ИТ Блог. Администрирование серверов на основе ядра Linux
Если вы устали от управления учетными записями пользователей и проверкой подлинности на каждом компьютере в вашей сети и ищете более централизованный и безопасный способ решения этих задач, использование SSSD для настройки проверки подлинности LDAP — это идеальное решение.
LDAP (Lightweight Directory Access Protocol) — это протокол открытого стандарта для доступа и управления распределенными информационными службами каталогов по сети. Он обычно используется для централизованного управления пользователями и аутентификации, а также для хранения других типов данных конфигурации системы и сети.
С другой стороны, SSSD обеспечивает доступ к поставщикам удостоверений и аутентификации, таким как LDAP, Kerberos и Active Directory. Он локально кэширует информацию о пользователях и группах, повышая производительность и доступность системы.
Используя SSSD для настройки аутентификации LDAP, вы можете аутентифицировать пользователей с помощью центральной службы каталогов, уменьшая потребность в локальном управлении учетными записями пользователей и повышая безопасность за счет централизации управления доступом.
В этой статье рассказывается, как настроить LDAP-клиенты для использования SSSD (демон служб безопасности системы), мощного централизованного решения для управления идентификацией и аутентификации.
Перед настройкой SSSD для аутентификации LDAP ваша система должна соответствовать следующим требованиям:
Сетевое подключение : Убедитесь, что ваша система имеет рабочее соединение и может подключиться к серверу(ам) LDAP по сети. Вам может потребоваться настроить сетевые параметры, такие как правила DNS, маршрутизации и брандмауэра, чтобы система могла взаимодействовать с сервером(ами) LDAP.
Сведения о сервере LDAP : вы также должны знать имя хоста или IP-адрес сервера LDAP, номер порта, базовое DN и учетные данные администратора, чтобы настроить SSSD для аутентификации LDAP.
Сертификат SSL/TLS : если вы используете SSL/TLS для защиты соединения LDAP, вам необходимо получить сертификат SSL/TLS с сервера(ов) LDAP и установить его в вашей системе. Вам также может потребоваться настроить SSSD так, чтобы он доверял сертификату, указав ldap_tls_reqcert = require или ldap_tls_reqcert = allow в файле конфигурации SSSD.
Вот шаги по настройке SSSD для аутентификации LDAP:
Вы можете установить SSSD и необходимые пакеты LDAP в Ubuntu или любой среде на основе Debian, используя следующую командную строку:
sudo apt-get install sssd libnss-ldap libpam-ldap ldap-utils
Данная команда устанавливает пакет SSSD и необходимые зависимости для аутентификации LDAP в системах Ubuntu или Debian. После выполнения этой команды система предложит вам ввести сведения о сервере LDAP, такие как имя хоста или IP-адрес сервера LDAP, номер порта, базовое DN и учетные данные администратора.
Отредактируйте файл конфигурации SSSD /etc/sssd/sssd.conf и добавьте в него следующий блок домена LDAP:
[sssd] config_file_version = 2 services = nss, pam domains = ldap_example_com [domain/ldap_example_com] id_provider = ldap auth_provider = ldap ldap_uri = ldaps://ldap.example.com/ ldap_search_base = dc=example,dc=com ldap_tls_reqcert = demand ldap_tls_cacert = /path/to/ca-cert.pem
В предыдущем фрагменте кода имя домена — ldap_example_com. Замените его своим доменным именем. Кроме того, замените ldap.example.com полным доменным именем или IP-адресом вашего сервера LDAP, а dc=example,dc=com — вашим базовым DN LDAP.
ldap_tls_reqcert = требование указывает, что SSSD должен требовать действительный сертификат SSL/TLS от сервера LDAP. Если у вас есть самозаверяющий сертификат или промежуточный ЦС, установите ldap_tls_reqcert = allow.
ldap_tls_cacert = /path/to/ca-cert.pem указывает путь к файлу сертификата SSL/TLS CA вашей системы.
После внесения изменений в файл конфигурации SSSD или любые связанные файлы конфигурации необходимо перезапустить службу SSSD, чтобы изменения вступили в силу.
Вы можете использовать следующую команду:
sudo systemctl restart sssd
В некоторых системах вам может потребоваться перезагрузить файл конфигурации с помощью команды «sudo systemctl reload sssd» вместо перезапуска службы. Это перезагружает конфигурацию SSSD без прерывания активных сеансов или процессов.
Перезапуск или перезагрузка службы SSSD временно прерывает все активные сеансы пользователей или процессы, использующие SSSD для проверки подлинности или авторизации. Вот почему вы должны запланировать перезапуск службы во время периода обслуживания, чтобы свести к минимуму любое потенциальное воздействие на пользователя.
После этого приступайте к тестированию вашей системы аутентификации, используя следующую команду:
getent passwd ldapuser1
Команда «getent passwd ldapuser1» извлекает информацию об учетной записи пользователя LDAP из конфигурации системного переключателя службы имен (NSS), включая службу SSSD.
При выполнении команды система ищет в конфигурации NSS информацию о «user ldapuser1». Если пользователь существует и правильно настроен в каталоге LDAP и SSSD, выходные данные будут содержать информацию об учетной записи пользователя. Такая информация включает имя пользователя, идентификатор пользователя (UID), идентификатор группы (GID), домашний каталог и оболочку по умолчанию.
Вот пример вывода: ldapuser1:x:1001:1001:пользователь LDAP:/home/ldapuser1:/bin/bash
В выходных данных предыдущего примера «ldapuser1» — это имя пользователя LDAP, «1001» — идентификатор пользователя (UID), «1001» — идентификатор группы (GID), пользователь LDAP — это полное имя пользователя, /home/ldapuser1 — это имя пользователя. Домашний каталог, а /bin/bash — оболочка по умолчанию.
Если пользователь не существует в вашем каталоге LDAP или есть проблемы с конфигурацией службы SSSD, команда «getent» не вернет никаких результатов.
Настройка клиента LDAP для использования SSSD обеспечивает безопасный и эффективный способ аутентификации пользователей в каталоге LDAP. С помощью SSSD вы можете централизовать аутентификацию и авторизацию пользователей, упростить управление пользователями и повысить безопасность. Предоставленные шаги помогут вам успешно настроить SSSD в вашей системе и начать использовать аутентификацию LDAP.
(Пока оценок нет)
Загрузка...
