Windows uzoq vaqtdan beri tarmoqli autentifikatsiya va yagona tizimga kirishning integratsiyalashgan tizimi bilan to'plamlarda taqdim etilgan. Windows 2000 ga qadar Windows NT domen kontrollerlari Windows mijozlariga NTLM protokoli yordamida autentifikatsiya xizmatlarini taqdim etgan. NTLM unchalik o'g'irlik qilmagan bo'lsa-da, go'yo u joyida berilgandek edi, biz uni o'chirib tashlaganimiz ma'qul, shards, turli serverlarda koristuvachning bulutli yozuvlarini ko'paytirish zarurati muammosiga aniq yechim topamiz. tarmoq.
Windows 2000 dan boshlab Microsoft NTLM dan Active Directory ga o'tdi va Kerberos autentifikatsiya xizmatini birlashtirdi. Kerberos NTLM uchun sezilarli darajada himoyalangan va u ham yaxshi miqyosda. Ayni paytda Kerberos koinotning standarti bo'lib, u allaqachon Linux va UNIX tizimlarida g'alaba qozongan va bu platformalarni Windows bilan integratsiya qilish uchun eshiklarni ochgan.
Linux autentifikatsiya tekshiruvi
Linuxning asosi (shuningdek, yangisi ustida ishlagan GNU kutubxonalari) yagona haqiqiylik mexanizmiga tayanmagan. Natijada, haqiqiylikning nufuzli sxemalari ishlab chiqilishidan oldin Linux qo'shimchalarini ishlab chiqaruvchilari olingan. Unga /etc/passwd (an'anaviy ravishda Linuxda ma'lumotlarning ko'rinishi uchun qasos olish uchun foydalaniladigan matn fayli) manzilidan ism va parollarning xesh kodlarini qidirish yoki boshqa (va aniq) mexanizmni izlash orqali erishish mumkin edi. .
To'g'riligini qayta tekshirish mexanizmlari qatori, bu viyshov, buv rangli. 1995 yilda Sun Pluggable Authentication Modules (PAM) deb nomlangan mexanizmni taklif qildi. PAM autentifikatsiya API interfeyslarining keng doirasini taqdim etdi, ulardan barcha qo'shimcha distribyutorlar foydalanishi mumkin, shuningdek, ma'mur tomonidan sozlanishi mumkin bo'lgan server elementi, bu turli autentifikatsiya sxemalarini ulash imkonini beradi. Haqiqiylikni tekshirish va interfeyslar uchun PAM API dan foydalanish
Ko'pgina Linux versiyalari ko'plab PAM autentifikatsiya modullari, jumladan LDAP katalogida autentifikatsiyani va Kerberos wiki bilan autentifikatsiyani qo'llab-quvvatlaydigan modullar bilan ta'minlangan. Ushbu modullar Active Directory-da autentifikatsiya qilish uchun tanlanishi mumkin, ammo ayni paytda siz ushbu maqolada quyida tavsiflanganidek, almashinuv qiymatini aniqlashingiz mumkin.
Samba va Winbind
Samba- butun loyiha Windows va Linux muhitlari o'rtasidagi integratsiya usuli bo'lgan yangi kodga asoslangan. Samba Linux kompyuterlariga fayl xizmatlariga va boshqa Windows-ga kirish imkonini beruvchi komponentlarni o'z ichiga oladi, shuningdek, Windows NT 4.0 domen kontrollerlarini taqlid qiluvchi Linux-ga asoslangan xizmatlarni taqdim etadi. Samba mijoz komponentlari bilan Linux kompyuterlari Windows NT va Active Directory domen kontrollerlari tomonidan taqdim etilgan Windows autentifikatsiya xizmatlaridan foydalanishi mumkin.
Biz uchun, ayniqsa Sambaning Winbind deb nomlangan qismi. Winbind - bu Samba mijozlarida ishlaydigan va bir tomondan Linux kompyuterida ishlaydigan PAM va NSS va kontrollerlarda ishlaydigan Active Directory o'rtasidagi aloqa uchun proksi-server sifatida ishlaydigan demon (Windows so'zi bilan aytganda xizmat) domen, s inshgo. Zokrema, Winbind yadrolar va guruhlar haqida ma'lumot olish uchun Active Directory va LDAPning haqiqiyligini tekshirish uchun Kerberos-dan foydalanadi. Winbind shuningdek, domen boshqaruvchisini ko'rsatish, DCLOCATOR Active Directory-ga o'xshash wincrow algoritmi va RPC yordami uchun domen nazoratchisiga murojaat qilish orqali Active Directory parollarini o'chirish kabi qo'shimcha xizmatlarni taqdim etadi.
Winbind PAM yordami uchun Kerberos-dan oddiygina foydalanish orqali saqlangan muammolardan qochadi. Zocrema, PAM autentifikatsiyasi uchun qattiq domen tekshirgichining oʻrnini bosuvchi Winbind Microsoft DC LOCATOR modulini qanday oʻchirishga oʻxshash DNS lokator yozuvlarini izlash uchun domen kontrollerini tanlaydi.
Uchta autentifikatsiya strategiyasi
Linux kompyuterlarida LDAP, Kerberos va Winbind mavjudligini o'zgartirib, Linux kompyuteriga autentifikatsiya uchun Active Directory yutib olish qobiliyatini berish uchun amalga oshirilishi mumkin bo'lgan uchta turli xil amalga oshirish strategiyasi mavjud.
LDAP autentifikatsiya ustasi Autentifikatsiya qilish uchun Active Directory-dan foydalanishning eng oddiy, ammo eng ishonchli usuli bu bo'limda ko'rsatilganidek, LDAP autentifikatsiyasi orqali PAM-ni tuzatishdir. Guruch. bitta. Agar siz Active Directory-ni LDAPv3 xizmati sifatida xohlasangiz, Windows mijozlari LDAP emas, balki Kerberos autentifikatsiyasiga (qo'shimcha sifatida NTLM bilan) tayanadi.
LDAP haqiqiyligini tekshirish vaqti (men LDAP ga qo'ng'iroq qilaman) Bu parol chegara orqali matn ustiga yoziladi. Bu xavfli va kattaroq maqsadlar uchun qabul qilinishi mumkin emas.
Guruch. LDAP yordami bilan Active Directory-da haqiqiyligini qayta tekshirish
Bulutli ma'lumotlarni uzatishni tozalash xavfini kamaytirishga yordam berishning yagona yo'li mijoz-Active Directory aloqa kanalini SSL ulanishining boshqa tomoni bilan shifrlashdir. Bu mutlaqo mumkin, lekin u domen boshqaruvchisi kompyuterida ham, Linux kompyuterida ham SSL sertifikatlarini boshqarish uchun qo'shimcha kuch sarflaydi. Bundan tashqari, LDAP PAM moduli o'chirilgan parollarni o'zgartirishni qo'llab-quvvatlamaydi.
Wicker LDAP va Kerberos Linux autentifikatsiyasini qayta tiklash uchun Active Directory-dan foydalanishning yana bir strategiyasi bo'limda ko'rsatilganidek, ildiz guruhlari haqida ma'lumot qidirish uchun Kerberos uchun PAM va LDAP autentifikatsiyasi uchun NSS autentifikatsiyasini tuzatishdir. Guruch. 2. Tsya sxemasi vídnosnoí̈ zahishchennosti dan ustun bo'lishi mumkin va Linuxning níy vikoristovuyutsya vbudovaní imkoniyati. Biroq, u Active Directory domen kontrollerlarini nashr etadigan DNS xizmati relizlari (SRV) yozuvlarini o'zgartirmaydi, ularning ro'yxatini tekshirish uchun ularning to'g'riligini tekshirish uchun. Bu, shuningdek, joriy Active Directory parollarini buzishning ayniqsa intuitiv usulini bermaydi yoki yaqin vaqtgacha guruh a'zolarining haziliga mos keladi.
Guruch. 2. LDAP va Kerberos yordamida Active Directory-da haqiqiylikni qayta tekshirish
Winbind Wikisource Linux autentifikatsiyasi uchun Active Directory-dan foydalanishning uchinchi usuli - Winbind dasturi kalitiga bosish uchun PAM va NSS-ni sozlash. Winbind turli xil PAM va NSS so'rovlarini Active Directory g'alabalariga, LDAP, Kerberos yoki RPC ga tarjima qiladi, qaysi biri eng mos keladi. Ustida Guruch. 3 strategiyaning naochny dumbasiga ishora qildi.
Guruch. Winbind yordami bilan Active Directory-da haqiqiyligini qayta tekshirish
Bizning amalga oshirish rejamiz
Yaxshilangan Active Directory integratsiyasi meni Linux-Active Directory integratsiyasi loyiham uchun Red Hat Enterprise Linux 5 (RHEL5) uchun Winbind-ni tanlashga majbur qildi. RHEL5 - Red Hat Linux tijoriy versiyasining oqimli versiyasi bo'lib, korporativ ma'lumotlar markazlari orasida mashhurdir.
RHEL5 uchun Active Directory orqali ma'lumotnomani tekshirgandan so'ng, sizga beshta keyingi qadam kerak bo'ladi:
- Eng yangi Samba paketi va boshqa eski komponentlarni bilib oling va oling.
- Samba-ni tanlang.
- Samba sozlamalarini qayta o'rnating.
- Linux, PAM va NSS-ni o'zi oling.
- Active Directory-ni sozlang.
Kelgusi bo'limlarda maqolalar hisobotda tavsiflanadi.
Kerakli dasturlarni qidiring
Linux va Windows o'rtasidagi eng katta xususiyatlardan biri shundaki, Linux operatsion tizimning kichik yadrosi va juda yaxshi parvarish qilingan va o'rnatilgan komponentlarning katta to'plamidan iborat. Qo'shiq vazifalari uchun maqbul bo'lgan yanada sinchkovlik bilan tanlangan Linux to'plamlarini yaratish, shuningdek, serverni o'rnatish va uni boshqarish uchun yanada yig'ib ishlash mumkin. Turli xil tarqatishlar uni turli yo'llar bilan hal qiladi. Red Hat (va uning notijorat qarindoshi Fedora) ushbu komponentlarni o'rnatish va boshqarish uchun Red Hat Package Manager (RPM) dan foydalanadi.
Red Hat uchun Linux komponentlari ikki shaklda keladi. RPM fayllari dvíykoví fayllarni o'z ichiga oladi, yaki edi zazdaligіdіdіdіdіdіdіdіdіdіdіdіdіdіbranіdіdіdіdіdіbranіdіnі, Linux va CPU arxitekturasini chiqarish, noínnanіnіnіếníại. Shunday qilib, siz, masalan, Intel x86 arxitektura protsessorida ishlaydigan Fedora 10-versiyasi uchun tanlangan Common UNIX Printing System (CUPS) ning 1.3.8-5-versiyasini olishingiz va o‘rnatishingiz mumkin. O'nlab turli xil CPU arxitekturalari, 100 dan ortiq Linux relizlari va minglab paketlar va versiyalar mavjudligiga asoslanib, siz ikkita RPM paketining nomlash sonidan tanlashingiz mumkin.
Boshqa tomondan, tashqi RPM fayllari ushbu paketning haqiqiy chiqish kodini oladi. Víd koristuvacha ochíkuêtsya, scho vín zavantazhivat í vídní vídní í fayllar, nalashtuê parametrov sbirannya, íslja kompílyuíê í dvíykoví í fayllarni tuzadi. Windows-ni o'rnatish uchun ochko'z bo'lgan xost operatsion tizimini tanlash g'oyasi, ya'ni Microsoft Windows o'rnatish kompakt diskiga qo'ygan narsalarni o'rnatish va keyin paket menejeri jarayonni juda og'riqsiz va mutlaqo ahmoqona tarzda bajarishdir. Samba guruhi xavfsizlik yangilanishlari va tuzatishlarini aqldan ozgan tezlikda tarqatmoqda; Bir kundan ko'proq vaqt va serpen 2008 Samba 3.2-ning bir nechta relizlarini chiqardi, ular 100 dan ortiq kechirimlar uchun qasos oldi va xavfsizlikni tuzatdi. Ushbu loyiha uchun men Samba ning qolgan barqaror versiyasining 3.0.31 versiyasining chiqish kodli fayllarini oldim.
Nima uchun men oldindan tuzilgan ikkilik fayllar to'plami o'rniga Samba kodini zavantazhivnyy qilaman? Kechirasiz, men birinchi marta ko'proq harakat qilganimni bilaman. Ammo bir muncha vaqt o'tgach, men menejer bilan men yuklab olgan ikkita fayl Active Directory haqiqiyligini saqlab qolish uchun zarur bo'lgan tarzda yig'ilmaganligini bilib oldim. Zocrema, Active Directory-da Linux identifikatorlarini o'rnatuvchi kod, shu jumladan standart tuzilmalardagi qo'shimchalar, shuning uchun men Samba-ni to'g'ri qurish parametrlari bilan qayta qurish imkoniyatiga ega bo'ldim. Men quyidagi identifikatorlarning ovqatlanish holatini ko'rib chiqaman.
Agar siz Linux o'z-o'zidan kichik yadro bo'lishini istasangiz, Red Hat Enterprise nashrida uning orqasida anonim paket o'rnatilgan. Ovozni jiddiy ravishda hayotdan so'rang, bu sizga bir xil ishlaydigan operatsion tizimni qayta ochishga imkon beradi, ammo o'rnatilgan paketlarning orqasida bir soat davomida dasturlar bilan ziddiyat mavjud, go'yo keyinroq o'rnatishga o'tayotgandek.
Men Samba-ni Red Hat o'rnatishimga kiritmadim (qulflash uchun Samba o'rnatmasiga qo'ng'iroq qiling), lekin yangi versiyani yangilashim kerak edi. Biroq, Samba-ning yangi versiyasi hali o'rnatilgan boshqa bir qator xizmat kutubxonalari va yordamchi dasturlarning yangi versiyalarini qo'llab-quvvatlaydi. Shunga o'xshash ekinlar bilan bog'liq muammolar asabiylashishi mumkin, ammo siz RPMni osongina engishingiz mumkin.
Ikki RPM paketi joylashtirilgan anonim veb-saytlardan foydalaning. Men tvit yozganim (faqat VIN kodini birinchi bo'lib biladigan kishi) PBONE deb ataladi va rpm.pbone.net saytida g'o'ng'irladi. Men paketlarni va yangisida mening CPU arxitekturasi (i386) va operatsion tizimni chiqarish (Red Hat Enterprise Linux 5/Fedora 7 va 8) uchun zarur bo'lgan barcha dvuykovi fayllarini qo'lda qidirishim mumkin.
Men to'langan paketlarni sotib olish va sotib olish imkoniyatiga ega bo'ldim Guruch. 4 Samba 3.0 ning qolgan versiyasini tanlash uchun (va 3.2 versiyalarining yangi daraxti mavjud, lekin men uni sinab ko'rmadim). Esda tutingki, barcha paketlar Fedora Core (fc) versiyasiga mos keladi. Fedora yutgan bir xil eski kodlarga asoslangan Red Hat fondlarini taqsimlash, bu juda aqldan ozgan. Fedora Core 7 va undan keyingi versiyalar uchun tanlangan paketlar RHEL5 ga o'zgarishsiz qo'llaniladi. Olingan RPM fayllarini /usr/src/redhat/RPMS katalogiga o'tkazing.
Guruch. 4. Samba 3.0.31 ni o'rnatish va o'rnatish uchun zarur bo'lgan paketlar
Samba saqlash
Samba-ni birlashtirishning birinchi qadami to'g'ri chiquvchi RPM paketini olishdir. Men Samba 3.0.31 reliz kodi RPM paketini PBONE veb-saytidan yuklab oldim. Dalimístítítítítítítítítananatananítíí RPM fayl vídníhídníkív /usr/src/redhat/SRPMS; Bu yig'ish jarayoni uchun RPM paketlari va soat kodlari uchun standart katalogdir.
Seansni terminalga oching (Windows shartlarida buyruq satri oynasi) va SRPMS jildiga o'ting. Shundan so'ng, u buzilganligi sababli, ko'rsatilganidek, qo'shimcha buyruq uchun chiqish kodlari to'plamini o'rnating Guruch. besh.
Guruch. besh. Samba chiqish kodlarining RPM paketini o'rnatish
Agar kechirim haqida ogohlantirish mavjud bo'lsa, "foydalanuvchi mockbuild mavjud emas-root yordamida" maqtanmang. Ushbu kechirim maket to'plamining xizmat dasturlarini o'rnatmaganlarni bildiradi. Katlama jarayoni amaliy va ularsiz.
Keyin /usr/src/redhat/SPECS katalogiga o'ting va Samba tanlash parametrlarini o'zgartirish uchun samba.spec faylini tahrirlang. "CFLAGS=" bilan boshlanadigan qatorni toping va "--with-shared-modules=idmap_ad,idmap_rid" ga o'zgartiring. Ushbu parametr tanlash jarayonida Active Directory uchun Linux noyob identifikatorlarini (UID) to'g'ri tarjima qiladigan kod bo'lishini kafolatlaydi. Ustida Guruch. 6 hover parametri.
Guruch. 6. Umumiy modulli katlama parametri ("birga bo'lingan modullar bilan")
Samba-ni to'g'ri tanlash va o'rnatish uchun kompyuteringizdagi ba'zi kutubxonalarni yangilashingiz kerak bo'lishi mumkin; Kutubxonalarning qaysi versiyalari allaqachon o'rnatilgan bo'lsa, tartibda yotadi. Xayolimda men paketlarni qayta o'rnatish imkoniyatiga ega bo'ldim Guruch. 4, rpm-install buyrug'i bilan; ba'zi hollarda, menda bir imkoniyat bor edi, vtym, --force variantini yengib o'tish, ba'zi kamchiliklarni bartaraf etish uchun.
Samba-ni o'rnatish uchun /usr/src/redhat katalogiga o'ting va rpmbuild -bb SPECS/samba.spec-da ko'rsatilganidek kiriting. Guruch. 7. Jarayon natijasida samba-3.0.31-0.i386 yangi RPM fayli /usr/src/redhat/RPMS katalogida qoladi. Ushbu RPM faylini keyinchalik loyiha davomida o'rnatamiz.
Guruch. 7. RPM Samba ikkilik faylini yaratish
To'rli Linux robotini o'rnatish
Active Directory yordamini bekor qilish uchun Linux kompyuteri onasining domen boshqaruvchisi bilan bog'lanish qobiliyati uchun javobgardir. Agar bu sodir bo'lishi mumkin bo'lsa, o'lchovning uchta parametrini tuzatish kerak.
Avvalo, Linux kompyuteridagi median interfeysi DHCP protokoli yoki haqiqiy IP-manzil va tarmoq niqobini tanib olish orqali muhim darajaga ko'tarilganligini qayta ko'rib chiqish muhimdir. qo'shimcha ifconfig buyrug'i. RHEL5 uchun siz tizim | dan vv (Tarmoq) ni tanlash orqali robotni o'lchash uchun sozlashingiz mumkin Ma'muriyat (tizim | Boshqaruv), ko'rsatilganidek Guruch. 8.
Guruch. 8. To'rni yotqizish
Keling, Linux kompyuteri uchun DNS nomlarini aniqlash xizmati domen boshqaruvchisi bilan bir xil DNS nom serverining xostiga o'rnatilganligini o'zgartiraylik; ko'p hollarda, u DNS g'olib deb faraz, Active Directory bilan integratsiya Linux kompyuter olib zarur bo'lgunga qadar, bir domenda domen kontroller hisoblanadi. Agar DNS yorlig'ida DNSni tuzatishga ruxsat berilsa, xizmat dasturida ko'rsatilganidek o'rnatiladi Guruch. to'qqiz.
9. Asosiy DNS ruxsatini o'rnating
Nareshti, ushbu vazifalar bajarilgandan so'ng, ushbu nomni domenda ko'rsatish uchun Linux nomini o'rnatish kerak. Agar siz uni o'rnatishingiz mumkin bo'lsa, o'lchovni tuzatish uchun g'olib dastur, siz tegishli daraja bilan ishlashingiz shart emasga o'xshaydi.
/etc/hosts faylini o'zgartiring va formada localhost.localdomain yozuvi ostidagi yozuvni qo'shing
Linuxda sinxronizatsiya vaqtini sozlash
Kerberos protokoli yuqori sinxronizatsiya aniqligiga erishish uchun yil oxiri autentifikatsiya tizimlari mavjudligiga tayanadi. Aktsiyalar uchun Active Directory beshta kredit uchun maksimal ruxsat beradi. O'sha yildan boshlab Linux tizimlarini ushbu qiymat oralig'idagi domen boshqaruvchisi tizimlariga qayta ishga tushirishni ta'minlash uchun Linux tizimlarini domen boshqaruvchisining NTP protokoliga xizmat ko'rsatish uchun yangilash kerak.
Tizim | dan Linux serverida Sana va vaqt yordam dasturini ishga tushiramiz Ma'muriyat va NTP protokoli yorlig'ini tanlang. "Tarmoq vaqti protokolini yoqish" ("NTP protokolini yoqish") bayrog'ini o'rnating va imkon qadar tezroq o'zgartirilishi kerak bo'lgan domen boshqaruvchisining IP manzilini qo'shing. Ehtiyot bo'ling, asosiy domen boshqaruvchisi (PDC) ning FSMO imitatori roli uchun qasos olish uchun domendagi domen boshqaruvchisi aybdor. Ustida Guruch. 10 Linux uchun birlashtirilgan dzherel soat o'rnatish ko't.
Guruch. 10. NTP protokolini amalga oshirish
PAM va NSS sozlamalari
PAM va NSS nadayat zasyb z'ednannya Linux dasturlari, masalan, ishchi vosita, deb Winbind. Ko'pgina Linux xizmatlariga o'xshab, PAM va NSS matnli fayllar orqali sozlangan. Qo'limning orqa tomonida biz PAMning yamoqlarini ko'rishimiz mumkin.
PAM haqiqiyligini tekshirish uchun ba'zi hissa qo'shishga umid qilmoqda. Zasíb authentifikatsíí zastosunkaga kim yoga yutganini belgilash imkonini beradi. Zasíb oblíkovih zadív naê vazifalari í̈ cheruvannya oblíkovyh yozuvlar, yakí bunday zamezhennya soat kirish kabi, stosuyuutsya autentifíkatsíí yo'q. Parollarni yig'ish parollarni so'rash va ularni boshqarish mexanizmlari bilan ta'minlanadi. Zasíb sessiyalari vykonuê zavdannya o'rnatish va vidalennya dasturlari, stosuyuyutsya koristuvacha kabi, jurnalga yozish va ma'lum bir koristuvach toifasida fayllarni yaratish kabi.
Red Hat-dagi PAM moslashtirish fayllari /etc/pam.d katalogida saqlanadi, bu autentifikatsiya uchun PAM hack kabi teri dasturi uchun matn fayli bo'ladi. Masalan, /etc/pam.d/gdm fayli Red Hat ish stolini blokirovka qilish muhiti bo'lgan Gnome Desktop Manager (GDM) uchun PAM ni o'rnatish haqida ma'lumotni o'z ichiga oladi. PAM-ni tuzatish uchun teri faylida bir nechta qatorlar mavjud, ularning har biri uchun teri PAM autentifikatsiya jarayonining ba'zi jihatlari bo'lishi mumkin. Ustida Guruch. o'n bir GDM uchun PAM sozlamalari sifatida ko'rsatilgan.
Guruch. o'n bir. Gnome Desktop Manager uchun RAMni moslashtirish fayli
PAM faylini o'rnatish fayli shaklidagi teri yozuvi<группа управления> <элемент управления> <модуль> <параметры>, de<группа управления>dpovídaê zabou, rekord qay darajada o'rnatilishi kerak: autentifikatsiya, bulutli yozuvlar, parollar yoki sessiyalar. Ta'riflangan kalit so'zlar Guruch. 12, PAMga o'xshaydi, yamoqni qanday yozish kerak. Uchinchi qadam, faylni /lib/ xavfsizlik katalogidagi umumiy PAM kutubxonasi nomi bilan almashtirishdir. Global kutubxonalar Windows DLL-ga o'xshash kodni dinamik ravishda olish imkoniyatiga ega. Modul nomidan keyin qo'shimcha shartlar - bu asosiy kutubxonaning PAM moduli tomonidan uzatiladigan parametrlar.
Guruch. 12. PAM kalit so'zlari
kalit so'z | Tavsif |
| Majburiy ("Obov'yazkovo") | Agar modul muvaffaqiyatli yaratilsa, PAM nazorat guruhi uchun yozuvlarni hisoblashni davom ettiradi va natijalar qoldirilgan modullarning natijalari bilan almashtiriladi. Agar yo'q bo'lsa, PAM hisob-kitobni davom ettiradi, lekin to'langan zbyy qo'shimchasini qaytarib beradi. |
| Majburiy | Agar modul muvaffaqiyatli ishlayotgan bo'lsa, PAM boshqaruv guruhining yozuvlarini hisoblashda davom etadi. Agar yo'q bo'lsa, PAM siz qo'ng'iroq qilgan qo'shimchani qayta ishlamasdan qaytaradi. |
| Yetarli | Agar modul muvaffaqiyatli ishlasa, PAM muvaffaqiyatli natijani bosilgan qo'shimchaga qaytaradi. Aks holda, PAM hisoblashni davom ettiradi, ammo natijalar keyingi modullarga tayinlanadi. |
| Majburiy emas ("Neoob"Language") | PAM nazorat guruhiga javoban bitta modul sifatida modul natijalarini e'tiborsiz qoldiradi. |
| O'z ichiga oladi | PAM so'rov berilgan PAM moslashtirish fayliga, shuningdek, yangi yozish jarayoniga kiritilgan. |
Terini boshqarish guruhida bir nechta yozuvlar bo'lishi mumkinligini eslashingiz mumkin. PAM modul nomlarini chaqirib, yozuvlarni tartibda qayta ishlaydi. Keyin modul muvaffaqiyat yoki muvaffaqiyatsizlikni tekshiradi va PAM, albatta, boshqariladigan kalit so'zga bog'liq.
GDM uchun PAM fayli barcha autentifikatsiya guruhlari uchun tizim autentsiyasiga ega boʻlishi mumkinligini unutmang. PAM GDM aktsiyalari uchun autentifikatsiya xatti-harakatlarini shunday o'rnatadi. Tizim autentsiyasini o'zgartirib, siz PAM sozlamalari uchun tizim-auth fayli mavjud bo'lgan barcha dasturlar uchun bir xil xatti-harakatni o'zgartirishingiz mumkin. Qulfning orqasidagi tizim-auth fayli ko'rsatilgan Guruch. 13.
Guruch. 13. PAM moduli tizim-auth fayli
Nomlarni konvertatsiya qilish blokiga o'tish moduli (NSS) ushbu tizimlarning to'plami haqida aniq ma'lumotni dasturiy ta'minot sotuvchisida oladi, xuddi PAM autentifikatsiya ma'lumotlarini olgani kabi. NSS ma'murga tizim ma'lumotlar bazalarini saqlash usulini belgilash imkonini beradi. Zocrema, administrator ism va parol haqidagi ma'lumotlar qanday saqlanganligini aytib berishi mumkin. Winbind yordami uchun Active Directory-da koryllistlar haqida ma'lumot izlagan dasturlar biz uchun kerak, shuning uchun uni ko'rsatish uchun NSS sozlamalarini o'zgartirishimiz kerak.
Red Hat tizimi-config-autentifikatsiya deb nomlangan PAM va NSS-ni sozlash uchun kichik grafik vositani o'z ichiga oladi. Siz system-auth va nss.conf fayllariga kiritilishi kerak bo'lgan ko'proq o'zgarishlar (lekin hammasi emas) haqida gapirasiz.
System-config-authentication dasturini ishga tushiring va siz quyidagi dialog oynasini ko'rishingiz mumkin. Guruch. o'n to'rt. Winbind belgisini ham Foydalanuvchi haqida ma'lumot yorlig'ida (Koristuvach haqida ma'lumot, yangi nss.conf fayli mavjud) va Autentifikatsiya yorlig'ida o'rnating yoki tizim-auth faylini o'zgartiring.
Guruch. o'n to'rt. systemconfig-autentifikatsiya dialogi
Winbind-ni sozlash tugmasini bosing va dialog oynasi ko'rsatiladi Guruch. 15. Winbind Domain maydoniga xostning autentifikatsiyasi tekshirilishi mumkin bo'lgan domen nomini kiriting va xavfsizlik modeli sifatida "ovozli" ni tanlang. Winbind ADS Realm maydoniga Active Directory domenining DNS domen nomini kiriting. "Winbind Domain Controllers" maydoniga Linux tizimi uchun ma'lumotnomani tekshirish kerak bo'lgan domen boshqaruvchisi nomini yoki Winbind SRV so'rovi orqali domen boshqaruvchisini tanlashi kerakligini ko'rsatadigan belgini kiriting. DNS-dagi yozuvlar.
Guruch. 15. Winbind dialog oynasini sozlash
Active Directory onasining aybi bo'lgan qulf uchun mos tarjimonni tanlang; Men vpadkadan bash (Bourne-yana Shell) ni tanladim. Har qanday bosqichda Domenga qo'shilish tugmasi bilan bezovta qilmang. Kompyuter yangi domenga tayinlanadi.
Winbind qo'llab-quvvatlashi o'zgartirilgandan keyin /etc/pam.d/system-auth fayli yana bir qo'shimcha o'zgartirish kiritishi kerak. Tizimga Linux ildizi kirganida, tizim uy katalogining mavjudligini ko'rsatadi. Uy katalogida Windows ro'yxatga olish kitobiga o'xshash narsalarga boy ma'lum bir koristuvachni o'rnatish uchun juda ko'p parametr va elementlar mavjud. Bu erda muammo ildiz papkalari Active Directoryda yaratilganga o'xshaydi, Linux avtomatik ravishda ildiz papkasining uy katalogini yaratmaydi. Yaxshiyamki, PAM seansni sozlashning bir qismi sifatida uyg'onish uchun sozlanishi mumkin.
/etc/pam.d/system-auth faylini oching, so'ngra ekranni pastga aylantiring va sessiyaning qolgan qismiga bo'lingan qator (div. Guruch. 16). Bu qator koristuvach uchun PAM uy katalogida yaratilgan, chunki hali bunday narsa yo'q. Siz /etc/skel-ni shablon uchun “skelet” sifatida belgilaysiz va yangi jildning 0644 ruxsat maskani (fayl uchun yozuvni o'qing, asosiy guruh uchun o'qing va yechim uchun o'qing) taniysiz.
Guruch. 16. Koristuvachív uchun uy katalogini yaratish
Samba o'rnatildi va sozlandi
Samba dvukoví fayllarini o'rnatish uchun, schoyno yaratilgan, /usr/src/redhat/RPMS katalogiga o'ting. Rpmbuild buyrug'i bilan yaratilgan barcha RPM fayllari bir xil katalogda paydo bo'ladi. Shuni yodda tutingki, Samba dvukovi fayllarini o'z ichiga oladi, bu Linux mijoziga Windows (yoki Samba) dagi umumiy fayllar omboriga kirish imkonini beradi, shuningdek, Linux tizimining Windows fayl serveri, Windows serveri kabi ishlashiga imkon beruvchi kodni o'z ichiga oladi. boshqasi va Windows NT uslubidagi domen boshqaruvchisi 4.0.
Linuxga Active Directory orqali autentifikatsiya qilishga ruxsat berish uchun hech narsa kerak emas; Samba mijozidan yuqori samba fayllari va ikkilangan fayllarni dozalash. Bizning qulayligimiz uchun ushbu fayllar ikkita RPM fayliga bo'lingan: samba-client-3.0.31-0.i386.rpm va samba-common-3.0.31-0.i386.rpm. RPM fayllarini rpm --install yordamida o'rnating. Men bir dumba beraman: rpm --install samba-common-3.0.31-0.i386.rpm. (Ehtiyot bo'ling, undan oldin RPM faylini -common qo'yishingiz kerak.)
Samba mijozining ikkilik fayllarini o'rnatgandan so'ng, Winbind Active Directory yordamida autentifikatsiyani amalga oshirishi uchun Samba sozlamalarini reklama qilish uchun o'zgartirish kerak. Samba (mijoz, server) ni sozlash bo'yicha barcha ma'lumotlarni /etc/samba katalogida joylashgan smb.conf matn faylida topish mumkin. Smb.conf juda ko'p sonli parametrlarni o'z ichiga olishi mumkin va hatto yoga haqida ko'proq ma'lumot ushbu statistik ma'lumotlar doirasidan tashqariga chiqishi mumkin. Samba.org veb-saytida va Linux ishlab chiqish tizimida smb.conf haqida hisobot mavjud.
Birinchi qadam Winbind-ni sozlash va autentifikatsiya qilish uchun Active Directory-dan foydalanishdir. Smb.conf-dagi xavfsizlik modeli bo'sh qilib belgilanishi kerak. System-config-autentifikatsiya xizmati dasturini o'zi o'rnatish uchun allaqachon kichik, lekin qayta tekshirish hech qachon muvaffaqiyatsiz bo'lmaydi. Domen a'zosi parametrlari qiymatlarini tahrirlash va bilish uchun smb.conf faylini oching. "Xavfsizlik" dan boshlanadigan qatorni toping va "xavfsizlik = reklamalar" kabi o'qiladigan qatorni o'zgartiring. Keyingi bosqichda Winbind ushbu guruhlar kabi Windows xavfsizligi ishtirokchilarini Linux identifikatorlari bilan qanday o'rnatishi aniqlanadi va bu batafsilroq tushuntirishni talab qiladi.
Identifikatorlarni o'rnatish muammosi
Active Directory yordami uchun Linux yadrolarining haqiqiyligi bilan bog'liq bitta katta muammo bor va men buni hali tushunmadim - bu guruh yadrolari uchun noyob identifikatorlar (UID) muammosi. Ichki ma'lumotlarga ko'ra, Linux ham, Windows ham o'zlarining haqiqiy nomlari bilan koristuvachiv deb nomlanmaydi, vicorista noyob ichki identifikatordir. Windows-da xavfsizlik identifikatorlari (SID) ajralib turadi, ular o'zgaruvchan hayotning tuzilishi bo'lib, Windows domenida terining shikastlanishini noyob tan olish imkonini beradi. SID, shuningdek, Windows turli domenlarni farqlashi uchun noyob domen identifikatoridir.
Linux sxemasi juda oddiy. Linux kompyuteridagi charm qutida UID bo'lishi mumkin, bu faqat 32 bitli butun sondir. Ale maydoni dííí ííí ídídífíkata UID kompyuterning oʻzi bilan oʻralgan. Bitta Linux mashinasida UID 436 bo'lgan karta boshqa Linux mashinasida UID 436 bo'lgan karta bilan bir xil ekanligiga kafolat yo'q. Oxirgi chora sifatida teri kompyuteriga ulanish kerak, unga kirish kerak bo'ladi, bu baxtsiz holat.
Merezheví ma'murlari Linux zvíshuyut tsyu muammo, yordam yoki abo merezhovoí ínformatsíynoí tizimi (Tarmoq Axborot tizimi - NIS), yoki butun LDAP katalog uchun merezhevy autentifikatsíyu berib. Merezhevaning autentifikatsiya tizimiga koristuvach uchun UID beriladi va ushbu tizim tomonidan o'rnatilgan barcha Linux kompyuterlari bir xil koristuvach guruhi identifikatorlari bilan yadrolanadi. Bunday vaziyatda menda koristuvachlar va guruhlarning berilgan noyob identifikatorlari uchun yordamchi Active Directory mavjud.
Ushbu muammoni hal qilish uchun men ikkita strategiyadan foydalanaman. Birinchi (va shuningdek, eng ravshan) strategiya dermal teri xatosi uchun UID yaratish va Active Directorydagi qo'shimcha ID ob'ekti uchun guruh identifikatorini saqlashdir. U tiqilib qolsa, agar Winbind xato ruxsatlarini buzsa, men uning UID-ni qidirib, Linux-ga xatoning ichki identifikatori sifatida sozlashim mumkin. Winbind ushbu sxemadan Active Directory identifikatorlarini (yoki idmap_ad) o'rnatish uchun foydalanadi. Ustida Guruch. 17 Active Directory identifikatorlarini o'rnatish jarayonining ko'rsatkichlari.
Guruch. 17. Active Directory identifikatorlarini o'rnatish jarayoni
Active Directory identifikatorlarini identifikatsiyalashning yagona kamchiligi teri koristuvachalari va guruhlari identifikatorlarining ko'rinishi, shuningdek, o'rmon chegaralarida ularning o'ziga xosligi uchun mexanizm zarurati hisoblanadi. Hisobot ma'lumotlarini oq panelda topish mumkin "Active Directory identifikatorlarini moslashtirish uchun Active Directory-ni sozlash".
Hozircha identifikatorlarni o'rnatish uchun bitta strategiya mavjud bo'lib, u ma'muriy to'lovlardan ancha kam. Taxmin qilaylik, Windows SID domenning o'rtasida joylashgan xostni, shuningdek, domenning o'zini noyob tarzda aniqlaydi. SIDning domen ichidagi yadroni noyob tarzda aniqlaydigan qismi RID deb ataladi va aslida 32 bitli butun sondir. Shunday qilib, Winbind foydalanuvchi tizimga kirganida bir muncha vaqt SID dan RIDni chiqarib olishi va keyin RIDni noyob ichki UID sifatida chiqarishi mumkin. Winbind ushbu strategiyadan RID yoki idmap_rid identifikatorlarini o'rnatish uchun foydalanadi. Ustida Guruch. o'n sakkiz RID bayonotining qanchalik ishlashi ko'rsatilgan.
Guruch. o'n sakkiz. RID bayonoti
RID sozlamalari nol ma'muriy qiymatlardan ustun bo'lishi mumkin, ammo bir qator domenlarda asosiy qiymatlarda RIDning yagona qiymatini ko'rsatish qobiliyati orqali boy domen muhitida g'alaba qozonish mumkin emas. Bir Active Directory domenini ochish uchun RID bayonoti to'g'ri tanlovdir.
Winbind ID siyosatini sozlash uchun, uni qayta tahrirlash uchun /etc/samba/smb.conf faylini oching va Active Directory muqobil siyosati uchun "idmap backend = ad" qatorini yoki RID yorlig'i uchun "idmap backend = rid" qatorini qo'shing. Boshqa qatorlar ko'rinishida faylni o'rnatish strategiyasini ko'rsatganday o'zgartiring.
Winbind uchun smb.conf fayliga qo'shilishi kerak bo'lgan boshqa parametrlar ham mavjud. Tizimga kirishdan oldin terini tozalash vositasi uchun uy katalogini yaratishga PAM o'rnatmalari kabi o'ting, Winbindga nima ism ekanligini aytishingiz kerak. Biz shunchaki smb.conf (div. Guruch. 19). Aytishga hojat yo'q, Winbind, /home/ bo'ladi.<имя пользователя>. Avval /home katalogini yaratishni unutmang.
Guruch. 19. Uy katalogining nomini belgilash
Domenga kirish va tizimga kirish
Endi, agar birlashtirish, PAM, NSS va Samba Winbind to'g'ri sozlangan bo'lsa, Linux kompyuterini domenga olib kelish vaqti keldi. Sizga yordam berish uchun Samba Net buyrug'idan ham foydalanishingiz mumkin. Buyruq tarjimonida "net ads join -U" ni kiriting.<имя администратора>". O'zgartiring<имя администратора>kompyuterlarni domenga olib kirish uchun etarli bo'lishi mumkin bo'lgan ommaviy yozuv nomida.
Net buyrug'i koristuvach parolini so'raydi. Har bir narsa yaxshi ishlaydi, u domendagi kompyuterga keladi. Kompyuterning yaratilgan tasvir yozuvini ko'rsatish uchun siz Active Directory qo'shimchasidan foydalanishingiz mumkin - kompyuterni qattiqlashtirish.
Siz wbinfo deb ataladigan Winbind test vositasi yordamida lagerga qarshi norozilik bildirishingiz mumkin. Xuddi wbinfo -t kabi, kompyuter va domen o'rtasidagi ishonchga qarshi noroziliklar bo'ladi. Natijada, wbinfo -u barcha asosiy domenlarni, wbinfo -g esa barcha guruhlarni bekor qiladi.
Linux kompyuteri domenga muvaffaqiyatli qo'shilgandan so'ng, keyingi qadam Active Directory parolini qo'shimcha ommaviy yozish uchun tizimga kirishga harakat qilish bo'ladi. Tizimdan Linux kompyuterida qidiring va Active Directory nomidan foydalanib tizimga qarang. Agar hamma narsa to'g'ri bo'lsa, tizimga kirish imkoniyati mavjud bo'lishi mumkin.
Active Directory identifikatorlarini o'rnatish jarayoni uchun Active Directoryni sozlash
Ushbu ma'lumot faqat Active Directory identifikatorlarini qo'lga kiritganlar uchun saqlangan. RID bayonoti ustidan g'alaba qozonganlar bu panelga xotirjamlik bilan hurmat ko'rsatmasliklari mumkin.
Active Directory yozuvi bilan Red Hat serverida tizimga kirishdan oldin Active Directoryga o'zgartirishlar kiritishingiz kerak. Birinchidan, Active Directory sxemasi asosiy ma'lumotlarni yig'ish uchun Winbind tomonidan ishlatiladigan atributlarni qo'shishi kerak. Windows Server 2003 R2 bilan bir soatlik ishlashda sxema to'xtashdan oldin tayyor bo'ladi. Active Directory sxemasining oldingi kattaroq versiyasida siz UNIX uchun Microsoft xizmatlari (SFU) paketini kengaytirishingiz kerak bo'ladi.
Qo'shimcha ma'lumotni TechNet'dagi UNIX xizmatlarida topishingiz mumkin. SFU, shuningdek, Microsoft Kompyuterlarni boshqarish konsoli (MMC) bilan jihozlangan Active Directory foydalanuvchilari uchun quvvat kengaytmasini o'z ichiga oladi, bu sizga Linux tomonidan talab qilinadigan individual va guruh modifikatorlari haqida ma'lumot olish imkonini beradi.
Sxema to'g'ri o'rnatilganligi sababli, Linux kompyuteriga kirishlari uchun barcha korristuvachlarga (i guruhlar, bunday hidlar a'zolari) Linux identifikatorlarini berish kerak. Bu Linux kompyuteriga kirishingiz uchun tegishli guruh uchun uidNumber va gidNumber atributlari uchun qiymat belgilashingiz kerakligini anglatadi. Ale bu atributlarga vimogi ishlarining xotirasi yonida:
- Linux uning haqiqiyligini tekshirish uchun teri peler uchun UID talab qiladi. Biz Active Directorydagi koristuvach haqidagi ma'lumotlarni olishimiz kerak bo'lganligi sababli, Linux kompyuteringizda tizimga kirgan koristuvach terisi yozuvining terisi noyob uidNumber atributi uchun javobgardir. Xususan, uidNumber uchun g'alaba qozongan narsa ahamiyatsiz emas, lekin u Linux kompyuteriga kirishi mumkin bo'lgan barcha satrlarga xos bo'lishi mumkin.
- Linux ildizi reklama guruhi identifikatori uchun ham javob beradi, shuning uchun Linux kompyuteriga kiradigan Active Directory ildizi ham gidNumber atributining qiymatiga bog'liq. Tse ma'nosi koristuvachiv o'rtasida noyob bo'lishi mumkin, lekin bir guruhni noyob tarzda belgilashi mumkin.
- Active Directory teri guruhi o'zining gidNumber atributi uchun noyob qiymat uchun javobgardir. Umuman olganda, guruhlar uchun gidNumber atributining qiymati bo'lmasligi odatiy holdir, lekin gidNumber atributining qiymati haqiqiy bo'lsa, Winbind teri guruhi gidNumber qiymati bo'lgan nuqtagacha ekanligini ta'kidlaydi. noyob. Imovirno, gidNumber noyob qiymatining teri guruhining ravshanligiga o'tish osonroq.
- Winbind Active Directory-ni kezadigan teri teglar guruhi domen teglar guruhining a'zosi bo'lishini tekshiradi, shuning uchun winbind domen teglar guruhi o'zining gidNumber atributi uchun qiymatga ega bo'lishini ham tekshiradi.
Va nega buyurtma bermaysiz?
Active Directory yordami va Winbind orqali autentifikatsiya qilish uchun Linux kompyuterini o'rnatish ahamiyatsiz bo'lmagan loyihadir. Men elementlarning massasidan foydalanaman, chunki uni takomillashtirish kerak, shaxssiz nutqlar, chunki noto'g'ri talaffuz qilish mumkin. Linux va Samba-ning teri versiyasi o'z imkoniyatlari uchun osongina raqobatlasha olishi ishlarni osonlashtirmaydi. Ale ísnuê past dzherel, scho ístat ínformatsiyu pro o'sha scho vídbuvaêtsya.
Birinchidan, bu /var/log/messages da saqlanadigan Linux tizim jurnali fayli. Samba faylga bo'linmalarning qiymatlari haqida ma'lumot qo'yadi, masalan, fayl nomi yoki sozlamalar yomon. Krim fayli tizim jurnaliga, Samba va Winbind uchun jurnalga o'z fayllari. Siz uni /var/log/samba-da topishingiz mumkin va korystuvache qo'shimcha ma'lumot berish uchun hidlanadi.
Winbind tomonidan ko'rilgan jurnallar haqida hisobot berish (va umumiy) bir xil yukni o'rnatish uchun ishga tushirish skriptini o'zgartirish orqali yaxshilanishi mumkin. /etc/init.d/winbind qobiq skriptini tahrirlang va winbind buyrug'iga "-d 5" qo'shing. Ish haqi stavkasini 5 ga oshirish uchun (1 dan 10 gacha bo'lgan qiymatni faraz qilaylik), shuning uchun siz kechirimlar haqida batafsil ma'lumot yaratish uchun winbind-ni o'rnatishingiz mumkin.
Winbind domen boshqaruvchisi bilan bog'lanishi uchun paketlarni Netmon 3.1 kabi qo'shimcha yordam dasturi yordamida yozish mumkin. Tse menga Winbindning o'zi nima qilayotganini tahlil qilishimga imkon beradi. Shuningdek, autentifikatsiya testlari kiritiladigan domen boshqaruvchisida Windows xavfsizlik jurnalini yozib olishingiz mumkin.
Endi u ishlay boshlagan ekan, nima qilishimiz mumkin?
Endi hamma narsa yaxshi bajarildi, endi siz Active Directory-da qo'llab-quvvatlanadigan ma'lumotlar niqobidan foydalanib Linux tizimlariga kirishingiz mumkin. Bu ulug'vorlikni Linux kompyuterida mahalliy autentifikatsiyani boshqarish va NIS kabi xavfsiz bo'lmagan tizimlar bilan solishtirish mumkin. Bu sizga bitta Active Directory yozuvlar do'konida koristuvachlarni boshqarishni markazlashtirish imkonini beradi.
Ale, bu yerda bunday nutqlar yo'q, go'yo ular haqiqatning yechimini ishlab chiqishlari mumkin edi. Birinchi qadamda, otrimanny tekhníchní n_dtrimki bu erda - o'ngda omad tilaymiz. Ko'pgina Linux tashkilotlari Active Directory-ni tushunmaydilar, lekin shuni eslatib o'tamizki, siz Linuxda ko'rib turganingizdek, sizning kirish so'zlaringizni va bugungi kayfiyatingizni o'qigan odamga butunlay bog'liq bo'lasiz.
Bundan tashqari, Samba paketini ko'chirib bo'lmaydi yoki buzilmaydi. Linuxda bulutli yozuvlar mavjudligi sababli, kelib chiqish identifikatorlarining ba'zi ko'rsatkichlari bilan, ularni Active Directoryga o'tkazishdan oldin UID identifikatorlarini saqlashni qo'lda qayta ko'rib chiqish kerak.
Nareshti, eng muhim Active Directory dasturlaridan biri, guruh siyosati, Samba'dan mavjud emas, lekin ustida ishlash kerak. Linux tizimi Samba'dan yordam olish uchun Active Directory-ga o'tishi mumkin bo'lsa-da, siz guruh siyosati bilan aralasha olmaysiz.
Uchinchi tomon sotuvchilari uchun echimlar
Active Directory yordami uchun Linux kompyuterlarini qayta tekshirish, shubhasiz, o'ng tomonda, ammo Samba Winbind bilan yordam berish uchun kuchli yechim yaratish shunchaki dahshatli tush emas. O'quvchilar, PZning aybdor post-xodimlarining ba'zilari g'alaba qozongan qarorlardan ko'proq kechirimli harakat qilishda aybdor deb o'ylashlari mumkin va hid o'zgarishlarga olib keladi.
Tijoriy dasturiy ta'minot xavfsizligi bo'yicha ba'zi magistrlar ushbu maqolada ko'rsatganimning boshqa versiyasini o'rnatishni osonlashtirdilar. Linux, UNIX va Apple Macintosh-ning ko'plab mashhur versiyalari uchun kod va portativlikni oling, shuningdek, qo'shimcha guruh siyosati uchun Linux kompyuterlarini boshqarishni qo'llab-quvvatlang.
Chotiri kompaniyalari: Centrify, xuddi shunday dasturiy ta'minot, Quest Software va Symark. Barcha pochta rahbarlari o'xshash funksiyalarni, jumladan Linux tarqatishlarining keng doirasi bo'ylab guruh siyosatini himoya qilishni ta'minlaydi. Xuddi shunday, dasturiy ta'minot yaqinda tijorat mahsulotidan guruh siyosati komponentini olib tashlashga urinib, "Lisewise Open" deb nomlangan uni amalga oshirish uchun kodni chiqardi. Xuddi shunday Open Linuxning ko'plab asosiy relizlari uchun ham mavjud bo'ladi. (Menga bir sirni ayting: men ushbu maqolani yozayotganimda, mening NetPro kompaniyam Quest Software tomonidan taqiqlangan edi.)
Agar tijorat imkoniyatlari mavjud bo'lsa, Samba va Winbind yordamida autentifikatsiya tizimini boshqarish uchun nima qilishim mumkin? Byudjet integratsiya dasturlariga tiyinlarni o'tkazmasa ham, Samba-dan yogo kodi bilan foydalanish bepul bo'lishi mumkin. Shu bilan siz imtiyozli shaxs bo'lishingiz uchun butun tashqi kodni olib tashlaysiz. Ammo asosiy Linux kompyuterlari va asosiy UID-larni ko'chirish juda qiyin muammo.
Boshqa tomondan, ushbu o'rnatishni amalga oshirish uchun bir soat kerak bo'ladi yoki sizga Linux kompyuteri kerak bo'lsa, uni uzatish yoki quvvat omilini qisqartirish kerak bo'ladi, keyin tijorat echimlarini bilish oqilona bo'lishi mumkin. Guruh siyosatini boshqarish zarurati tug'ilganda, boshqa alternativa yo'q.
Ammo Linux tizimlarini Active Directory bilan qanday integratsiya qilish bo'yicha yechim bo'ladimi, tez orada koristuvachivning ko'p sonli qiyshiq yozuvlarini ta'mirlashga borish, tizimning xavfsizligini yaxshilash va umid qilamanki, yagona dalil xazinasiga arziydi. audit. Í tse dosit obg'runtuvaní sabablari, schob harakat zastosuvati yogo.
Jill Kirkpatrik- Keyingi >
Ikki faktorli autentifikatsiya (2FA) bir xil autentifikatsiya usuli bo'lib, u ommaviy yozuvni kiritish yoki ma'lumot parchasini qo'shish uchun ishlatiladi. Parol nomining jinoiy kombinatsiyasi, 2FA vimag, bir martalik parol (OTP, masalan, olti xonali konvertatsiya kodi) kabi qo'shimcha ma'lumotlarni kiritish orqali parolni yig'laydi.
Umuman olganda, 2FA sizga har xil turdagi ma'lumotlarni kiritish imkonini beradi:
- Schos, koristuvach nimani biladi (masalan, parol)
- Xo'sh, nima qilishim mumkin (masalan, tasdiqlash kodi, maxsus qo'shimcha tomonidan yaratilgan - autentifikatsiya).
2FA ko'p faktorli autentifikatsiya (MFA) turidir. TIV usuli - bu koristuvach bilgan narsaga qo'shimcha va u nima qilsa, biz yordam bera olamiz, chim vino. Tse biometrik ma'lumotlar: ovozingizning barmoqlarining tovushlarini nozik tarzda aniqlash.
2FA birinchi xizmat uchun autentifikatsiya jarayonini himoya qilishga yordam beradi yoki men uni qo'shaman: tajovuzkor uchun parolni kiriting, buzg'unchiga xavfsizlik kodi ham kerak bo'ladi va kimlar uchun kengaytmaga kirish kerak bo'lsa, unda autentifikator mavjud dastur. Shu sababli, ko'plab onlayn xizmatlar autentifikatsiya darajasida hisoblar xavfsizligini yaxshilash uchun koristuvachning ommaviy yozuvlari uchun 2FA-ni yoqish imkoniyatini ko'rsatadi.
Ushbu qo'llanma sizga Ubuntu 18.04 da root bo'lmagan administratorlar uchun Google PAM moduli orqasida 2FA ni qanday o'rnatishni aytib beradi. Agar sizga ildiz bo'lmagan ildiz uchun 2FA kerak bo'lmasa, siz hali ham ildiz hisobingiz bilan kompyuteringizga kirishingiz mumkin. Qo'llanmani to'ldirish bo'yicha ko'rsatmalar, shuning uchun ularni ikkala serverga ham, mahalliy va masofaviy o'rnatishga ham olishingiz mumkin.
Wimogi
- Ubuntu 18.04 serveri yoki yanada munosib ish muhiti. Ubuntu 18.04 serverini yangilash kerak.
- Mobil qurilmaga o'rnatilgan Authenticator (masalan, Google Authenticator yoki Authy). Ushbu yordam yordamida siz QR kodini xavfsiz skanerlashingiz mumkin.
1: Google PAM modulini o'rnatish
Ubuntu 18.04 da 2FA o'rnatish uchun Linux uchun Google PAM modulini o'rnatishingiz kerak. Pluggable autentifikatsiya moduli (PAM) Linux autentifikatsiya mexanizmidir. Google PAM moduli hisobingizga Google OTP kodi tomonidan yaratilgan 2FA autentifikatsiyadan o‘tish imkonini beradi.
Serverni pochtani sozlashning birinchi soatida qilgan tezkor sudo tekshiruvi sifatida tizimni ko'ring:
ssh [elektron pochta himoyalangan] _server_ip
Autentifikatorning qolgan versiyasini saqlab qolish uchun Ubuntu paketi indeksini yangilang:
sudo apt-get yangilanishi
Omborlarni yangilagandan so'ng, PAM modulining qolgan versiyasini o'rnating:
sudo apt-get o'rnatish libpam-google-authenticator
Bu omonatsiz kichik paket, shuning uchun o'rnatish bir necha soniya davom etadi. Endi bizda sudo koristuvach uchun 2FA mavjud.
2-qadam: Ikki faktorli autentifikatsiyani sozlang
Endi, agar siz PAM modulini o'rnatgan bo'lsangiz, koristuvach uchun QR kodini yaratish uchun yoga bilan shug'ullaning. Kod yaratishingiz shart emas, lekin Ubuntu-da 2FA kerak emas, agar siz cy-ni yoqmasangiz.
PAM modulini ishga tushirish va o'rnatish uchun google-authenticator buyrug'ini ishga tushiring:
google-authenticator
Buyruq sizdan bir qancha oziq-ovqat va konfiguratsiyani tanlashni so'raydi. Tokenlar bir soatga almashtirilishi uchun, xohlagan narsangizni qaytarib oling. Soat bo'yicha almashinadigan autentifikatsiya tokenlari bir oraliqdan keyin tugaydi (qulflash uchun ko'proq tizimlar uchun 30 soniyaga aylanadi). Vaqti-vaqti bilan almashtirilgan tokenlar xavfsiz, bunday almashinuvsiz past tokenlar va 2FA ning ko'proq amalga oshirilishi g'alaba qozonadi. Bu yerda istalgan variantni tanlashingiz mumkin, lekin sizga Ha ni tanlashni va soatiga qarab autentifikatsiya tokenlarini yutib olishni tavsiya qilamiz:
Autentifikatsiya tokenlari vaqtga asoslangan bo'lishini xohlaysizmi (y/n) y
Vídpovívshi y on tse pitanní, víbachit kílka kílka vívennyíni konsolda:
- QR-kod: qo'shimcha autentifikatsiya dasturi uchun skanerlanishi kerak bo'lgan ushbu kod. Yoga-ni skanerlaganingizdan so'ng, dastur 30 soniya davomida yangi teri OTP yaratadi.
- Maxfiy kalit: Bu autentifikatsiya dasturini sozlashning muqobil usuli. Agar siz sehrgar dasturidan foydalansangiz, QR skanerlashni qabul qilmasangiz, autentifikatorni sozlash uchun maxfiy kalitni kiritishingiz mumkin.
- Tasdiqlash kodi: maxsus QR kodini yaratadigan birinchi olti xonali kod.
- Favqulodda skretch kodi. Ushbu bir martalik tokenlar (ular zahira kodlari deb ham ataladi), ular sizga 2FA autentifikatsiyasidan o'tishga imkon beradi, shuning uchun siz autentifikator ilovasidan foydalanasiz. Qi kodingizni keyingi joyda saqlang, shunda oblikovy yozuvni blokirovka qilish blokdan chiqariladi.
Autentifikatsiya dasturingizni moslashtirganingizdan va zaxira kodingizni xavfsiz joyga saqlaganingizdan so'ng, dastur sizdan konfiguratsiya faylini yuklab olishni xohlaysizmi, deb so'raydi. Agar siz n ni olsangiz, yangilash dasturini qayta ishga tushirishingiz kerak bo'ladi. O'zgartirishni saqlash va davom ettirish uchun y kiriting:
"~/.google_authenticator" faylingizni yangilashimni xohlaysizmi (y/n) y
Keyin dastur sizdan boshqa autentifikatsiya kodini bir necha marta kiritishni xohlaysizmi, deb so'raydi. Qulflash uchun siz teri kodini faqat bir marta burishingiz mumkin, chunki yaratilganidan beri 30 soniya o'tmagan. Bu eng xavfsiz tanlovdir, chunki u sizni martaba bo'yicha tasdiqlash kodingizni olib qo'yishi mumkin bo'lgan tajovuzkorning takroriy tasdiqlash hujumlaridan himoya qiladi. Shuning uchun, vikoristan kodlarini bir necha marta panjara qilish yaxshiroqdir. Xuddi shu tokenning bagatarase vikoristanini to'plashingiz uchun y isbotini keltiring:
Bir xil autentifikatsiyadan bir nechta foydalanishga ruxsat bermoqchimisiz
token? Kimning ro'yxati siz 30-yillarning cho'zilishini bilasiz, lekin u o'sib boradi
tushuntirishga o'zgartirishlaringiz yoki inson hujumini qo'shishga yordam berish uchun (y / n) y
Keyin siz xohlagan narsani aytishingiz kerak, autentifikatsiya tokenlari ularning buyuk muddati tugaganidan bir soat o'tgach olingan. Cody allaqachon bir soatgacha sezgir bo'lib, u badbo'y hid bo'lmasligi mumkin, chunki sizning qo'shimcha binolaringiz sinxronlashtirilmagan. Ushbu parametr autentifikatsiya kodlari istalgan vaqtda qabul qilinishi uchun (masalan, kengaytmalaringiz sinxronlashtirilmagan) aksiyalarni tekshirish kodlari soatini oshirish orqali ushbu muammoni hal qilish imkonini beradi. Soat barcha sinxronizatsiya kengaytmalarida ekanligiga o'tish yaxshidir, shuning uchun siz tizim xavfsizligini biroz pasaytirishingiz mumkin. Di token atamasini oshirib yubormaslik uchun quvvat zanjirida n isbotini keltiring:
Odatiy bo'lib, tokenlar 30 soniya davomida va kompensatsiya qilish uchun yaxshi
Mijoz va server o'rtasida qo'shimcha bo'lishi mumkin bo'lgan vaqt oralig'i ehtimoli
token joriy vaqtdan oldin va keyin. Agar siz kambag'allar bilan muammolarga duch kelsangiz
vaqtni sinxronlash, siz oynani standart holatidan o'zgartirishingiz mumkin
hajmi 1:30 daqiqadan taxminan 4 minutgacha. Siz shunday qilishni xohlaysizmi (y/n) n
Oziq-ovqat qoldi: tizimga kirish uchun namunalar sonini almashishni yoqmoqchimisiz. Tizim xavfsizligini yaxshilash uchun 30 soniya davomida tizimga kirish uchun oxirgi uch martadan ortiq urinishlarga ruxsat bermang. Tse obezhennya, vydpovívshi y oshirish:
Agar siz kirayotgan kompyuter qo'pol kuchga qarshi qotib qolmagan bo'lsa
Kirish urinishlari, siz autentifikatsiya modulini himoyalashingiz mumkin.
Odatiy bo'lib, tajovuzkorlar har 30 soniyada 3 ta kirish urinishi bilan cheklanishi kerak.
Tezlikni cheklashni yoqmoqchimisiz (y/n) y
Biz PAM moduli yordamida 2FA kodini joriy qildik va yaratdik. Endi siz muhitingizda 2FA ni yoqishingiz kerak.
3-qadam: Ubuntu-da 2FA-ni faollashtirish
Google PAM moduli endi autentifikatsiya qilish uchun 2FA kodlashni yaratadi, biroq Ubuntu tizimi autentifikatsiya jarayonida kodni qanday buzish kerakligini hali bilmaydi. 2FA tokenini qo'llab-quvvatlashni asl autentifikatsiyaga qo'shishga moslashtirish uchun Ubuntu konfiguratsiyasini qaysi bosqichda yangilash kerak.
Bu erda ikkita yo'l bor:
- Agar siz tizimga kirsangiz, ikki faktorli autentifikatsiyadan vaqti-vaqti bilan va sudo huquqlariga ega bo'lsangiz, bir marta foydalanishingiz mumkin.
- Tizimga kirish uchun siz 2FA dan bir soatdan kamroq vaqt davomida foydalanishingiz mumkin yoki sudo huquqlarini olganingizda sizga faqat koristuvach paroli kerak bo'ladi.
Birinchi variant yirtqich o'rta uchun ideal bo'ladi, de bazhano u dií bo'ladimi yoki yo'qligini himoya qiladi, ya'ni sudo imtiyozlari. Mahalliy ishchi stol uchun yana bir amaliy yondashuv, de vie tizimning yagona yadrosidir.
Eslatma: Agar siz masofaviy kompyuterda 2FA-ni yoqsangiz, SSH orqali kirishni rad etishdan oldin, qo'llanmadan ikki va uch qadamni o'qib chiqishingiz kerak, avval robot bilan davom eting. Ushbu qo'llanmada qo'shimcha ma'lumotlar Ubuntu-ning barcha o'rnatishlariga kirish uchun, lekin o'rtada SSH xizmati 2FA haqida bilishi uchun qo'shimcha sozlashlar talab qilinadi.
Agar siz Ubuntu-ni o'rnatishdan oldin kirish uchun SSH dan foydalanmasangiz, ushbu qo'llanmaning keyingi qismiga o'tishingiz mumkin.
Tizimga kirishda 2FA ni yoqing va sudo ruxsatnomalarini bering
Tizim bir soat davomida tizimga kirish va imtiyozlar uchun keyingi so'rovlar uchun 2FA yutib olishi uchun siz /etc/pam.d/common-auth faylini to'g'ri faylning oxiriga qator qo'shib tahrirlashingiz kerak.
umumiy autentifikatsiya fayli, vositadan qat'i nazar, tizimdagi autentifikatsiyaning barcha mexanizmlaridan oldin zastosovuetsya. Vín ham zastosovuêtsya oldin zatochiv authentifikatsíí, yakí vídbuyutsya koristuvach tizimiga kirgandan so'ng, masalan, terminalda yangi paket o'rnatilgan bo'lsa, sudo huquqlari so'rovidan keyin bir soat davomida.
Faylni ochish:
sudo nano /etc/pam.d/common-auth
Fayl oxiriga qo'shing:
...
# va bu erda har bir paketga ko'proq modullar ("Qo'shimcha" blok)
seans talab qilinadi pam_unix.so
Ushbu qator Google PAM moduli orqali bir soatlik tizimga kirish uchun Ubuntu autentifikatsiya tizimida 2FA qo'llab-quvvatlashni o'z ichiga oladi. Nullok opsiyasi qonuniy hisob egalariga tizimga kirish imkonini beradi, agar ular o'zlarining oblique hisoblari uchun 2FA autentifikatsiyasini o'rnatmaganlar. Boshqacha qilib aytadigan bo'lsak, 2FA-ni o'rnatgan korystuvantlar tizimga kirganlarida autentifikatsiya kodini kiritishda aybdor bo'lishadi, agar ular google-authenticator buyrug'ini ishga tushirmagan bo'lsalar, o'zlarining standart bulut ma'lumotlari uchun tizimga kirishlari mumkin, hidli doklar 2FA ni o'rnatmaydi.
Faylni saqlang va yoping.
Tizimga kirishda 2FA kamroq talab qiling
Agar siz 2FA-ni faqat ish stolining o'rtasiga kirganingizda yoqishni istasangiz, ish stoli menejerining konfiguratsiya faylini tahrirlashingiz kerak, bu siz g'alaba qozonasiz. Konfiguratsiya faylining nomi ishchi jadvalning o'rtasi nomi bilan chaqiriladi. Masalan, gdm uchun konfiguratsiya fayli (Ubuntu lock-in, Ubuntu 16.04 dan boshlab) /etc/pam.d/gdm.
Boshsiz serverda (masalan, virtual server) /etc/pam.d/common-session faylini tahrirlashingiz kerak bo'ladi. O'zingizning muhitingizda standart faylni oching:
sudo nano /etc/pam.d/common-session
Fayl oxiriga video qatorini qo'shing:
#
# /etc/pam.d/common-session - barcha xizmatlar uchun umumiy bo'lgan sessiya bilan bog'liq modullar
#
...
# # va bu erda har bir paketga ko'proq modullar ("Qo'shimcha" blok)
seans talab qilinadi pam_unix.so
seans ixtiyoriy pam_systemd.so
# pam-auth-update konfiguratsiyasining oxiri
auth talab qilinadi pam_google_authenticator.so nullok
Endi Ubuntu vimagatme 2FA, agar siz tizimga buyruq satri (mahalliy, masofadan SSH orqali) orqali ulansangiz, sudo-dan buyruqlarni bajara olmaysiz.
2FA-ni qo'llab-quvvatlash uchun Ubuntu-ni o'zgartirdingiz. Endi konfiguratsiyaga e'tiroz bildirish va Ubuntu tizimiga kirganingizda sizdan xavfsizlik kodini kiritish so'ralishini qayta sozlash vaqti keldi.
4-qadam: Ikki faktorli autentifikatsiyani tekshirish
Ilgari siz teri kodlarini 30 soniyada moslashtirish uchun 2FA yaratgansiz. Endi Ubuntu muhitingizga o'tishga harakat qiling.
Tizimdan tashqariga chiqing va Ubuntu muhitimda yana ko'ring:
ssh [elektron pochta himoyalangan] _server_ip
Agar siz parolga asoslangan autentifikatsiyani tasdiqlasangiz, sizdan vaucher parolini kiritish so'raladi:
Eslatma: Agar masofaviy serverda sertifikatlar uchun autentifikatsiyani yutib olsangiz, parol soʻralmaydi. Kalit avtomatik ravishda yuboriladi va qabul qilinadi. Siz faqat tasdiqlash kodini kiritishingiz kerak bo'ladi.
Parolni kiriting, shundan so'ng sizdan 2FA kodini kiritish so'raladi:
Tasdiq kodi:
Shundan so'ng, uni tizimga olib boring:
[elektron pochta himoyalangan] _server_ip: ~#
2FA faqat tizimga kirish uchun yoqilganligi sababli, seans tugaguniga qadar endi 2FA tasdiqlash kodini kiritishingiz shart emas, aks holda siz qoʻlda tizimga kirmaysiz.
Umumiy autentifikatsiya fayli orqali 2FA-ni yoqqaningiz uchun sizdan dermal logindan foydalanganda sudo imtiyozlari bilan xuddi shunday qilish so'raladi:
[elektron pochta himoyalangan] _server_ip: ~# sudo -s
8host uchun sudo paroli:
Tasdiq kodi:
[elektron pochta himoyalangan] _server_ip:
Siz 2FA konfiguratsiyasi to'g'ri ishlayotganini chalkashtirib yubordingiz. Agar biror narsa noto'g'ri bo'lsa va tizim tasdiqlash kodini so'ramagandek, yadroning uchinchi qismiga qayting va to'g'ri Ubuntu autentifikatsiya faylini o'qiganingizni yana tekshiring.
5: 2FA blokirovkasini oldini olish
Agar siz mobil ilovangiz xavfsizligini sarflashingiz kerak bo'lsa, 2FA yordami uchun jismoniy hisobingizga kirishni tiklash uchun zaxira usulini o'tkazish muhimdir. Agar sizda o'tmishda 2FA o'rnatilgan bo'lsa, blokirovkadan keyin kirishni tiklash uchun sizda bir nechta variant mavjud:
- Maxfiy konfiguratsiya kodlarining zaxira nusxasini xavfsiz joyda saqlang. Siz buni qo'lda qilishingiz yoki kodga zaxira funksiyasini berish uchun Authy kabi autentifikatsiyadan foydalanishingiz mumkin.
- Yangilash kodini 2FA-ni qo'llab-quvvatlagan holda o'rtaning o'rtasidan tashqarida xavfsiz joyda saqlang, unga turli ehtiyojlarga kirishingiz mumkin.
Zaxira parametrlariga kirish imkoningiz bo'lmagani uchun siz mahalliy ommaviy axborot vositalariga yoki 2FA qo'llab-quvvatlanadigan masofaviy serverga kirishni boshqa yo'l bilan tiklashga urinib ko'rishingiz mumkin.
6: Mahalliy mediaga kirishni tiklash (ixtiyoriy)
Mashinaga jismoniy kirish imkoningiz bor ekan, 2FA-ni o'chirish uchun yangilash rejimiga kirishingiz mumkin. Qayta ko'rib chiqish rejimi Linuxda umumiy turdagi (vykonannyaga o'xshash) bo'lib, u vykonanny ma'muriy vazifalar uchun g'alaba qozonadi. Yangilash rejimiga o'tish uchun GRUB sozlamalarini qayta bajarishingiz kerak bo'ladi.
GRUB-ga kirish uchun kompyuteringizni qayta ishga tushiring:
GRUB menyusi paydo bo'lganda, Ubuntu yozuvini ko'rish uchun o'ting. 18.04 da o'rnatishning sababi reklama uchun, lekin uni ta'mirlash mumkin, shuning uchun siz o'rnatishdan keyin uni qo'lda o'zgartirdingiz.
Keyin tizimingizga kirishdan oldin GRUB konfiguratsiyasini tahrirlash uchun klaviaturangizdagi e tugmasini bosing.
Faylning oxiriga o'ting va linux bilan boshlanib, $vt_handoff bilan tugaydigan qatorni toping. Qator oxiriga o'ting va systemd.unit=rescue.target qo'shing. Agar siz $vt_handoff va systemd.unit=rescue.target oʻrtasida sinab koʻrmoqchi boʻlsangiz, fikringizni oʻzgartiring. Ubuntu mashinasiga innovatsiyalar rejimiga kirishiga ruxsat bermoqchimisiz.
O'zgartirishni amalga oshirgandan so'ng, faylni qo'shimcha tugmalar birikmasi uchun saqlang Ctrl + X. Mashinangiz qayta tiklanadi va siz buyruq satriga tayanasiz. Yangilash rejimiga o'tish uchun Enter tugmasini bosing.
Buyruqlar qatoriga tayanib, bloklangan koristuvachning uy katalogida joylashgan Google Authenticator konfiguratsiya faylini oching.
nano /home/8host/.google-authenticator
Ushbu faylning birinchi qatori autentifikatorni o'rnatish uchun g'olib bo'lgan koristuvachning maxfiy kalitidir.
Endi sizda ikkita variant bor:
- Siz maxfiy kalitni nusxalashingiz va autentifikatsiyani sozlashingiz mumkin.
- Agar siz toza arkush bilan boshlamoqchi bo'lsangiz, ~/.google-authenticator faylini o'sha koristuvach uchun 2FAni o'chirish uchun qayta tarqatishingiz mumkin. Qayta kirganingizdan so'ng siz 2FA-ni qayta sozlashingiz va yangi maxfiy kalitni olishingiz mumkin.
Qanday bo'lmasin, siz GRUB-ni qo'lga kiritish uchun mahalliy muhitda 2FA-ni bloklaganingizdan so'ng tizimni tiklashingiz mumkin. Dali mi rozpovimo, bloklangan masofaviy o'rtaga kirishni qanday ochish kerak.
7: Masofaviy markazga kirishni kuchaytirish (ixtiyoriy)
Agar sizning sudoer ko'rinishingiz uzoq o'rtadan bloklangan bo'lsa, siz uni bir vaqtning o'zida yoqishingiz yoki root yordamida 2FA ni qayta sozlashingiz mumkin.
Tizimga ildiz ildiz sifatida ko'rish:
ssh [elektron pochta himoyalangan] _server_ip
Tizimga kirganingizdan so'ng, bloklangan koristuvachning uy katalogida joylashgan Google Authenticator faylini oching:
sudo nano /home/8host/.google_authenticator
Ushbu faylning birinchi qatori koristuvachning maxfiy kaliti bo'lib, siz autentifikatorni o'rnatishingiz kerak.
Endi sizda ikkita yo'l bor:
- Agar siz yangi yoki oʻchirilgan qoʻshimchalarni qayta konfiguratsiya qilmoqchi boʻlsangiz, autentifikatsiya dasturini qayta sozlash uchun maxfiy kalitni oʻzgartirishingiz mumkin.
- Agar siz toza sahifadan boshlamoqchi bo'lsangiz, /home/8host/.google_authenticator fayliga qayta tashrif buyurib, ushbu xost uchun 2FAni o'chirib qo'yishingiz mumkin. Sudo bilan tizimga kirganingizdan so'ng siz 2FA-ni qayta sozlashingiz va yangi maxfiy kalitni olishingiz mumkin.
Ushbu variantlardan har biri uchun siz 2FA ning vicarious blokirovkasidan so'ng, ildiz yozuvining vicarious ko'rinishini o'zgartirishingiz mumkin.
Visnovok
Ushbu qo'llanma yordamida siz Ubuntu 18.04 mashinasida 2FAni tuzatdingiz. Ikki faktorli autentifikatsiya butun tizimning ommaviy yozuvlarini himoya qilish uchun qo'shimcha xarajatlarni ta'minlaydi. Agar siz standart bulut maʼlumotlaridan foydalansangiz, tizimga kirish uchun qoʻshimcha tasdiqlash kodini ham kiritishingiz kerak boʻladi. Yovuz odam sizning oblykoví ma'lumotlaringizga kirishi uchun oblikovogo yozuvingizga ruxsatsiz kirishning mumkin emasligini o'g'irlash.
Teglar: ,- "Standart ROSA Server" konfiguratsiyasida 6.8 dan kam bo'lmagan ROSA Enterprise Linux Server versiyasi o'rnatilgan
- Repozitoriyga kirish
- O'quvchidan birdaniga Rutoken ECP / Rutoken ECP Flash / Rutoken ECP SC biriktirilgan. Ilovada sertifikat aybdor
Repozitariyga kirishni o'chirish uchun kalitni qo'llab-quvvatlash xizmatidan olib tashlang va administrator huquqlari bilan quyidagi buyruqni bajaring:
aks-sado<ключ>> /etc/rosa-support-id-server
Zastosovnist
Ko'rsatmalar Rutoken ECP g'alabalari bilan autentifikatsiya qilish uchun zarur bo'lgan ROSA Enterprise Linux Server yordam dasturlarini o'rnatish va sozlashni tavsiflaydi. Dumba AMD64 arxitekturasiga ega; 32-bitli tizim uchun hamma narsa papka nomlarigacha bir xil bo'ladi.
Rutoken ECP uchun autentifikatsiya protsedurasi quyida kiritilgandan so'ng, bu mumkin bo'ladi, lekin u majburiy bo'lmaydi.
O'rnatilgan komponentlar
Kerakli dasturlarni o'rnating va ziddiyatli yordamchi dasturlarni olib tashlang (administrator huquqlarini talab qiladi):
Su yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard yum coolkeyni olib tashlang
Rutoken ECP uchun PKCS#11 kutubxonasini o'rnating (utilitalarni o'rnatgandan so'ng kutubxonani o'rnatish muhim):
- Rutoken veb-saytiga o'ting: https://www.rutoken.ru/support/download/pkcs/.
- "GNU/Linux yadrolari uchun" yorlig'iga o'ting va "GNU/Linux RPM 64-bit (x64) uchun rtPKCS11ecp kutubxonasi" ni bosing.
- Paketni so'rang va o'rnating (administrator paroli talab qilinadi).
Nalashtuvannya
Men tizimda qayta tekshirish va yangi talab qilinadigan ma'lumotlarga ko'rinishni yarataman
- Yugurish dona cd(administrator huquqlarini talab qiladi):
- Asosiy jarayonni yakunlang dona cd, bu kabi:
Ayni paytda token turli atirgullarga kiritilishi mumkin.
- Wikonaite:
- Yorliqni oching yoki terminalni oching va unga buyruqni kiriting:
Uzumzorlar ko'rinadigan parametrlarga va binoning nomiga ega. Vizyonning misoli quyida keltirilgan.
- Tokenda qo'shimcha hujum buyrug'i uchun kerakli ma'lumotlar mavjudligini o'zgartiring (kerakli parol token turidir):
Wisnovku sertifikat ob'ekti uchun javobgardir. Identifikator va yorliq kabi parametrlarni pastga surilganda o'zgartirish mumkin.
Ishonch sertifikatini qo'shish
- Ishonchli sertifikatlar ma'lumotlar bazasini yarating (administrator huquqlarini talab qiladi):
- Sertifikatni tokendan nusxalash (kerakli token paroli. ID parametri pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l buyrug'ining chiqishidan olinishi mumkin):
- Ishonchli shaxsga sertifikat qo'shing (administrator huquqlarini talab qiladi):
Konfiguratsiya fayllarini o'zgartirish
Konfiguratsiya fayllarini o'zgartirish uchun sizga administrator huquqlari kerak.
pam_pkcs11.conf
- Buning o'rniga pam_pkcs11.conf matn faylini yarating (masalan, ish stolida):
- Faylni /etc/pam_pkcs11/ katalogiga o'tkazing:
tizim-auth
- Modulni PAM avtorizatsiya tizimiga ulang:
- Tahrirlovchida tizim-auth faylini oching nano yoki mcedit:
- Keyingi qatorga qo'shing:
- faylni saqlash (
sub'ektni xaritalash
- Buyruqlarni bajaring:
- Yuqoridagi buyruqni /etc/pam_pkcs11/subject_mapping faylidan nusxa oling va sertifikat qaysi mavzuga tegishli ekanligini ko'rsating.
Bir qator konfiguratsiyalarni ko'rish mumkin:
pkcs11_inspect buyrug'ini tekshirish -><имя_пользователя>
Konsol orqali autentifikatsiyani qayta tekshirish
- Yangi oyna yoki konsol yorlig'ini oching.
- su buyrug'ini bosing<имя_пользователя>(im'ya koristuvacha mavzu_mappingda ko'rsatilgan).
Vizyonga misol:
Konsol orqali autentifikatsiyani qayta tekshirgandan so'ng, siz kuchaytirish rejimini tozalashingiz mumkin. Buning uchun berilgan qatordagi /etc/pam.d/sysauth faylidan disk raskadrovka so'zini oling va /etc/pam_pkcs11/pam_pkcs11.conf faylidagi haqiqiy o'rniga disk raskadrovka false so'zini qo'ying.
Ekranni qulflash
- Tahrirlash uchun pkcs11_eventmgr faylini oching (administrator huquqlarini talab qiladi):
Konfiguratsiya fayli tahrirlangandan so'ng quyidagicha ko'rinishi mumkin:
Pkcs11_eventmgr (# Orqa fonda ishga tushirish? Agar haqiqiy dastur = rost bo‘lsa, disk raskadrovka=noto‘g‘ri degan ma’noni bildiradi; # disk raskadrovka xabarlarini ko‘rsatish? disk raskadrovka = noto‘g‘ri; # ovoz berish vaqti soniyalarda polling_time = 1; # soniyada tugash vaqti # default = 0 (muddati tugamaydi) exp 0 ; # pkcs11_module foydalanish uchun modul = /usr/lib64/librtpkcs11ecp.so; # # hodisalar va harakatlar ro'yxati # Karta kiritilgan voqea card_insert # end action sequence # quit: end program on_error = ignore; ) # Card olib tashlandi voqea card_remove ( on_error = ignore; action = "gdmflexiserver"; ) # Juda ko'p vaqt kartasi olib tashlangan hodisaning tugashi_vaqti (on_error = e'tibor bermaslik; action = "/bin /false"; ) )
- Yordamchi dastur qo'shing pkcs11_eventmgr avtomatik sotib olishda. Qaysi biri uchun autentifikatsiya qilish uchun muxbirning .bash_profile faylini tahrirlang:
- Faylni siz boshlagan qator bilan yakunlang pkcs11_eventmgr.
Butt file.bash_profile tahrirdan keyin:
Qo'shimcha token uchun autentifikatsiyani tanlashda ekran shunday ko'rinadi.
2020 yildan boshlab, GOST R 34.10-2001 uchun shifrlashning kelajagi panjaraga asoslanishi kerak, shuningdek, barcha tashkilotlar davlat tuzilmalari bilan o'zaro aloqada bo'lganligi sababli, 2012 yilga qadar yangi standartni qo'llab-quvvatlash terminologiyasi bilan chalkashib ketishadi. Agar siz ulardan birida ishlayotgan bo'lsangiz, o'tib ketmang: ushbu maqolalarda biz CentOS 7 serveri va CryptoPro JCP to'plamidan foydalangan holda muammoni qanday hal qilish haqida gaplashamiz.
Agar siz allaqachon hamma narsani bilsangiz, unda tarixiy dalil kam.
1994 yilda Federal Xavfsizlik Xizmati (FSB) tashkilotlar va ushbu jarayonning boshqa ishtirokchilari o'rtasida hujjatlar almashinuvini himoya qilishga chaqiruvchi past standartlar va chaqiriqlarni joylashtirdi. Bunday xavfsizlik yondashuvlaridan biri hujjatlarning elektron raqamli imzosiga aylandi va standartlardan biri elektron raqamli imzoni shakllantirish va qayta tekshirish algoritmini tavsiflovchi GOST R 34.10-94. Rossiyaning faxriy Derjstandart tomonidan 1994 yil 23 yanvardagi 154-son bilan qabul qilingan va kiritilgan, 2001 yilgacha amal qiladi.
O'zgartirish uchun biz GOST R 34.10-2001 - standart yaxshilanishlar, algoritmning barqarorligini ta'minlash uchun kengaytmalarni oldik. Ale soat missiyasida turish emas, algoritmlar va kripto-himoya usullari o'zgartirildi, va o'n bir yil ichida GOST R 34.10-2001 GOST R 34.10-2012 o'zgartirildi.
Yangi standartda birinchi variantni parametrlar o'zgarmaguncha o'zgartirish mumkin emas edi. Maxfiy kalitning qiymati 256 bitga yaqin bo'lishi kerak, lekin u maksimal 256 yoki 512 bitli xesh-kod bilan xesh funktsiyasiga o'tkazildi. Asosiysi, yangi standartni joriy etish - qo'shimcha parametrlar va sxemalarga ega variantlar, shu jumladan GOST R 34.11-2012 "Stribog" standarti uchun xeshlar.
MA'LUMOT
Stribog - qadimgi so'zlarning xudosi, shamollar bilan shafoat qiladi, ochiq maydonda ko'rsatilgan hamma narsani kutadi. Ehtimol, va g'amgin texnologiyalar ham. Ushbu shifrlar haqida hisobot uchun "" deb "" maqolalarini o'qing.
2014 yilning shiddatli taqdirida FSB ma'lumotlardan qasos olmaslik, davlat sirini o'rnatish uchun ma'lumot uchun elektron imzoga o'tish uchun yangi GOST R 34.10-2012 milliy standartini qabul qilishga o'tish boshlanganini e'lon qildi. Bizda 2014 yil 31 sentyabrdagi 149/7/1/3-58-sonli "Yangi ECP standartlarini tanlashga o'tish tartibi va xeshlash funktsiyasi to'g'risida" gi hujjat mavjud.
- Písl 31 ko'krak 2013 ROCKITI STIFIFIKATSIUY ELEKTRON PIDPISA o'ynadi Vídpovídníst Vimogam to Zavobiv Elektrona Pídpisu, ish kuni 27.12.2011 ROK №796, Yakscho Usich darts himoyalangan emas Rí0102 va Funí02.
- 2018 yil 31 martda to'siqni topshirish sanasi elektron imzoni shakllantirish uchun GOST R 34.10-2001 edi.
Aloqa vazirligi standartga (PDF) o'tish rejasini tuzdi. Amalda hamma narsa unchalik oddiy emasligi ma'lum bo'ldi va o'tish 2019 yil 31 dekabrgacha sodir bo'ldi. Sababi shunday.
- Ko'pgina suveren va munitsipal hokimiyat organlari PZ daryosida kunlik obuna orqali GOST-2012 elektron imzosining yangi standartiga o'tishga tayyor emaslar.
- Yangi belgi sertifikatini berish uchun, albatta, yangi GOSTga, GOST-2012 standartlari bilan tasdiqlanadigan Bosh markazning sertifikatiga ega bo'lishi kerak. Posvidchuvalni centry 2018-yilgi rokning yo'lidan yoga oldi. Barcha koristuvachlar uchun sertifikatlar berish uchun qo'shimcha soat kerak bo'ladi.
Shu bilan birga, ECP ishi uchun kripto-himoyachi uchun ikkita standart mavjud va GOST-2001 vikoristovuê atamasi robit uchun zarur bo'lgan ale tim. Qish, ko'rinishidan, yaqin, ammo bu GOST-2012 standartlarini amalga oshirish bilan bizda chek past ekanligini anglatadi.
Sizga Java JDK marosimlari ostida Linux serverida FSB zasib SKZI sertifikatini (CryptoPro JCP) qanday joylashtirishni aytib beraman. Nutq qadar, ty dosí vykoristovuêsh DERZHSTANDART-2001 sifatida, saytida CryptoPro ê chudova, raja tobi vv o'qib, biz bo'lmaydi.
Birja ishtirokchilari o'rtasidagi barcha hujjatlar CMEV printsipiga bo'ysunadi (elektronlararo o'zaro muvofiqlik tizimi). Qo'shimcha bunday tizimning ishtirokchisi bo'lishi mumkin yoki hech qanday tarzda hujjatlarni almashish printsipidan xabardor bo'lmasligi mumkin. Oddiylik uchun men kichik sxemani chizdim.
Narxlar
Qoida tariqasida, dasturiy yechim uchun litsenziyani joylashtiring. CryptoPro JCP arzon emas va agar bitta ishchi stantsiya narxi 1200 rubl bo'lsa, server litsenziyalari ancha qimmat turadi - teri yadrosi uchun 30 000 ga yaqin (yoki Hyper Threading yoqilgan ikkita Intel protsessor yadrosi).
O'rnatilgan va sozlangan kripto provayderi
Mening vaziyatimda men CentOS 7 bilan virtual mashinada ishlayapman, lekin Linux tarqatish uchun apparat yechimini tanlashda hech qanday muammo yo'q. Usí dííja jamoalar o'zlari shunday bo'ladi.
Biz mahalliy koristuvacha, píd yakim pratsyuvatime PZ, scho vykoristovuê podpis dokumentív yaratmoqdamiz.
$ sudo useradd -d /opt/user -p<Тут указываем пароль>-s /bin/bash foydalanuvchisi; sudo grep foydalanuvchisi /etc/passwd
Java JDK ni to'g'ri o'rnating. Vikachuemo kerakli tarqatish to'plami.
$wget --sarlavhasi "Cookie: oraclelicense=a" .gz -O jdk-8u191-linux-x64.tar.gz
Arxivni oching va Java jildini nusxalashga tayyorligini tekshiring.
$ tar zxvf jdk-8u191-linux-x64.tar.gz; ls-al;
Jildni dastur dasturiy ta'minoti uchun tarqatish uchun nusxa ko'chiring. Men vikorist /opt o'ynayman.
$ sudo cp -rf jdk1.8.0_191 /opt/
To'g'ri nusxa ko'chirilganligini tekshiring. Zarur bo'lganda, papkaning egasini ildizga o'zgartiring.
$ ls -al /opt/jdk1.8.0_191/ $ sudo chown -R root:root /opt/jdk1.8.0_191/; cd /opt/jdk1.8.0_191/; ls-al;
Barcha qulflar uchun Java JDK o'tkirlash moslamasiga o'zgartirishlar yozamiz.
$ sudo vi /etc/profile.d/oracle.sh
Fayl quyidagi tarzda yoziladi:
Eksport JAVA_HOME=/opt/jdk1.8.0_191 eksport JRE_HOME=/opt/jdk1.8.0_191/jre eksport PATH=$PATH:/opt/jdk1.8.0_191/bin:/opt/jdk1.8.0_191/jre
Serverda bir nechta Java JDK versiyalari mavjud bo'lganligi sababli, yangi versiya uchun muqobillarni ro'yxatdan o'tkazish kerak.
$ sudo alternativlari --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 2 $ sudo alternativalari --usr/bin/jar jar /opt/jdk1.8.0_191/bin/jar 2-ni o'rnating $ sudo alternativalari --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 2 $ sudo alternativalarini o'rnating --jar /opt/jdk1.8.0_181/bin/jar $ sudo alternativlarini o'rnating /opt/jdk1.8.0_191/bin/jar $ sudo alternativlarini o'rnating --javac /opt/jdk1.8.0_191/bin/javac $ sudo alternativlarini --javani sozlash
Menyudan 2-variantni (yoki Java-ning yangi versiyasiga olib keladigan variantni) tanlang. JRE systemPrefs-dagi ruxsatlarni tuzatishni unutmang.
$ sudo chmod 777 -R /opt/jdk1.8.0_191/jre/.systemPrefs
Java-ning o'rnatilgan versiyasini tekshiring.
$ java-versiyasi
java versiyasi "1.8.0_191"
Java(TM) SE Runtime Environment (qurilish 1.8.0_191-b12)
Java HotSpot(TM) 64-bitli Server VM (qurilish 25.191-b12, aralash rejim)
CryptoPro JCP tarqatish to'plami bilan jildni amaliy dasturiy ta'minot tarqatilishidan nusxa oling.
$ sudo cp -rf jcp-2.0.40035 /opt/
Hammasi to'g'ri ko'chirilganligi tasdiqlangan.
$ ls -al /opt/jcp-2.0.40035/
Biz skriptlarni ishga tushirish huquqlarini ko'ramiz.
$ sudo chmod +x /opt/jcp-2.0.40035/*.sh
Papkaga bo'lgan huquqlar ildiz bo'lishi mumkinligini vlasnik tekshiramiz. Keling, uning oldiga boraylik.
$ ls -al /opt/jcp-2.0.40035/; cd /opt/jcp-2.0.40035/;
O'rnatish vaqtida muammolarni oldini olish uchun protsessordagi yadrolar sonini tekshiring va litsenziyani tekshiring. Yadrolar sonini nproc buyrug'i bilan aniqlashingiz mumkin.
Keling, JCP kripto provayderini o'rnatishga o'tamiz. O'rnatish soati ostida siz kam quvvat manbaiga ulanishingiz kerak bo'ladi.
Aksiya faqat a'zolar uchun mavjud
Variant 1. Saytdagi barcha materiallarni o'qish uchun "sayt" ga keling
Birgalikda belgilangan muddatga a'zolik sizga Hackerning barcha materiallaridan foydalanish imkoniyatini beradi, maxsus jamlangan chegirmani oshirish va professional Xakep Score reytingini to'plash imkonini beradi!
