🥇 আন্তর্জাতিক প্রতিযোগিতা SSH এবং sudo এর বিজয়ীরা আবার মঞ্চে। বিশিষ্ট সক্রিয় ডিরেক্টরি কন্ডাক্টরের নেতৃত্বে

ঐতিহাসিকভাবে, sudo অনুমতিগুলি থেকে ফাইলগুলির বিষয়বস্তু দ্বারা নিয়ন্ত্রিত হয়েছিল /etc/sudoers.d и visudo, এবং কী অনুমোদন ব্যবহার করে বাহিত হয়েছিল ~/.ssh/authorized_keys. যাইহোক, অবকাঠামো বৃদ্ধির সাথে সাথে কেন্দ্রীয়ভাবে এই অধিকারগুলি পরিচালনা করার ইচ্ছা রয়েছে। আজ বিভিন্ন সমাধান বিকল্প হতে পারে:

কনফিগারেশন ম্যানেজমেন্ট সিস্টেম - মাথা, পুতুল, Ansible, লবণ
সক্রিয় ডিরেক্টরি + এসএসডি
স্ক্রিপ্ট এবং ম্যানুয়াল ফাইল সম্পাদনার আকারে বিভিন্ন বিকৃতি

আমার বিষয়গত মতামত, কেন্দ্রীভূত ব্যবস্থাপনার জন্য সর্বোত্তম বিকল্পটি এখনও একটি সংমিশ্রণ সক্রিয় ডিরেক্টরি + এসএসডি. এই পদ্ধতির সুবিধা হল:

সত্যিই একটি একক কেন্দ্রীভূত ব্যবহারকারী ডিরেক্টরি।
অধিকার বণ্টন উবুন্টু একটি নির্দিষ্ট নিরাপত্তা গোষ্ঠীতে একজন ব্যবহারকারীকে যুক্ত করতে নেমে আসে।
বিভিন্ন লিনাক্স সিস্টেমের ক্ষেত্রে, কনফিগারেশন সিস্টেম ব্যবহার করার সময় ওএস নির্ধারণের জন্য অতিরিক্ত চেক প্রবর্তন করা প্রয়োজন।

আজকের স্যুটটি বিশেষভাবে সংযোগের জন্য উৎসর্গ করা হবে সক্রিয় ডিরেক্টরি + এসএসডি অধিকার ব্যবস্থাপনার জন্য উবুন্টু এবং স্টোরেজ SSH একটি একক সংগ্রহস্থলে কী।
সুতরাং, হলটি উত্তেজনাপূর্ণ নীরবতায় নিথর হয়ে গেল, কন্ডাক্টর তার লাঠি তুলল, এবং অর্কেস্ট্রা প্রস্তুত হল।
যাওয়া.

দেওয়া হলে
- সক্রিয় ডিরেক্টরি ডোমেন testopf.local উইন্ডোজ সার্ভার 2012 R2 এ।
- লিনাক্স হোস্ট সেন্টোস 7 চালাচ্ছে
- ব্যবহার করে অনুমোদন কনফিগার করা হয়েছে এসএসডি
উভয় সমাধান স্কিমা পরিবর্তন করে সক্রিয় ডিরেক্টরি, তাই আমরা একটি পরীক্ষার পরিবেশে সবকিছু পরীক্ষা করি এবং শুধুমাত্র তারপরে কাজের পরিকাঠামোতে পরিবর্তন করি। আমি নোট করতে চাই যে সমস্ত পরিবর্তনগুলি লক্ষ্য করা হয়েছে এবং প্রকৃতপক্ষে, শুধুমাত্র প্রয়োজনীয় বৈশিষ্ট্য এবং শ্রেণীগুলি যোগ করুন৷

অ্যাকশন 1: নিয়ন্ত্রণ উবুন্টু মাধ্যমে ভূমিকা সক্রিয় ডিরেক্টরি.

সার্কিট প্রসারিত করতে সক্রিয় ডিরেক্টরি আপনাকে সর্বশেষ রিলিজ ডাউনলোড করতে হবে উবুন্টু — 1.8.27 আজ থেকে। ফাইলটি আনপ্যাক করুন এবং অনুলিপি করুন schema.ActiveDirectory ./doc ডিরেক্টরি থেকে ডোমেন কন্ট্রোলারে। ফাইলটি যেখানে অনুলিপি করা হয়েছিল সেই ডিরেক্টরি থেকে প্রশাসকের অধিকার সহ কমান্ড লাইন থেকে, চালান:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(আপনার মান প্রতিস্থাপন করতে ভুলবেন না)
খুলতে adsiedit.msc এবং ডিফল্ট প্রসঙ্গে সংযোগ করুন:
ডোমেনের মূলে একটি বিভাগ তৈরি করুন sudoers. (বুর্জোয়ারা একগুঁয়েভাবে দাবি করে যে এই ইউনিটেই রাক্ষস এসএসডি একটি আইটেম জন্য অনুসন্ধান sudoRole বস্তু যাইহোক, বিস্তারিত ডিবাগিং চালু করার পরে এবং লগগুলি অধ্যয়ন করার পরে, এটি প্রকাশিত হয়েছিল যে অনুসন্ধানটি পুরো ডিরেক্টরি গাছ জুড়ে সঞ্চালিত হয়েছিল।)
আমরা বিভাগে ক্লাসের অন্তর্গত প্রথম অবজেক্ট তৈরি করি sudoRole. নামটি একেবারে নির্বিচারে বেছে নেওয়া যেতে পারে, কারণ এটি শুধুমাত্র সুবিধাজনক সনাক্তকরণের জন্য কাজ করে।
স্কিমা এক্সটেনশন থেকে সম্ভাব্য উপলব্ধ বৈশিষ্ট্যগুলির মধ্যে, প্রধানগুলি নিম্নলিখিতগুলি হল:

sudoCommand — হোস্টে কোন কমান্ডগুলি কার্যকর করার অনুমতি দেওয়া হবে তা নির্ধারণ করে।
sudoHost — এই ভূমিকা কোন হোস্টে প্রযোজ্য তা নির্ধারণ করে। হিসাবে নির্দিষ্ট করা যেতে পারে সব, এবং নামের দ্বারা স্বতন্ত্র হোস্টের জন্য। মাস্ক ব্যবহার করাও সম্ভব।
sudo ব্যবহারকারী — নির্দেশ করুন কোন ব্যবহারকারীদের চালানোর অনুমতি আছে উবুন্টু.
আপনি যদি একটি নিরাপত্তা গ্রুপ নির্দিষ্ট করেন, তাহলে নামের শুরুতে একটি "%" চিহ্ন যোগ করুন। গ্রুপের নামে স্পেস থাকলে চিন্তার কিছু নেই। লগ দ্বারা বিচার করে, স্পেস পালানোর কাজটি প্রক্রিয়া দ্বারা নেওয়া হয় এসএসডি.

চিত্র 1. ডিরেক্টরির রুটে sudoers সাবডিভিশনে sudoRole অবজেক্ট

চিত্র 2. sudoRole অবজেক্টে নির্দিষ্ট নিরাপত্তা গোষ্ঠীর সদস্যপদ।

নিম্নলিখিত সেটআপটি লিনাক্সের পাশে সম্পন্ন করা হয়েছে।
ফাইলে /etc/nsswitch.conf ফাইলের শেষে লাইন যোগ করুন:

sudoers: files sss

ফাইলে /etc/sssd/sssd.conf বিভাগে [এসএসএসডি] সেবা যোগ করুন উবুন্টু

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

সমস্ত অপারেশনের পরে, আপনাকে sssd ডেমন ক্যাশে সাফ করতে হবে। স্বয়ংক্রিয় আপডেট প্রতি 6 ঘন্টা হয়, কিন্তু যখন আমরা এখন এটি চাই তখন কেন আমরা এত দীর্ঘ অপেক্ষা করব?

sss_cache -E

এটি প্রায়ই ঘটে যে ক্যাশে সাফ করা সাহায্য করে না। তারপরে আমরা পরিষেবা বন্ধ করি, ডাটাবেস পরিষ্কার করি এবং পরিষেবা শুরু করি।

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

আমরা প্রথম ব্যবহারকারী হিসাবে সংযোগ করি এবং sudo এর অধীনে তার কাছে কী উপলব্ধ তা পরীক্ষা করি:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

আমরা আমাদের দ্বিতীয় ব্যবহারকারীর সাথে একই কাজ করি:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

এই পদ্ধতিটি আপনাকে বিভিন্ন ব্যবহারকারী গোষ্ঠীর জন্য সুডো ভূমিকা কেন্দ্রীয়ভাবে সংজ্ঞায়িত করতে দেয়।

সক্রিয় ডিরেক্টরিতে ssh কীগুলি সংরক্ষণ এবং ব্যবহার করা

স্কিমের সামান্য সম্প্রসারণের সাথে, সক্রিয় ডিরেক্টরি ব্যবহারকারীর বৈশিষ্ট্যগুলিতে ssh কীগুলি সংরক্ষণ করা এবং Linux হোস্টগুলিতে অনুমোদন করার সময় সেগুলি ব্যবহার করা সম্ভব।

sssd এর মাধ্যমে অনুমোদন কনফিগার করা আবশ্যক।
একটি PowerShell স্ক্রিপ্ট ব্যবহার করে প্রয়োজনীয় বৈশিষ্ট্য যোগ করুন।
AddsshPublicKeyAttribute.ps1ফাংশন নতুন-অ্যাট্রিবিউটআইডি {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::পার্স($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::পার্স($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = নতুন-অ্যাট্রিবিউট আইডি
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH লগইনের জন্য ইউজার পাবলিক কী';
}

নতুন-ADObject -নাম sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | সেট-ADObject -অ্যাড @{mayContain = 'sshPublicKey'}

অ্যাট্রিবিউট যোগ করার পরে, আপনাকে অবশ্যই সক্রিয় ডিরেক্টরি ডোমেন পরিষেবাগুলি পুনরায় চালু করতে হবে।
চলুন সক্রিয় ডিরেক্টরি ব্যবহারকারীদের দিকে এগিয়ে যাওয়া যাক। আমরা আপনার জন্য সুবিধাজনক যেকোনো পদ্ধতি ব্যবহার করে ssh সংযোগের জন্য একটি কী জোড়া তৈরি করব।
আমরা পুটিজেন চালু করি, "জেনারেট" বোতাম টিপুন এবং খালি জায়গার মধ্যে মাউসটিকে উন্মত্তভাবে সরান।
প্রক্রিয়াটি সম্পূর্ণ হওয়ার পরে, আমরা সর্বজনীন এবং ব্যক্তিগত কীগুলি সংরক্ষণ করতে পারি, সক্রিয় ডিরেক্টরি ব্যবহারকারী বৈশিষ্ট্যে সর্বজনীন কী আপলোড করতে পারি এবং প্রক্রিয়াটি উপভোগ করতে পারি। যাইহোক, সর্বজনীন কী ব্যবহার করতে হবে "OpenSSH authorized_keys ফাইলে আটকানোর জন্য সর্বজনীন কী:"।

ব্যবহারকারীর বৈশিষ্ট্যে কী যোগ করুন।
বিকল্প 1 - GUI:

বিকল্প 2 - পাওয়ারশেল:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
সুতরাং, বর্তমানে আমাদের কাছে রয়েছে: sshPublicKey অ্যাট্রিবিউট সহ একজন ব্যবহারকারী, কী ব্যবহার করে অনুমোদনের জন্য একটি কনফিগার করা পুটি ক্লায়েন্ট। একটি ছোট পয়েন্ট রয়ে গেছে: ব্যবহারকারীর বৈশিষ্ট্যগুলি থেকে আমাদের প্রয়োজনীয় পাবলিক কী বের করতে sshd ডেমনকে কীভাবে বাধ্য করা যায়। বুর্জোয়া ইন্টারনেটে পাওয়া একটি ছোট স্ক্রিপ্ট সফলভাবে এটি মোকাবেলা করতে পারে।

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

আমরা রুটের জন্য এটির অনুমতি 0500 সেট করেছি।

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

এই উদাহরণে, একটি প্রশাসক অ্যাকাউন্ট ডিরেক্টরিতে আবদ্ধ করতে ব্যবহার করা হয়। যুদ্ধের পরিস্থিতিতে ন্যূনতম অধিকারের সেট সহ একটি পৃথক অ্যাকাউন্ট থাকতে হবে।
অধিকার সেট থাকা সত্ত্বেও স্ক্রিপ্টে বিশুদ্ধ আকারে পাসওয়ার্ডের মুহূর্তটি দেখে আমি ব্যক্তিগতভাবে খুব বিভ্রান্ত ছিলাম।
সমাধান বিকল্প:

আমি একটি পৃথক ফাইলে পাসওয়ার্ড সংরক্ষণ করি:
```
echo -n Supersecretpassword > /usr/local/etc/secretpass
```
আমি রুটের জন্য ফাইলের অনুমতি 0500 সেট করেছি
```
chmod 0500 /usr/local/etc/secretpass
```
ldapsearch লঞ্চ প্যারামিটার পরিবর্তন করা হচ্ছে: প্যারামিটার -w superSecretPassword আমি এটা পরিবর্তন -y/usr/local/etc/secretpass

আজকের স্যুটের চূড়ান্ত জ্যা হল sshd_config সম্পাদনা করা

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

ফলস্বরূপ, আমরা ssh ক্লায়েন্টে কনফিগার করা কী অনুমোদন সহ নিম্নলিখিত ক্রমটি পাই:

ব্যবহারকারী তার লগইন নির্দেশ করে সার্ভারের সাথে সংযোগ স্থাপন করে।
sshd ডেমন, একটি স্ক্রিপ্টের মাধ্যমে, সক্রিয় ডিরেক্টরির একটি ব্যবহারকারীর বৈশিষ্ট্য থেকে সর্বজনীন কী মান বের করে এবং কী ব্যবহার করে অনুমোদন করে।
sssd ডেমন গ্রুপ সদস্যতার উপর ভিত্তি করে ব্যবহারকারীকে আরও প্রমাণীকরণ করে। মনোযোগ! যদি এটি কনফিগার করা না থাকে, তাহলে যেকোনো ডোমেন ব্যবহারকারী হোস্টে অ্যাক্সেস করতে পারবে।
আপনি যখন sudo করার চেষ্টা করেন, sssd ডেমন ভূমিকাগুলির জন্য সক্রিয় ডিরেক্টরি অনুসন্ধান করে। ভূমিকা উপস্থিত থাকলে, ব্যবহারকারীর গুণাবলী এবং গোষ্ঠী সদস্যতা পরীক্ষা করা হয় (যদি sudoRoles ব্যবহারকারী গোষ্ঠীগুলি ব্যবহার করার জন্য কনফিগার করা হয়)

ফলাফল।

এইভাবে, কীগুলি অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারীর বৈশিষ্ট্য, সুডো অনুমতিগুলিতে সংরক্ষণ করা হয় - একইভাবে, ডোমেন অ্যাকাউন্টগুলির দ্বারা লিনাক্স হোস্টগুলিতে অ্যাক্সেস অ্যাক্টিভ ডিরেক্টরি গ্রুপে সদস্যতা যাচাই করে বাহিত হয়।
কন্ডাক্টরের লাঠির শেষ ঢেউ - এবং হল শ্রদ্ধার নীরবতায় জমে যায়।

লিখিতভাবে ব্যবহৃত সম্পদ:

সক্রিয় ডিরেক্টরির মাধ্যমে সুডো
সক্রিয় ডিরেক্টরির মাধ্যমে Ssh কী
পাওয়ারশেল স্ক্রিপ্ট, অ্যাক্টিভ ডিরেক্টরি স্কিমাতে একটি বৈশিষ্ট্য যোগ করে
sudo স্থিতিশীল মুক্তি

উত্স: www.habr.com

আন্তর্জাতিক প্রতিযোগিতা SSH এবং sudo এর বিজয়ীরা আবার মঞ্চে। বিশিষ্ট সক্রিয় ডিরেক্টরি কন্ডাক্টরের নেতৃত্বে

অ্যাকশন 1: নিয়ন্ত্রণ উবুন্টু মাধ্যমে ভূমিকা সক্রিয় ডিরেক্টরি.

সক্রিয় ডিরেক্টরিতে ssh কীগুলি সংরক্ষণ এবং ব্যবহার করা

ফলাফল।

একটি মন্তব্য জুড়ুন উত্তর বাতিল