Windows, uzun süredir entegre bir ağ kimlik doğrulama sistemi ve tek oturum açma ile kümeler halinde sağlandı. Windows 2000'den önce, Windows NT etki alanı denetleyicileri, Windows istemcilerine NTLM protokolünü kullanarak kimlik doğrulama hizmetleri sağlıyordu. NTLM o kadar çok çalmamış olsa da, sanki anında verilmiş gibiydi, onu kurtarsak iyi olur, kırıklar, coristuvach'ın bulut kayıtlarını farklı sunucularda çoğaltma ihtiyacı sorununa net bir çözüm sunar. ağ.
Windows 2000'den başlayarak Microsoft, NTLM'den Active Directory'ye geçti ve Kerberos kimlik doğrulama hizmetini entegre etti. Kerberos, NTLM için önemli ölçüde korunur ve ayrıca daha iyi ölçeklenir. Bu arada Kerberos, zaten Linux ve UNIX sistemlerinde galip gelen ve bu platformları Windows ile entegre etmenin kapısını açan evrenin standardıydı.
Linux Kimlik Doğrulama Kontrolü
Linux'un omurgası (ve ayrıca yenisi üzerinde çalışılan GNU kitaplıkları) tek bir özgünlük mekanizmasına dayanmıyordu. Bunun bir sonucu olarak, Linux eklenti satıcıları, güvenilir özgünlük şemaları geliştirilmeden önce alındı. /etc/passwd (geleneksel olarak Linux'ta verilerin görünümünün intikamını almak için kullanılan bir metin dosyası) adresindeki isim ve şifrelerin hash kodlarını arayarak veya farklı (ve net) bir mekanizma arayarak ulaşmak mümkün oldu. .
Viyshov, buv demir dışı olan doğruluğun yeniden doğrulanması için mekanizmalar. 1995'te Sun, Takılabilir Kimlik Doğrulama Modülleri (PAM) adlı bir mekanizma önerdi. PAM, kimlik doğrulama için tüm eklenti dağıtıcıları tarafından kullanılabilen çok çeşitli API arabirimlerinin yanı sıra yönetici tarafından yapılandırılabilen ve farklı kimlik doğrulama şemalarının bağlanmasına izin veren bir sunucu öğesi sağladı. Orijinallik Doğrulaması ve Arayüzler için PAM API'sini Kullanma
Çoğu Linux sürümü, LDAP dizininde kimlik doğrulamayı ve Kerberos wiki ile kimlik doğrulamayı destekleyen modüller dahil olmak üzere birçok PAM kimlik doğrulama modülüyle birlikte sağlanmıştır. Bu modüller Active Directory'de kimlik doğrulama için seçilebilir ancak aynı zamanda bu makalede aşağıda anlatıldığı gibi exchange'in değerini de belirleyebilirsiniz.
Samba ve Winbind
Samba- tüm proje, Windows ve Linux ortamları arasında bir entegrasyon yöntemi olan yeni bir koda dayanmaktadır. Samba, Linux bilgisayarlarının dosya hizmetlerine ve diğer Windows'a erişmesini sağlayan ve ayrıca Windows NT 4.0 etki alanı denetleyicilerini taklit eden Linux tabanlı hizmetler sağlayan bileşenleri içerir. Samba istemci bileşenleri ile Linux bilgisayarlarına, Windows NT ve Active Directory etki alanı denetleyicileri tarafından sağlanan Windows Kimlik Doğrulama Hizmetleri aracılığıyla erişilebilir.
Bizim için, özellikle Samba'nın Winbind denen kısmı. Winbind, Samba istemcileri üzerinde çalışan ve bir taraftan bir Linux bilgisayarda çalışan PAM ile NSS ve denetleyiciler üzerinde çalışan Active Directory arasındaki iletişim için bir proxy olarak çalışan bir arka plan programıdır (Windows terimleriyle "hizmet"). etki alanı, s nshgo. Zokrema, Winbind, çekirdekler ve gruplar hakkında bilgi çıkarmak için Active Directory ve LDAP'nin orijinalliğini kontrol etmek için Kerberos'u kullanıyor. Winbind ayrıca bir etki alanı denetleyicisi görüntüleyebilme, DCLOCATOR Active Directory'ye benzer wincrow algoritması ve RPC yardımı için bir etki alanı denetleyicisine başvurarak Active Directory parolalarını bırakabilme gibi ek hizmetler de sağlar.
Winbind, PAM'ın yardımı için Kerberos'u kullanarak kaydedilen sorunları önler. PAM kimlik doğrulaması için kodlayan bir sabit etki alanı denetleyicisinin yedeği olan Zocrema Winbind, Microsoft DC LOCATOR modülünün nasıl devre dışı bırakılacağına benzer şekilde DNS bulucu kayıtlarını aramak için bir etki alanı denetleyicisi seçer.
Üç Kimlik Doğrulama Stratejisi
Linux bilgisayarlarda LDAP, Kerberos ve Winbind'in kullanılabilirliğini değiştirerek, bir Linux bilgisayarına kimlik doğrulama için Active Directory kazanma yeteneği vermek için yapılabilecek üç farklı uygulama stratejisi vardır.
LDAP Kimlik Doğrulama Sihirbazı Kimlik doğrulama için Active Directory kimlik doğrulamasını kullanmanın en basit, ancak en az güvenilir yolu, aşağıda gösterildiği gibi LDAP kimlik doğrulaması üzerinden PAM'e yama yapmaktır. Pirinç. 1. Active Directory'yi bir LDAPv3 hizmeti olarak istiyorsanız, Windows istemcileri LDAP yerine Kerberos kimlik doğrulamasını (yedek olarak NTLM ile) kullanır.
LDAP Orijinallik Doğrulama Süresi (LDAP'yi arayacağım) Kenarlık boyunca bu parolanın üzerine metin yazılır. Bu güvenli değildir ve daha büyük amaçlar için kabul edilemez.
Pirinç. LDAP Yardımı ile Active Directory'de Orijinalliği Yeniden Kontrol Etme
Bulut veri iletimini temizleme riskini azaltmaya yardımcı olmanın tek yolu, istemci-Active Directory iletişim kanalını SSL bağlantısının diğer tarafıyla şifrelemektir. Bu tamamen mümkündür, ancak hem etki alanı denetleyicisinin bilgisayarında hem de Linux bilgisayarında SSL sertifikalarını yönetmek için ek çaba harcar. Ayrıca, LDAP PAM modülü, bırakılan parolaların değiştirilmesini desteklemeyecektir.
Hasır LDAP ve Kerberos Linux Kimlik Doğrulaması Yeniden Düzenlemesi için Active Directory'yi kullanmanın başka bir stratejisi, kök gruplar hakkında bilgi aramak için Kerberos için PAM ve LDAP kimlik doğrulaması için NSS Kimlik Doğrulaması'nda gösterildiği gibi yama yapmaktır. Pirinç. 2. Tsya şeması, vіdnosnoї zahishchennosti'den ve Linux'un ilk vikoristovuyutsya vbudovanі olasılığından daha üstün olabilir. Ancak, etki alanı denetleyicileri listesini denetlemek ve bunların doğruluğunu denetlemek için Active Directory etki alanı denetleyicilerini yayınlayan DNS hizmeti yayın (SRV) kayıtlarını değiştirmez. Ayrıca, mevcut Active Directory parolalarını kırmak için özellikle sezgisel bir yol sağlamaz veya yakın zamana kadar grup üyelerinin şakası için yeterli değildir.
Pirinç. 2. LDAP ve Kerberos yardımıyla Active Directory'de özgünlüğün yeniden doğrulanması
Winbind VikiKaynak Linux kimlik doğrulaması için Active Directory'yi kullanmanın üçüncü yolu, önemli Winbind programına tıklamaları kazanmak için PAM ve NSS'yi kurmaktır. Winbind, farklı PAM ve NSS isteklerini, hangisi en uygunsa, Active Directory zaferlerine, LDAP, Kerberos veya RPC'ye çevirecektir. Üzerinde Pirinç. 3 stratejinin naochny kıçına işaret etti.
Pirinç. Winbind Yardımı ile Active Directory'de Orijinalliği Yeniden Kontrol Etme
Uygulama planımız
Geliştirilmiş Active Directory entegrasyonu, Linux-Active Directory entegrasyon projem için Red Hat Enterprise Linux 5 (RHEL5) için Winbind'i seçmemi sağladı. RHEL5, Red Hat Linux'un ticari sürümünün akış versiyonudur ve kurumsal veri merkezleri arasında popülerdir.
RHEL5 için, Active Directory aracılığıyla referansı kontrol ettikten sonra, aslında sonraki beş adıma ihtiyacınız vardır:
- En son Samba paketini ve diğer eski bileşenleri öğrenin ve edinin.
- Samba'yı seçin.
- Bu Samba ayarlarını yeniden yükleyin.
- Linux, PAM ve NSS'nin kendisini edinin.
- Active Directory'yi kurun.
Sonraki bölümlerde, makaleler raporda açıklanmıştır.
Gerekli programları arayın
Linux ve Windows arasındaki en büyük özelliklerden biri, Linux'un işletim sisteminin küçük bir çekirdeğinden ve iyi bakılmış ve kurulmuş geniş bir bileşen koleksiyonundan oluşmasıdır. Şarkı söyleme görevleri için en uygun olan daha dikkatli seçilmiş Linux kitleri oluşturmak ve ayrıca bir sunucu kurmak ve yönetmek için daha da daraltılabilir bir şekilde çalışmak mümkündür. Farklı dağıtımlar bunu farklı şekillerde ele alır. Red Hat (ve ticari olmayan kuzeni Fedora), bu bileşenleri kurmak ve yönetmek için Red Hat Paket Yöneticisi'ni (RPM) kullanır.
Red Hat için Linux bileşenleri iki biçimde gelir. RPM dosyaları yakі nіvnаnіnіnієnіnіnіїїї їїї їїї, Linux'un serbest bırakılması için zadalegіnі dіdіdіdіdіdіdіdіdіdіdіdіdіbranііdіnі ve uCPU arkhіtektury, dvіykovі dosyaları değiştirmek için. Böylece, örneğin bir Intel x86 mimarisi CPU'su üzerinde çalışan Fedora sürüm 10 için seçilen Common UNIX Printing System'ın (CUPS) 1.3.8-5 sürümünü alıp yükleyebilirsiniz. Bir düzine farklı CPU mimarisi, 100'den fazla Linux sürümü ve binlerce paket ve sürümün varlığına dayanarak, iki RPM paketi arasından seçim yapabilirsiniz.
Dış RPM dosyaları ise bu paketin gerçek çıkış kodunu alır. Koristuvacha ochіkuєtsya, zavantazhivat'taki scho, dosyalar, nalashtuє parametrov sbirannya, dvіykovі dosyaları oluşturur. Windows'u kurmak için açgözlü bir ana işletim sistemi seçme fikri, Microsoft'un Windows kurulum CD'sine koyduklarını yüklemek ve ardından paket yöneticisinin süreci oldukça ağrısız ve tamamen aptalca bir şekilde çalışması. Samba grubu, güvenlik güncellemelerini ve düzeltmelerini çılgın bir hızla yayıyor; Bir günden fazla ve bir serpen 2008, 100'den fazla affın intikamını alan ve güvenliği düzelten Samba 3.2'nin birkaç sürümünü yayınladı. Bu proje için Samba'nın kalan kararlı sürümünün 3.0.31 sürümünün çıktı kodu dosyalarını aldım.
Neden önceden derlenmiş ikili dosyalar kümesi yerine zavantazhivnyy Samba koduyum? Üzgünüm, biliyorum, önce daha fazlasını denedim. Ancak bir süre sonra indirdiğim iki dosyanın Active Directory'nin orijinalliğini korumak için gerekli bir şekilde toplanmadığını yönetici ile öğrendim. Standart yapılardaki eklemeler de dahil olmak üzere Active Directory'de Linux tanımlayıcılarını ayarlayan kod olan Zocrema, bu nedenle Samba'yı uygun yapı parametreleriyle yeniden oluşturma şansım oldu. Aşağıdaki tanımlayıcıların beslenme durumuna bakacağım.
Linux'un kendi başına küçük bir çekirdek olmasını istiyorsanız, Red Hat Enterprise sürümünün arkasında anonim bir paket kuruludur. Ses ciddi anlamda hayata soruyor, aynı çalışan işletim sistemini yeniden açmanıza izin veriyor, ancak yüklü paketlerin arkasından bir saat boyunca programlarla çakışıyor, sanki daha sonra yüklemeye aktarıyormuş gibi.
Red Hat kurulumuma Samba'yı dahil etmedim (kilitleme için Samba kurulumunu çağırın), ancak yeni sürümü güncellemem gerekiyordu. Ancak, Samba'nın daha yeni bir sürümü, halihazırda kurulu olan bir dizi başka hizmet kitaplığı ve yardımcı programının daha yeni sürümlerini desteklemeye devam edecektir. Benzer nadaslarla ilgili sorunlar sinir bozucu olabilir, ancak RPM'yi kolayca yenebilirsiniz.
İki RPM paketinin barındırıldığı anonim web sitelerini kullanın. Tweet attığım kişiye (sadece VIN'i ilk bilen) PBONE denir ve rpm.pbone.net'te gürledi. Paketleri ve yenisinde, CPU mimarim (i386) ve işletim sisteminin yayınlanması (Red Hat Enterprise Linux 5/Fedora 7 ve 8) için gerekli olan tüm dvd dosyalarını manuel olarak arayabilirim.
Geri ödemesi yapılan paketleri satın alma ve satın alma şansım oldu Pirinç. 4 Samba 3.0'ın kalan sürümünü seçmek için (ve sürüm 3.2'nin yeni bir ağacı var, ancak denemedim). Lütfen tüm paketlerin Fedora Core (fc) sürümü için uygun olduğunu unutmayın. Fedora'nın kazandığı aynı eski kodlara dayanan Red Hat vakıflarının dağılımı, bu konuda daha çılgın. Fedora Core 7 ve daha yeni sürümler için seçilen paketler, RHEL5'e değiştirilmeden uygulanır. Alınan RPM dosyalarını /usr/src/redhat/RPMS dizinine taşıyın.
Pirinç. 4. Samba 3.0.31'i kurmak ve kurmak için gereken paketler
Samba depolama
Samba'yı bir araya getirmenin ilk adımı, doğru giden RPM paketini elde etmektir. PBONE web sitesinden Samba 3.0.31 sürüm kodu RPM paketini indirdim. RPM dosyası /usr/src/redhat/SRPMS ile ilgili değildir; Bu, toplama işlemi için RPM paketleri ve saat kodları için standart dizindir.
Oturumu terminale açın (Windows terimleriyle “Komut satırı penceresi”) ve SRPMS klasörüne gidin. Bundan sonra, bozulduğu için, ek bir komut için çıkış kodları paketini aşağıda gösterildiği gibi kurun. Pirinç. beş.
Pirinç. beş. Samba çıkış kodlarının RPM paketini yükleme
"Kök kullanarak kullanıcı mockbuild mevcut değil" affı hakkında bir uyarı varsa, övünmeyin. Bu af, maket koleksiyonunun hizmet programlarını yüklememiş olanları belirtir. Katlama işlemi pratik ve onlarsız.
Ardından /usr/src/redhat/SPECS dizinine gidin ve Samba seçim parametrelerini değiştirmek için samba.spec dosyasını düzenleyin. "CFLAGS=" ile başlayan satırı bulun ve "--with-shared-modules=idmap_ad,idmap_rid" olarak değiştirin Bu parametre, seçim işlemi sırasında Active Directory için Linux benzersiz tanımlayıcılarını (UID) doğru çeviren bir kod olacağını garanti eder. Üzerinde Pirinç. 6 vurgulu parametre.
Pirinç. 6. Paylaşılan modüllerle katlama parametresi (“birlikte paylaşılan modüllerle”)
Samba'yı doğru seçip kurabilmeniz için bilgisayarınızdaki bazı kitaplıkları güncellemeniz gerekebilir; Sırayla, hangi kitaplık sürümlerinin kurulu olduğunu öğrenin. Aklımda, yeniden paketlenmiş paketleri kurma şansım oldu. Pirinç. 4, rpm-install komutu ile; bazı durumlarda, bazı nadas sorunlarını çözmek için --force seçeneğinin üstesinden gelme şansım oldu.
Samba'yı kurmak için /usr/src/redhat dizinine gidin ve rpmbuild -bb SPECS/samba.spec'i aşağıda gösterildiği gibi yazın. Pirinç. 7. Prosedürün bir sonucu olarak, yeni RPM dosyası samba-3.0.31-0.i386 /usr/src/redhat/RPMS dizininde kalacaktır. Bu RPM dosyasını daha sonra proje sırasında yükleyeceğiz.
Pirinç. 7. RPM Samba ikili dosyası oluşturma
Bir ağ ile bir Linux robotu kurma
Active Directory'nin yardımını geçersiz kılmak için, Linux bilgisayarı, annesinin etki alanı denetleyicisiyle iletişim kurma yeteneğinden sorumludur. Olabilirse, önlemin üç parametresini düzeltmek gerekir.
İlk olarak, Linux bilgisayardaki medyan arayüzünün, ya DHCP protokolü yoluyla veya ek ifconfig komutu. RHEL5 için, Sistem | Yönetim (Sistem | Yönetim), gösterildiği gibi Pirinç. 8.
Pirinç. 8. Ağın döşenmesi
Linux bilgisayar için DNS ad çözümleme hizmetinin, etki alanı denetleyicisiyle aynı DNS ad sunucusunun aynı ana bilgisayarına kurulduğunu değiştirelim; Çoğu durumda, DNS'nin kazandığını varsayarak, Active Directory ile entegre bir Linux bilgisayarı getirmek gerekli olana kadar bir etki alanındaki bir etki alanı denetleyicisidir. DNS sekmesinde DNS'nin sabitlenmesine izin veriliyorsa, servis programı aşağıdaki şekilde gösterildiği gibi kurulur. Pirinç. dokuz.
9. Temel DNS izni oluşturun
Nareshti, bu görevlerin tamamlanmasından sonra bu ismi domainde gösterebilmek için Linux isminin yüklenmesi gerekmektedir. Ölçüyü sabitlemek için muzaffer bir program yükleyebilirseniz, uygun bir rütbe ile çalışmak zorunda değilsiniz.
/etc/hosts dosyasını değiştirin ve forma localhost.localdomain girişinin altına bir giriş ekleyin
Linux'ta senkronizasyon zamanını ayarlama
Kerberos protokolü, yüksek senkronizasyon doğruluğu elde etmek için yıl sonu kimlik doğrulama sistemlerinin varlığına dayanır. Promosyonlar için Active Directory, maksimum beş krediye izin verir. Arada o yılın etki alanı denetleyici sistemlerinden Linux sistemlerinin yeniden başlatılmasını sağlamak için, etki alanı denetleyicisinin NTP protokolüne hizmet etmek için Linux sistemlerini yükseltmek gerekir.
System | Linux sunucusunda Date & Time yardımcı programını çalıştıralım | Yönetim ve NTP protokolü sekmesini seçin. Ağ Zaman Protokolünü Etkinleştir ("NTP protokolünü etkinleştir") bayrağını ayarlayın ve mümkün olan en kısa sürede değiştirilmesi gereken etki alanı denetleyicisinin IP adresini ekleyin. Birincil etki alanı denetleyicisinin (PDC) FSMO taklitçisinin rolünün intikamını almak için etki alanındaki etki alanı denetleyicisinin suçlanacağına dikkat edin. Üzerinde Pirinç. 10 Linux için birleştirilmiş bir dzherel saatinin kurulumunun poposu.
Pirinç. 10. NTP protokolünün uygulanması
PAM ve NSS kurulumu
PAM ve NSS nadayat zasіb z'ednannya Linux programları gibi bir çalışma ortamı olan Winbind. Pek çok Linux hizmetine benzer şekilde, PAM ve NSS, metin dosyaları aracılığıyla yapılandırılır. Elimin arkasında PAM'in yamasına bakabiliriz.
PAM, orijinalliği doğrulamak için bazı katkılarda bulunmayı umuyor. Zasіb authentifikatsії, zastosunka'nın kimin yoga kazanacağını belirlemesine izin verir. Zasіb oblіkovih zadіv naє işlevleri ї cheruvannya oblіkovyh kayıtları, yakі, zamezhennya saat girişi gibi stosuyuutsya autentifіkatsії yapmaz. Parolaların toplanması, parolaların istenmesi ve yönetilmesi için mekanizmalar tarafından sağlanır. Zasіb oturumları vykonuє zavdannya kurulumu ve belirli bir koristuvach kategorisindeki dosyaların günlüğe kaydedilmesi ve oluşturulması gibi stosuyuyutsya koristuvacha gibi vidalennya programları.
Red Hat'teki PAM özelleştirme dosyaları, kimlik doğrulama için PAM hack'i gibi, dış görünüm programının metin dosyası olacak olan /etc/pam.d dizininde depolanır. Örneğin, /etc/pam.d/gdm dosyası, Red Hat'in masaüstü kilitleme ortamı olan Gnome Desktop Manager (GDM) için PAM kurulumu hakkında bilgiler içerir. Dış görünüm dosyasında PAM yamalaması için birkaç satır satır vardır, bunlardan herhangi birinin dış görünümü PAM kimlik doğrulama işleminin bir yönü olabilir. Üzerinde Pirinç. on bir GDM için bir PAM kurulumu olarak gösterilir.
Pirinç. on bir. Gnome Desktop Manager için RAM Özelleştirme Dosyası
PAM dosyası kurulum dosyası formunda dış görünüm girişi<группа управления> <элемент управления> <модуль> <параметры>, de<группа управления>dpovіdaє zabou, kaydın ne ölçüde ayarlanacağı: kimlik doğrulama, bulut kayıtları, parolalar veya oturumlar. üzerinde açıklanan anahtar kelimeler Pirinç. 12, PAM görünüyor, yamanın nasıl bir kaydı yapılır. Üçüncü adım, dosyayı /lib/ güvenlik dizinindeki paylaşılan PAM kitaplığının adıyla değiştirmektir. Genel kitaplıklar, bir Windows DLL dosyasına benzer şekilde dinamik olarak kod yakalama yeteneğine sahiptir. Modül adından sonraki ek terimler - bunlar ana kitaplığın PAM modülü tarafından geçirilen parametrelerdir.
Pirinç. 12. Anahtar anahtar kelimeler PAM
anahtar kelime | Tanım |
| Gerekli ("Obov'yazkovo") | Bir modül başarıyla oluşturulursa, PAM kontrol grubu için kayıtları saymaya devam edecek ve sonuçlar, dışarıda bırakılan modüllerin sonuçları ile değiştirilecektir. Değilse, PAM hesaplamaya devam eder, ancak ödenen zbіy ekini geri alır. |
| gerekli | Modül başarıyla çalışıyorsa, PAM yönetim grubunun kayıtlarını saymaya devam eder. Değilse, PAM, aradığınız zeyilnameyi daha fazla işlem yapmadan geri gönderir. |
| Yeterli | Modül başarılı bir şekilde çalışırsa, PAM başarılı sonucu tıklanan eke döndürür. Aksi takdirde, PAM hesaplamaya devam eder, ancak sonuçlar sonraki modüllere atanır. |
| Opsiyonel("Neoob"Dil") | PAM, kontrol grubuna yanıt olarak modülün sonuçlarını tek bir modül olarak yok sayar. |
| Katmak | PAM, isteğin verildiği PAM özelleştirme dosyasında ve ayrıca yeni kayıt işleminde yer alır. |
Cilt yönetimi grubunun birkaç kaydı olabileceğini hatırlayabilirsiniz. PAM, modül adlarını çağırarak girişleri sırayla işler. Ardından modül başarı veya başarısızlık olup olmadığını kontrol eder ve PAM kesinlikle kontrol edilen anahtar kelimeye bağlıdır.
Lütfen GDM için PAM dosyasının tüm kimlik doğrulama grupları için sistem kimlik doğrulamasına sahip olabileceğini unutmayın. PAM, GDM promosyonları için kimlik doğrulama davranışını bu şekilde ayarlar. Sistem yetkilendirmesini değiştirerek, PAM ayarları için bir sistem yetkilendirme dosyası bulunan tüm programlar için aynı davranışı değiştirebilirsiniz. Kilidin arkasındaki sistem kimlik doğrulama dosyası şurada gösterilir: Pirinç. 13.
Pirinç. 13. PAM modülü sistem kimlik doğrulama dosyası
Adların dönüştürülmesi bloğuna (NSS) geçiş modülü, yazılım satıcısında bu sistemlerin toplanması hakkında özel bilgiler alır, yaklaşık olarak PAM'ın kimlik doğrulama ayrıntılarını almasıyla aynı şekilde. NSS, yöneticinin sistem veritabanlarının kaydedilme şeklini belirlemesine izin verir. Zocrema, yöneticiye isim ve şifre ile ilgili bilgilerin nasıl kaydedildiğini söyleyebilir. Bu bizim için gerekli, böylece Winbind'in yardımı için Active Directory'de koristuvachiv hakkında bilgi arayan programlar, bunu gösterecek şekilde NSS ayarını değiştirmemiz gerekiyor.
Red Hat, PAM ve NSS'yi kurmak için system-config-authentication adlı küçük bir grafik aracı içerir. system-auth ve nss.conf dosyalarına girilmesi gereken daha fazla değişiklikten (hepsi değil) bahsedeceksiniz.
system-config-authentication programını çalıştırın ve aşağıdakine benzer bir iletişim kutusu görebilirsiniz. Pirinç. on dört. Winbind ensign'ı hem Kullanıcı Bilgileri sekmesinde (Koristuvach hakkında bilgi, yeni bir nss.conf dosyası var) hem de Kimlik Doğrulama sekmesinde ayarlayın veya sistem-auth dosyasını değiştirin.
Pirinç. on dört. systemconfig-kimlik doğrulama iletişim kutusu
Winbind'i Yapılandır düğmesine basın ve şunu gösteren bir iletişim kutusu görüntülenecektir. Pirinç. 15. Winbind Etki Alanı alanına, ana bilgisayarın kimlik doğrulamasının kontrol edilebileceği etki alanının adını girin ve güvenlik modeli olarak "voiced" öğesini seçin. Active Directory etki alanının DNS etki alanı adını Winbind ADS Bölgesi alanına girin. Winbind Etki Alanı Denetleyicileri alanına, ya yardım için Linux sistemi için başvuruyu kontrol etmeniz gereken etki alanı denetleyicisinin adını ya da Winbind'in SRV kayıtlarını sorgulayarak etki alanı denetleyicisini seçmesi gerektiğini belirten bir onay işareti girin. DNS'de.
Pirinç. 15. Winbind iletişim kutusunu ayarlama
Active Directory'nin annesinin hatası olan kilit için uygun bir yorumlayıcı seçin; vpadka'mdan bash (Bourne-yine Shell) seçtim. Herhangi bir aşamada Etki Alanına Katıl düğmesiyle uğraşmayın. Bilgisayar yeni etki alanına atanacaktır.
/etc/pam.d/system-auth dosyası, Winbind desteği değiştirildikten sonra bir ek değişiklik daha yapmalıdır. Linux kökü sistemde oturum açtığında, sistem ana dizinin varlığını gösterecektir. Ana dizinde, Windows kayıt defterine benzer özellikler bakımından zengin, belirli bir koristuvach oluşturmak için birçok parametre ve öğe bulunur. Buradaki sorun, kök klasörlerin Active Directory'de oluşturulmuş olması, Linux'un kök klasörün ana dizinini otomatik olarak oluşturmaması gibi görünüyor. Neyse ki, PAM, bir oturum kurulumunun parçası olarak uyanmak üzere yapılandırılabilir.
/etc/pam.d/system-auth dosyasını açın, ardından ekranı aşağı kaydırın ve "session isteğe bağlı map_mkhomedir.so skel=/etc/skel umask=0644" satırını oturum bölme satırının geri kalanından önce ekleyin (div. Pirinç. 16). Bu satır, henüz böyle bir şey olmadığı için koristuvach için PAM ana dizininde oluşturulmuştur. /etc/skel şablon için bir "iskelet" olarak etiketleyecek ve yeni klasörün izin maskesini 0644 (dosya kaydı için oku, ana grup için oku ve çözüm için oku) tanıyacaksınız.
Pirinç. 16. koristuvachіv için bir ev kataloğunun oluşturulması
Samba'yı kurdu ve kurdu
Schoyno tarafından oluşturulan Samba dvukovі dosyalarını kurmak için /usr/src/redhat/RPMS dizinine gidin. rpmbuild komutu tarafından oluşturulan tüm RPM dosyaları aynı dizinde görünür. Samba'nın, Linux istemcisinin Windows'ta (veya Samba'da) paylaşılan dosya deposuna erişmesine izin veren dvukovi dosyalarının yanı sıra Linux sisteminin bir Windows dosya sunucusu, bir Windows sunucusu gibi çalışmasına izin veren kodu içerdiğini unutmayın. diğeri ve bir Windows NT stili etki alanı denetleyicisi 4.0.
Linux'un Active Directory'de kimlik doğrulaması yapmasına izin vermek için hiçbir şeye gerek yoktur; Tepegöz Samba dosyalarını ve Samba istemcisinden çift dosyaları dozlama. Kolaylık sağlamak için bu dosyalar iki RPM dosyasına bölünmüştür: samba-client-3.0.31-0.i386.rpm ve samba-common-3.0.31-0.i386.rpm. RPM dosyalarını rpm --install yardımıyla kurun. Bir popo vereceğim: rpm --install samba-common-3.0.31-0.i386.rpm. (Dikkatli olun, RPM dosyasını -common önüne koymanız gerekir.)
Samba istemcisinin ikili dosyalarını kurduktan sonra, Winbind'in Active Directory yardımıyla kimlik doğrulamasını yapması için Samba kurulumunu yükseltme için değiştirmek gerekir. Samba (istemci, sunucu) kurulumuyla ilgili tüm bilgiler /etc/samba dizininde bulunan smb.conf metin dosyasında bulunabilir. Smb.conf çok sayıda parametre içerebilir ve yoga hakkında daha fazla bilgi bu istatistik kapsamının ötesine geçebilir. samba.org web sitesinde ve bir Linux geliştirme sisteminde smb.conf hakkında bir rapor var.
İlk adım, Winbind'i kurmak ve kimlik doğrulama için Active Directory'yi kullanmaktır. smb.conf içindeki güvenlik modeli boş olarak ayarlanmalıdır. system-config-authentication hizmet programı kendi kendine kurulmak için zaten küçüktür, ancak yeniden doğrulama asla başarısız olmaz. Alan Adı Üye Seçenekleri değerlerini düzenlemek ve bulmak için smb.conf dosyasını açın. "Güvenlik" ile başlayan satırı bulun ve "güvenlik = reklamlar" yazan satırı değiştirin. Bir sonraki aşamada Winbind'in gruplar ve Linux tanımlayıcıları gibi Windows güvenlik katılımcılarını nasıl kuracağı belirlenecek ve bunun için daha detaylı açıklama gerekecek.
Tanımlayıcıları ayarlama sorunu
Active Directory'nin yardımı için Linux çekirdeklerinin gerçekliğinin büyük bir sorunu var ve henüz çözemedim - bu grubun çekirdekleri için benzersiz tanımlayıcılar (UID) sorunu. Dahili olarak ne Linux ne de Windows gerçek isimleriyle coristuvachiv olarak adlandırılmaz, vicorista benzersiz bir dahili tanımlayıcıdır. Windows'ta, değişken yaşamın yapısı olan ve Windows etki alanında cilt lezyonunun benzersiz bir şekilde tanınmasını sağlayan Güvenlik Tanımlayıcıları (SID'ler) ayırt edilir. SID, Windows'un farklı etki alanları arasında ayrım yapabilmesi için benzersiz bir etki alanı tanımlayıcısıdır.
Linux şeması oldukça basittir. Linux bilgisayardaki bir deri kutu, yalnızca 32 bitlik bir tam sayı olan bir UID'ye sahip olabilir. Ale alanı, UID'nin bilgisayarın kendisi tarafından çevrelenmez. Bir Linux makinesinde UID 436'ya sahip bir kartın, başka bir Linux makinesinde UID 436'ya sahip bir kartla aynı olduğunun garantisi yoktur. Son çare olarak, bir cilt bilgisayarına bağlanmak gerekir, ihtiyacınız olan erişim, talihsiz bir durumdur.
Merezhevі yöneticileri Linux zvіshuyut tsyu sorunu, yardım için merezhevy autentifikatsіyu veya abomerezhovoї іnformatsіynoї sistemi (Ağ Bilgi Sistemi - NIS) veya tüm LDAP dizini vererek. Merezheva'nın kimlik doğrulama sistemine coristuvach için bir UID verilir ve bu sistem tarafından çekirdeklenen tüm Linux bilgisayarları aynı coristuvach grup tanımlayıcıları tarafından çekirdeklenir. Bu durumda, coristuvach'ların ve grupların verilen benzersiz tanımlayıcıları için dolaylı bir Active Directory'ye sahibim.
Bu sorunu çözmek için iki strateji kullanıyorum. İlk (ve aynı zamanda en belirgin) strateji, dermal cilt etiketi için bir UID oluşturmak ve Active Directory'deki ek kimlik nesnesi için grup kimliğini kaydetmektir. Takıldığında, Winbind hatanın izinleriyle uğraşırsa, UID'sine bakabilir ve onu hatanın dahili kimliği olarak Linux'a ayarlayabilirim. Winbind, Active Directory tanımlayıcılarını (veya idmap_ad) ayarlamak için bu şemayı kullanır. Üzerinde Pirinç. 17 Active Directory tanımlayıcılarını ayarlama sürecinin göstergeleri.
Pirinç. 17. Active Directory tanımlayıcılarını ayarlama süreci
Active Directory tanımlayıcılarının tanımlanmasındaki tek eksiklik, cilt coristuvacha ve gruplarının tanımlayıcılarının görünürlüğü ve orman sınırlarındaki benzersizlikleri için bir mekanizmaya duyulan ihtiyaçtır. Raporlama bilgileri, "Active Directory tanımlayıcılarını eşleştirmek için Active Directory'yi ayarlama" beyaz panelinde bulunabilir.
Şimdilik, tanımlayıcıları belirlemek için idari ücretlerden çok daha az zengin olan bir strateji var. Windows SID'nin etki alanının ortasındaki ana bilgisayarı ve etki alanının kendisini benzersiz bir şekilde tanımladığını varsayalım. SID'nin etki alanı içindeki çekirdeği benzersiz bir şekilde tanımlayan kısmına RID adı verilir ve aslında 32 bitlik bir tamsayıdır. Böylece Winbind, kullanıcı sistemde oturum açtığında bir saat boyunca SID'den RID'yi çıkarabilir ve ardından RID'yi benzersiz bir dahili UID olarak çıkarabilir. Winbind, RID veya idmap_rid kimliklerini ayarlamak için bu stratejiyi kullanır. Üzerinde Pirinç. on sekiz RID ifadesinin gerçekte ne kadar çalıştığı gösterilir.
Pirinç. on sekiz. Bildirim RID'si
RID ayarı, sıfır idari değer üzerinde geçerli olabilir, ancak bir dizi alanda temel değerlerde tek bir RID değerini gösterme yeteneği ile zengin bir alan ortamında kazanmak mümkün değildir. Bir Active Directory etki alanını ortaya çıkarmak için Ale, RID ifadesi doğru seçimdir.
Winbind'in ID politikasını yapılandırmak için, /etc/samba/smb.conf dosyasını açarak yeniden düzenleyin ve Active Directory alternatif politikası için "idmap backend = ad" veya RID etiketi için "idmap backend = rid" dizesini ekleyin. Dosyayı ayarlama stratejisini belirtmek için, diğer satırların görünürlüğünde değiştirin.
Winbind için smb.conf dosyasına eklenmesi gereken başka parametreler de var. Oturum açmadan önce cilt soyucu için ana dizinin oluşturulmasına PAM kurulumları gibi gidin, Winbind'e adının ne olduğunu söylemeniz gerekir. "template homedir = /home/%U" satırını smb.conf'a (div. Pirinç. 19). Winbind'in /home/ olacağını söylemeye gerek yok.<имя пользователя>. Önce /home dizinini oluşturmayı unutmayın.
Pirinç. 19. Ev dizininin adının belirtilmesi
Alana giriş ve sisteme giriş
Şimdi, birleştirme, PAM, NSS ve Samba Winbind doğru bir şekilde kurulmuşsa, Linux bilgisayarını etki alanına getirmenin zamanı geldi. Size yardımcı olması için Samba Net komutunu da kullanabilirsiniz. Komut yorumlayıcısına "net ads join -U" yazın<имя администратора>". Yer değiştirmek<имя администратора>bilgisayarları etki alanına getirmek için yeterli olabilecek genel kayıt adına.
net komutu, koristuvach'ın parolasını ister. Her şey yolunda gidiyor, etki alanındaki bilgisayara geliyor. Bir bilgisayarın oluşturulan görüntü kaydını görüntülemek için Active Directory ek bileşenini - bilgisayar sertleştirmesini kullanabilirsiniz.
Wbinfo adı verilen Winbind test aracıyla kampa karşı yardım için protesto edebilirsiniz. Tıpkı wbinfo -t gibi, bilgisayar ve etki alanı arasındaki güvene karşı protestolar olacak. Sonuç olarak, wbinfo -u tüm çekirdek etki alanlarını ve wbinfo -g - tüm grupları geçersiz kılar.
Linux bilgisayar etki alanına başarılı bir şekilde katıldığında, bir sonraki adım, Active Directory parolasının ek bir genel kaydı için sistemde oturum açmayı denemek olacaktır. Bir Linux bilgisayarda sistemden dışarıyı arayın ve Active Directory adını kullanarak sisteme bakın. Her şey doğruysa, sisteme giriş yapma olasılığı mevcut olabilir.
Active Directory tanımlayıcılarını ayarlama işlemi için Active Directory'yi ayarlama
Bu bilgiler yalnızca Active Directory tanımlayıcılarını kazananlar için ayrılmıştır. RID açıklamasına karşı zafer kazananlar, bu panele sakince saygı gösteremezler.
Bir Active Directory kaydı ile Red Hat sunucusunda sisteme girebilmek için önce Active Directory'de değişiklik yapmanız gerekir. İlk olarak, Active Directory şeması, temel bilgileri toplamak için Winbind tarafından kullanılan öznitelikleri eklemelidir. Windows Server 2003 R2 ile bir saatlik çalışmanın altında, şema durmadan önce hazır. Active Directory şemasının daha eski bir sürümünde, UNIX için Microsoft Hizmetleri (SFU) paketini genişletmeniz gerekecektir.
Ek bilgi, TechNet'teki Services for UNIX'te bulunabilir. SFU ayrıca, Linux tarafından gerekli olan bireysel ve grup değiştiriciler hakkında bilgi almanıza olanak tanıyan bir Microsoft Bilgisayar Yönetim Konsolu (MMC) ile donatılmış Active Directory Kullanıcıları için ek bir güç tarafı içerir.
Plan düzgün bir şekilde kurulduğundan, Linux bilgisayarında oturum açabilmeleri için tüm coristuvacha'lara (i grupları, bu tür kokuların üyeleri) Linux tanımlayıcıları vermek gerekir. Bu, bir Linux bilgisayarda oturum açabilmeniz için ilgili grup için uidNumber ve gidNumber öznitelikleri için bir değer atamanız gerektiği anlamına gelir. Bu niteliklere vimogi eylemlerinin hatırasının yanında Ale:
- Linux, cilt soyucunun geçerliliğini doğrulaması için bir UID gerektirecektir. Active Directory'deki koristuvach ile ilgili bilgileri almamız gerektiğinden, Linux bilgisayarınızda sisteme giriş yaptığınız koristuvach'ın skin kaydının skini benzersiz uidNumber özniteliğinden sorumludur. Spesifik olarak, uidNumber için kazanç önemsiz değildir, ancak bir Linux bilgisayarda oturum açabilen tüm dizeler için benzersiz olabilir.
- Promosyon grubu kimliğinden de Linux kökü sorumludur, bu nedenle Linux bilgisayarda oturum açan Active Directory kökü de gidNumber özniteliğinin değerine bağlıdır. Bu anlam, coristuvachiv'in ortasında benzersiz olabilir, ancak benzersiz bir şekilde bir grubu belirtebilir.
- Bir Active Directory dış görünüm grubu, gidNumber özniteliği için benzersiz bir değerden sorumludur. Kesin olarak söylemek gerekirse, bir bütün olarak gruplar için, gidNumber özniteliği için bir değere sahip olmamak normaldir, ancak Winbind gerçekse, dış görünüm grubunun gidNumber değerinin benzersiz olduğu noktaya kadar olduğunu belirtecektir. Imovirno, gidNumber'ın benzersiz değerinin dış görünüm grubunun barizliğine geçmek daha kolay.
- Winbind, Active Directory'de gezinen dış görünüm etiketi grubunun etki alanı etiket grubunun bir üyesi olup olmayacağını kontrol eder, dolayısıyla winbind ayrıca etki alanı etiket grubunun gidNumber özniteliği için bir değere sahip olup olmadığını da denetler.
Ve neden sipariş vermiyorsun?
Active Directory yardımı ve Winbind aracılığıyla kimlik doğrulama için bir Linux bilgisayar kurmak, önemsiz olmayan bir projedir. Bu kişisel olmayan konuşmaları, yanlış telaffuz etmek mümkün olduğu için, geliştirmek için gerekli olan öğelerin kütlesini kullanıyorum. Linux ve Samba'nın dış görünüm sürümünün yetenekleri için kolayca rekabet edebilmesi, işleri kolaylaştırmaz. Ale düşük dzherel, scho іstat іnformatsiyu bu scho vіdbuvaєtsya yanlısı.
İlk olarak, bu /var/log/messages konumunda tutulan bir Linux sistem günlük dosyasıdır. Samba, dosyanın adı veya ayarı bozuk gibi alt bölümlerin değerleri hakkında dosya bilgilerini koyacaktır. Krim dosyasını sistem günlüğüne, kendi dosyalarını Samba ve Winbind günlüğüne kaydedin. /var/log/samba'da bulabilir ve corystuvache'ye ek bilgi vermek için koklayabilirsiniz.
Winbind tarafından görülen günlüklerin raporlanması (ve genel) raporlaması, aynı yükü ayarlamak için başlangıç komut dosyasını değiştirerek geliştirilebilir. /etc/init.d/winbind kabuk betiğini düzenleyin ve winbind komutuna "-d 5" ekleyin. Maaş oranını 5'e çıkarmak için (1'den 10'a kadar bir değer varsayalım), böylece aflar hakkında daha ayrıntılı bilgi oluşturmak için winbind'i ayarlayabilirsiniz.
Winbind'in bir etki alanı denetleyicisi ile iletişim kurabilmesi için paketleri Netmon 3.1 gibi ek bir yardımcı program kullanarak yazmak mümkündür. Winbind'in kendisinin ne yaptığını analiz etmeme izin verin. Windows güvenlik günlüğünü, kimlik doğrulama testlerinin girileceği etki alanı denetleyicisine de kaydedebilirsiniz.
Şimdi, çalışmaya başladığına göre, ne yapabiliriz?
Artık her şey güzelce yapıldığına göre, artık Active Directory'de desteklenen veri kisvesini kullanarak Linux sistemlerinde oturum açabilirsiniz. Bu ihtişam, bir Linux bilgisayardaki yerel kimlik doğrulama yönetimiyle ve NIS gibi güvenli olmayan sistemlerle karşılaştırılabilir. Bu, koristuvach'ların yönetimini tek bir Active Directory kayıt deposunda merkezileştirmenize olanak tanır.
Ale, burada böyle konuşmalar yok, sanki gerçeğin çözümünü bulmuş olabilirler. İlk adımda, otrimanny tekhnіchnі n_dtrimki burada - sağda iyi şanslar. Pek çok Linux kuruluşu Active Directory'yi gerçekten anlamıyor, ancak Linux'ta görebileceğiniz gibi bir hatırlatma, girişinizi ve bugünkü ruh halinizi okuyan birine tamamen bağımlı olacaksınız.
Ayrıca, Samba paketi taşınamaz veya bulaştırılamaz. Linux'ta, kaynak tanımlayıcıların bazı göstergeleriyle birlikte bulut kayıtlarının bulunması nedeniyle, UID tanımlayıcılarını Active Directory'ye aktarmadan önce kaydettiklerini manuel olarak yeniden düşünmek gerekir.
En önemli Active Directory programlarından biri olan grup politikası Nareshti, Samba'da mevcut değil ancak üzerinde çalışılması gerekiyor. Bir Linux sistemi Samba'dan yardım almak için Active Directory'ye gidebilirken, grup politikasını bozamazsınız.
Üçüncü taraf satıcılara yönelik çözümler
Active Directory ile yardım için Linux bilgisayarları yeniden kontrol etmek açıkçası sağ taraftadır, ancak Samba Winbind dahil olmak üzere yardımcı olmak için güçlü bir çözüm oluşturmak sadece bir kabus değildir. Okuyucular, PZ'nin bazı suçlu post-çalışanlarının muzaffer kararlardan daha fazla affedici davranmaktan suçlu olduğunu ve pis kokunun bir fark yarattığını düşünebilir.
Ticari yazılım güvenliğinin bazı ustaları, bu makalede gösterdiklerimin farklı bir sürümünü yüklemeyi kolaylaştırdı. Linux, UNIX ve Apple Macintosh'un birçok popüler sürümü için kod ve taşınabilirliğin yanı sıra ek grup ilkesi için Linux bilgisayarları yönetme desteği alın.
Chotiri şirketleri: Centrify, Aynı Yazılım, Quest Yazılımı ve Symark. Tüm posta liderleri, çok çeşitli Linux dağıtımlarında grup ilkesi koruması da dahil olmak üzere benzer işlevsellik sağlar. Benzer şekilde Yazılım, kısa bir süre önce, grup ilkesi bileşenini ticari bir üründen kaldırma girişiminde bulunarak, Benzeri Açık olarak adlandırılan uygulaması için bir kod yayınladı. Aynı şekilde Open, Linux'un birçok büyük sürümü için kullanılabilecektir. (Bana bir sır ver: Ben bu yazıyı yazarken şirketim NetPro Quest Software tarafından yasaklanıyordu.)
Ticari seçenekler mevcutsa, Samba ve Winbind kullanarak kimlik doğrulama sistemini kontrol etmek için ne yapabilirim? Bütçe entegrasyon programlarına bir kuruş aktarmasa bile, Samba'yı yogo kodu ile kullanmak ücretsiz olabilir. Bununla, ayrıcalıklı bir kişi olabilmeniz için tüm harici kodu da ortadan kaldırırsınız. Ancak temeldeki Linux bilgisayarlarını ve temeldeki UID'leri taşımak zorlu bir sorundur.
Öte yandan, bu kurulumun uygulanması bir saat sürecek veya bir Linux bilgisayara ihtiyacınız varsa, onu aktarmak veya güç faktörünü kısaltmak gerekecek, o zaman ticari çözümleri bilmek mantıklı olabilir. Grup siyasetini yönetmenin gerekli olduğu zamanlarda, başka alternatif yoktur.
Ancak, orijinalliği Active Directory ile Linux sistemleriyle bütünleştirmeye yönelik bir çözüm yakında başarılı olacak, çok sayıda eğik coristuvachiv kaydının onarımına gidecek, sistemin güvenliğini iyileştirecek ve umarım tek bir kanıt hazinesi olacaktır. denetim. І tse dosit obґruntuvanі neden olur, schob zastosuvati yogo deneyin.
Jill Kirkpatrick- Sonraki >
İki Faktörlü Kimlik Doğrulama (2FA), genel kayda girmek veya bir bilgi parçası eklemek için kullanılan aynı kimlik doğrulama yöntemidir. Şifre adının Crimium kombinasyonu, 2FA vimag, bir kerelik şifre (OTP, örneğin altı haneli bir dönüştürme kodu) gibi ek bilgiler girerek şifreyi sob.
Genel olarak 2FA, farklı türde bilgiler girmenize olanak tanır:
- Schos, scho koristuvach bil (örneğin, şifre)
- Peki ne yapabilirim (örneğin, özel bir ek - kimlik doğrulayıcı tarafından oluşturulan onay kodu).
2FA, bir çok faktörlü kimlik doğrulama (MFA) türüdür. MFA yöntemi, koristuvach'ın bildiklerine ve onun yapabileceği, yardımcı olabileceğimiz, şarap şarabına bir ektir. Tse biyometrik veriler: sesinizin parmaklarının seslerinin ince bir şekilde tanınması.
2FA, ilk hizmet için kimlik doğrulama sürecinin korunmasına yardımcı olur, yoksa ben ekleyeceğim: saldırganın şifresini girin, saldırganın ayrıca bir güvenlik koduna ihtiyacı olacak ve bir kimlik doğrulayıcının bulunduğu uzantıya kimin erişiminin gerekli olduğu programı. Bu nedenle, birçok çevrimiçi hizmet, kimlik doğrulama düzeyinde hesapların güvenliğini artırmak için coristuvach'ın genel kayıtları için 2FA'yı etkinleştirme olasılığını göstermektedir.
Bu kılavuz, Ubuntu 18.04'te root olmayan kök yöneticiler için Google PAM modülünün arkasında 2FA'yı nasıl kuracağınızı anlatacaktır. Kök olmayan bir kök için 2FA'ya ihtiyacınız yoksa, yine de kök hesabınızla bilgisayarınıza erişebilirsiniz. Hem yerel hem de uzak sunuculara ve zemin kurulumlarına ulaşabilmeniz için kılavuzu tamamlama talimatları.
Wimogi
- Ubuntu 18.04 sunucusu veya daha nezih bir çalışma ortamı. Ubuntu 18.04 sunucusunun .
- Bir mobil cihaza yüklenmiş Authenticator (örneğin, Google Authenticator veya Authy). Bu yardım ile QR kodunu güvenle tarayabilirsiniz.
1: Google PAM modülünü yükleme
Ubuntu 18.04'te 2FA kurmak için Linux için Google PAM modülünü yüklemeniz gerekir. Takılabilir Kimlik Doğrulama Modülü (PAM), Linux kimlik doğrulama mekanizmasıdır. Google PAM modülü, hesabınızın Google OTP kodu tarafından oluşturulan 2FA kimlik doğrulamasını geçmesine izin verir.
Sistemi, sunucunun posta kurulumunun ilk saatinde yaptığınız hızlı bir sudo kontrolü olarak görün:
ssh [e-posta korumalı] _server_ip
Kimlik doğrulayıcının kalan sürümünü korumak için Ubuntu paket dizinini güncelleyin:
sudo apt-get güncellemesi
Depoları güncelledikten sonra, PAM modülünün kalan sürümünü kurun:
sudo apt-get install libpam-google-authenticator
Bu, depozito içermeyen küçük bir pakettir, bu nedenle kurulum birkaç saniye sürecektir. Artık sudo koristuvach için 2FA'mız var.
2. Adım: İki faktörlü kimlik doğrulamayı ayarlayın
Şimdi, PAM modülünü kurduysanız, koristuvach için bir QR kodu oluşturmak üzere yoga çalıştırın. Kod oluşturmanız gerekmez, ancak її'yi etkinleştirmediğiniz sürece Ubuntu'da 2FA'ya ihtiyacınız yoktur.
PAM modülünü çalıştırmak ve kurmak için google-authenticator komutunu çalıştırın:
google-authenticator
Komut size bir dizi yiyecek ve bir yapılandırma seçeneği soracaktır. Ne istersen onu geri al, böylece jetonlar bir saatliğine değiş tokuş edilecek. Saat bazında değiştirilen kimlik doğrulama jetonları, tek bir aralıktan sonra sona erer (kilitleme için daha fazla sistem için 30 saniye olur). Değişim saatleri olan jetonlar güvenlidir, bu tür değiş tokuşlar olmadan daha düşük jetonlar ve 2FA'nın daha fazla uygulaması galip gelir. Burada herhangi bir seçeneği seçebilirsiniz, ancak Evet'i seçmenizi ve saat başı kimlik doğrulama jetonları kazanmanızı öneririz:
Kimlik doğrulama belirteçlerinin zamana dayalı (y/n) y olmasını istiyor musunuz?
Vіdpovіvshi y tse pitannі üzerinde, konsolda vіbachit kіlka kіlka vіvennіnі:
- QR kodu: Ek bir kimlik doğrulama programı için taranması gereken bu kod. Yogayı taradıktan sonra, program 30 saniye boyunca yeni bir cilt OTP'si oluşturacaktır.
- Gizli Anahtar: Bu, bir kimlik doğrulama programı kurmanın alternatif bir yoludur. Sihirbaz programını kullanıyorsanız, QR taramasını kabul etmiyorsanız, kimlik doğrulayıcıyı ayarlamak için gizli anahtarı girebilirsiniz.
- Doğrulama kodu: Belirli QR kodunu oluşturan ilk altı haneli kod.
- Acil durum çizik kodu. Bu tek seferlik belirteçler (aynı zamanda yedek kodlar olarak da adlandırılırlar), 2FA kimlik doğrulamasını geçmenize izin verir, böylece bir kimlik doğrulayıcı eki kullanırsınız. Qi kodunuzu bir sonraki yere kaydedin, böylece oblikovy kaydının blokajı kaldırılacaktır.
Kimlik doğrulama programınızı özelleştirdikten ve yedek kodunuzu güvenli bir yere kaydettikten sonra, program size yapılandırma dosyasını indirmek isteyip istemediğinizi soracaktır. n alırsanız, yükseltme programını yeniden çalıştırmanız gerekir. Değişikliği kaydetmek ve devam etmek için y girin:
"~/.google_authenticator" dosyanızı (y/n) güncellememi ister misiniz?
Ardından program size bir defadan fazla farklı bir kimlik doğrulama kodu girmek isteyip istemediğinizi soracaktır. Kilitleme için, dış görünüm kodunu, oluşturmanın üzerinden 30 saniye geçmediği sürece yalnızca bir kez çevirebilirsiniz. Bu, sanki onay kodunuzu almak mümkünmüş gibi, saldırgandan tekrarlanan onay saldırılarına karşı kazanan için en güvenli seçimdir. Bu nedenle, vikoristanny kodlarını bir kereden fazla çitle çevirmek daha iyidir. Aynı jetondan bir bagatarase vikoristan toplayabilmeniz için bir y kanıtı verin:
Aynı kimlik doğrulamanın birden çok kullanımına izin vermemek istiyor musunuz?
jeton? Kimin listesini biliyorsun, 30'ların esnemesi, ama büyüyor
Açıklamalarınızda değişiklik yapmanıza veya insan saldırısı eklemenize yardımcı olmak için (y/n) y
O zaman, ne istersen, kimlik doğrulama jetonlarının büyük dönemlerinin bitiminden bir saat sonra alındığını söylemelisin. Cody zaten bir saate kadar hassastır, müştemilatlarınız senkronize olmadığı için bu koku spratsyuvat olmayabilir. Bu seçenek, promosyonlar için kontrol kodlarının saatini artırarak bu sorunu aşmanıza olanak tanır, böylece doğrulama kodları herhangi bir zamanda kabul edilir (örneğin, uzantılarınız senkronize edilmez). Sistemin güvenliğini biraz azaltabilmeniz için, tüm senkronizasyon uzantılarınızda saatin olduğu gerçeğine geçmek en iyisidir. Di token terimini abartmamak için güç zincirinde n kanıtı verin:
Varsayılan olarak, jetonlar 30 saniye için iyidir ve bunu telafi etmek için
İstemci ve sunucu arasında ekstra olabilen zaman çarpıklığı olasılığı
geçerli zamandan önce ve sonra belirteç. Yoksullarla sorun yaşıyorsanız
zaman senkronizasyonu, pencereyi varsayılanından değiştirebilirsiniz
1:30dk ila yaklaşık 4dk boyutunda. Bunu yapmak ister misin (y/n) n
Kalan yemek: sisteme girilecek numune sayısının değişimini etkinleştirmek istiyor musunuz? Sistemin güvenliğini artırmak için, 30 saniye boyunca sistemde son zamanlarda üçten fazla oturum açma girişimine izin vermeyin. Tse obezhennya'yı artırın, vіdpovіvshi y:
Oturum açtığınız bilgisayar kaba kuvvete karşı sağlamlaştırılmamışsa
Giriş denemeleri, kimlik doğrulama modülünü güvence altına alabilirsiniz.
Varsayılan olarak, saldırganlar her 30 saniyede bir 3 giriş denemesi ile sınırlandırılmalıdır.
Hız sınırlamasını (y/n) etkinleştirmek istiyor musunuz?
PAM modülü yardımıyla 2FA kodunu uyguladık ve ürettik. Şimdi ortamınızda 2FA'yı etkinleştirmeniz gerekiyor.
Adım 3: Ubuntu'da 2FA'yı Etkinleştirme
Google PAM modülü artık kimlik doğrulama için 2FA kodlaması üretiyor, ancak Ubuntu sistemi henüz kimlik doğrulama sürecinde kodun ne olduğunu bilmiyor. Orijinal kimlik doğrulamaya ek olarak 2FA belirteç desteğini ayarlamak için Ubuntu yapılandırmasını hangi aşamada güncellemek gerekir.
Burada iki yol var:
- Sisteme giriş yaparsanız arada bir, sudo haklarınız varsa bir kez iki faktörlü kimlik doğrulamayı kullanabilirsiniz.
- Sisteme giriş yapmak için 2FA'yı bir saatten az bir süre kullanabilirsiniz veya sudo haklarını aldığınızda sadece koristuvach şifresine ihtiyacınız olacaktır.
İlk seçenek, vahşi bir ortam için ideal olacaktır, de bazhano, sudo ayrıcalıkları anlamına gelen diї olup olmadığını korur. Yerel çalışma masası için bir başka pratik yaklaşım olan de vie, sistemin tek çekirdeğidir.
Not: Uzak bir makinede 2FA'yı etkinleştirirseniz, SSH üzerinden erişimi reddetmeden önce kılavuzdan iki ve üç adımı okumanız, önce robotla devam etmeniz gerekir. Tüm Ubuntu kurulumlarına ulaşmak için bu kılavuzdaki diğer ayrıntılar, ancak ortada SSH hizmetinin 2FA hakkında bilgi sahibi olması için ek ince ayarlar gerektirecektir.
Ubuntu'yu kurmadan önce erişmek için SSH kullanmıyorsanız, bu kılavuzun bir sonraki bölümüne atlayabilirsiniz.
Giriş yaparken 2FA'yı etkinleştirin ve sudo izinleri verin
Sistemin giriş için bir saat boyunca 2FA kazanması ve daha fazla ayrıcalık talep etmesi için, /etc/pam.d/common-auth dosyasını doğru dosyanın sonuna bir satır ekleyerek düzenlemeniz gerekir.
Ortak kimlik doğrulama dosyası, ortamdan bağımsız olarak sistemdeki tüm kimlik doğrulama mekanizmalarından önce zastosovuetsya. Ayrıca, zatochiv authentifikatsiї'dan önce zastosovuєtsya'da, koristuvach'ın sisteme girmesinden sonra yakі vіdbuyutsya, örneğin, terminale yeni bir paket kurulursa, sudo haklarını almak için bir saat boyunca.
Açık dosya:
sudo nano /etc/pam.d/common-auth
Dosyanın sonuna ekleyin:
...
# ve işte paket başına daha fazla modül ("Ek" blok)
oturum gerekli pam_unix.so
Bu satır, Google PAM modülü aracılığıyla bir saatlik oturum açma için Ubuntu kimlik doğrulama sisteminde 2FA desteği içerir. Nulok seçeneği, yasal hesap sahiplerinin, eğik hesapları için 2FA kimlik doğrulaması ayarlamadıklarını varsayarak sisteme erişmelerine izin verir. Yani 2FA kurmuş olan corystuvants, giriş yaptıklarında bir kimlik doğrulama kodu girmekten suçlu olacak, o saatte google-authenticator komutunu çalıştırmamışlarsa, standart bulut verileri için sisteme giriş yapabilirler, kokuşmuş rıhtımlar 2FA kurmayacak.
Dosyayı kaydedin ve kapatın.
Giriş yaparken 2FA daha az talep edin
2FA'nın yalnızca masaüstünün ortasına giriş yaptığınızda etkinleştirilmesini istiyorsanız, kazanacağınız masaüstü yöneticisinin yapılandırma dosyasını düzenlemeniz gerekir. Yapılandırma dosyasının adı, çalışma tablosunun ortasının adıyla çağrılır. Örneğin, gdm (Ubuntu kilidi, Ubuntu 16.04'ten başlayarak) için yapılandırma dosyası /etc/pam.d/gdm'dir.
Başsız bir sunucuda (sanal sunucu gibi), /etc/pam.d/common-session dosyasını düzenlemeniz gerekecektir. Ortamınızda varsayılan dosyayı açın:
sudo nano /etc/pam.d/ortak oturum
Video satırını dosyanın sonuna ekleyin:
#
# /etc/pam.d/common-session - tüm hizmetlerde ortak olan oturumla ilgili modüller
#
...
# # ve işte paket başına daha fazla modül ("Ek" blok)
oturum gerekli pam_unix.so
oturum isteğe bağlı pam_systemd.so
# pam-auth-update yapılandırmasının sonu
auth gerekli pam_google_authenticator.so nullok
Şimdi Ubuntu vimagatime 2FA, sisteme komut satırı üzerinden (yerel olarak, SSH üzerinden uzaktan) bağlanırsanız, sudo'dan komut çalıştıramazsınız.
2FA'yı desteklemek için Ubuntu'yu ayarladınız. Şimdi yapılandırmayı protesto etme ve Ubuntu sisteminizde oturum açtığınızda bir güvenlik kodu girmenizin isteneceğini yeniden yapılandırma zamanı.
4. Adım: İki Faktörlü Kimlik Doğrulamayı Test Etme
Daha önce, cilt kodlarını 30 saniyede eşleştirmek için 2FA oluşturdunuz. Şimdi Ubuntu ortamınıza gitmeyi deneyin.
Sistemin dışına çıkın ve Ubuntu ortamımda tekrar görün:
ssh [e-posta korumalı] _server_ip
Parola tabanlı kimlik doğrulamasını doğrulıyorsanız, kupon parolasını girmeniz istenecektir:
Not: Uzak sunucuda sertifikalar için kimlik doğrulaması kazanırsanız, parola istenmez. Anahtar otomatik olarak gönderilecek ve kabul edilecektir. Yalnızca bir onay kodu girmeniz gerekecektir.
Bir şifre girin, ardından 2FA kodunu girmeniz istenecektir:
Doğrulama kodu:
Bundan sonra, sisteme götürün:
[e-posta korumalı] _server_ip: ~#
2FA yalnızca oturum açmak için etkinleştirildiğinden, oturum bitene kadar 2FA onay kodunu girmenize gerek kalmayacak veya manuel olarak oturum açmayacaksınız.
Common-auth dosyası aracılığıyla 2FA'yı etkinleştirdiğiniz için, dermal oturum açmayı kullanırken sudo ayrıcalıklarıyla aynı şeyi yapmanız istenecektir:
[e-posta korumalı] _server_ip: ~# sudo -s
8host için sudo şifresi:
Doğrulama kodu:
[e-posta korumalı] _server_ip:
2FA yapılandırmasının düzgün çalıştığını karıştırdınız. Sanki bir şeyler ters gitmiş ve sistem onay kodu istememiş gibi, çekirdeğin üçüncü bölümüne geri dönün ve doğru Ubuntu kimlik doğrulama dosyasını okuyup okumadığınızı tekrar kontrol edin.
5: 2FA engellemesini önleyin
Mobil uygulamanızın güvenliğinden herhangi birini harcamak adına, 2FA yardımıyla fiziksel hesabınıza erişimi geri yüklemek için yedekleme yöntemini aktarmak önemlidir. Geçmişte 2FA yüklediyseniz, erişimi engelledikten sonra geri yüklemek için birkaç seçeneğiniz vardır:
- Gizli yapılandırma kodlarının yedek bir kopyasını güvenli bir yere kaydedin. Bunu manuel olarak yapabilir veya koda bir yedekleme işlevi vermek için Authy gibi kimlik doğrulamasını kullanabilirsiniz.
- Yenileme kodunu, farklı ihtiyaçlara erişebileceğiniz 2FA desteği ile ortanın ortasındaki güvenli bir yere kaydedin.
Yedekleme parametrelerine erişiminiz olmadığı için, yerel medyaya veya 2FA desteği ile uzak bir sunucuya erişimi başka bir şekilde geri yüklemeyi deneyebilirsiniz.
6: Yerel medyaya erişimi yeniden sağlayın (isteğe bağlı)
Araca fiziksel erişiminiz olduğu sürece, 2FA'yı devre dışı bırakmak için güncelleme moduna girebilirsiniz. Revizyon modu, Linux'ta vykonanny yönetim görevleri için galip gelen genel bir türdür (vykonannya'ya benzer). Güncelleme moduna geçmek için GRUB'daki ayarları yeniden yapmanız gerekecek.
GRUB'a erişmek için bilgisayarınızı yeniden başlatın:
GRUB menüsü göründüğünde, Ubuntu girişini görmek için geçiş yapın. 18.04 tarihindeki kurulumun sebebi tanıtım amaçlıdır, ancak tamir edilebilir, bu yüzden kurulumdan sonra manuel olarak değiştirdiniz.
Ardından, sisteminizi istila etmeden önce GRUB yapılandırmasını düzenlemek için klavyenizdeki e tuşuna basın.
Dosyanın sonuna gidin ve linux ile başlayan ve $vt_handoff ile biten satırı bulun. Satırın sonuna atlayın ve systemd.unit=rescue.target ekleyin. $vt_handoff ile systemd.unit=rescue.target arasında denemek istiyorsanız fikrinizi değiştirin. Ubuntu makinesinin inovasyon moduna girmesine izin vermek ister misiniz?
Bir değişiklik yaptıktan sonra, Ctrl + X ek tuş kombinasyonu için dosyayı kaydedin. Makineniz yeniden avantaj sağlayacak ve komut satırına yaslanacaksınız. Güncelleme moduna gitmek için Enter tuşuna basın.
Komut satırına yaslanarak, engellenen koristuvach'ın ana dizininde bulunan Google Authenticator yapılandırma dosyasını açın.
nano /home/8host/.google-authenticator
Bu dosyanın ilk satırı, kimlik doğrulayıcıyı kurmak için muzaffer olan koristuvach'ın gizli anahtarıdır.
Şimdi iki seçeneğiniz var:
- Gizli anahtarı kopyalayabilir ve kimlik doğrulayıcıyı ayarlayabilirsiniz.
- Temiz bir arkush ile başlamak istiyorsanız, o koristuvach için 2FA'yı devre dışı bırakmak üzere ~/.google-authenticator dosyasını yeniden dağıtabilirsiniz. Tekrar giriş yaptıktan sonra 2FA'yı yeniden yapılandırabilir ve yeni gizli anahtarı alabilirsiniz.
Her durumda, GRUB yakalama yardımı için yerel ortamda 2FA'yı engelledikten sonra sistemi geri yükleyebilirsiniz. Dali mi rozpovimo, engellenen uzak ortama erişim nasıl açılır.
7: Uzak merkeze erişimi güçlendirme (isteğe bağlı)
Sudoer görünümünüz uzak bir ortadan engellendiyse, aynı anda açabilir veya 2FA'yı root yardımı ile yeniden yapılandırabilirsiniz.
Sisteme kök kök olarak görüntüleyin:
ssh [e-posta korumalı] _server_ip
Giriş yaptıktan sonra, engellenen koristuvach'ın ana dizininde bulunan Google Authenticator dosyasını açın:
sudo nano /home/8host/.google_authenticator
Bu dosyanın ilk satırı, kimlik doğrulayıcıyı ayarlamanız gereken koristuvach'ın gizli anahtarıdır.
Şimdi iki yolunuz var:
- Yeni veya silinen ekleri yeniden yapılandırmak istiyorsanız, kimlik doğrulama yazılımını yeniden yapılandırmak için gizli anahtarı değiştirebilirsiniz.
- Temiz bir sayfadan başlamak istiyorsanız, o ana bilgisayar için 2FA'yı devre dışı bırakmak üzere /home/8host/.google_authenticator dosyasını tekrar ziyaret edebilirsiniz. Sudo ile giriş yaptıktan sonra 2FA'yı yeniden yapılandırabilir ve yeni gizli anahtarı alabilirsiniz.
Bu seçeneklerden herhangi biri için, 2FA'nın dolaylı olarak engellenmesinden sonra, kök kaydın vekaleten görünümünü değiştirebilirsiniz.
Visnovok
Bu kılavuzla, bir Ubuntu 18.04 makinesinde 2FA'yı düzelttiniz. İki faktörlü kimlik doğrulama, sistemin genel kaydını bir bütün olarak korumanın ek maliyetini güvence altına alır. Standart bulut verilerini kullanıyorsanız, oturum açmak için ek bir doğrulama kodu da girmeniz gerekir. Kötü niyetli kişinin oblіkovі verilerinize girebilmesi için oblіkovogo kaydınıza yetkisiz erişim almanın imkansızlığını ortadan kaldırmak için.
Etiketler: ,- "Standart ROSA Sunucusu" yapılandırmasında 6.8'den düşük olmayan yüklü ROSA Enterprise Linux Sunucusu sürümü
- Depoya erişim
- Okuyucudan bir kerede Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC eklendi. Ekte, sertifika suçlanacak
Depoya erişimi kaldırmak için anahtarı destek hizmetinden kaldırın ve aşağıdaki komutu yönetici haklarıyla yürütün:
Eko<ключ>> /etc/rosa-support-id-server
Zastosovnіst
Talimatlar, Rutoken ECP zaferleriyle kimlik doğrulama için gereken ROSA Enterprise Linux Server yardımcı programlarının kurulumunu ve özelleştirilmesini açıklar. Buttstock, AMD64 mimarisine sahiptir; 32 bit sistem için klasör adlarına kadar her şey aynı olacaktır.
Rutoken ECP için kimlik doğrulama prosedürü aşağıda tanıtıldığında, mümkün olacak, ancak bağlayıcı olmayacaktır.
Kurulu bileşenler
Gerekli programları kurun ve çakışan yardımcı programları kaldırın (yönetici hakları gerektirir):
Su yum yükleme ccid opensc pam_pkcs11 gdm-plugin-smartcard yum coolkey'i kaldır
Rutoken ECP için PKCS#11 kitaplığını kurun (yardımcı programları kurduktan sonra kitaplığı kurmak önemlidir):
- Rutoken web sitesine gidin: https://www.rutoken.ru/support/download/pkcs/.
- "GNU/Linux Çekirdekleri için" sekmesine gidin ve "GNU/Linux RPM 64-bit (x64) için rtPKCS11ecp Kitaplığı"na tıklayın.
- Paketi isteyin ve kurun (yönetici şifresi gereklidir).
Nalaştuvannya
Sistemde yeniden doğrulama ve yeni gerekli bilgiler üzerinde görünürlük oluşturacağım
- Koşmak pcscd(yönetici hakları gerektirir):
- Temel işlemi tamamlayın pcscd, bu boov gibi:
Bu anda jeton farklı güllere yerleştirilebilir.
- Wikonait:
- Sekmeyi açın veya terminali açın ve içindeki komutu girin:
Bağların görünür parametreleri ve binanın adı vardır. Aşağıda bir vizyon örneği verilmiştir.
- Ek saldırgan komut için gerekli bilgilerin belirteç üzerindeki varlığını tersine çevirin (gerekli parola belirteç türüdür):
Wisnovku, Sertifika Nesnesinden sorumludur. Kimlik ve etiket gibi bu tür parametreler, fareyle aşağı indirildiğinde değiştirilebilir.
Güven sertifikası ekleme
- Güvenilir sertifikalardan oluşan bir veritabanı oluşturun (yönetici hakları gerektirir):
- Sertifikayı belirteçten kopyalayın (gerekli belirteç parolası. Kimlik parametresi, pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l komutunun çıktısından alınabilir):
- Mütevelliye bir sertifika ekleyin (yönetici hakları gerektirir):
Yapılandırma dosyalarını değiştirme
Yapılandırma dosyalarını değiştirmek için yönetici haklarına ihtiyacınız vardır.
pam_pkcs11.conf
- Bunun yerine (örneğin, masaüstünde) pam_pkcs11.conf metin dosyasını aşağıdakilerle oluşturun:
- Dosyayı /etc/pam_pkcs11/ dizinine taşıyın:
sistem-auth
- Modülü PAM yetkilendirme sistemine bağlayın:
- Düzenleyicide system-auth dosyasını açın nano veya mcedit:
- Bir sonraki satıra ekleyin:
- dosyayı kaydet (
konu_eşleme
- Komutları izleyin:
- Yukarıdaki komutu /etc/pam_pkcs11/subject_mapping dosyasından kopyalayın ve sertifikanın hangi konuya ait olduğunu belirtin.
Bir dizi konfigürasyon görülebilir:
pkcs11_inspect komutunun incelenmesi -><имя_пользователя>
Konsol üzerinden kimlik doğrulama yeniden doğrulaması
- Yeni pencere veya konsol sekmesini açın.
- su komutunu çal<имя_пользователя>(im'ya koristuvacha, konu_eşlemesinde belirtilir).
Bir vizyon örneği:
Konsol üzerinden kimlik doğrulamasını yeniden kontrol ettikten sonra, güçlendirme modunu temizleyebilirsiniz. Bunun için verilen satırdaki /etc/pam.d/sysauth dosyasından debug kelimesini alın ve /etc/pam_pkcs11/pam_pkcs11.conf dosyasından true yerine debug false koyun.
Ekran kilidi
- Düzenlemek için pkcs11_eventmgr dosyasını açın (yönetici hakları gerektirir):
Düzenledikten sonra yapılandırma dosyası şöyle görünebilir:
Pkcs11_eventmgr (# Arka planda çalıştır? Debug=false, true daemon = true ise; # hata ayıklama mesajlarını göster? ; # pkcs11 modülünü kullanmak için pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # olaylar ve eylemler listesi # Kart takılı olay card_insert # bitiş eylemi dizisi # çık: programı sonlandır on_error = yoksay; ) # Kart kaldırıldı event card_remove ( on_error = yok say; action = "gdmflexiserver"; ) # Çok fazla zaman kartı kaldırıldı eventexpert_time ( on_error = yoksay; action = "/bin /false"; ) )
- Yardımcı program ekle pkcs11_eventmgr otomatik edinmede. Hangisi için, kimlik doğrulaması yapmak için muhabirin .bash_profile dosyasını düzenleyin:
- Dosyayı başlattığınız bir satırla sonlandırın pkcs11_eventmgr.
Düzenlemeden sonra butt file.bash_profile:
Ek bir belirteç için kimlik doğrulamayı seçerken, ekran şöyle görünür.
2020'den bu yana, GOST R 34.10-2001 için şifrelemenin geleceği çitlere dayanmalıdır ve ayrıca, devlet yapılarıyla etkileşime girdikçe tüm kuruluşlar, 2012'den yıla yeni standardı destekleyen terminoloji ile karıştırılmaktadır. Bunlardan birinde çalışıyorsanız, geçmeyin: bu makalelerde, CentOS 7 sunucusunu ve CryptoPro JCP paketini kullanarak sorunun nasıl çözüleceği hakkında konuşacağız.
Her şeyi zaten biliyorsanız, o zaman çok az tarihsel kanıt vardır.
1994 yılında, Federal Güvenlik Servisi (FSB) düşük standartlar uyguladı ve bu süreçteki kuruluşlar ve diğer katılımcılar arasında belge alışverişinin korunması çağrısında bulundu. Bu tür güvenlik yaklaşımlarından biri, belgelerin elektronik dijital imzası haline geldi ve standartlardan biri, elektronik dijital imza oluşturma ve yeniden doğrulama algoritmasını tanımlayan GOST R 34.10-94'tür. 23 Ocak 1994 tarih ve 154 sayılı Rusya'nın onurlu Derzhstandart'ı tarafından 2001 yılına kadar kabul edilmiş ve tanıtılmıştır.
Değişiklik için GOST R 34.10-2001'in tanıtımını aldık - standart iyileştirmeler, algoritmanın daha fazla kararlılığını sağlamak için genişletmeler. Görevde durmamak için bir saat, kripto koruma algoritmaları ve yöntemleri değiştirildi ve on bir yıl içinde GOST R 34.10-2001, GOST R 34.10-2012 olarak değiştirildi.
Yeni standartta, parametreler değişmeden ilk varyant değiştirilemez. Gizli anahtarın değeri 256 bit'e yakın olmalıdır, ancak maksimum 256 veya 512 bitlik bir özet kodu ile bir özet fonksiyonuna aktarılmıştır. Ana şey, yeni standardın tanıtımıdır - GOST R 34.11-2012 "Stribog" standardı için karmalar da dahil olmak üzere ek parametreler ve şemalar içeren seçenekler.
BİLGİ
Stribog, rüzgarlara aracılık eden, açık alanda gösterilen her şeyi bekleyen eski kelimelerin tanrısıdır. Muhtemelen ve kasvetli teknolojiler de. Bu şifreler hakkında bir rapor için "" o "" makalelerini okuyun.
2014'ün sert kaderinde, FSB, bilgilerin intikamını almamak, bir devlet sırrı oluşturmak için bilgi için elektronik imza almak için yeni ulusal standart GOST R 34.10-2012'nin kabulüne geçişin başladığını duyurdu. 31 Eylül 2014 tarihli ve 149/7/1/3-58 sayılı “Yeni ECP standartlarının ve hash fonksiyonlarının benimsenmesine geçiş prosedürü hakkında” böyle bir yardım kurduktan sonra belgemiz var.
- 31 göğüsler 2013 ROCKITI STIFIFIKATSIUY Vіdpov'da ELEKTRONİK PIDPISA OYNADI Vimogam to Zavobiv Elektrona Pіdpisu'da, 27.12.2011 ROK №796'da çalışıyor, Yakscho Usich dartları Realіzіyi Funkkiy 34.201 tarafından korunmaz.
- 31 Mart 2018'de, elektronik imzanın oluşturulması için çitin dosyalanma tarihi GOST R 34.10-2001 idi.
Ulaştırma Bakanlığı standarda geçiş için bir plan oluşturmuştur (PDF). Uygulamada her şeyin o kadar basit olmadığı ortaya çıktı ve geçiş 31 Aralık 2019'a kadar gerçekleşti. Neden öyle.
- Pek çok egemen ve belediye makamı, Rivne PZ'de bir imzanın tanıtılması yoluyla yeni bir elektronik imza GOST-2012 standardına geçmeye hazır değil.
- Yeni bir markanın sertifikasını vermek için, tabii ki, GOST-2012 standartlarına sahip oluşumları teyit etmek için Merkez Merkezin yeni bir GOST sertifikasına sahip olmak gerekir. Posvidchuvalni centry, yogayı 2018 rock'ın dövülmüş pistinden çıkardı. Tüm coristuvach'lar için sertifika verilmesi ek bir saat sürecektir.
Aynı zamanda, ECP'nin çalışması için bir kripto koruyucusu için iki standart ve bir ale tim, kim vikoristovuє GOST-2001, bu terim robit için gereklidir. Kış, göründüğü gibi yakın, ancak GOST-2012 standartlarının uygulanmasıyla kontrolün üzerimizde düşük olduğu anlamına geliyor.
Size FSB zasib SKZI sertifikasını (CryptoPro JCP) Java JDK törenleri altında Linux sunucusuna nasıl dağıtacağınızı anlatacağım. Konuşmaya kadar, ty dosі vykoristovuєsh DERZHSTANDART-2001, CryptoPro є chudova, raja tobi її sitesinde okumayacağız.
Değişim katılımcıları arasındaki tüm belgeler CMEV ilkesine (elektronikler arası birlikte çalışabilirlik sistemi) tabidir. Bir zeyilname böyle bir sisteme katılımcı olabilir veya belge alışverişi ilkesinin hiçbir şekilde değiştirilmediğinin farkında olmayabilir. Basit olması için küçük bir şema çizdim.
Fiyat:% s
Kural olarak, bir yazılım çözümü için bir lisans gönderin. CryptoPro JCP ucuz değildir ve bir çalışma istasyonunun maliyeti 1200 ruble ise, sunucu lisanslarının maliyeti çok daha fazladır - bir dış görünüm çekirdeği (veya Hyper Threading etkinleştirilmiş iki Intel işlemci çekirdeği) için 30.000'e yakındır.
Yüklü ve ayarlanmış kripto sağlayıcı
Benim durumumda, CentOS 7 ile sanal bir makine üzerinde çalışıyorum, ancak bu Linux dağıtımı için bir donanım çözümü seçme konusunda herhangi bir sorunum yok. Takımların kendileri gibi olacağını düşünmüyoruz.
Yerel bir coristuvacha oluşturuyoruz, yakim pratsyuvatime PZ, scho vykoristovuє podpis dokumentіv.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash kullanıcısı; sudo grep kullanıcısı /etc/passwd
Java JDK'yı doğru şekilde yükleyin. Vikachuemo gerekli dağıtım kiti.
$wget --header "Çerez: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Arşivleri paketinden çıkarın ve Java klasörünün kopyalamaya hazır olup olmadığını kontrol edin.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Klasörü uygulama yazılımının dağıtımına kopyalayın. Vicorist /opt oynayacağım.
$ sudo cp -rf jdk1.8.0_191 /opt/
Neyin doğru kopyalandığını doğrulayın. Gerektiğinde, klasörün sahibini kök olarak değiştirin.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R root:root /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Tüm kilitler için Java JDK kalemtıraşta değişiklikleri yazacağız.
$ sudo vi /etc/profile.d/oracle.sh
Dosya daha sonra yazılır:
Dışarı aktar JAVA_HOME=/opt/jdk1.8.0_191 dışa aktar JRE_HOME=/opt/jdk1.8.0_191/jre dışa aktar PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre/
Sunucuda birkaç Java JDK sürümü bulunduğundan, yeni sürüm için alternatiflerin kaydedilmesi gerekmektedir.
$ sudo alternatifleri --install /usr/bin/java Java /opt/jdk1.8.0_191/bin/java 2 $ sudo alternatifleri --install /usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2 $ sudo alternatifleri --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ sudo alternatifleri --set jar /opt/jdk1.8.0_181/bin/jar $ sudo alternatifleri --set jar /opt/jdk1.8.0_191/bin/jar $ sudo alternatifleri --set javac /opt/jdk1.8.0_191/bin/javac $ sudo alternatifleri --config java
Menüden 2. seçeneği (veya Java'nın daha yeni bir sürümüne getirecek olanı) seçin. JRE systemPrefs üzerindeki izinleri düzeltmeyi unutmayın.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Java'nın yüklü sürümünü doğrulayın.
$ java sürümü
java sürümü "1.8.0_191"
Java(TM) SE Çalışma Zamanı Ortamı (derleme 1.8.0_191-b12)
Java HotSpot(TM) 64-Bit Sunucu VM (25.191-b12 oluşturma, karma mod)
Uygulama yazılımının dağıtımından CryptoPro JCP dağıtım kiti içeren klasörü kopyalayın.
$ sudo cp -rf jcp-2.0.40035 /opt/
Her şeyin doğru kopyalandığı doğrulandı.
$ ls -al /opt/jcp-2.0.40035/
Komut dosyalarını çalıştırma haklarını görüyoruz.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Klasörün haklarının root olabileceğini vlasnik'i kontrol ediyoruz. Hadi ona gidelim.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
Kurulum sırasında sorun yaşamamak için işlemcideki çekirdek sayısını ve lisansı kontrol edin. nproc komutu ile çekirdek sayısını belirleyebilirsiniz.
JCP kripto sağlayıcısının kurulumuna geçelim. Kurulum saatinin altında, düşük bir güç kaynağına bağlanmanız gerekecektir.
Sadece üyelere özel promosyon
Seçenek 1. Sitedeki tüm materyalleri okumak için “siteye” gelin
Ortak olarak atanan bir dönemle üyelik, özel birikmiş indirimi artırmak ve profesyonel bir Xakep Puanı puanı kazanmanıza olanak tanımak için Hacker'ın tüm malzemelerine erişmenizi sağlar!
