarajućim parametrima izgradnje. Navodno ću u nastavku pogledati nutritivni status identifikatora.
Ako želite da Linux bude mala jezgra sama po sebi, izdanje Red Hat Enterprisea iza sebe ima instaliran anonimni paket. Zvuk ozbiljno pita život, omogućujući vam da ponovno otvorite isti radni operativni sustav, ali iza leđa instaliranih paketa za sat vremena sukoba s programima, kao da se prenosi na instalaciju kasnije.
Nisam uključio Sambu u svoju Red Hat instalaciju (nazovite Sambu install radi zaključavanja), ali sam morao ažurirati novu verziju. Međutim, novija verzija Sambe i dalje će podržavati novije verzije brojnih drugih knjižnica usluga i uslužnih programa koji su već instalirani. Problemi povezani sa sličnim ugarima mogu poremetiti živce, ali možete lako pobijediti broj okretaja.
Koristite anonimne web stranice na kojima se nalaze dva RPM paketa. Onaj koji sam tvitao (samo onaj koji prvi zna VIN) zove se PBONE i tutnjao je na rpm.pbone.net. Mogu ručno tražiti pakete, a na novom sve dvd datoteke koje su bile potrebne za moju arhitekturu procesora (i386) i izdanje operativnog sustava (Red Hat Enterprise Linux 5/Fedora 7 i 8).
Imao sam priliku kupiti i kupiti pakete koji su bili otplaćeni Riža. 4 da odaberete preostalu verziju Sambe 3.0 (i postoji novo stablo verzija 3.2, ali ga nisam isprobao). Imajte na umu da svi paketi ispunjavaju uvjete za Fedora Core (fc) izdanje. Distribucija Red Hat temelja temeljena na istim starim kodovima koje Fedora osvaja, više je luda za tim. Paketi odabrani za Fedora Core 7 i novije verzije primjenjuju se na RHEL5 bez promjena. Premjestite stečene RPM datoteke u /usr/src/redhat/RPMS direktorij.
Riža. 4. Paketi potrebni za instalaciju i instalaciju Sambe 3.0.31
Samba skladište
Prvi korak u sastavljanju Sambe je dobivanje pravog izlaznog RPM paketa. Preuzeo sam paket RPM koda izdanja Samba 3.0.31 s web stranice PBONE. Dalímístítítítítítítítímítítanatananítíí̈ RPM datoteka vídníhídníkív /usr/src/redhat/SRPMS; Ovo je standardni imenik za RPM pakete i satne kodove za proces preuzimanja.
Otvorite sesiju na terminalu (“Prozor naredbenog retka” u Windows terminima) i idite do mape SRPMS. Nakon toga, pošto je pokvaren, instalirajte paket izlaznih kodova za dodatnu naredbu, kao što je prikazano u Riža. pet.
Riža. pet. Instaliranje RPM paketa Samba izlaznih kodova
Ako postoji upozorenje o pomilovanju "user mockbuild ne postoji - koristi root", nemojte se hvaliti. Ovo oprost ukazuje na one koji nisu instalirali servisne programe zbirke maketa. Proces sklapanja je praktičan i bez njih.
Zatim idite na direktorij /usr/src/redhat/SPECS i uredite datoteku samba.spec kako biste promijenili parametre odabira Sambe. Pronađite redak koji počinje s "CFLAGS=" i promijenite u "--with-shared-modules=idmap_ad,idmap_rid" Ovaj parametar jamči da će tijekom procesa odabira postojati kod koji ispravno prevodi Linux jedinstvene identifikatore (UID) za Active Directory. Na Riža. 6 parametar lebdenja.
Riža. 6. Parametar preklapanja sa zajedničkim modulima („s modulima koji se dijele zajedno“)
Možda ćete morati ažurirati neke od knjižnica na vašem računalu kako biste mogli ispravno odabrati i instalirati Sambu; tse ležati po redu, koje su verzije knjižnica već instalirane. U mislima sam imao priliku instalirati pakete, prepakirane za Riža. 4, s naredbom rpm-install; u nekim slučajevima imao sam priliku, vtím, prevladati opciju --force, kako bih riješio neke probleme ugar.
Da biste instalirali Sambu, idite do direktorija /usr/src/redhat i upišite rpmbuild -bb SPECS/samba.spec kao što je prikazano na Riža. 7. Kao rezultat postupka, nova RPM datoteka samba-3.0.31-0.i386 ostat će u direktoriju /usr/src/redhat/RPMS. Ovu RPM datoteku ćemo instalirati kasnije tijekom projekta.
Riža. 7. Izrada RPM Samba binarne datoteke
Postavljanje Linux robota s mrežom
Kako bi se nadjačala pomoć Active Directoryja, Linux računalo je odgovorno za sposobnost svoje majke da kontaktira kontrolor domene. Ako bi se to moglo dogoditi, potrebno je fiksirati tri parametra mjere.
Prije svega, važno je ponovno razmotriti da je srednje sučelje na Linux računalu nadograđeno za važan rang, bilo putem DHCP protokola, bilo putem prepoznavanja valjane IP adrese i mrežne maske za dodatnu naredbu ifconfig. Za RHEL5, možete postaviti robota za mjerenje odabirom í̈ (Mreža) u sustavu | Administracija (Sustav | Administracija), kao što je prikazano u Riža. 8.
Riža. 8. Postavljanje mreže
Promijenimo da je usluga rješavanja DNS imena za Linux računalo instalirana na istom hostu istog poslužitelja DNS imena kao i kontroler domene; u većini slučajeva radi se o kontroleru domene u domeni, sve dok nije potrebno donijeti Linux računalo, pod pretpostavkom da pobijedi DNS, integrirano s Active Directoryjem. Ako je DNS dopušteno popraviti na kartici DNS, tada se postavlja servisni program, kao što je prikazano u Riža. devet.
9. Uspostavite osnovno dopuštenje za DNS
Nareshti, nakon završetka ovih zadataka, potrebno je instalirati Linux ime kako bi se ovo ime prikazalo u domeni. Ako ga možete instalirati, pobjednički program za fiksiranje mjere, čini se da ne morate raditi s odgovarajućim rangom.
Promijenite datoteku /etc/hosts i dodajte unos pod unosom localhost.localdomain u obrascu
Podešavanje vremena sinkronizacije na Linuxu
Kerberos protokol se oslanja na prisutnost sustava provjere autentičnosti na kraju godine kako bi se postigla visoka točnost sinkronizacije. Za promocije, Active Directory dopušta maksimalan iznos od pet kredita. Kako bi se osiguralo da se Linux sustavi ponovno pokreću iz te godine na sustave kontrolera domene u rasponu ove vrijednosti, potrebno je nadograditi Linux sustave kako bi služili NTP protokolu kontrolera domene.
Pokrenimo uslužni program za datum i vrijeme na Linux poslužitelju iz sustava | Administracija i odaberite karticu NTP protokol. Postavite zastavicu Enable Network Time Protocol ("Enable the NTP protocol") i dodajte IP adresu kontrolera domene, koju je potrebno promijeniti što je prije moguće. Oprez da je kriv kontroler domene u domeni, da se osveti uloga FSMO imitatora primarnog kontrolera domene (PDC). Na Riža. 10 kraj instalacije spojenog dzherel sata za Linux.
Riža. 10. Implementacija NTP protokola
Postavljanje PAM-a i NSS-a
PAM i NSS nadayat zasíb z'ednannya Linux programe, kao što je radni medij, koji Winbind. Slično mnogim Linux uslugama, PAM i NSS se konfiguriraju putem tekstualnih datoteka. Na stražnjoj strani moje ruke možemo pogledati krpljenje PAM-a.
PAM se nada da će dati neke doprinose za provjeru autentičnosti. Zasíb authentifikatsíí̈ omogućuje zastosunka da odredi tko pobjeđuje u jogi. Zasíb oblíkovih zadív naê funkcije í̈ cheruvannya oblíkovymi zapise, yakí ne stosuyuutsya autentifíkatsíí̈, kao što je zamezhennya sat ulaz. Prikupljanje lozinki osiguravaju mehanizmi za traženje lozinki i upravljanje njima. Zasíb sjednice vykonuê zavdannya instalaciju i vidalennya programa, kao stosuyuyutsya koristuvacha, kao što su prijavljivanje i stvaranje datoteka u kategoriji određene koristuvach.
Red Hatove PAM datoteke za prilagodbu pohranjene su u direktoriju /etc/pam.d, koji bi bio tekstualna datoteka za program maske, poput PAM hacka za autentifikaciju. Na primjer, datoteka /etc/pam.d/gdm sadrži informacije o postavljanju PAM-a za Gnome Desktop Manager (GDM), Red Hat-ovo okruženje za zaključavanje radne površine. Postoji nekoliko redaka u PAM datoteci kože, a postoje i neki aspekti procesa PAM provjere autentičnosti za kožu. Na Riža. jedanaest prikazano kao PAM postavka za GDM.
Riža. jedanaest. Datoteka za prilagodbu RAM-a za Gnome Desktop Manager
Unos kože u obrascu datoteke za postavljanje PAM datoteke<группа управления> <элемент управления> <модуль> <параметры>, de<группа управления>dpovídaê zabou, u kojoj mjeri se zapis treba postaviti: provjera autentičnosti, zapisi u oblaku, lozinke ili sesije. Ključne riječi opisane na Riža. 12, čini se PAM, kako napraviti zapis zakrpanja. Treći korak je zamjena datoteke imenom dijeljene PAM biblioteke u sigurnosnom direktoriju /lib/. Globalne knjižnice su sposobne dinamički hvatati kod sličan Windows DLL-u. Dodatni pojmovi iza naziva modula - to su parametri koje prosljeđuje PAM modul glavne biblioteke.
Riža. 12. Ključne riječi PAM
ključna riječ | Opis |
| Obavezno ("Obov'yazkovo") | Ako je modul uspješno pokrenut, tada će PAM nastaviti brojati zapise za kontrolnu grupu, a rezultati će biti zamijenjeni rezultatima modula koji su izostavljeni. Ako ne, onda će PAM nastaviti izračun, ali će vratiti zbiy dodatak, koji je plaćen. |
| Potreban | Ako modul uspješno radi, PAM nastavlja brojati zapise kontrolne grupe. Ako ne, onda će PAM vratiti dodatak, koji ste pozvali, bez daljnje obrade. |
| Dovoljno | Ako se modul uspješno pokrene, PAM će vratiti uspješan rezultat dodatku na koji ste kliknuli. U suprotnom, PAM će nastaviti s izračunom, ali će rezultati biti dodijeljeni sljedećim modulima. |
| Izborno ("Neoob"Jezik") | PAM zanemaruje rezultate modula, kao jednog modula, kao odgovor kontrolnoj skupini. |
| Uključiti | PAM je uključen u PAM datoteku za prilagodbu, na kojoj se daje zahtjev, kao i u novi proces snimanja. |
Sjetite se da grupa za upravljanje kožom može imati nekoliko zapisa. PAM obrađuje unose redom, prozivajući nazive modula. Zatim modul provjerava uspjeh ili neuspjeh, a PAM sigurno ovisi o ključnoj riječi koja se kontrolira.
Imajte na umu da PAM datoteka za GDM može imati autentifikaciju sustava za sve grupe za provjeru autentičnosti. Ovo je način na koji PAM postavlja ponašanje provjere autentičnosti za GDM promocije. Modificirajući autentifikaciju sustava, možete promijeniti isto ponašanje za sve programe, za koje postoji datoteka autentifikacije sustava za PAM postavke. Prikazana je datoteka autentifikacije sustava iza brave Riža. 13.
Riža. 13. Datoteka za autentifikaciju sustava PAM modula
Modul prenošenja na blok konverzije imena (NSS) prima specifične informacije o prikupljanju tih sustava u maloprodaji softvera, otprilike na isti način kao što PAM prima autentifikacijske detalje. NSS omogućuje administratoru da odredi način na koji se spremaju baze podataka sustava. Zocrema, administrator može reći kako se spremaju podaci o imenu i lozinka. To nam je potrebno, tako da programi traže informacije o koristima u Active Directory-u uz pomoć Winbinda, moramo promijeniti postavku NSS-a da bi to prikazali.
Red Hat uključuje mali grafički alat za postavljanje PAM-a i NSS-a pod nazivom system-config-authentication. Govorit ćete o više promjena (ali ne o svim), koje bi trebale biti unesene u datoteke system-auth i nss.conf.
Pokrenite program system-config-authentication i možete vidjeti dijaloški okvir sličan onom prikazanom u Riža. četrnaest. Postavite Winbind ensign i na kartici Informacije o korisniku (Informacije o koristuvaču, postoji nova datoteka nss.conf), i na kartici Authentication, ili modificirajte datoteku system-auth.
Riža. četrnaest. systemconfig-autentifikacijski dijalog
Pritisnite gumb Konfiguriraj Winbind i prikazat će se dijaloški okvir koji pokazuje na Riža. 15. U polje Winbind Domain unesite naziv domene u kojoj se može provjeriti autentifikacija hosta i odaberite "voiced" kao sigurnosni model. Unesite naziv DNS domene Active Directory domene u polje Winbind ADS Realm. U polje Winbind Domain Controllers unesite ili naziv kontrolera domene, za čiju pomoć trebate provjeriti referencu za Linux sustav, ili kvačicu koja označava one da bi Winbind trebao odabrati kontroler domene upitom u SRV zapisima u DNS-u.
Riža. 15. Postavljanje Winbind dijaloga
Odaberite odgovarajući tumač za zaključavanje, za što je kriva majka Active Directory; Odabrao sam bash (Bourne-again Shell) iz svoje vpadke. Ni u jednoj fazi nemojte se zamarati gumbom Pridruži se domeni. Računalo će biti dodijeljeno novoj domeni.
Datoteka /etc/pam.d/system-auth mora napraviti još jednu dodatnu izmjenu nakon što se modificira podrška za Winbind. Kada je Linux root prijavljen na sustav, sustav će pokazati prisutnost matičnog direktorija. Početni imenik ima puno parametara i elemenata za postavljanje specifičnog koristuvača bogatog nečim što je slično Windows registru. Čini se da je problem u tome što su korijenske mape stvorene u Active Directoryju, Linux ne stvara automatski početni direktorij korijenske mape. Srećom, PAM se može konfigurirati da se probudi kao dio postavljanja sesije.
Otvorite datoteku /etc/pam.d/system-auth, zatim se pomaknite prema dolje po zaslonu i umetnite redak "session optional map_mkhomedir.so skel=/etc/skel umask=0644" prije ostatka podijeljenog retka sesije (div. Riža. 16). Ovaj red je kreiran u početnom imeniku PAM-a za koristuvach, jer to još ne postoji. Označit ćete /etc/skel kao “kostur” za predložak i prepoznati masku dopuštenja 0644 (pročitati za zapis za datoteku, pročitati za glavnu grupu i pročitati za rješenje) nove mape.
Riža. 16. Izrada kućnog kataloga za koristuvachív
Instalirana i postavljena Samba
Da biste instalirali datoteke Samba dvukoví, stvorene schoyno, idite na /usr/src/redhat/RPMS direktorij. Sve RPM datoteke stvorene naredbom rpmbuild pojavljuju se u istom direktoriju. Imajte na umu da Samba uključuje datoteke dvukovi, što Linux klijentu omogućuje pristup zajedničkom spremištu datoteka u sustavu Windows (ili Samba), kao i kod koji Linux sustavu omogućuje da radi kao Windows poslužitelj datoteka, Windows poslužitelj za drugi i kontroler domene u stilu Windows NT 4.0.
Da bi se Linuxu omogućilo provjera autentičnosti za Active Directory, ništa nije potrebno; Doziranje iznad glave Samba datoteka i dvostrukih datoteka iz Samba klijenta. Radi naše praktičnosti, ove su datoteke podijeljene u dvije RPM datoteke: samba-client-3.0.31-0.i386.rpm i samba-common-3.0.31-0.i386.rpm. Instalirajte RPM datoteke uz pomoć rpm --install. Dat ću guzu: rpm --install samba-common-3.0.31-0.i386.rpm. (Budite oprezni, prije nje morate staviti RPM datoteku -common.)
Nakon instaliranja binarnih datoteka Samba klijenta, potrebno je izmijeniti postavke Sambe za promociju, tako da Winbind rukuje autentifikacijom uz pomoć Active Directory. Sve informacije o postavljanju Sambe (klijent, poslužitelj) možete pronaći u tekstualnoj datoteci smb.conf koja se nalazi u direktoriju /etc/samba. Smb.conf može sadržavati veliki broj parametara, a još više informacija o jogi može nadilaziti okvire ove statistike. Na web stranici samba.org i na Linux razvojnom sustavu nalazi se izvješće o smb.conf.
Prvi korak je postaviti Winbind i koristiti Active Directory za autentifikaciju. Sigurnosni model u smb.conf treba biti postavljen na prazan. Program usluge system-config-authentication već je mali za instalaciju sam, ali ponovna provjera valjanosti nikada neće uspjeti. Otvorite datoteku smb.conf za uređivanje i saznajte vrijednosti opcija člana domene. Pronađite redak koji počinje od "sigurnost" i promijenite redak koji glasi kao "sigurnost = oglasi". U sljedećoj fazi bit će određeno kako će Winbind postaviti Windows sigurnosne sudionike, kao što su grupe i Linux identifikatori, a to će zahtijevati detaljnije objašnjenje.
Problem postavljanja identifikatora
Autentičnost Linux jezgri uz pomoć Active Directoryja ima jedan veliki problem i još ga nisam shvatio - problem jedinstvenih identifikatora (UID) za jezgre te grupe. Interno ni Linux ni Windows ne nazivaju se pravim imenom coristuvachiv, vicorista je jedinstveni interni identifikator. U sustavu Windows razlikuju se sigurnosni identifikatori (SID), koji su struktura promjenjivog života i daju jedinstveno prepoznavanje kožnih lezija u domeni Windowsa. SID je također jedinstveni identifikator domene kako bi Windows mogao razlikovati različite domene.
Shema Linuxa je vrlo jednostavna. Kožna kutija na Linux računalu može imati UID, koji je samo 32-bitni cijeli broj. Ale area díí̈ íí̈ ídídífíkata UID je okružen samim računalom. Ne postoji jamstvo da je kartica s UID-om 436 na jednom Linux računalu identična kartici s UID-om 436 na drugom Linux računalu. U krajnjem slučaju, potrebno je spojiti se na skin računalo, pristup kojemu je potreban, što je nesretna situacija.
Merezheví administratori Linux zvíshuyut tsyu problem, dajući merezhevy autentifikatsíyu za pomoć ili abomerezhovoí̈ ínformatsíynoí̈ sustav (Mrežni informacijski sustav - NIS), ili cijeli LDAP imenik. Sustav za provjeru autentičnosti Merezheva dobiva UID za coristuvach, a sva Linux računala koja imaju jezgru ovog sustava bit će povezana s istim identifikatorima grupe coristuvach. U ovoj situaciji imam zamjenski Active Directory za dane jedinstvene identifikatore coristuvach-a i grupa.
Za rješavanje ovog problema koristim dvije strategije. Prva (i također najočitija) strategija je stvoriti UID za oznaku kože i spremiti ID grupe za dodatni ID objekt u Active Directory. Kada se zaglavi, ako Winbind petlja s dopuštenjima buga, mogu potražiti njegov UID i postaviti ga na Linux kao interni ID greške. Winbind koristi ovu shemu za postavljanje identifikatora Active Directory (ili idmap_ad). Na Riža. 17 naznake procesa postavljanja Active Directory identifikatora.
Riža. 17. Proces postavljanja Active Directory identifikatora
Jedini nedostatak identifikacije Active Directory identifikatora je potreba za mehanizmom za vidljivost identifikatora kože coristuvacha i grupa, kao i njihova jedinstvenost u granicama šume. Informacije o izvješćivanju mogu se pronaći na bijeloj ploči "Postavljanje Active Directoryja za podudaranje Active Directory identifikatora".
Za sada postoji jedna strategija za postavljanje identifikatora, koja je puno manje bogata od administrativnih pristojbi. Pretpostavimo da Windows SID jedinstveno identificira host u sredini domene, kao i samu domenu. Dio SID-a koji jedinstveno identificira jezgru unutar domene naziva se RID i zapravo je 32-bitni cijeli broj. Dakle, Winbind može samo izdvojiti RID iz SID-a na sat vremena kada se korisnik prijavi u sustav, a zatim izdvojiti RID kao jedinstveni interni UID. Winbind koristi ovu strategiju za postavljanje ID-ova RID-a ili idmap_rida. Na Riža. osamnaest pokazuje se koliko RID izjava zapravo radi.
Riža. osamnaest. Izjava RID
Postavka RID-a može prevladati nad nultim administrativnim vrijednostima, ali nije moguće pobijediti u bogatom mediju domene kroz mogućnost manifestiranja jedne vrijednosti RID-a u temeljnim vrijednostima u nizu domena. Za otkrivanje jedne domene Active Directory, izjava RID je pravi izbor.
Da biste konfigurirali Winbindovu ID politiku, otvorite datoteku /etc/samba/smb.conf da je ponovno uredite i dodajte redak "idmap backend = ad" za alternativno pravilo Active Directory ili "idmap backend = rid" za RID oznaku. Promjena na vidljivosti ostalih redaka, kao da označava strategiju postavljanja datoteke.
Postoje neki drugi parametri koje je potrebno dodati u datoteku smb.conf za Winbind. Idite poput PAM instalacija do stvaranja početnog direktorija za skin peeler prije nego što se prijavite, trebate reći Winbindu kako se zove. Mogli bismo samo dodati redak "template homedir = /home/%U" u smb.conf (div. Riža. 19). Nepotrebno je reći, Winbind, koji će biti /dom/<имя пользователя>. Ne zaboravite prvo stvoriti /home direktorij.
Riža. 19. Određivanje naziva matičnog imenika
Ulazak u domenu i ulazak u sustav
Sada, ako su spajanje, PAM, NSS i Samba Winbind ispravno postavljeni, vrijeme je da dovedete Linux računalo na domenu. Također možete koristiti naredbu Samba Net da vam pomogne. U tumaču naredbi upišite "net ads join -U"<имя администратора>". Zamijenite<имя администратора>u ime javnog zapisa, što može biti dovoljno da se računala dovedu u domenu.
Naredba net traži lozinku za koristuvach. Sve radi kako treba, dolazi do računala u domeni. Za prikaz kreiranog slikovnog zapisa računala, možete koristiti Active Directory snap-in - učvršćivanje računala.
Možete protestirati protiv kampa za pomoć pomoću alata za testiranje Winbind, koji se zove wbinfo. Baš kao i wbinfo -t, bit će protesta protiv povjerenja između računala i domene. Kao rezultat toga, wbinfo -u će nadjačati sve osnovne domene, a wbinfo -g - sve grupe.
Nakon što se Linux računalo uspješno pridruži domeni, sljedeći će korak biti pokušaj prijave u sustav za dodatni javni zapis lozinke za Active Directory. Potražite izvan sustava na Linux računalu i pogledajte u sustav koristeći Active Directory naziv. Ako je sve ispravno, tada postoji mogućnost prijave u sustav.
Postavljanje Active Directoryja za proces postavljanja Active Directory identifikatora
Ove su informacije rezervirane samo za one koji osvoje Active Directory identifikatore. Oni koji su odnijeli pobjedu nad izjavom RID-a mogu mirno ne odati poštovanje ovom panelu.
Prije nego što možete ući u sustav na Red Hat poslužitelju s Active Directory zapisom, morate unijeti promjene u Active Directory. Prvo, shema Active Directory mora dodati atribute koje Winbind koristi za prikupljanje temeljnih informacija. Za sat vremena rada sa Windows Server 2003 R2, shema je spremna prije zaustavljanja. U većoj ranijoj verziji sheme Active Directory, morat ćete proširiti paket Microsoftovih usluga za UNIX (SFU).
Dodatne informacije možete pronaći na Services for UNIX na TechNetu. SFU također uključuje dodatnu snagu za korisnike Active Directory koja je opremljena Microsoft Computers Management Console (MMC) koja vam omogućuje dohvaćanje informacija o pojedinačnim i grupnim modifikatorima koje zahtijeva Linux.
Budući da je shema ispravno instalirana, potrebno je dati Linux identifikatore svim coristuvačima (i grupama, članovima takvih smrada) kako bi se mogli prijaviti na Linux računalo. To znači da morate dodijeliti vrijednost za atribute uidNumber i gidNumber za odgovarajuću grupu kako biste se mogli prijaviti na Linux računalo. Ale pored sjećanja na djela vimogi na ove atribute:
- Linux će zahtijevati UID za skin peeler kako bi provjerio njegovu valjanost. Budući da moramo dohvatiti informacije o corylistima u Active Directoryju, tada je koža coristuvachova skin zapisa na koji se prijavite u sustav na Linux računalu odgovorna za majčin jedinstveni atribut uidNumber. Konkretno, ono što dobiva za uidNumber nije trivijalno, ali može biti jedinstveno za sve nizove koji se mogu prijaviti na Linux računalo.
- Linux root je također odgovoran za ID promotivne grupe, tako da root Active Directory koji se prijavljuje na Linux računalo također ovisi o vrijednosti atributa gidNumber. Tse značenje može biti jedinstveno usred koristuvachiva, ali može jedinstveno označiti grupu.
- Active Directory skingroup odgovorna je za jedinstvenu vrijednost za svoj atribut gidNumber. Strogo govoreći, za grupe u cjelini, normalno je da nema vrijednosti za atribut gidNumber, ali ako je Winbind autentičan, on će specificirati da je grupa kože do točke u kojoj je vrijednost gidNumber jedinstvena. Imovirno, lakše je jednostavno prijeći na očitost grupe skinova jedinstvene vrijednosti gidNumber.
- Winbind provjerava da li će grupa oznaka kože koja je rebrandirana u Active Directory biti član grupe oznaka domene, tako da winbind također provjerava može li grupa oznaka domene imati vrijednost za svoj atribut gidNumber.
A zašto ne naručite?
Instaliranje Linux računala za autentifikaciju uz pomoć Active Directory i kroz Winbind je netrivijalan projekt. Koristim masu elemenata, kako je potrebno poboljšati, te neosobne govore, jer je moguće pogrešno izgovoriti. Činjenica da se skin verzija Linuxa i Sambe lako može natjecati u svojim sposobnostima ne olakšava stvari. Ale ísnuê nizak dzherel, scho ístat íinformatsiyu pro one scho vídbuvaêtsya.
Prvo, ovo je datoteka dnevnika sustava Linux koja se čuva u /var/log/messages. Samba će u datoteku staviti informacije o vrijednostima potpodjela, kao što je naziv datoteke ili je postavka loša. Krim datoteka u zapisnik sustava, vlastite datoteke u zapisnik za Sambu i Winbind. Možete ga pronaći u /var/log/samba, i smrdi da corystuvache daje dodatne informacije.
Izvještavanje (i općenito) izvješćivanje o zapisnicima koje vidi Winbind može se poboljšati promjenom skripte za pokretanje kako bi se postavilo isto opterećenje. Uredite skriptu ljuske /etc/init.d/winbind i dodajte "-d 5" naredbi winbind. Da biste povećali stopu plaće na 5 (pretpostavimo vrijednost od 1 do 10), tako da možete postaviti winbind za stvaranje detaljnijih informacija o pomilovanju.
Kako bi Winbind komunicirao s kontrolerom domene, moguće je pisati pakete pomoću dodatnog uslužnog programa kao što je Netmon 3.1. Dopustite mi da analiziram što sam Winbind radi. Također možete snimiti Windows sigurnosni zapisnik na kontroleru domene u koji će se unositi testovi provjere autentičnosti.
Sada, otkad je počelo djelovati, što možemo učiniti?
Sada kada je sve dobro napravljeno, sada se možete prijaviti na Linux sustave koristeći krinku podataka koji su podržani u Active Directoryju. Ova veličanstvenost usporediva je s upravljanjem lokalnom autentifikacijom na Linux računalu i s nesigurnim sustavima kao što je NIS. To vam omogućuje da centralizirate upravljanje korisnicama u jednoj pohrani zapisa Active Directory.
Ale, nema ovdje takvih govora, kao da su mogli razraditi rješenje istine. U prvom koraku, otrimanny tekhníchní n_dtrimki ovdje - sretno na desnoj strani. Mnoge Linux organizacije uopće ne znaju za Active Directory, ali podsjetnik, kao što možete vidjeti u svjetlu Linuxa, možete potpuno ležati nakon što pročitate svoj uvod i svoje današnje raspoloženje.
Osim toga, Samba paket ne može se prenijeti ili zamutiti. Zbog prisutnosti zapisa u oblaku u Linuxu, s nekim naznakama izvornih identifikatora, potrebno je ručno preispitati da spremaju svoje UID identifikatore prije nego što ih prenesu u Active Directory.
Nareshti, jedan od najvažnijih Active Directory programa, grupna politika, nije dostupan od Sambe, ali na tome treba poraditi. Iako se Linux sustav može popeti na Active Directory za pomoć od Sambe, ne možete se petljati s grupnim pravilima.
Rješenja za dobavljače trećih strana
Ponovno provjeravanje Linux računala za pomoć s Active Directoryjem očito je na desnoj strani, ali stvaranje moćnog rješenja za pomoć sa Sambom Winbind, uključujući i Samba Winbind, nije samo noćna mora. Čitatelji mogu pomisliti da su neki od krivih post-zaposlenika PZ-a krivi što su glumili više oprosta od pobjedničkih odluka, a smrad čini razliku.
Neki od post-majstora sigurnosti komercijalnog softvera olakšali su instalaciju drugačije verzije onoga što sam pokazao u ovom članku. Nabavite kod i prenosivost za mnoge popularne verzije Linuxa, UNIX-a i Apple Macintosha, kao i podršku za upravljanje Linux računalima za dodatnu grupnu politiku.
Chotiri tvrtke: Centrify, Likewise Software, Quest Software i Symark. Svi poštanski voditelji pružaju sličnu funkcionalnost, uključujući zaštitu grupnih politika u širokom rasponu izdanja Linuxa. Likewise Software je nedavno objavio kod za svoju implementaciju, nazvan Likewise Open, u pokušaju da ukloni komponentu grupne politike iz komercijalnog proizvoda. Isto tako Open će biti dostupan za mnoga glavna izdanja Linuxa. (Otkrijte mi tajnu: dok sam pisao ovaj članak, Quest Software je zabranio moju tvrtku NetPro.)
Što mogu učiniti da kontroliram sustav provjere autentičnosti koristeći Samba i Winbind, ako su dostupne komercijalne opcije? Čak i ako proračun ne prebacuje novce na programe integracije, korištenje Sambe s yogo kodom može biti besplatno. Time oduzimate i cijeli vanjski kod, tako da možete biti privilegirana osoba. Ali prijenos temeljnih Linux računala i temeljnih UID-ova je težak problem.
S druge strane, bit će potrebno sat vremena za implementaciju te instalacije, ili ako trebate Linux računalo, bit će potrebno prenijeti ga, ili skratiti faktor snage, tada bi poznavanje komercijalnih rješenja moglo biti razumno. U trenucima potrebe za upravljanjem grupnom politikom, nema alternative.
Ali bilo rješenje kako integrirati Linux sustave s Active Directoryjem, uskoro će se isplatiti krenuti u popravak velikog broja kosih zapisa o coristuvachivu, poboljšati sigurnost sustava i nadamo se da će biti jedinstveno blago dokaza za revizija. Í tse dosit obґruntuvaní uzrokuje, schob pokušajte zastosuvati yogo.
Jill Kirkpatrick- Sljedeća >
Dvofaktorska provjera autentičnosti (2FA) je ista metoda provjere autentičnosti koja se koristi za ulazak u javni zapis ili dodavanje fragmenta informacija. Crimium kombinacija naziva lozinke, 2FA vimag, jeb lozinku unosom dodatnih podataka, kao što je jednokratna lozinka (OTP, na primjer, šesteroznamenkasti kod za pretvorbu).
Općenito, 2FA vam omogućuje unos različitih vrsta informacija:
- Schos, što koristuvach zna (na primjer, lozinka)
- Dakle, što mogu učiniti (na primjer, potvrdni kod, generiran posebnim dodatkom - autentifikatorom).
2FA je vrsta višefaktorske provjere autentičnosti (MFA). MFA metoda je dodatak onome što koristuvač zna, a onome što može, možemo pomoći, chim vino. Tse biometrijski podaci: tanko prepoznavanje zvukova prstiju vašeg glasa.
2FA pomaže u zaštiti procesa autentifikacije za prvu uslugu, ili ću je dodati: unesite lozinku za napadača, napadaču će također trebati sigurnosni kod, a za koga je potreban pristup ekstenziji u kojoj postoji autentifikator program. Iz tog razloga, veliki broj online servisa pokazuje mogućnost omogućavanja 2FA za javnu evidenciju coristuvach-a, radi promicanja sigurnosti računa na razini autentifikacije.
Ovaj priručnik će vam reći kako postaviti 2FA iza modula Google PAM za administratore bez root-a u Ubuntu 18.04. Ako vam ne treba 2FA za root root, i dalje možete pristupiti svom računalu sa svojim root računom. Upute za dovršavanje priručnika, tako da ih možete prenijeti i na poslužitelje i na podne instalacije, lokalne i udaljene.
Wimogi
- Ubuntu 18.04 poslužitelj ili pristojnije radno okruženje. Ubuntu 18.04 poslužitelj treba nadograditi na .
- Authenticator instaliran na mobilnom uređaju (na primjer, Google Authenticator ili Authy). Uz ovu pomoć možete sigurno skenirati QR kod.
1: Instalacija Google PAM modula
Da biste postavili 2FA na Ubuntu 18.04, morate instalirati Google PAM modul za Linux. Pluggable Authentication Module (PAM) je mehanizam za provjeru autentičnosti Linuxa. Google PAM modul omogućuje vašem računu da prođe 2FA autentifikaciju, koju generira Google OTP kod.
Vidite sustav kao brzu sudo provjeru, koju ste radili tijekom prvog sata postavljanja pošte poslužitelja:
ssh [e-mail zaštićen] _ip_poslužitelja
Ažurirajte indeks paketa Ubuntu kako biste zadržali preostalu verziju autentifikatora:
sudo apt-dobi ažuriranje
Nakon ažuriranja repozitorija, instalirajte preostalu verziju PAM modula:
sudo apt-get install libpam-google-authenticator
Ovo je mali paket bez depozita, tako da će instalacija potrajati nekoliko sekundi. Sada imamo 2FA za sudo koristuvach.
Korak 2: Postavite dvofaktorsku autentifikaciju
Sada, ako ste instalirali PAM modul, pokrenite yogu za generiranje QR koda za koristuvach. Ne trebate kreirati kod, ali ne trebate 2FA na Ubuntu, osim ako ne omogućite njen.
Pokrenite naredbu google-authenticator da pokrenete i instalirate PAM modul:
google autentifikator
Naredba će od vas tražiti broj hrane i izbor konfiguracije. Vratite ga, što god želite, pa će se tokeni razmjenjivati sat vremena. Tokeni za autentifikaciju, razmijenjeni po satu, isteći će nakon jednog intervala (postati 30 sekundi za više sustava za zaključavanje). Tokeni s razmijenjenim satima su sigurni, niži tokeni bez takvih razmjena, a više implementacija 2FA su pobjedničke. Ovdje možete odabrati bilo koju opciju, ali preporučujemo da odaberete Da i osvojite tokene za provjeru autentičnosti po satu:
Želite li da se tokeni za provjeru autentičnosti temelje na vremenu (y/n) y
Vídpovívshi y on tse pitanní, víbachit kílka kílka vívenníní u konzoli:
- QR-kod: ovaj kod koji treba skenirati za dodatni program za provjeru autentičnosti. Nakon što ste skenirali yogu, program će stvoriti novi OTP kože na 30 sekundi.
- Tajni ključ: Ovo je alternativni način postavljanja programa za provjeru autentičnosti. Ako koristite program čarobnjaka, ako ne prihvaćate QR skeniranje, možete unijeti tajni ključ za postavljanje autentifikatora.
- Verifikacijski kod: prvi šesteroznamenkasti kod koji generira određeni QR kod.
- Šifra za nuždu. Ovi jednokratni tokeni (oni se također nazivaju rezervnim kodovima), omogućuju vam prolazak 2FA autentifikacije, tako da koristite privitak autentifikatora. Spremite svoj qi kod na sljedeće mjesto, tako da će blokiranje oblikovnog zapisa biti deblokirano.
Nakon što ste prilagodili svoj program za autentifikaciju i spremili rezervni kod na sigurno mjesto, program će vas pitati želite li preuzeti konfiguracijsku datoteku. Ako dobijete n, morat ćete ponovno pokrenuti program za nadogradnju. Unesite y da biste spremili promjenu i nastavili:
Želite li da ažuriram vašu datoteku "~/.google_authenticator" (y/n) y
Tada će vas program pitati želite li više puta unijeti drugi kod za autentifikaciju. Za zaključavanje, skin code možete okrenuti samo jednom, sve dok nije prošlo 30 sekundi od kreiranja. Ovo je najsigurniji izbor, do onog koji pobjeđuje u napadima ponovljene potvrde od napadača, kao da je moguće oduzeti vaš potvrdni kod. Stoga je bolje ograditi vikoristannye kodove više puta. Dajte dokaz y, tako da možete prikupiti bagatarasu vikoristan istog tokena:
Želite li zabraniti višestruku upotrebu iste provjere autentičnosti
znak? Čiji popis znate da se protežu od 30-ih, ali raste
vaše promjene u objašnjenju ili da vam pomognu da dodate ljudski napad (y/n) y
Zatim trebate reći, što god želite, da su tokeni za autentifikaciju primljeni sat vremena nakon isteka njihovog velikog mandata. Cody je već osjetljiv do sat vremena, taj smrad možda neće biti spratsyuvat jer vaše gospodarske zgrade nisu sinkronizirane. Ova opcija vam omogućuje da zaobiđete ovaj problem povećanjem sata provjere kodova za promocije, tako da će kodovi za provjeru autentičnosti biti prihvaćeni u bilo kojem trenutku (na primjer, vaša proširenja nisu sinkronizirana). Najbolje je prijeći na činjenicu da je sat na svim vašim proširenjima za sinkronizaciju, na to možete malo smanjiti sigurnost sustava. Navedite dokaz n o lancu snage kako ne biste precijenili izraz di token:
Prema zadanim postavkama, tokeni su dobri za 30 sekundi i za kompenzaciju
Mogućnost vremenskog odstupanja između klijenta i poslužitelja, što može biti dodatno
token prije i poslije trenutnog vremena. Ako imate problema sa siromašnima
vremensku sinkronizaciju, možete promijeniti prozor iz zadanog
veličine od 1:30 min do oko 4 min. Želite li to učiniti (y/n) n
Ostatak hrane: želite li omogućiti razmjenu broja uzoraka za ulazak u sustav. Nemojte dopustiti više od tri nedavna pokušaja prijave u sustav tijekom 30 sekundi kako biste poboljšali sigurnost sustava. Povećajte tse obezhennya, vídpovívshi y:
Ako računalo na koje se prijavljujete nije zaštićeno od grube sile
Pokušaji prijave, možete osigurati modul za provjeru autentičnosti.
Prema zadanim postavkama, napadači bi trebali biti ograničeni na 3 pokušaja prijave svakih 30 sekundi.
Želite li omogućiti ograničavanje brzine (y/n) y
Implementirali smo i generirali 2FA kod iza pomoći PAM modula. Sada morate omogućiti 2FA u svom okruženju.
Korak 3: Aktivacija 2FA u Ubuntu
Google PAM modul sada generira 2FA kodiranje za autentifikaciju, ali Ubuntu sustav još ne zna što hakirati kod u procesu provjere autentičnosti. U kojoj fazi je potrebno ažurirati Ubuntu konfiguraciju kako bi se podrška 2FA tokena prilagodila dodatku izvornoj autentifikaciji.
Ovdje postoje dva puta:
- Možete koristiti dvofaktornu autentifikaciju s vremena na vrijeme ako se prijavite na sustav i jednom ako dobijete sudo prava.
- Možete koristiti 2FA manje od sat vremena za prijavu u sustav, ili kada dobijete sudo prava, trebat će vam samo lozinka za koristuvach.
Prva opcija će biti idealna za divlje medije, de bazhano zaštititi da li je dií̈, što znači sudo privilegije. Još jedan praktični pristup za lokalni radni stol, de vie je jedina jezgra sustava.
Bilješka: Ako omogućite 2FA na udaljenom stroju, prije nego što odbijete pristup putem SSH-a, morate pročitati dva i tri koraka iz priručnika, prvo nastaviti s robotom. Daljnji detalji u ovom priručniku da biste došli do svih instalacija Ubuntua, ali u sredini će zahtijevati dodatna podešavanja kako bi SSH usluga znala za 2FA.
Ako ne koristite SSH za pristup prije instaliranja Ubuntua, možete jednostavno prijeći na sljedeći dio ovog priručnika.
Omogućite 2FA prilikom prijave i dodijelite sudo dopuštenja
Kako bi sustav osvojio 2FA na sat vremena za prijavu i daljnje zahtjeve za privilegije, trebate urediti /etc/pam.d/common-auth datoteku, dodajući redak na kraj ispravne datoteke.
Datoteka common-auth zastosovuetsya prije svih mehanizama provjere autentičnosti u sustavu, bez obzira na medij. Vín također zastosovuêtsya prije zatochiv authentifikatsíí̈, yakí vídbuyutsya nakon ulaska koristuvach u sustav, na primjer, sat vremena nakon zahtjeva za sudo prava, ako je novi paket instaliran u terminalu.
Otvorena datoteka:
sudo nano /etc/pam.d/common-auth
Dodajte na kraj datoteke:
...
# i ovdje je više modula po paketu (blok "Dodatni")
potrebna sesija pam_unix.so
Ovaj red uključuje 2FA podršku u Ubuntu sustavu provjere autentičnosti za jednosatnu prijavu putem Google PAM modula. Opcija nullok omogućuje legitimnim vlasnicima računa pristup sustavu, pod pretpostavkom da nisu postavili 2FA autentifikaciju za svoj iskosni račun. Drugim riječima, koristuvanti koji su postavili 2FA bit će krivi za unos autentifikacijskog koda kada se prijave, u tom satu, ako nisu pokrenuli naredbu google-authenticator, mogu se prijaviti u sustav za svoje standardne podatke u oblaku, smrdljivi dokovi neće uspostaviti 2FA.
Spremite i zatvorite datoteku.
Zatražite 2FA manje prilikom prijave
Ako želite da se 2FA omogući samo kada se prijavite na sredinu radne površine, trebate urediti konfiguracijsku datoteku desktop managera, što ćete osvojiti. Naziv konfiguracijske datoteke naziva se imenom sredine radne tablice. Na primjer, konfiguracijska datoteka za gdm (Ubuntu zaključavanje, počevši od Ubuntu 16.04) je /etc/pam.d/gdm.
Na poslužitelju bez glave (poput virtualnog poslužitelja), morat ćete urediti datoteku /etc/pam.d/common-session. Otvorite zadanu datoteku u svom okruženju:
sudo nano /etc/pam.d/common-session
Dodajte video redak na kraj datoteke:
#
# /etc/pam.d/common-session - moduli povezani sa sesijom zajednički za sve usluge
#
...
# # i ovdje je više modula po paketu (blok "Dodatni")
potrebna sesija pam_unix.so
sesija neobavezno pam_systemd.so
# kraj konfiguracije pam-auth-update
potrebno je auth pam_google_authenticator.so nullok
Sada Ubuntu vimagatme 2FA, ako se povežete sa sustavom putem naredbenog retka (lokalno, daljinski putem SSH), nećete moći izvoditi naredbe iz sudoa.
Podesili ste Ubuntu da podržava 2FA. Sada je vrijeme da protestirate protiv konfiguracije i ponovno konfigurirate da ćete, kada se prijavite na svoj Ubuntu sustav, od vas biti zatraženo da unesete sigurnosni kod.
Korak 4: Testiranje dvofaktorske provjere autentičnosti
Prethodno ste kreirali 2FA za podudaranje kodova kože u 30 sekundi. Sada pokušajte prijeći na svoje Ubuntu okruženje.
Potražite izvan sustava i ponovno pogledajte u mom Ubuntu okruženju:
ssh [e-mail zaštićen] _ip_poslužitelja
Ako potvrđujete autentifikaciju temeljenu na lozinki, od vas će se tražiti da unesete lozinku za vaučer:
Bilješka: Ako na udaljenom poslužitelju osvojite provjeru autentičnosti za certifikate, lozinka se neće tražiti. Ključ će biti poslan i prihvaćen automatski. Morat ćete unijeti samo potvrdni kod.
Unesite lozinku, nakon čega će se od vas tražiti da unesete 2FA kod:
Verifikacijski kod:
Nakon toga, odnesite ga u sustav:
[e-mail zaštićen] _ip_poslužitelja: ~#
Budući da je 2FA omogućen samo za prijavu, više nećete morati unositi 2FA potvrdni kod dok sesija ne završi ili nećete biti prijavljeni ručno.
Budući da ste omogućili 2FA putem common-auth datoteke, od vas će se tražiti da učinite isto sa sudo privilegijama kada koristite dermalni pristup:
[e-mail zaštićen] _ip_poslužitelja: ~# sudo -s
sudo lozinka za 8host:
Verifikacijski kod:
[e-mail zaštićen] _ip_poslužitelja:
Zabrljali ste da 2FA konfiguracija radi ispravno. Kao da je nešto pošlo po zlu i da sustav nije tražio kod za potvrdu, vratite se na treću particiju kernela i ponovno provjerite jeste li pročitali ispravnu Ubuntu autentifikacijsku datoteku.
5: Spriječite blokiranje 2FA
Ako trebate potrošiti bilo koju sigurnost svoje mobilne aplikacije, važno je proslijediti metodu sigurnosne kopije za vraćanje pristupa svom fizičkom računu uz pomoć 2FA. Ako ste u prošlosti instalirali 2FA, imate nekoliko opcija za vraćanje pristupa nakon blokiranja:
- Spremite sigurnosnu kopiju tajnih konfiguracijskih kodova na sigurno mjesto. Možete to učiniti ručno ili koristiti alate za provjeru autentičnosti kao što je Authy za sigurnosnu kopiju koda.
- Spremite kod obnove na sigurno mjesto izvan sredine sredine s podrškom za 2FA, kojoj možete dobiti pristup različitim potrebama.
Budući da nemate pristup parametrima sigurnosne kopije, možete pokušati vratiti pristup lokalnom mediju ili udaljenom poslužitelju s podrškom za 2FA na drugačiji način.
6: Vratite pristup lokalnim medijima (izborno)
Sve dok imate fizički pristup automobilu, možete ući u način ažuriranja da biste onemogućili 2FA. Revizijski način je opći tip (sličan istom kao i vykonannya) u Linuxu, koji je pobjednički za vykonanny administrativne zadatke. Morat ćete ponoviti postavke u GRUB-u da biste došli do načina ažuriranja.
Da biste dobili pristup GRUB-u, ponovno pokrenite računalo:
Kada se pojavi GRUB izbornik, prebacite se da biste vidjeli unos Ubuntu. Razlog za instalaciju 18.04 je promocija, ali se može popraviti pa ste ga nakon instalacije ručno promijenili.
Zatim pritisnite tipku e na tipkovnici kako biste uredili GRUB konfiguraciju prije nego što napadnete vaš sustav.
Idite na kraj datoteke i pronađite redak koji počinje s linuxom i završava s $vt_handoff. Skočite na kraj retka i dodajte systemd.unit=rescue.target. Predomislite se ako želite isprobati između $vt_handoff i systemd.unit=rescue.target. Želite li dopustiti Ubuntu stroju da uđe u način inovacije.
Nakon što izvršite promjenu, spremite datoteku za dodatnu kombinaciju tipki Ctrl + X. Pritisnite tipku Enter za prijelaz na način ažuriranja.
Naslonivši se na redak za naredbe, otvorite konfiguracijsku datoteku Google Authenticator, koja se nalazi u početnom direktoriju blokirane koristi.
nano /home/8host/.google-authenticator
Prvi red ove datoteke je tajni ključ koristuvacha, koji je pobjednički za postavljanje autentifikatora.
Sada imate dvije opcije:
- Možete kopirati tajni ključ i postaviti autentifikator.
- Ako želite početi s čistim arkush-om, možete redistribuirati datoteku ~/.google-authenticator kako biste onemogućili 2FA za taj koristuvach. Nakon što se ponovno prijavite, možete ponovno konfigurirati 2FA i dohvatiti novi tajni ključ.
U svakom slučaju, možete vratiti sustav nakon blokiranja 2FA u lokalnom okruženju uz pomoć hvatanja GRUB-a. Dali mi rozpovimo, kako otvoriti pristup blokiranoj udaljenoj sredini.
7: Pojačavanje pristupa udaljenom centru (opcionalno)
Ako je vaš sudoer izgled blokiran s udaljene sredine, možete ga uključiti u isto vrijeme ili ponovno konfigurirati 2FA uz pomoć root-a.
Pogled na sustav kao root root:
ssh [e-mail zaštićen] _ip_poslužitelja
Nakon prijave, otvorite datoteku Google Authenticator koja se nalazi u početnom imeniku blokiranog korisnika:
sudo nano /home/8host/.google_authenticator
Prvi red ove datoteke je tajni ključ koristuvach, koji vam je potreban za postavljanje autentifikatora.
Sada imate dva puta:
- Ako želite ponovno konfigurirati nove ili izbrisane privitke, možete promijeniti tajni ključ kako biste ponovno konfigurirali softver za autentifikaciju.
- Ako želite započeti s čistog lista, možete ponovno posjetiti datoteku /home/8host/.google_authenticator da biste onemogućili 2FA za taj host. Nakon prijave pomoću sudoa, možete ponovno konfigurirati 2FA i dohvatiti novi tajni ključ.
Za bilo koju od ovih opcija, možete promijeniti nakon zamjenskog blokiranja 2FA, zamjenski izgled korijenskog zapisa.
Visnovok
Ovim priručnikom ste popravili 2FA na Ubuntu 18.04 stroju. Dvofaktorska autentifikacija osigurava dodatne troškove zaštite javnog zapisa sustava u cjelini. Ako koristite standardne podatke u oblaku, također ćete morati unijeti dodatni kontrolni kod za prijavu. Opljačkati nemogućnost uzimanja neovlaštenog pristupa vašem oblíkovog zapisu, tako da zlotvor može ući u vaše oblíkoví podatke.
Oznake: ,- Instalirana verzija ROSA Enterprise Linux Server ne niža od 6.8 u konfiguraciji "Standard ROSA Server".
- Pristup spremištu
- Priloženi Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC odjednom iz čitača. Na prilogu je kriva potvrda
Da biste uklonili pristup spremištu, uklonite ključ iz usluge podrške i izvršite sljedeću naredbu s administratorskim pravima:
jeka<ключ>> /etc/rosa-support-id-server
Zastosovníst
Upute opisuju instalaciju i prilagodbu uslužnih programa ROSA Enterprise Linux poslužitelja potrebnih za provjeru autentičnosti s Rutoken ECP pobjedama. Kundak ima AMD64 arhitekturu; za 32-bitni sustav sve će biti isto do naziva mapa.
Nakon što se postupak provjere autentičnosti za Rutoken ECP uvede u nastavku, to će postati moguće, ali neće biti obvezujuće.
Instalirane komponente
Instalirajte potrebne i uklonite konfliktne uslužne programe (zahtijevaju administratorska prava):
Su yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard yum ukloni coolkey
Instalirajte biblioteku PKCS#11 za Rutoken ECP (važno je instalirati biblioteku nakon instaliranja uslužnih programa):
- Idite na web stranicu Rutoken: https://www.rutoken.ru/support/download/pkcs/.
- Idite na karticu "Za GNU/Linux jezgre" i kliknite na "rtPKCS11ecp knjižnica za GNU/Linux RPM 64-bit (x64)".
- Zatražite i instalirajte paket (potrebna je administratorska lozinka).
Nalashtuvannya
Izgradit ću ponovnu provjeru u sustavu i vidljivost na novim traženim informacijama
- Trčanje kom(zahtijeva administratorska prava):
- Dovršite osnovni proces kom, ovako boov:
U ovom trenutku, žeton se može umetnuti u različite ruže.
- wikonaite:
- Otvorite karticu ili otvorite terminal i unesite naredbu u nju:
Vinogradi imaju vidljive parametre i naziv objekta. Primjer vizije prikazan je u nastavku.
- Poništite prisutnost potrebnih informacija na tokenu za dodatnu uvredljivu naredbu (potrebna lozinka je vrsta tokena):
Wisnovku je odgovoran za objekt certifikata. Takvi parametri, kao što su ID i oznaka, mogu se mijenjati kada se lebdi niže.
Dodavanje potvrde o povjerenju
- Napravite bazu podataka pouzdanih certifikata (zahtijeva administratorska prava):
- Kopirajte certifikat iz tokena (potrebna lozinka tokena. ID parametar se može preuzeti iz izlaza naredbe pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l):
- Dodajte certifikat povjereniku (zahtijeva administratorska prava):
Promjena konfiguracijskih datoteka
Za promjenu konfiguracijskih datoteka potrebna su vam administratorska prava.
pam_pkcs11.conf
- Napravite (na primjer, na radnoj površini) tekstualnu datoteku pam_pkcs11.conf sa sljedećim umjesto toga:
- Premjestite datoteku u direktorij /etc/pam_pkcs11/:
sustav-auth
- Spojite modul na PAM autorizacijski sustav:
- Otvorite datoteku system-auth u uređivaču nano ili mcedit:
- Dodajte u sljedeći red:
- spremiti datoteku (
predmet_mapiranje
- Slijedite naredbe:
- Kopirajte gornju naredbu iz datoteke /etc/pam_pkcs11/subject_mapping i naznačite kojem predmetu certifikat pripada.
Može se vidjeti niz konfiguracija:
Provjera naredbe pkcs11_inspect -><имя_пользователя>
Ponovna provjera autentičnosti putem konzole
- Otvorite novi prozor ili karticu konzole.
- Udarite naredbu su<имя_пользователя>(im'ya koristuvacha je navedena u subjekt_mapping).
Primjer vizije:
Nakon ponovne provjere autentifikacije putem konzole, možete očistiti pojačani način rada. Za to uzmite riječ debug iz datoteke /etc/pam.d/sysauth u danom retku i stavite debug false umjesto true iz datoteke /etc/pam_pkcs11/pam_pkcs11.conf.
Zaključavanje ekrana
- Otvorite datoteku pkcs11_eventmgr za uređivanje (zahtijeva administratorska prava):
Nakon uređivanja konfiguracijska datoteka može izgledati ovako:
Pkcs11_eventmgr (# Pokreni u pozadini? Podrazumijeva debug=false ako je true daemon = true; # prikaži poruke za otklanjanje pogrešaka? debug = false; # vrijeme prozivanja u sekundama polling_time = 1; # vrijeme isteka u sekundama # zadano = 0 (bez isteka) exp 0 ; # pkcs11 modul za korištenje pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # popis događaja i radnji # Kartica je umetnuta događaj card_insert # kraj radnje sekvence # quit: end program on_error = ignore; ) # Kartica je uklonjena event card_remove ( on_error = ignore; action = "gdmflexiserver"; ) # Previše vremena je uklonjeno događaj expire_time ( on_error = ignore; action = "/bin /false"; ) )
- Dodajte uslužni program pkcs11_eventmgr u auto-akviziciji. Za koji, uredite datoteku .bash_profile dopisnika radi provjere autentičnosti:
- Završite datoteku redom koji pokrenete pkcs11_eventmgr.
Butt file.bash_profile nakon uređivanja:
Prilikom odabira provjere autentičnosti za dodatni token, zaslon izgleda otprilike ovako.
Od 2020. budućnost enkripcije za GOST R 34.10-2001 trebala bi se temeljiti na ogradi, a također su sve organizacije, dok su u interakciji s državnim strukturama, zbunjene terminologijom koja podržava novi standard - 2012. do godine. Ako radite u jednom od njih, nemojte prolaziti: u ovim člancima ćemo govoriti o tome kako riješiti problem, koristeći CentOS 7 poslužitelj i CryptoPro JCP paket.
Ako već znate o svemu, onda je malo povijesnih dokaza.
Godine 1994. Federalna sigurnosna služba (FSB) uvela je niske standarde i pozive na zaštitu razmjene dokumenata između organizacija i drugih sudionika u ovom procesu. Jedan od takvih sigurnosnih pristupa postao je elektronički digitalni potpis dokumenata, a jedan od standarda je GOST R 34.10-94, koji opisuje algoritam za formiranje i ponovnu provjeru elektroničkog digitalnog potpisa. Usvojeno i uvedeno od strane počasnog Derzhstandarta Rusije od 23. siječnja 1994., broj 154, propraćeno do 2001. godine.
Za promjenu smo dobili uvođenje GOST R 34.10-2001 - standardna poboljšanja, proširenja kako bi se osigurala veća stabilnost algoritma. Ale sat ne stajati na misiji, algoritmi i metode kripto-zaštite se mijenjaju, a za jedanaest godina GOST R 34.10-2001 mijenja se u GOST R 34.10-2012.
U novom standardu, prva varijanta se nije mogla mijenjati sve dok parametri ne postanu nepromijenjeni. Vrijednost tajnog ključa trebala bi biti blizu 256 bita, ali je prenesena u hash funkciju s maksimalnim hash kodom od 256 ili 512 bita. Glavna stvar je uvođenje novog standarda - opcije s dodatnim parametrima i shemama, uključujući hasheve za standardni GOST R 34.11-2012 "Stribog".
INFO
Stribog je bog drevnih riječi, koji se zalaže za vjetrove, čekajte sve što se pokaže na otvorenom prostoru. Moguće, i sumorne tehnologije. Za izvješće o ovim šiframa, pročitajte članke "" i "".
U žestokoj sudbini 2014. godine, FSB je najavio početak prijelaza na usvajanje novog nacionalnog standarda GOST R 34.10-2012 kako bi elektronički potpis za informacije, kako se ne bi osvetio informacije, uspostavio državnu tajnu. Imamo dokument pod brojem 149/7/1/3-58 od 31. rujna 2014. „O postupku prijelaza na izbor novih ECP standarda i funkciji raspršivanja“, u kojem smo instalirali takvo pomagalo.
- Písl 31 grudi 2013 ROCKITI STIFIFIKATSIUY SVIRAO ELEKTRONIČKU PIDPISA na Vídpovídníst Vimogam do Zavobiv Elektrona Pídpisu, rad 27.12.2011 ROK №796, Yakscho Usich pikado ne zaštićen od strane RealSTA-a Vídpovídník Vídpisu.
- Dana 31. ožujka 2018., datum podnošenja ograde bio je GOST R 34.10-2001 za formiranje elektroničkog potpisa.
Ministarstvo komunikacija izradilo je plan prelaska na standard (PDF). U praksi se pokazalo da nije sve tako jednostavno, a prijelaz se dogodio do 31. prosinca 2019. godine. Jer tako.
- Puno suverenih i općinskih vlasti nije spremno prijeći na novi standard elektroničkog potpisa GOST-2012 putem dnevne pretplate na rijeci PZ.
- Za izdavanje potvrde o novom znaku potrebno je, naravno, imati novi GOST, taj certifikat Glavnog centra, za potvrdu formacija sa standardima GOST-2012. Posvidčuvalni centar skinuo je jogu s utabanih staza rocka 2018. Za izdavanje potvrda za sve koristuvače bit će potrebno dodatnih sat vremena.
U isto vrijeme, postoje dva standarda za kripto-protektor za rad ECP-a, a ale tim, koji koristi GOST-2001, termin je neophodan za robot. Zima je, kako se čini, blizu, ali to znači da nam je provjera niska s provedbom standarda GOST-2012.
Reći ću vam kako implementirati FSB zasib SKZI certifikat (CryptoPro JCP) na Linux poslužitelju pod Java JDK ceremonijama. Do govora, kao ty dosí vykoristovuêsh DERZHSTANDART-2001, na mjestu CryptoPro ê chudova, raja tobi íí̈ čitati, nećemo.
Sva dokumentacija između sudionika razmjene podliježe principu CMEV (sustav inter-elektroničke interoperabilnosti). Dodatak može biti sudionik u takvom sustavu, ili ne mora biti svjestan principa razmjene dokumenata ni na koji način se ne mijenja. Radi jednostavnosti, nacrtao sam mali dijagram.
Cijene
U pravilu objavite licencu za softversko rješenje. CryptoPro JCP nije jeftin, a ako jedna radna stanica košta 1200 rubalja, onda poslužiteljske licence koštaju puno više - blizu 30.000 za jezgru kože (ili dvije Intelove procesorske jezgre s omogućenim Hyper Threading).
Instaliran i prilagođen kripto provajder
U mom slučaju radim na virtualnom stroju s CentOS-om 7, ali nemam problema s odabirom hardverskog rješenja za tu Linux distribuciju. Usí díí̈ da će timovi i sami biti takvi.
Stvaramo lokalni coristuvacha, píd yakim pratsyuvatime PZ, scho vykoristovuê podpis dokumentív.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash korisnik; korisnik sudo grep /etc/passwd
Ispravno instalirajte Java JDK. Vikachuemo potreban distribucijski kit.
$wget --header "Cookie: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Raspakirajte arhive i provjerite je li Java mapa spremna za kopiranje.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Kopirajte mapu u distribuciju za aplikacijski softver. Igrat ću vikorista /opt.
$ sudo cp -rf jdk1.8.0_191 /opt/
Provjerite što je ispravno kopirano. Kako je potrebno, promijenite vlasnika mape u root.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R korijen: korijen /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Napisat ćemo promjene Java JDK izoštrača za sve brave.
$ sudo vi /etc/profile.d/oracle.sh
Datoteka je napisana sljedeće:
Izvoz JAVA_HOME=/opt/jdk1.8.0_191 izvoz JRE_HOME=/opt/jdk1.8.0_191/jre export PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre/
Budući da na poslužitelju postoji nekoliko verzija Java JDK, potrebno je registrirati alternative za novu verziju.
$ sudo alternative --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 2 $ sudo alternative --install /usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2 $ sudo alternative --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ sudo alternative --set jar /opt/jdk1.8.0_181/bin/jar $ sudo alternative --set jar /opt/jdk1.8.0_191/bin/jar $ sudo alternative --set javac /opt/jdk1.8.0_191/bin/javac $ sudo alternative --config java
Na izborniku odaberite opciju 2 (ili onu koja će dovesti do novije verzije Jave). Nemojte zaboraviti ispraviti dopuštenja za JRE systemPrefs.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Provjerite instaliranu verziju Jave.
$ java-verzija
java verzija "1.8.0_191"
Java(TM) SE Runtime Environment (izrada 1.8.0_191-b12)
Java HotSpot(TM) 64-bitni poslužitelj VM (izrada 25.191-b12, mješoviti način rada)
Kopirajte mapu s CryptoPro JCP distribucijskim kompletom iz distribucije za aplikacijski softver.
$ sudo cp -rf jcp-2.0.40035 /opt/
Provjereno je da je sve ispravno kopirano.
$ ls -al /opt/jcp-2.0.40035/
Vidimo prava za pokretanje skripti.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Provjeravamo vlasnika da prava na mapu mogu biti root. Idemo k njoj.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
Kako biste izbjegli probleme tijekom instalacije, provjerite broj jezgri na procesoru i provjerite licencu. Možete odrediti broj jezgri naredbom nproc.
Prijeđimo na instalaciju JCP kripto providera. Pod satom instalacije, morat ćete biti spojeni na nisko napajanje.
Promocija dostupna samo članovima
Opcija 1. Dođite na "stranicu" da pročitate sve materijale na stranici
Članstvo sa zajednički dodijeljenim terminom omogućuje vam pristup svim materijalima Hackera, kako biste povećali poseban akumulativni popust i omogućili vam da prikupite profesionalnu ocjenu Xakep Score!
