„Windows“ jau seniai buvo tiekiama rinkiniais su integruota tinklelio autentifikavimo ir vienkartinio prisijungimo sistema. Iki Windows 2000 Windows NT domeno valdikliai teikė Windows klientams autentifikavimo paslaugas naudodami NTLM protokolą. Nors NTLM nebuvo toks vagiamas, jis buvo lyg duotas vietoje, geriau nuimkime, skeveldros, suteikdami aiškų problemos sprendimą dėl poreikio dubliuoti koristuvach debesies įrašus skirtinguose serveriuose. tinklas.
Pradedant nuo „Windows 2000“, „Microsoft“ perėjo nuo NTLM prie „Active Directory“ ir integravo „Kerberos“ autentifikavimo paslaugą. „Kerberos“ yra žymiai apsaugotas NTLM, be to, jis geriau keičiamas. Tuo tarpu Kerberos buvo visatos standartas, kuris jau laimėjo Linux ir UNIX sistemose, o tai atvėrė duris integruoti šias platformas su Windows.
„Linux“ autentifikavimo patikrinimas
Daugybė Linux (taip pat ir GNU bibliotekos, su kuriomis buvo dirbama) nepasikliauja vienu autentiškumo mechanizmu. Dėl to „Linux“ priedų pardavėjai buvo paimti prieš sukuriant autoritetingas autentiškumo schemas. Tai buvo galima pasiekti ieškant vardų ir slaptažodžių maišos kodų /etc/passwd (tekstinis failas, kuris tradiciškai naudojamas atkeršyti už duomenų atsiradimą Linux sistemoje) arba ieškant kitokio (ir aiškaus) mechanizmo. .
Mechanizmų asortimentas pakartotiniam teisingumo patikrinimui, kuris yra viyshov, buv spalvotųjų metalų. 1995 metais „Sun“ pasiūlė mechanizmą, vadinamą „Pluggable Authentication Modules“ (PAM). Autentifikavimui PAM suteikė platų API sąsajų asortimentą, kuriuo gali naudotis visi priedų platintojai, taip pat administratoriaus konfigūruojamą serverio elementą, leidžiantį jungti skirtingas autentifikavimo schemas. PAM API naudojimas autentiškumo tikrinimui ir sąsajoms Vardų serverio jungiklio (NSS) API, skirta ieškoti informacijos apie pagrindinį kompiuterį, leido „Linux“ priedų pardavėjams rašyti mažiau kodo, o „Linux“ administratoriams – vieniems atlikti autentifikavimo procesą.
Daugumoje „Linux“ leidimų yra daug PAM autentifikavimo modulių, įskaitant modulius, kurie palaiko autentifikavimą LDAP kataloge ir autentifikavimą naudojant „Kerberos“ wiki. Šiuos modulius galima pasirinkti autentifikavimui Active Directory, tačiau tuo pačiu metu galite nustatyti mainų vertę, kaip aprašyta toliau šiame straipsnyje.
Samba ir Winbind
Samba- visas projektas paremtas nauju kodu, kuris yra integracijos tarp Windows ir Linux aplinkų metodas. „Samba“ apima komponentus, suteikiančius „Linux“ kompiuteriams prieigą prie failų paslaugų ir kitų „Windows“, taip pat teikia „Linux“ pagrindu veikiančias paslaugas, kurios imituoja „Windows NT 4.0“ domeno valdiklius. Naudojant „Samba“ kliento komponentus, „Linux“ kompiuterius galima pasiekti naudojant „Windows Authentication Services“, kurias teikia „Windows NT“ ir „Active Directory“ domeno valdikliai.
Mums, ypač Sambos dalis, vadinama Winbind. „Winbind“ yra demonas („paslauga“ Windows terminais), veikiantis „Samba“ klientams ir veikiantis kaip tarpinis serveris ryšiui tarp PAM ir NSS, kuris veikia „Linux“ kompiuteryje, ir „Active Directory“, kuris veikia su valdikliais. domenas, s іnshgo. Zokrema, Winbind naudoja Kerberos, kad patikrintų Active Directory ir LDAP autentiškumą, kad gautų informaciją apie branduolius ir grupes. „Winbind“ taip pat teikia papildomų paslaugų, pavyzdžiui, galimybę rodyti domeno valdiklį, „wincrow“ algoritmą, panašų į „DCLOCATOR Active Directory“, ir galimybę atsisakyti „Active Directory“ slaptažodžių susisiekus su domeno valdikliu dėl RPC pagalbos.
Winbind išvengia problemų, kurios išsaugomos tiesiog naudojant Kerberos PAM pagalba. Zocrema, kietojo domeno valdiklio, koduojančio PAM autentifikavimą, pakaitalas Winbind pasirenka domeno valdiklį, kad ieškotų DNS vietos nustatymo įrašų, panašių į tai, kaip išjungti Microsoft DC LOCATOR modulį.
Trys autentifikavimo strategijos
Skirtingas LDAP, Kerberos ir Winbind prieinamumas Linux kompiuteriuose, yra trys skirtingos diegimo strategijos, kurias galima atlikti, kad Linux kompiuteris galėtų laimėti Active Directory autentifikavimui.
LDAP autentifikavimo vedlys Paprasčiausias, bet mažiausiai patikimas būdas naudoti Active Directory autentifikavimui yra pataisyti PAM per LDAP autentifikavimą, kaip parodyta Ryžiai. vienas. Jei norite, kad „Active Directory“ būtų LDAPv3 paslauga, „Windows“ klientai naudojasi Kerberos autentifikavimu (su NTLM kaip atsarginiu), o ne LDAP.
LDAP autentiškumo patvirtinimo laikas (paskambinsiu LDAP) Šis slaptažodis perrašomas tekstu per kraštą. Tai nesaugu ir nepriimtina siekiant didesnių tikslų.
Ryžiai. Autentiškumo patikrinimas Active Directory naudojant LDAP žinyną
Vienintelis būdas sumažinti debesies duomenų perdavimo išvalymo riziką yra užšifruoti kliento ir Active Directory ryšio kanalą su kita SSL ryšio puse. Tai visiškai įmanoma, tačiau taip pat reikia papildomų pastangų valdyti SSL sertifikatus tiek domeno valdiklio kompiuteryje, tiek Linux kompiuteryje. Be to, LDAP PAM modulis nepalaiko numestų slaptažodžių keitimo.
Wicker LDAP ir Kerberos Kita strategija, skirta naudoti Active Directory, skirta Linux autentifikavimo pertvarkymui, yra pataisyti PAM, skirtą Kerberos, ir NSS autentifikavimą LDAP autentifikavimui, kad būtų galima ieškoti informacijos apie šaknines grupes, kaip parodyta Ryžiai. 2. Tsya schema gali būti pranašesnė už vіdnosnoї zahishchennosti ir nіy vikoristovuyutsya vbudovanі galimybę Linux. Tačiau tai nepažeidžia DNS paslaugos leidimo (SRV) įrašų, skelbiančių „Active Directory“ domeno valdiklius, kad patikrintų pirmąjį domeno valdiklių rinkinį ir patikrintų jų teisingumą. Tai taip pat nesuteikia itin intuityvaus būdo įsilaužti į dabartinius „Active Directory“ slaptažodžius arba iki šiol adekvačios grupės narių pokštams.
Ryžiai. 2. Autentiškumo patvirtinimas Active Directory naudojant LDAP ir Kerberos
Winbind Wikisource Trečias būdas naudoti Active Directory, skirtas Linux autentifikavimui, yra nustatyti PAM ir NSS, kad laimėtų pagrindinės Winbind programos paspaudimus. „Winbind“ išvers skirtingas PAM ir NSS užklausas į „Active Directory“ pergales, LDAP, „Kerberos“ arba RPC, atsižvelgiant į tai, kas yra tinkamiausia. Ant Ryžiai. 3 parodė į niūrų strategijos užpakaliuką.
Ryžiai. Autentiškumo patikrinimas „Active Directory“ naudojant „Winbind“ žinyną
Mūsų įgyvendinimo planas
Patobulintas Active Directory integravimas privertė mane pasirinkti Winbind for Red Hat Enterprise Linux 5 (RHEL5) savo Linux-Active Directory integravimo projektui. RHEL5 yra komercinio „Red Hat Linux“ leidimo srautinė versija ir yra populiari įmonių duomenų centruose.
Jei naudojate RHEL5, patikrinę nuorodą per „Active Directory“, jums iš tikrųjų reikia atlikti penkis tolesnius veiksmus:
- Žinokite ir gaukite naujausią „Samba“ paketą ir kitus senus komponentus.
- Pasirinkite Samba.
- Iš naujo įdiekite tuos Samba nustatymus.
- Gaukite Linux, PAM ir patį NSS.
- Nustatykite „Active Directory“.
Būsimuose skyriuose straipsniai aprašyti ataskaitoje.
Ieškokite reikalingų programų
Viena didžiausių „Linux“ ir „Windows“ ypatybių yra ta, kad „Linux“ sudaro nedidelis operacinės sistemos branduolys ir daugybė komponentų, kuriais gerai pasirūpinta ir įdiegta. Galima sukurti kruopščiau atrinktus Linux rinkinius, kurie būtų optimalūs dainavimo užduotims atlikti, o taip pat dar labiau sulankstomą darbą nustatant serverį ir jį valdant. Skirtingi paskirstymai tai tvarko skirtingai. Red Hat (ir jos nekomercinė pusbrolis Fedora) šiems komponentams įdiegti ir valdyti naudoja Red Hat Package Manager (RPM).
„Red Hat“ Linux komponentai yra dviejų formų. RPM failai, skirti pakeisti dvіykovі failus, yakі buvo zadalegіnі dіdіdіdіdіdіdіdіdіdіdіdіdіbranііdіnї,Ckhtury. Taigi galite paimti ir įdiegti, pavyzdžiui, bendros UNIX spausdinimo sistemos (CUPS) 1.3.8-5 versiją, pasirinktą Fedora 10 versijai, kuri veikia Intel x86 architektūros procesoriuje. Atsižvelgiant į tai, kad yra keliolika skirtingų procesoriaus architektūrų, daugiau nei 100 „Linux“ leidimų ir tūkstančiai paketų bei versijų, galite rinktis iš dviejų RPM paketų skaičiaus.
Kita vertus, išoriniai RPM failai nuskaito tikrąjį to paketo išėjimo kodą. Vіd koristuvachа ochіkuєtsya, scho vіn zavantazhivat ir įterpkite vihіdnі failus, nalashtuє parametrus sbirannya, po kurio jis kompiliuoja ir dvіykovі failus. Idėja pasirinkti pagrindinę operacinę sistemą, kuri yra godžiai diegti „Windows“, ty įdiegti tai, ką „Microsoft“ įdeda į „Windows“ diegimo kompaktinį diską, o tada paketų tvarkyklę, kad procesas būtų nepaprastai neskausmingas ir visiškai kvailas. „Samba“ grupė beprotišku greičiu diegia saugos naujinimus ir pataisymus; Daugiau nei diena ir gyvatė 2008 metais išleido keletą Samba 3.2 leidimų, kurie atkeršijo už daugiau nei 100 atleidimo ir pakoregavo saugumą. Šiam projektui paėmiau likusios stabilios Samba versijos, 3.0.31 versijos, išvesties kodo failus.
Kodėl aš esu zavantazhivnyy Samba kodas, o ne iš anksto sudarytas dvejetainių failų rinkinys? Atsiprašau, žinau, kad pirmiausia išbandžiau daugiau. Tačiau po kurio laiko su vadybininku išsiaiškinau, kad du mano atsisiunčiami failai nebuvo surinkti taip, kad būtų išlaikytas Active Directory autentiškumas. Zocrema, kodas, nustatantis „Linux“ identifikatorius „Active Directory“, įskaitant įtraukimus į standartines versijas, todėl turėjau galimybę atkurti „Samba“ su tinkamais kūrimo parametrais. Pranešama, kad pažvelgsiu į toliau pateiktų identifikatorių mitybos būklę.
Jei norite, kad „Linux“ būtų mažas branduolys, „Red Hat Enterprise“ leidime yra įdiegtas anoniminis paketas. Garsas rimtai klausia gyvenimo, leidžia iš naujo atidaryti tą pačią veikiančią operacinę sistemą, tačiau už įdiegtų paketų užpakalinės valandos konfliktuoja su programomis, tarsi perkeliant įdiegti vėliau.
Į savo Red Hat diegimą neįtraukiau Samba (norėdami užrakinti paskambinkite Samba install), bet man reikėjo atnaujinti naują versiją. Tačiau naujesnė Samba versija vis tiek palaikys naujesnes daugelio kitų jau įdiegtų paslaugų bibliotekų ir paslaugų versijas. Problemos, susijusios su panašiais pūdymais, gali sugadinti nervus, bet jūs galite lengvai įveikti RPM.
Naudokite anonimines svetaines, kuriose yra du RPM paketai. Tas, kurį paskelbiau tviteryje (tik tas, kuris pirmiausia žino VIN), vadinasi PBONE ir skambėjo rpm.pbone.net. Taip pat galiu rankiniu būdu ieškoti paketų, o naujajame – visų dvuykovi failų, kurie buvo reikalingi mano procesoriaus architektūrai (i386) ir operacinės sistemos leidimui (Red Hat Enterprise Linux 5 / Fedora 7 ir 8).
Turėjau galimybę pirkti ir nusipirkti paketų, už kuriuos buvo grąžinta Ryžiai. 4 Norėdami pasirinkti likusią Samba 3.0 versiją (ir yra naujas 3.2 versijų medis, bet aš jo nebandžiau). Atkreipkite dėmesį, kad visi paketai tinkami Fedora Core (fc) leidimui. „Red Hat“ pagrindų platinimas, pagrįstas tais pačiais senais kodais, kuriuos laimi „Fedora“, tai labiau beprotiška. Paketai, pasirinkti Fedora Core 7 ir naujesnėms versijoms, taikomi RHEL5 be pakeitimų. Perkelkite gautus RPM failus į /usr/src/redhat/RPMS katalogą.
Ryžiai. 4. Paketai, reikalingi norint įdiegti ir įdiegti Samba 3.0.31
Samba saugykla
Pirmas žingsnis kuriant „Samba“ yra gauti tinkamą išeinančių RPM paketą. Atsisiunčiau Samba 3.0.31 leidimo kodo RPM paketą iš PBONE svetainės. RPM failas vіdnіhіdnіkіv /usr/src/redhat/SRPMS; Tai yra standartinis rinkimo proceso RPM paketų ir valandų kodų katalogas.
Atidarykite seansą terminale ("Komandų eilutės langas" Windows sąlygomis) ir eikite į SRPMS aplanką. Po to, kai jis sugenda, įdiekite papildomos komandos išėjimo kodų paketą, kaip parodyta Ryžiai. penkios.
Ryžiai. penkios. „Samba“ išvesties kodų RPM paketo įdiegimas
Jei yra įspėjimas apie atleidimą „vartotojo modelio versija neegzistuoja – naudojama root“, nesigirkite. Šis atleidimas nurodo tuos, kurie neįdiegė maketo kolekcijos paslaugų programų. Lankstymo procesas yra praktiškas ir be jų.
Tada eikite į /usr/src/redhat/SPECS katalogą ir redaguokite failą samba.spec, kad pakeistumėte Samba pasirinkimo parametrus. Raskite eilutę, prasidedančią raide "CFLAGS=", ir pakeiskite ją į "--with-shared-modules=idmap_ad,idmap_rid" Šis parametras garantuoja, kad atrankos proceso metu bus kodas, kuris teisingai išverstų Linux unikalius identifikatorius (UID), skirtus Active Directory. Ant Ryžiai. 6 užvedimo parametras.
Ryžiai. 6. Sulankstomas parametras naudojant bendrinamus modulius („su moduliais, kurie bendrinami kartu“)
Gali tekti atnaujinti kai kurias kompiuterio bibliotekas, kad galėtumėte tinkamai pasirinkti ir įdiegti Samba; tse atsigulkite eilės tvarka, kokios bibliotekų versijos jau įdiegtos. Mintyse turėjau galimybę įdiegti paketus, perpakuotus Ryžiai. 4, su komanda rpm-install; kai kuriais atvejais turėjau galimybę, vtіm, įveikti --force variantą, kad išspręsčiau kai kurias pūdymo problemas.
Norėdami įdiegti Samba, eikite į /usr/src/redhat katalogą ir įveskite rpmbuild -bb SPECS/samba.spec, kaip parodyta Ryžiai. 7. Dėl šios procedūros naujasis RPM failas samba-3.0.31-0.i386 bus paliktas /usr/src/redhat/RPMS kataloge. Šį RPM failą įdiegsime vėliau projekto eigoje.
Ryžiai. 7. RPM Samba dvejetainio failo kūrimas
Linux roboto su tinklelio nustatymas
Kad būtų nepaisoma Active Directory pagalbos, Linux kompiuteris yra atsakingas už savo motinos galimybę susisiekti su domeno valdikliu. Jei taip gali atsitikti, būtina nustatyti tris priemonės parametrus.
Visų pirma, svarbu persvarstyti, kad vidutinė sąsaja Linux kompiuteryje buvo atnaujinta svarbiu rangu, naudojant DHCP protokolą arba atpažįstant galiojantį IP adresą ir tinklo kaukę. papildoma komanda ifconfig. Jei naudojate RHEL5, galite nustatyti, kad robotas matuotų, pasirinkdami її (tinklas) iš sistemos | Administravimas (sistema | Administravimas), kaip parodyta Ryžiai. 8.
Ryžiai. 8. Tinklo išdėstymas
Pakeiskime, kad DNS vardų nustatymo paslauga Linux kompiuteriui būtų įdiegta tame pačiame to paties DNS vardų serverio pagrindiniame kompiuteryje kaip ir domeno valdiklis; daugeliu atvejų tai yra domeno valdiklis domene, kol reikia atsinešti Linux kompiuterį, darant prielaidą, kad DNS laimi, integruotą su Active Directory. Jei DNS leidžiama taisyti DNS skirtuke, tada paslaugų programa yra nustatyta, kaip parodyta Ryžiai. devynios.
9. Sukurkite pagrindinį DNS leidimą
Nareshti, atlikus šias užduotis, būtina įdiegti Linux pavadinimą, kad šis vardas būtų rodomas domene. Jei galite ją įdiegti, pergalinga programa matuoti, atrodo, kad jums nereikia dirbti su tinkamu rangu.
Pakeiskite /etc/hosts failą ir įtraukite įrašą po localhost.localdomain įrašu formoje
Sinchronizavimo laiko reguliavimas sistemoje „Linux“.
Kerberos protokolas priklauso nuo metų pabaigos autentifikavimo sistemų, kad būtų pasiektas didelis sinchronizavimo tikslumas. Akcijoms „Active Directory“ leidžia maksimaliai skirti penkis kreditus. Siekiant užtikrinti, kad Linux sistemos būtų perkraunamos iš tų metų domeno valdiklių sistemų, būtina atnaujinti Linux sistemas, kad jos aptarnautų domeno valdiklio NTP protokolą.
Paleiskite datos ir laiko paslaugų programą Linux serveryje iš sistemos | Administravimas ir pasirinkite skirtuką NTP protokolas. Nustatykite vėliavėlę Enable Network Time Protocol ("Įgalinti NTP protokolą") ir pridėkite domeno valdiklio IP adresą, kurį reikia kuo greičiau pakeisti. Atsargiai, kad kaltas domeno valdiklis, kad atkeršytų už pirminio domeno valdiklio (PDC) FSMO imitatoriaus vaidmenį. Ant Ryžiai. 10„Linux“ sujungtos „dzherel valandos“ diegimo užpakalis.
Ryžiai. 10. NTP protokolo įgyvendinimas
PAM ir NSS sąranka
PAM ir NSS nadayat zasіb z'ednannya Linux programas, pavyzdžiui, darbo laikmeną, kad Winbind. Panašiai kaip ir daugelis „Linux“ paslaugų, PAM ir NSS konfigūruojami naudojant tekstinius failus. Ant mano rankos galime pažvelgti į PAM užtaisymą.
PAM tikisi prisidėti prie autentiškumo patikrinimo. Zasіb authentifikatsії leidžia zastosunkai nurodyti, kas laimi jogą. Zasіb oblіkovih zadіv naє funkcijos ї cheruvannya oblіkovyh įrašai, yakі neturi stosuyuutsya autentifіkatsії, pavyzdžiui, zamezhennya valandos įėjimo. Slaptažodžių rinkimą užtikrina slaptažodžių prašymo ir jų tvarkymo mechanizmai. Zasіb sesijos vykonuє zavdannya diegimas ir vidalennya programos, tokios kaip stosuyutsya koristuvacha, pavyzdžiui, registravimas ir failų kūrimas tam tikroje koristuvach kategorijoje.
Red Hat PAM tinkinimo failai saugomi /etc/pam.d kataloge, kuris būtų odos programos tekstinis failas, pavyzdžiui, PAM įsilaužimas autentifikavimui. Pavyzdžiui, faile /etc/pam.d/gdm yra informacijos apie PAM nustatymą „Gnome Desktop Manager“ (GDM), „Red Hat“ darbalaukio užrakinimo aplinkai. PAM pataisymo odos faile yra keletas eilučių, bet kurios iš jų oda gali būti tam tikras PAM autentifikavimo proceso aspektas. Ant Ryžiai. vienuolika parodyta kaip GDM PAM sąranka.
Ryžiai. vienuolika. RAM tinkinimo failas, skirtas „Gnome Desktop Manager“.
Skin įrašas PAM failo sąrankos failo formoje<группа управления> <элемент управления> <модуль> <параметры>, de<группа управления>dpovіdaє zabou, kokia apimtimi turi būti nustatytas įrašas: autentifikavimas, debesies įrašai, slaptažodžiai ar seansai. Pagrindiniai žodžiai aprašyti Ryžiai. 12, atrodo, PAM, kaip padaryti pataisymo įrašą. Trečias veiksmas yra pakeisti failą bendrinamos PAM bibliotekos pavadinimu saugos kataloge /lib/. Pasaulinės bibliotekos gali dinamiškai užfiksuoti kodą, panašų į Windows DLL. Papildomi terminai po modulio pavadinimo – tai parametrai, kuriuos perduoda pagrindinės bibliotekos PAM modulis.
Ryžiai. 12. Pagrindiniai raktažodžiai PAM
raktažodį | apibūdinimas |
| Būtina ("Obov'yazkovo") | Jei modulis sėkmingai sukurtas, PAM ir toliau skaičiuos kontrolinės grupės įrašus, o rezultatai bus pakeisti modulių, kurie buvo palikti, rezultatais. Jei ne, tada PAM tęs skaičiavimą, bet grąžins zbіy priedą, kuris buvo sumokėtas. |
| Reikalingas | Jei modulis sėkmingai veikia, PAM ir toliau skaičiuoja kontrolinės grupės įrašus. Jei ne, tada PAM grąžins priedą, kurį iškvietėte, be tolesnio apdorojimo. |
| Pakankamai | Jei modulis veikia sėkmingai, PAM grąžins sėkmingą rezultatą į priedą, kurį spustelėjote. Kitu atveju PAM tęs skaičiavimą, bet rezultatai bus priskirti kitiems moduliams. |
| Neprivaloma ("Neoob"kalba") | PAM ignoruoja modulio, kaip vieno modulio, rezultatus, reaguodama į kontrolinę grupę. |
| Įtraukti | PAM įtrauktas į PAM tinkinimo failą, kuriame pateikiama užklausa, taip pat į naują įrašymo procesą. |
Galite prisiminti, kad odos valdymo grupė gali turėti keletą įrašų. PAM apdoroja įrašus eilės tvarka, iškviesdamas modulių pavadinimus. Tada modulis patikrina sėkmę ar nesėkmę, o PAM tikrai priklauso nuo kontroliuojamo raktinio žodžio.
Atminkite, kad GDM skirtas PAM failas gali turėti sistemos autentifikavimą visoms autentifikavimo grupėms. Taip PAM nustato GDM reklamų autentifikavimo elgesį. Keisdami sistemos autentifikavimą, galite modifikuoti tą patį visų programų, kurių PAM parametrams yra sistemos autentifikavimo failas, elgesį. Rodomas už užrakto esantis sistemos autentifikavimo failas Ryžiai. 13.
Ryžiai. 13. PAM modulio sistemos autentifikavimo failas
Perdavimo į vardų konvertavimo bloką (NSS) modulis gauna konkrečią informaciją apie šių sistemų rinkimą programinės įrangos mažmeninėje parduotuvėje, maždaug taip, kaip PAM gauna autentifikavimo duomenis. NSS leidžia administratoriui nurodyti, kokiu būdu išsaugomos sistemos duomenų bazės. Zocrema, administratorius gali pasakyti, kaip išsaugoma informacija apie vardą ir slaptažodį. Mums tai būtina, kad programos „Active Directory“ ieškotų informacijos apie koristuvachiv „Winbind“ pagalba, turime pakeisti NSS nustatymą, kad jis būtų rodomas.
„Red Hat“ apima mažą grafinį įrankį, skirtą PAM ir NSS nustatyti, vadinamą sistemos konfigūravimo autentifikavimu. Kalbėsite apie daugiau pakeitimų (bet ne apie visus), kuriuos reikėtų įvesti system-auth ir nss.conf failuose.
Paleiskite sistemos konfigūravimo autentifikavimo programą ir pamatysite dialogo langą, panašų į parodytą Ryžiai. keturiolika. Nustatykite Winbind ensign ir vartotojo informacijos skirtuke (informacija apie koristuvach, yra naujas nss.conf failas), ir skirtuke Autentifikavimas arba pakeiskite sistemos autentifikavimo failą.
Ryžiai. keturiolika. sistemos konfigūracijos autentifikavimo dialogas
Paspauskite mygtuką Konfigūruoti Winbind ir bus rodomas dialogo langas, rodantis Ryžiai. 15. Lauke Winbind Domain įveskite domeno, kuriame galima patikrinti pagrindinio kompiuterio autentifikavimą, pavadinimą ir kaip saugos modelį pasirinkite „voiced“. Lauke Winbind ADS Realm įveskite Active Directory domeno DNS domeno pavadinimą. Lauke Winbind Domain Controllers įveskite arba domeno valdiklio pavadinimą, kurio pagalba reikia patikrinti Linux sistemos nuorodą, arba varnelę, nurodančią tuos, kuriems Winbind turėtų pasirinkti domeno valdiklį, užklausęs SRV įrašus. DNS.
Ryžiai. 15. „Winbind“ dialogo lango nustatymas
Pasirinkite tinkamą užrakto vertėją, dėl kurio kalta Active Directory motina; Iš savo vpadka išsirinkau bash (Bourne-again Shell). Nesivaržykite naudodami mygtuką Prisijungti prie domeno jokiame etape. Kompiuteris bus priskirtas naujam domenui.
Pakeitus Winbind palaikymą, faile /etc/pam.d/system-auth reikia atlikti dar vieną papildomą pakeitimą. Kai Linux root yra prisijungęs prie sistemos, sistema parodys, kad yra namų katalogas. Pagrindiniame kataloge yra daug parametrų ir elementų, kad būtų galima nustatyti konkretų koristuvach, turtingą tuo, kas panašu į Windows registrą. Atrodo, kad problema yra ta, kad šakniniai aplankai sukuriami Active Directory, o Linux automatiškai nesukuria šakninio aplanko namų katalogo. Laimei, PAM gali būti sukonfigūruotas taip, kad pabustų kaip seanso sąrankos dalis.
Atidarykite failą /etc/pam.d/system-auth, tada slinkite žemyn ekranu ir įterpkite eilutę „session optional map_mkhomedir.so skel=/etc/skel umask=0644“ prieš likusią seanso padalijimo eilutę (div. Ryžiai. 16). Ši eilutė buvo sukurta koristuvach PAM namų kataloge, nes tokio dalyko dar nėra. Jūs pažymėsite /etc/skel kaip šablono „skeletą“ ir atpažinsite naujo aplanko leidimų kaukę 0644 (skaitykite failo įrašą, skaitykite pagrindinę grupę ir skaitykite sprendimą).
Ryžiai. 16. Koristuvachіv namų katalogo kūrimas
Įdiegta ir sukonfigūruota Samba
Norėdami įdiegti Samba dvukovі failus, sukurtus schoyno, eikite į /usr/src/redhat/RPMS katalogą. Visi RPM failai, sukurti naudojant komandą rpmbuild, rodomi tame pačiame kataloge. Atminkite, kad „Samba“ apima „dvukovi“ failus, kurie leidžia „Linux“ klientui pasiekti bendrinamą failų saugyklą sistemoje „Windows“ (arba „Samba“), taip pat kodą, leidžiantį „Linux“ sistemai veikti kaip „Windows“ failų serveriui, „Windows“ serveriui kitą ir Windows NT stiliaus domeno valdiklį 4.0.
Norint leisti Linux autentifikuoti pagal Active Directory, nieko nereikia; „Samba“ failų ir dvigubų failų dozavimas iš „Samba“ kliento. Mūsų patogumui šie failai suskirstyti į du RPM failus: samba-client-3.0.31-0.i386.rpm ir samba-common-3.0.31-0.i386.rpm. Įdiekite RPM failus naudodami rpm --install. Duodu užpakalį: rpm --install samba-common-3.0.31-0.i386.rpm. (Būkite atsargūs, prieš jį turite įdėti RPM failą -common.)
Įdiegę Samba kliento dvejetainius failus, būtina modifikuoti Samba sąranką reklamai, kad Winbind atliktų autentifikavimą su Active Directory pagalba. Visą informaciją apie Samba (kliento, serverio) nustatymą galima rasti tekstiniame faile smb.conf, kuris yra /etc/samba kataloge. Smb.conf gali būti daug parametrų, o dar daugiau informacijos apie jogą gali neaprėpti šios statistikos. Svetainėje samba.org ir Linux kūrimo sistemoje yra ataskaita apie smb.conf.
Pirmas žingsnis yra nustatyti Winbind ir naudoti Active Directory autentifikavimui. Saugos modelis smb.conf turi būti tuščias. Sistemos konfigūravimo autentifikavimo paslaugos programa jau maža, kad ją būtų galima įdiegti, tačiau pakartotinis patvirtinimas niekada nepavyks. Norėdami redaguoti ir sužinoti domeno nario parinkčių reikšmes, atidarykite smb.conf failą. Raskite eilutę, kuri prasideda nuo „saugumas“, ir pakeiskite eilutę, kuri skamba kaip „saugumas = skelbimai“. Kitame etape bus nustatyta, kaip Winbind nustatys „Windows“ saugos dalyvius, tokius kaip grupės ir „Linux“ identifikatoriai, ir tam reikės išsamesnio paaiškinimo.
Identifikatorių nustatymo problema
Linux branduolių autentiškumas Active Directory pagalba turi vieną didelę problemą ir aš jos dar neišsiaiškinau – unikalių identifikatorių (UID) problema tos grupės branduoliams. Viduje nei Linux, nei Windows nėra vadinami coristuvachiv tikrais vardais, vicorista yra unikalus vidinis identifikatorius. „Windows“ sistemoje išskiriami saugos identifikatoriai (SID), kurie yra keičiamo gyvenimo struktūra ir suteikia unikalų odos pažeidimo atpažinimą „Windows“ srityje. SID taip pat yra unikalus domeno identifikatorius, kad „Windows“ galėtų atskirti skirtingus domenus.
Linux schema yra labai paprasta. Odinė dėžutė Linux kompiuteryje gali turėti UID, kuri yra tik 32 bitų sveikasis skaičius. Ale area dії ії іdіdіfіkatа UID yra apsuptas paties kompiuterio. Nėra garantijos, kad kortelė su UID 436 viename Linux kompiuteryje yra identiška kortelei su UID 436 kitame Linux įrenginyje. Kraštutiniu atveju reikia prisijungti prie odos kompiuterio, prie kurio reikia prisijungti, o tai yra apgailėtina situacija.
Merezhevі administratoriai Linux zvіshuyut tsyu problema, suteikiant merezhevy autentifikatsіyu pagalbos arba abomerezhovoї іnformatsіynoї sistemos (Network Information System - NIS), arba visą LDAP katalogą. Mereževos autentifikavimo sistemai suteikiamas „coristuvach“ UID, o visi „Linux“ kompiuteriai, kuriuose naudojama ši sistema, bus aprūpinti tais pačiais „coristuvach“ grupės identifikatoriais. Esant tokiai situacijai, turiu „Active Directory“, skirtą nurodytiems unikaliems koristuvų ir grupių identifikatoriams.
Norėdami išspręsti šią problemą, naudoju dvi strategijas. Pirmoji (ir akivaizdžiausia) strategija yra sukurti UID odos odos žymai ir išsaugoti papildomo ID objekto grupės ID Active Directory. Kai jis užstringa, jei Winbind pažeidžia klaidos leidimus, galiu surasti jo UID ir nustatyti jį kaip „Linux“ kaip vidinį klaidos ID. „Winbind“ naudoja šią schemą „Active Directory“ identifikatoriams (arba idmap_ad) nustatyti. Ant Ryžiai. 17 Active Directory identifikatorių nustatymo proceso nuorodos.
Ryžiai. 17. „Active Directory“ identifikatorių nustatymo procesas
Vienintelis Active Directory identifikatorių identifikavimo trūkumas yra odos koristuvacha ir grupių identifikatorių matomumo mechanizmo poreikis, taip pat jų unikalumas miško ribose. Ataskaitų teikimo informaciją galite rasti baltame skydelyje „Active Directory nustatymas, kad atitiktų Active Directory identifikatorius“.
Kol kas yra viena identifikatorių nustatymo strategija, kuri yra daug mažesnė nei administraciniai mokesčiai. Tarkime, kad Windows SID unikaliai identifikuoja domeno viduryje esantį pagrindinį kompiuterį, taip pat patį domeną. SID dalis, kuri vienareikšmiškai identifikuoja domeno branduolį, vadinama RID ir iš tikrųjų yra 32 bitų sveikasis skaičius. Taigi Winbind gali tiesiog valandai išimti RID iš SID, kai vartotojas prisijungia prie sistemos, o tada išgauti RID kaip unikalų vidinį UID. „Winbind“ naudoja šią strategiją, kad nustatytų RID arba idmap_rid ID. Ant Ryžiai. aštuoniolika parodoma, kiek RID teiginys iš tikrųjų veikia.
Ryžiai. aštuoniolika. Pareiškimas RID
RID nustatymas gali viršyti nulines administracines reikšmes, bet neįmanoma laimėti turtingoje domeno terpėje, kai gali būti parodyta viena RID reikšmė pagrindinėse reikšmėse daugelyje domenų. Jei norite atskleisti vieną „Active Directory“ domeną, RID teiginys yra tinkamas pasirinkimas.
Norėdami sukonfigūruoti „Winbind“ ID politiką, atidarykite /etc/samba/smb.conf failą ir dar kartą jį redaguokite ir pridėkite eilutę „idmap backend = ad“, skirtą „Active Directory“ alternatyviai politikai, arba „idmap backend = rid“, skirtą RID etiketei. Pakeiskite kitų eilučių matomumą, tarsi nurodytumėte failo nustatymo strategiją.
Yra keletas kitų parametrų, kuriuos reikia įtraukti į smb.conf failą, skirtą Winbind. Prieš prisijungdami eikite kaip PAM įrenginiuose į odos lupimo priemonės namų katalogo sukūrimą, turite pasakyti Winbind, koks yra pavadinimas. Galėtume tiesiog pridėti eilutę „template homedir = /home/%U“ prie smb.conf (div. Ryžiai. 19). Nereikia nė sakyti, Winbind, kuris bus /namai/<имя пользователя>. Pirmiausia nepamirškite sukurti /home katalogo.
Ryžiai. 19. Nurodykite namų katalogo pavadinimą
Įėjimas į domeną ir įėjimas į sistemą
Dabar, jei sujungimas, PAM, NSS ir Samba Winbind yra tinkamai nustatyti, laikas perkelti Linux kompiuterį į domeną. Taip pat galite naudoti komandą Samba Net. Komandų interpretatoriuje įveskite "net ads join -U"<имя администратора>“. Pakeiskite<имя администратора>viešojo įrašo pavadinime, kurio gali pakakti kompiuteriams pritraukti į domeną.
Net komanda ragina įvesti koristuvach slaptažodį. Viskas veikia gerai, ateina į domeno kompiuterį. Norėdami parodyti sukurtą kompiuterio vaizdo įrašą, galite naudoti „Active Directory“ papildinį – kompiuterio grūdinimą.
Galite protestuoti prieš stovyklą dėl pagalbos naudodami Winbind testavimo įrankį, kuris vadinamas wbinfo. Kaip ir wbinfo -t, bus protestų prieš pasitikėjimą tarp kompiuterio ir domeno. Dėl to wbinfo -u nepaisys visų pagrindinių domenų, o wbinfo -g - visas grupes.
Kai „Linux“ kompiuteris sėkmingai prisijungs prie domeno, kitas veiksmas bus bandyti prisijungti prie sistemos ir gauti papildomą viešą Active Directory slaptažodžio įrašą. Ieškokite sistemos „Linux“ kompiuteryje ir pažiūrėkite į sistemą naudodami „Active Directory“ pavadinimą. Jei viskas teisinga, gali būti galimybė prisijungti prie sistemos.
„Active Directory“ nustatymas „Active Directory“ identifikatorių nustatymo procesui
Ši informacija skirta tik tiems, kurie laimi „Active Directory“ identifikatorius. Tie, kurie laimėjo pergalę prieš RID pareiškimą, gali ramiai nedovanoti pagarbos šiai panelei.
Kad galėtumėte įeiti į sistemą Red Hat serveryje su Active Directory įrašu, turite atlikti Active Directory pakeitimus. Pirma, „Active Directory“ schema turi pridėti atributų, kuriuos „Winbind“ naudoja pagrindinei informacijai rinkti. Mažiau nei valandos darbo su Windows Server 2003 R2 schema paruošta prieš sustojimą. Didesnėje ankstesnėje „Active Directory“ schemos versijoje turėsite išplėsti „Microsoft Services for UNIX“ (SFU) paketą.
Papildomos informacijos galite rasti „Services for UNIX“ „TechNet“. SFU taip pat apima papildomą „Active Directory“ naudotojų galios pusę, kurioje yra „Microsoft Computers Management Console“ (MMC), leidžianti gauti informaciją apie atskirus ir grupinius modifikatorius, kurių reikia „Linux“.
Kadangi schema buvo tinkamai įdiegta, reikia duoti Linux identifikatorius visoms koristuvachoms (i grupėms, tokių smirdančių narių), kad jie galėtų prisijungti prie Linux kompiuterio. Tai reiškia, kad turite priskirti atitinkamos grupės atributų uidNumber ir gidNumber reikšmę, kad galėtumėte prisijungti prie Linux kompiuterio. Ale šalia vimogių poelgių atminimo šiems atributams:
- „Linux“ reikės UID, kad odos lupimo priemonė patikrintų jo galiojimą. Kadangi mums reikia gauti informaciją apie koristuvach iš Active Directory, koristuvach odos įrašo, kurį prisijungiate prie sistemos savo Linux kompiuteryje, oda yra atsakinga už unikalų uidNumber atributą. Tiksliau, tai, kas laimi uidNumber, nėra trivialus, tačiau jis gali būti unikalus visoms eilutėms, kurios gali prisijungti prie „Linux“ kompiuterio.
- Linux šaknis taip pat atsakinga už reklamos grupės ID, todėl Active Directory šaknis, kuri prisijungia prie Linux kompiuterio, taip pat priklauso nuo atributo gidNumber reikšmės. Tse reikšmė gali būti unikali tarp coristuvachiv, bet gali vienareikšmiškai nurodyti grupę.
- Active Directory odos grupė yra atsakinga už unikalią savo atributo gidNumber reikšmę. Griežtai kalbant, visoms grupėms normalu neturėti atributo gidNumber reikšmės, tačiau jei atributo gidNumber reikšmė yra autentiška, Winbind nurodo, kad odos grupė yra iki taško, kuriame yra gidNumber reikšmė. Unikalus. Imovirno, lengviau tiesiog pereiti prie unikalios gidNumber vertės odos grupės akivaizdumo.
- „Winbind“ patikrina, ar „Skin“ žymų grupė, naršanti „Active Directory“, bus domeno žymų grupės narė, todėl „winbind“ taip pat patikrina, ar domeno žymų grupė gali turėti savo atributo „gidNumber“ reikšmę.
O kodėl neužsisakius?
„Linux“ kompiuterio įdiegimas autentifikavimui naudojant „Active Directory“ pagalbą ir naudojant „Winbind“ yra nereikšmingas projektas. Aš naudoju elementų masę, kaip reikia tobulinti, kad beasmenės kalbos, kaip galima klaidingai ištarti. Tai, kad Linux ir Samba odos versija gali lengvai konkuruoti dėl savo galimybių, nieko nepalengvina. Ale іsnuє žemas dzherel, mokyklų mainai іstat іinformatsiyu pro tuos mokyklų mainus vіdbuvaєtsya.
Pirma, tai yra „Linux“ sistemos žurnalo failas, saugomas /var/log/messages. „Samba“ įves į failą informaciją apie poskyrių reikšmes, pvz., failo pavadinimą, arba netinkamas nustatymas. Krim failą į sistemos žurnalą, savo failus į Samba ir Winbind žurnalą. Jį galite rasti aplanke /var/log/samba ir smirdėti, kad suteiktumėte corystuvache papildomos informacijos.
„Winbind“ matomų žurnalų ataskaitų teikimas (ir bendras) gali būti patobulintas pakeitus paleisties scenarijų, kad būtų nustatyta tokia pati apkrova. Redaguokite apvalkalo scenarijų /etc/init.d/winbind ir pridėkite „-d 5“ prie komandos „winbind“. Norėdami padidinti atlyginimo normą iki 5 (tarkime, kad vertė yra nuo 1 iki 10), kad galėtumėte nustatyti winbind, kad sukurtumėte išsamesnę informaciją apie atleidimą.
Kad Winbind galėtų susisiekti su domeno valdikliu, paketus galima rašyti naudojant papildomą įrankį, pvz., Netmon 3.1. Leiskite man analizuoti, ką daro pats Winbindas. Taip pat domeno valdiklyje galite įrašyti Windows saugos žurnalą, kuriame bus įvesti autentifikavimo testai.
Dabar, kai jis pradėjo veikti, ką galime padaryti?
Dabar, kai viskas atlikta gražiai, dabar galite prisijungti prie „Linux“ sistemų naudodami „Active Directory“ palaikomus duomenis. Šis nuostabumas prilygsta vietiniam autentifikavimo valdymui Linux kompiuteryje ir nesaugioms sistemoms, tokioms kaip NIS. Tai leidžia centralizuoti koristuvachų valdymą vienoje Active Directory įrašų parduotuvėje.
Ale, čia tokių kalbų nebūna, lyg būtų galėję išsiaiškinti tiesos sprendimą. Pirmuoju žingsniu otrimanny tekhnіchnі n_dtrimki čia - sėkmės dešinėje. Daugelis „Linux“ organizacijų nelabai supranta „Active Directory“, bet priminimas, kaip matote „Linux“, būsite visiškai priklausomi nuo to, kas perskaitys jūsų įžangą ir jūsų šiandienos nuotaikos.
Be to, „Samba“ paketo negalima perkelti ar sumaišyti. Dėl to, kad Linux sistemoje yra debesies įrašų ir kai kurių pradinių identifikatorių nuorodos, būtina rankiniu būdu persvarstyti, ar jie išsaugo savo UID identifikatorius prieš perkeldami juos į Active Directory.
Nareshti, viena iš svarbiausių „Active Directory“ programų, grupės strategijos, nepasiekiama „Samba“, tačiau su ja reikia dirbti. Nors „Linux“ sistema gali kreiptis į „Active Directory“, kad gautų pagalbos iš „Samba“, negalite sujaukti grupės strategijos.
Sprendimai trečiųjų šalių pardavėjams
Pakartotinis „Linux“ kompiuterių patikrinimas, norint gauti pagalbos naudojant „Active Directory“, akivaizdžiai yra dešinėje pusėje, tačiau sukurti galingą sprendimą, padedantį naudoti „Samba Winbind“, yra ne tik košmaras. Skaitytojai gali pagalvoti, kad kai kurie kalti PŽ posto darbuotojai yra kalti dėl pergalingų sprendimų daugiau atleidimo, o smarvė daro įtaką.
Kai kurie komercinės programinės įrangos saugos meistrai palengvino kitokios versijos, kurią pademonstravau šiame straipsnyje, įdiegimą. Gaukite kodą ir perkeliamumą daugeliui populiarių Linux, UNIX ir Apple Macintosh versijų, taip pat Linux kompiuterių valdymo palaikymą pagal papildomą grupės politiką.
„Chotiri“ įmonės: „Centrify“, „Likewise Software“, „Quest Software“ ir „Symark“. Visi pašto vadovai teikia panašias funkcijas, įskaitant grupės politikos apsaugą įvairiuose Linux platinimuose. „Likewise Software“ neseniai išleido savo diegimo kodą, vadinamą „Likewise Open“, bandydama pašalinti grupės strategijos komponentą iš komercinio produkto. Taip pat „Open“ bus prieinama daugeliui pagrindinių „Linux“ leidimų. (Išsakykite paslaptį: kol rašiau šį straipsnį, mano įmonė „NetPro“ buvo uždrausta „Quest Software“.)
Ką daryti norint valdyti autentifikavimo sistemą naudojant „Samba“ ir „Winbind“, jei yra komercinių parinkčių? Net jei biudžetas neperveda centų į integravimo programas, „Samba“ naudojimas su „yogo“ kodu gali būti nemokamas. Taip jūs taip pat atimate visą išorinį kodą, kad galėtumėte būti privilegijuotas asmuo. Tačiau pagrindinių Linux kompiuterių ir pagrindinių UID perkėlimas yra sudėtinga problema.
Kita vertus, tą instaliaciją įgyvendinti užtruks valandą arba, jei reikia Linux kompiuterio, tai teks jį perkelti, arba sutrumpinti galios koeficientą, tada komercinių sprendimų žinojimas gali būti protingas. Tais laikais, kai reikia valdyti grupės politiką, alternatyvos nėra.
Bet ar tai būtų sprendimas, kaip integruoti Linux sistemas su Active Directory, netrukus bus verta taisyti daugybę įstrižų koristuvachiv įrašų, pagerinti sistemos saugumą ir, tikėkimės, vieną įrodymų lobyną. auditas. І tse dosit obґruntuvanі priežastys, schob pabandykite zastosuvati yogo.
Jill Kirkpatrick- Kitas >
Dviejų veiksnių autentifikavimas (2FA) yra tas pats autentifikavimo metodas, naudojamas įvesti viešąjį įrašą arba pridėti informacijos fragmentą. „Crimium“ slaptažodžio pavadinimo kombinacija „2FA vimag“ įvedant papildomą informaciją, pvz., vienkartinį slaptažodį (OTP, pavyzdžiui, šešių skaitmenų konvertavimo kodas).
Apskritai 2FA leidžia įvesti įvairių tipų informaciją:
- Schos, ką koristuvach žino (pavyzdžiui, slaptažodį)
- Taigi, ką aš galiu padaryti (pavyzdžiui, patvirtinimo kodas, sugeneruotas specialiu priedu – autentifikatoriumi).
2FA yra kelių veiksnių autentifikavimo (MFA) tipas. MFA metodas yra priedas prie to, ką koristuvach žino, ir ką jis gali, mes galime padėti, chim vyną. Tse biometriniai duomenys: plonas jūsų balso pirštų garsų atpažinimas.
2FA padeda apsaugoti autentifikavimo procesą pirmai paslaugai, arba aš jį pridėsiu: įveskite užpuoliko slaptažodį, užpuolikui taip pat reikės saugos kodo, o kam reikalinga prieiga prie plėtinio, kuriame yra autentifikatorius programa. Dėl šios priežasties daugelis internetinių paslaugų rodo galimybę įjungti 2FA viešiesiems coristuvach įrašams, kad būtų skatinamas paskyrų saugumas autentifikavimo lygiu.
Šiame vadove bus paaiškinta, kaip Ubuntu 18.04 versijoje nustatyti 2FA už Google PAM modulio ne root administratoriams. Jei jums nereikia 2FA ne šakninei šaknei, vis tiek galite pasiekti kompiuterį naudodami savo šakninę paskyrą. Instrukcijos, kaip užpildyti vadovą, kad galėtumėte jas gauti tiek į serverius, tiek į grindų įrenginius, tiek vietinius, tiek nuotolinius.
Wimogi
- Ubuntu 18.04 serveris arba tinkamesnė darbo aplinka. Ubuntu 18.04 serverį reikia atnaujinti į .
- Autentifikavimo priemonė, įdiegta mobiliajame įrenginyje (pvz., Google Authenticator arba Authy). Naudodamiesi šia pagalba galite saugiai nuskaityti QR kodą.
1: „Google PAM“ modulio įdiegimas
Norėdami nustatyti 2FA Ubuntu 18.04 versijoje, turite įdiegti „Google“ PAM modulį, skirtą „Linux“. Prijungiamas autentifikavimo modulis (PAM) yra Linux autentifikavimo mechanizmas. „Google“ PAM modulis leidžia jūsų paskyrai perduoti 2FA autentifikavimą, kuris generuojamas naudojant „Google“ OTP kodą.
Matykite sistemą kaip greitą sudo patikrinimą, kurį atlikote pirmą valandą po serverio pašto sąrankos:
ssh [apsaugotas el. paštas] _serverio_ip
Atnaujinkite Ubuntu paketo indeksą, kad išlaikytumėte likusią autentifikatoriaus versiją:
sudo apt-get atnaujinimas
Atnaujinę saugyklas, įdiekite likusią PAM modulio versiją:
sudo apt-get install libpam-google-authenticator
Tai nedidelė pakuotė be indėlių, todėl montavimas užtruks kelias sekundes. Dabar turime 2FA, skirtą sudo koristuvach.
2 veiksmas: nustatykite dviejų veiksnių autentifikavimą
Dabar, jei įdiegėte PAM modulį, paleiskite jogą, kad sugeneruotumėte koristuvach QR kodą. Jums nereikia kurti kodo, bet jums nereikia 2FA Ubuntu, nebent įjungsite її.
Paleiskite komandą google-autentifikatorius, kad paleistumėte ir įdiegtumėte PAM modulį:
google autentifikavimo priemonė
Komanda paprašys jūsų maisto ir konfigūracijos pasirinkimo. Grąžink, ką tik nori, kad žetonai būtų keičiami valandai. Autentifikavimo žetonai, keičiami valandomis, nustos galioti po vieno intervalo (tampa 30 sekundžių, jei norite užrakinti daugiau sistemų). Žetonai su keičiamomis valandomis yra saugūs, mažesni žetonai be tokių keitimų, o daugiau 2FA diegimų yra pergalingi. Čia galite pasirinkti bet kurią parinktį, tačiau rekomenduojame pasirinkti Taip ir laimėti autentifikavimo žetonus pagal valandą:
Ar norite, kad autentifikavimo prieigos raktai būtų pagrįsti laiku (y/n) y
Vіdpovіvshi y ant tse pitannі, vіbachit kіlka kіlka vіvennіnі konsolėje:
- QR kodas: šis kodas, kurį reikia nuskaityti papildomai autentifikavimo programai. Kai nuskaitysite jogą, programa sukurs naują odos OTP 30 sekundžių.
- Slaptas raktas: tai alternatyvus būdas nustatyti autentifikavimo programą. Jei naudojate vedlio programą, jei nepriimate QR nuskaitymo, galite įvesti slaptąjį raktą, kad nustatytumėte autentifikavimo priemonę.
- Patvirtinimo kodas: pirmasis šešių skaitmenų kodas, sugeneruojantis konkretų QR kodą.
- Avarinis nutrinimo kodas. Šie vienkartiniai žetonai (jie taip pat vadinami rezerviniais kodais), leidžia perduoti 2FA autentifikavimą, todėl naudojate autentifikavimo priedą. Išsaugokite savo qi kodą kitoje vietoje, kad oblikovy įrašo blokavimas būtų atblokuotas.
Pritaikius autentifikavimo programą ir saugioje vietoje išsaugojus atsarginį kodą, programa paklaus, ar norite atsisiųsti konfigūracijos failą. Jei gausite n, turėsite dar kartą paleisti atnaujinimo programą. Įveskite y, kad išsaugotumėte pakeitimą ir tęstumėte:
Ar norite, kad atnaujinčiau jūsų „~/.google_authenticator“ failą (y/n) y
Tada programa jūsų paklaus, ar norite įvesti kitą autentifikavimo kodą daugiau nei vieną kartą. Norėdami užrakinti, odos kodą galite pasukti tik vieną kartą, kol nuo sukūrimo nepraėjo 30 sekundžių. Tai yra saugiausias pasirinkimas, kuris laimi prieš pakartotinio užpuoliko patvirtinimo atakas, tarsi būtų galima atimti jūsų patvirtinimo kodą. Todėl vikoristanny kodus geriau aptverti daugiau nei vieną kartą. Pateikite įrodymą y, kad galėtumėte surinkti tokio pat ženklo bagatarazės vikoristaną:
Ar norite neleisti kelis kartus naudoti tą patį autentifikavimą
žetonas? Kieno sąrašą žinote, kad ruožas 30s, bet jis auga
jūsų paaiškinimo pakeitimai arba padėti jums pridėti žmogaus puolimą (y / n) y
Tada jums reikia pasakyti, ką norite, kad autentifikavimo žetonai buvo gauti praėjus valandai po jų didžiojo termino pabaigos. Cody jau jautrus iki valandos, kad smarvė gali būti ne spratsyuvat, nes jūsų ūkiniai pastatai nėra sinchronizuoti. Ši parinktis leidžia išspręsti šią problemą padidinant reklaminių kodų tikrinimo valandą, kad autentifikavimo kodai būtų priimti bet kuriuo metu (pavyzdžiui, jūsų plėtiniai nesinchronizuojami). Geriausia pereiti prie to, kad valanda yra visuose sinchronizavimo plėtiniuose, todėl galite šiek tiek sumažinti sistemos saugumą. Pateikite įrodymą n ant maitinimo grandinės, kad nepervertintumėte termino di token:
Pagal numatytuosius nustatymus žetonai yra tinkami 30 sekundžių ir siekiant kompensuoti
Galimybė keisti laiką tarp kliento ir serverio, kuris gali būti papildomas
prieigos raktas prieš ir po dabartinio laiko. Jei patiriate problemų su vargšais
laiko sinchronizavimą, galite pakeisti langą iš numatytojo
dydis nuo 1:30 min iki maždaug 4 min. Ar norite tai padaryti (y/n) n
Likti maistu: ar norite įjungti mėginių skaičiaus keitimą, kad patektų į sistemą. Neleiskite daugiau nei tris paskutinius bandymus prisijungti prie sistemos 30 sekundžių, kad pagerintumėte sistemos saugumą. Padidinkite tse obezhennya, vіdpovіvshi y:
Jei kompiuteris, prie kurio prisijungiate, nėra apsaugotas nuo brutalios jėgos
Bandant prisijungti, galite apsaugoti autentifikavimo modulį.
Pagal numatytuosius nustatymus užpuolikai turėtų prisijungti iki 3 bandymų kas 30 sekundžių.
Ar norite įjungti greičio ribojimą (y/n) y
Naudodami PAM modulį įdiegėme ir sugeneravome 2FA kodą. Dabar savo aplinkoje turite įjungti 2FA.
3 veiksmas: suaktyvinkite 2FA Ubuntu
Google PAM modulis dabar generuoja 2FA kodavimą autentifikavimui, tačiau Ubuntu sistema dar nežino, ką nulaužti kodą autentifikavimo procese. Kuriame etape reikia atnaujinti Ubuntu konfigūraciją, kad 2FA prieigos rakto palaikymas būtų pritaikytas prie pradinio autentifikavimo.
Čia yra du keliai:
- Dviejų veiksnių autentifikavimą galite naudoti retkarčiais, jei prisijungiate prie sistemos, ir vieną kartą, jei gaunate sudo teises.
- 2FA galite naudoti mažiau nei valandą, kad prisijungtumėte prie sistemos, arba kai gausite sudo teises, jums reikės tik koristuvach slaptažodžio.
Pirmasis variantas bus idealus laukinei terpei, de bazhano Protect, nesvarbu, ar tai yra diї, o tai reiškia sudo privilegijas. Kitas praktinis vietinio darbo stalo metodas de vie yra vienintelis sistemos branduolys.
Pastaba: Jei įjungsite 2FA nuotoliniame kompiuteryje, prieš uždrausdami prieigą per SSH, turite perskaityti du ir tris vadovo veiksmus, pirmiausia tęskite su robotu. Tolesni žingsniai šiame vadove, kad patektumėte į visus Ubuntu diegimus, tačiau viduryje jums reikės papildomų patobulinimų, kad SSH paslauga žinotų apie 2FA.
Jei nenaudojate SSH prieigai prieš diegdami Ubuntu, galite tiesiog pereiti prie kitos šio vadovo dalies.
Įjunkite 2FA prisijungdami ir suteikite sudo leidimus
Kad sistema laimėtų 2FA valandai prisijungimui ir tolesniems privilegijų prašymams, turite redaguoti /etc/pam.d/common-auth failą, teisingo failo gale pridedant eilutę.
Bendrojo autentifikavimo failas zastosovuetsya prieš visus autentifikavimo mechanizmus sistemoje, neatsižvelgiant į laikmeną. Vіn taip pat zastosovuєtsya prieš zatochiv authentifikatsії, yakі vіdbuyutsya po koristuvach įvedimo į sistemą, pavyzdžiui, valandą po sudo teisių prašymo, jei terminale įdiegtas naujas paketas.
Atidaryti failą:
sudo nano /etc/pam.d/common-auth
Pridėkite prie failo pabaigos:
...
# ir čia yra daugiau modulių, skirtų vienam paketui (blokas „Papildomas“)
reikalinga sesija pam_unix.so
Šioje eilutėje yra 2FA palaikymas Ubuntu autentifikavimo sistemoje valandiniam prisijungimui per Google PAM modulį. Nulok parinktis leidžia teisėtiems paskyros savininkams pasiekti sistemą, darant prielaidą, kad jie nenustatė 2FA autentifikavimo savo debesies paskyroje. Kitaip tariant, korystuvantai, nustatę 2FA, bus kalti prisijungdami įvedę autentifikavimo kodą, tą valandą, jei jie nepaleido google-autentifikatoriaus komandos, jie gali prisijungti prie sistemos savo standartiniams debesies duomenims, smirdantys dokai nesukurs 2FA.
Išsaugokite ir uždarykite failą.
Prisijungdami paprašykite 2FA mažiau
Jei norite, kad 2FA būtų įjungta tik prisijungus prie darbalaukio vidurio, reikia redaguoti darbalaukio tvarkyklės konfigūracijos failą, kurį laimėsite. Konfigūracijos failo pavadinimas vadinamas darbo lentelės vidurio pavadinimu. Pavyzdžiui, gdm (Ubuntu lock-in, pradedant nuo Ubuntu 16.04) konfigūracijos failas yra /etc/pam.d/gdm.
Serveryje be galvos (pvz., virtualiame serveryje) turėsite redaguoti /etc/pam.d/common-session failą. Atidarykite numatytąjį failą savo aplinkoje:
sudo nano /etc/pam.d/common-session
Pridėkite vaizdo įrašo eilutę prie failo pabaigos:
#
# /etc/pam.d/common-session – su sesija susiję moduliai, bendri visoms paslaugoms
#
...
# # ir čia yra daugiau modulių, skirtų vienam paketui (blokas „Papildomas“)
reikalinga sesija pam_unix.so
sesija pasirenkama pam_systemd.so
# pam-auth-update konfigūracijos pabaiga
reikalingas autentifikavimas pam_google_authenticator.so nullok
Dabar Ubuntu vimagatme 2FA, jei prisijungsite prie sistemos per komandinę eilutę (vietiniu būdu, nuotoliniu būdu per SSH), negalėsite vykdyti komandų iš sudo.
Jūs pakoregavote Ubuntu, kad palaikytumėte 2FA. Dabar atėjo laikas protestuoti prieš konfigūraciją ir iš naujo sukonfigūruoti, kad prisijungus prie Ubuntu sistemos būsite paraginti įvesti saugos kodą.
4 veiksmas: dviejų veiksnių autentifikavimo tikrinimas
Anksčiau sukūrėte 2FA, kad atitiktų odos kodus per 30 sekundžių. Dabar pabandykite pereiti į savo Ubuntu aplinką.
Ieškokite sistemos ir vėl pamatykite mano Ubuntu aplinkoje:
ssh [apsaugotas el. paštas] _serverio_ip
Jei patvirtinate slaptažodžiu pagrįstą autentifikavimą, būsite paraginti įvesti kupono slaptažodį:
Pastaba: Jei nuotoliniame serveryje laimite sertifikatų autentifikavimą, slaptažodžio neprašoma. Raktas bus išsiųstas ir priimtas automatiškai. Turėsite įvesti tik patvirtinimo kodą.
Įveskite slaptažodį, po kurio būsite paraginti įvesti 2FA kodą:
Patvirtinimo kodas:
Po to perkelkite jį į sistemą:
[apsaugotas el. paštas] _serverio_ip: ~#
Kadangi 2FA įjungtas tik prisijungimui, jums nebereikės įvesti 2FA patvirtinimo kodo iki seanso pabaigos arba nebūsite prisijungę rankiniu būdu.
Kadangi įgalinote 2FA naudodami bendrąjį autentifikavimo failą, būsite paraginti tą patį padaryti su sudo teisėmis, kai prisijungsite prie odos:
[apsaugotas el. paštas] _server_ip: ~# sudo -s
„8host“ sudo slaptažodis:
Patvirtinimo kodas:
[apsaugotas el. paštas] _server_ip:
Jūs suklaidinote, kad 2FA konfigūracija veikia tinkamai. Tarsi kažkas nutiko ir sistema neprašė patvirtinimo kodo, grįžkite į trečiąjį branduolio skaidinį ir dar kartą patikrinkite, ar perskaitėte teisingą Ubuntu autentifikavimo failą.
5: Užkirsti kelią 2FA blokavimui
Jei jums reikia išleisti savo mobiliosios programos saugos lėšas, svarbu perduoti atsarginės kopijos metodą, kad atkurtumėte prieigą prie jūsų fizinės paskyros 2FA pagalba. Jei anksčiau esate įdiegę 2FA, turite keletą galimybių atkurti prieigą po užblokavimo:
- Išsaugokite slaptų konfigūracijos kodų atsargines kopijas saugioje vietoje. Galite tai padaryti rankiniu būdu arba naudoti autentifikavimą, pvz., Authy, kad suteiktumėte kodo atsarginę funkciją.
- Išsaugokite atnaujinimo kodą saugioje vietoje už vidurio vidurio, palaikydami 2FA, prie kurios galite pasiekti įvairius poreikius.
Kadangi neturite prieigos prie atsarginės kopijos parametrų, galite pabandyti atkurti prieigą prie vietinės laikmenos arba nuotolinio serverio su 2FA palaikymu kitu būdu.
6: Atkurkite prieigą prie vietinės žiniasklaidos (neprivaloma)
Jei turite fizinę prieigą prie automobilio, galite įjungti atnaujinimo režimą, kad išjungtumėte 2FA. Taisymo režimas yra bendras tipas (panašus į vykonannya) sistemoje „Linux“, kuris yra pergalingas vykdant administracines užduotis. Norėdami patekti į atnaujinimo režimą, turėsite iš naujo nustatyti GRUB nustatymus.
Norėdami gauti prieigą prie GRUB, iš naujo paleiskite kompiuterį:
Kai pasirodys GRUB meniu, perjunkite, kad pamatytumėte Ubuntu įrašą. Įdiegimo 18.04 priežastis yra reklama, bet ją galima pataisyti, todėl po įdiegimo jį pakeitėte rankiniu būdu.
Tada paspauskite klaviatūros klavišą e, kad redaguotumėte GRUB konfigūraciją prieš įsiverždami į sistemą.
Eikite į failo pabaigą ir raskite eilutę, kuri prasideda linux ir baigiasi $vt_handoff. Pereikite į eilutės pabaigą ir pridėkite systemd.unit=rescue.target. Persigalvokite, jei norite pabandyti tarp $vt_handoff ir systemd.unit=rescue.target. Ar norite leisti Ubuntu mašinai pereiti į naujovių režimą.
Atlikę pakeitimą, išsaugokite failą papildomam klavišų deriniui Ctrl + X. Jūsų mašina bus atnaujinta, o jūs atsiremsite į komandinę eilutę. Norėdami pereiti į atnaujinimo režimą, paspauskite klavišą Enter.
Remdamiesi komandine eilute, atidarykite „Google Authenticator“ konfigūracijos failą, esantį užblokuoto koristuvach namų kataloge.
nano /home/8host/.google-authenticator
Pirmoje šio failo eilutėje yra slaptas koristuvach raktas, kuris yra pergalingas nustatant autentifikavimo priemonę.
Dabar turite dvi parinktis:
- Galite nukopijuoti slaptąjį raktą ir nustatyti autentifikavimo priemonę.
- Jei norite pradėti nuo švaraus arkush, galite perskirstyti failą ~/.google-authenticator, kad išjungtumėte 2FA tam koristuvach. Prisijungę dar kartą, galite iš naujo sukonfigūruoti 2FA ir gauti naują slaptąjį raktą.
Bet kokiu atveju, užblokavę 2FA vietinėje aplinkoje, galite atkurti sistemą, kad galėtumėte patraukti GRUB. Dali mi rozpovimo, kaip atidaryti prieigą prie užblokuoto nuotolinio vidurio.
7: prieigos prie nuotolinio centro sustiprinimas (neprivaloma)
Jei jūsų sudoer išvaizda užblokuota iš tolimo vidurio, galite jį įjungti tuo pačiu metu arba iš naujo sukonfigūruoti 2FA naudodami root.
Žiūrėti į sistemą kaip root root:
ssh [apsaugotas el. paštas] _serverio_ip
Prisijungę atidarykite „Google Authenticator“ failą, esantį užblokuoto koristuvach namų kataloge:
sudo nano /home/8host/.google_authenticator
Pirmoje šio failo eilutėje yra slaptasis koristuvach raktas, kurio reikia norint nustatyti autentifikavimo priemonę.
Dabar turite du kelius:
- Jei norite iš naujo sukonfigūruoti naujus arba ištrintus priedus, galite iš naujo sukonfigūruoti slaptąjį raktą, kad iš naujo sukonfigūruotumėte autentifikavimo programinę įrangą.
- Jei norite pradėti nuo švaraus lapo, galite dar kartą apsilankyti /home/8host/.google_authenticator faile ir išjungti 2FA toje priegloboje. Prisijungę naudodami sudo, galite iš naujo sukonfigūruoti 2FA ir gauti naują slaptąjį raktą.
Bet kurią iš šių parinkčių galite pakeisti po to, kai užblokuotas 2FA, pakeistas šakninio įrašo atsiradimas.
Visnovok
Naudodami šį vadovą ištaisėte 2FA Ubuntu 18.04 įrenginyje. Dviejų veiksnių autentifikavimas užtikrina papildomas visos sistemos viešųjų įrašų apsaugos išlaidas. Jei naudojate standartinius debesies duomenis, norėdami prisijungti, taip pat turėsite įvesti papildomą patvirtinimo kodą. Norėdami atimti neteisėtą prieigą prie jūsų oblіkovogo įrašo, kad piktadarys galėtų patekti į jūsų oblіkovі duomenis.
Žymos: ,- Įdiegta ROSA Enterprise Linux Server versija ne žemesnė nei 6.8 konfigūracijoje „Standartinis ROSA serveris“
- Prieiga prie saugyklos
- Pridedamas Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC iš karto iš skaitytuvo. Dėl prisegimo kaltas sertifikatas
Norėdami pašalinti prieigą prie saugyklos, pašalinkite raktą iš palaikymo tarnybos ir administratoriaus teisėmis vykdykite šią komandą:
aidas<ключ>> /etc/rosa-support-id-server
Zastosovnіst
Instrukcijose aprašomas ROSA Enterprise Linux Server paslaugų, reikalingų autentifikavimui naudojant Rutoken ECP pergales, diegimas ir tinkinimas. Užpakalis turi AMD64 architektūrą; 32 bitų sistemoje viskas bus taip pat iki aplankų pavadinimų.
Kai toliau bus pristatyta Rutoken ECP autentifikavimo procedūra, ji taps įmanoma, tačiau ji nebus privaloma.
Sumontuoti komponentai
Įdiekite būtinas ir pašalinkite prieštaraujančias priemones (reikalingos administratoriaus teisės):
Su yum įdiegti ccid opensc pam_pkcs11 gdm-plugin-smartcard yum pašalinti coolkey
Įdiekite PKCS#11 biblioteką, skirtą Rutoken ECP (svarbu įdiegti biblioteką įdiegus paslaugų programas):
- Eikite į Rutoken svetainę: https://www.rutoken.ru/support/download/pkcs/.
- Eikite į skirtuką „GNU/Linux branduoliams“ ir spustelėkite „rtPKCS11ecp biblioteka, skirta GNU/Linux RPM 64 bitų (x64)“.
- Pateikite užklausą ir įdiekite paketą (reikalingas administratoriaus slaptažodis).
Nalashtuvannya
Sukursiu pakartotinį sistemos patikrinimą ir matomumą pagal naują reikalingą informaciją
- Bėk vnt(reikia administratoriaus teisių):
- Užbaikite pagrindinį procesą vnt, kaip šis boov:
Šiuo metu žetoną galima įterpti į skirtingas rožes.
- Vikonaitė:
- Atidarykite skirtuką arba atidarykite terminalą ir įveskite jame komandą:
Vynuogynai turi matomus parametrus ir pastato pavadinimą. Žemiau pateikiamas vizijos pavyzdys.
- Pakeiskite papildomos įžeidžiančios komandos reikalingos informacijos buvimą žetonu (reikalingas slaptažodis yra prieigos rakto tipas):
Wisnovku yra atsakingas už sertifikato objektą. Tokie parametrai, kaip ID ir etiketė, gali būti pakeisti, kai pelės žymeklis nuleidžiamas žemiau.
Pridedamas pasitikėjimo sertifikatas
- Sukurkite patikimų sertifikatų duomenų bazę (reikia administratoriaus teisių):
- Nukopijuokite sertifikatą iš tokeno (reikalingas prieigos rakto slaptažodis. ID parametrą galima paimti iš komandos pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l) išvesties:
- Pridėkite sertifikatą patikėtiniui (reikia administratoriaus teisių):
Konfigūracijos failų keitimas
Norint pakeisti konfigūracijos failus, reikia administratoriaus teisių.
pam_pkcs11.conf
- Sukurkite (pavyzdžiui, darbalaukyje) tekstinį failą pam_pkcs11.conf su toliau nurodyta informacija:
- Perkelkite failą į /etc/pam_pkcs11/ katalogą:
sistema-auth
- Prijunkite modulį prie PAM autorizacijos sistemos:
- Redagavimo priemonėje atidarykite sistemos autentifikavimo failą nano arba mcedit:
- Pridėti kitoje eilutėje:
- išsaugoti failą (
subjekto_kartojimas
- Vykdykite komandas:
- Nukopijuokite aukščiau pateiktą komandą iš /etc/pam_pkcs11/subject_mapping failo ir nurodykite, kuriam subjektui priklauso sertifikatas.
Galima pamatyti keletą konfigūracijų:
Komandos pkcs11_inspect patikrinimas -><имя_пользователя>
Autentifikavimo pakartotinis patikrinimas per konsolę
- Atidarykite naują langą arba konsolės skirtuką.
- Išmušk su komandą<имя_пользователя>(im'ya koristuvacha nurodyta subjekto_mapping).
Vizijos pavyzdys:
Dar kartą patikrinę autentifikavimą per konsolę, galite išvalyti padidinimo režimą. Norėdami tai padaryti, paimkite žodį debug iš /etc/pam.d/sysauth failo nurodytoje eilutėje ir įdėkite debug false vietoj true iš /etc/pam_pkcs11/pam_pkcs11.conf failo.
Ekrano užraktas
- Atidarykite pkcs11_eventmgr failą redaguoti (reikia administratoriaus teisių):
Po redagavimo konfigūracijos failas gali atrodyti taip:
Pkcs11_eventmgr (# Vykdyti fone? Reiškia debug=false, jei true daemon = true; # rodyti derinimo pranešimus? debug = false; # apklausos laikas sekundėmis polling_time = 1; # galiojimo laikas sekundėmis # numatytasis = 0 (be galiojimo pabaigos) exp 0 ; # pkcs11 modulis, skirtas naudoti pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # įvykių ir veiksmų sąrašas # Kortelė įdėta įvykis card_insert # veiksmų seka baigti # quit: baigti programą on_error = ignoruoti; ) # Kortelė pašalinta įvykis card_remove ( on_error = ignoruoti; action = "gdmflexiserver"; ) # Per daug laiko kortelė pašalinta įvykio expire_time ( on_error = ignoruoti; action = "/bin /false"; ) )
- Pridėti naudingumą pkcs11_eventmgr automatinio įsigijimo metu. Kuriam iš jų, redaguokite korespondento .bash_profile failą, kad patvirtintumėte:
- Užbaikite failą eilute, kurią paleidžiate pkcs11_eventmgr.
Butt file.bash_profile po redagavimo:
Renkantis papildomo žetono autentifikavimą, ekranas atrodo maždaug taip.
Nuo 2020 m. GOST R 34.10-2001 šifravimo era turėtų būti pagrįsta tvora, be to, visos organizacijos, bendraudamos su valstybės struktūromis, yra painiojamos dėl terminų, palaikančių naująjį standartą - 2012 m. Jei dirbate viename iš jų, nepraeikite: šiuose straipsniuose kalbėsime apie tai, kaip išspręsti problemą naudojant CentOS 7 serverį ir CryptoPro JCP paketą.
Jei jau apie viską žinai, tai istorinių įrodymų mažai.
1994 m. Federalinė saugumo tarnyba (FSB) taikė žemus standartus ir ragina apsaugoti organizacijų ir kitų šio proceso dalyvių keitimąsi dokumentais. Vienu iš tokių saugumo būdų tapo elektroninis skaitmeninis dokumentų parašas, o vienas iš standartų yra GOST R 34.10-94, kuriame aprašomas elektroninio skaitmeninio parašo formavimo ir pakartotinio tikrinimo algoritmas. Priimta ir įvesta garbingojo Rusijos Deržstandarto 1994 m. sausio 23 d., Nr. 154, tęsiama iki 2001 m.
Dėl pakeitimo gavome GOST R 34.10-2001 įvedimą - standartinius patobulinimus, išplėtimus, siekiant užtikrinti didesnį algoritmo stabilumą. Ale valanda, kad nestovėtų misijoje, keičiami kriptovaliutos algoritmai ir metodai, o po vienuolikos metų GOST R 34.10-2001 keičiamas į GOST R 34.10-2012.
Naujajame standarte pirmasis variantas negalėjo būti keičiamas tol, kol parametrai nepasikeitė. Slapto rakto reikšmė turėtų būti artima 256 bitams, tačiau ji buvo perkelta į maišos funkciją, kurios maksimalus maišos kodas yra 256 arba 512 bitų. Pagrindinis dalykas yra naujo standarto įvedimas - parinktys su papildomais parametrais ir schemomis, įskaitant standarto GOST R 34.11-2012 "Stribog" maišą.
INFORMACIJA
Stribogas – senovės žodžių dievas, kuris užtaria vėjus, laukia visko, kas rodoma atviroje erdvėje. Galbūt, ir niūrios technologijos taip pat. Norėdami gauti ataskaitą apie šiuos šifrus, skaitykite straipsnius "" kad "".
Įnirtingame 2014 m. likime FSB paskelbė apie perėjimo prie naujo nacionalinio standarto GOST R 34.10-2012 priėmimo pradžią, kad būtų galima elektroniniu būdu pasirašyti informaciją, kad nebūtų kerštaujama už informaciją, siekiant nustatyti valstybės paslaptį. Turime 2014-09-31 dokumentą numeriu 149/7/1/3-58 „Dėl perėjimo prie naujų ECP standartų parinkimo tvarkos ir maišos funkcijos“, įdiegę tokią pagalbą.
- Pіsl 31 krūtys 2013 m. ROCKITI STIFIFIKATSIUY ŽAISĖ ELEKTRONIŠKĄ PIDPISA ant Vіdpovіdnіst Vimogam į Zavobiv Elektrona Pіdpisu, darbas 2011-12-27 ROK Realvysta-2011 ROK Funkcijos
- 2018-03-31 tvoros padavimo data buvo GOST R 34.10-2001 dėl elektroninio parašo formavimo.
Susisiekimo ministerija parengė perėjimo prie standarto planą (PDF). Praktiškai paaiškėjo, kad viskas nėra taip paprasta, o perėjimas įvyko iki 2019 m. gruodžio 31 d. Dėl to taip.
- Daugelis suverenių ir savivaldybių institucijų nėra pasirengusios pereiti prie naujo elektroninio parašo standarto GOST-2012 per kasdienę prenumeratą PZ upėje.
- Norint išduoti naujo ženklo sertifikatą, savaime suprantama, būtina turėti naują GOST, tą Vadovo centro sertifikatą, patvirtinantį, darinius su GOST-2012 standartais. Posvidchuvalni centre joga buvo pašalinta iš 2018-ųjų roko trasos. Visoms koristuvachoms išduoti pažymas užtruks papildomą valandą.
Tuo pačiu metu yra du standartai kriptovaliutų apsaugai ECP darbui ir ale tim, kuris vikoristovuє GOST-2001, terminas reikalingas robitui. Žiema, kaip atrodo, yra arti, bet tai reiškia, kad mums trūksta patikrinimo, kai įgyvendiname GOST-2012 standartus.
Aš jums pasakysiu, kaip įdiegti FSB zasib SKZI sertifikatą (CryptoPro JCP) Linux serveryje pagal Java JDK ceremonijas. Iki kalbos, kaip ty dosі vykoristovuєsh DERZHSTANDART-2001, svetainėje CryptoPro є chudova, raja tobi її neskaitysime.
Visai dokumentacijai tarp biržos dalyvių taikomas CMEV principas (tarpelektroninės sąveikos sistema). Priedas gali būti tokios sistemos dalyvis, arba gali nežinoti, kad keitimosi dokumentais principas jokiu būdu nesikeičia. Paprastumo dėlei nubraižiau nedidelę schemą.
Kainos
Paprastai paskelbkite programinės įrangos sprendimo licenciją. „CryptoPro JCP“ nėra pigus, o jei viena darbo stotis kainuoja 1200 rublių, tai serverio licencijos kainuoja daug daugiau – arti 30 000 už „skin“ branduolį (arba du „Intel“ procesoriaus branduolius su įjungtu „Hyper Threading“).
Įdiegtas ir pakoreguotas kriptovaliutų tiekėjas
Mano atveju aš dirbu virtualioje mašinoje su CentOS 7, bet man nekyla problemų pasirenkant aparatinės įrangos sprendimą tam Linux platinimui. Mes žinome, kad komandos pačios bus tokios.
Kuriame vietinę coristuvacha, pіd yakim pratsyuvatime PZ, scho vykoristovuє podpis dokumentіv.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash vartotojas; sudo grep vartotojas /etc/passwd
Teisingai įdiekite Java JDK. Vikachuemo būtinas paskirstymo rinkinys.
$wget --antraštė "Slapukas: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Išpakuokite archyvus ir patikrinkite, ar Java aplankas paruoštas kopijavimui.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Nukopijuokite aplanką į taikomosios programinės įrangos platinimą. Grosiu vicorist /opt.
$ sudo cp -rf jdk1.8.0_191 /opt/
Patikrinkite, kas buvo nukopijuota teisingai. Jei reikia, pakeiskite aplanko savininką į root.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R root:root /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Rašysime pakeitimus į Java JDK galąstuvą visoms spynoms.
$ sudo vi /etc/profile.d/oracle.sh
Failas parašytas taip:
Eksportuoti JAVA_HOME=/opt/jdk1.8.0_191 eksportuoti JRE_HOME=/opt/jdk1.8.0_191/jre export PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre/
Kadangi serveryje yra kelios Java JDK versijos, būtina užregistruoti alternatyvas naujai versijai.
$ sudo alternatyvos --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 2 $ sudo alternatyvos --install /usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2 $ sudo alternatyvos --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ sudo alternatyvos --set jar /opt/jdk1.8.0_181/bin/jar $ sudo alternatyvos --set jar /opt/jdk1.8.0_191/bin/jar $ sudo alternatyvos --set javac /opt/jdk1.8.0_191/bin/javac $ sudo alternatyvos --config java
Meniu pasirinkite 2 parinktį (arba tą, kuri perkels į naujesnę Java versiją). Nepamirškite ištaisyti JRE systemPrefs leidimų.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Patikrinkite įdiegtą Java versiją.
$ Java versija
java versija "1.8.0_191"
Java(TM) SE vykdymo aplinka (versija 1.8.0_191-b12)
Java HotSpot(TM) 64 bitų serverio VM (versija 25.191-b12, mišrus režimas)
Nukopijuokite aplanką su CryptoPro JCP platinimo rinkiniu iš taikomosios programinės įrangos platinimo.
$ sudo cp -rf jcp-2.0.40035 /opt/
Patikrinta, kad viskas nukopijuota teisingai.
$ ls -al /opt/jcp-2.0.40035/
Matome teises paleisti scenarijus.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Patikriname vlasnik, kad teisės į aplanką gali būti root. Eime pas ją.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
Norėdami išvengti problemų diegimo metu, patikrinkite procesoriaus branduolių skaičių ir licenciją. Galite nustatyti branduolių skaičių naudodami komandą nproc.
Pereikime prie JCP kriptovaliutų tiekėjo diegimo. Įdiegimo valandą turėsite būti prijungtas prie mažo maitinimo šaltinio.
Reklama galioja tik nariams
1 variantas. Ateikite į „svetainę“ ir perskaitykite visą svetainėje esančią medžiagą
Narystė su bendrai priskirtu terminu suteikia prieigą prie visos „Hacker“ medžiagos, padidinsite specialią kaupiamąją nuolaidą ir galėsite sukaupti profesionalų „Xakep Score“ įvertinimą!
