Go stairiúil, bhí ceadanna sudo á rialú ag inneachar na gcomhad ó /etc/sudoers.d и radharc, agus rinneadh údarú eochair ag baint úsáide as ~/.ssh/authorized_keys. Mar sin féin, de réir mar a fhásann an bonneagar, tá fonn ann na cearta seo a bhainistiú go lárnach. Sa lá atá inniu is féidir go mbeadh go leor roghanna réitigh ann:
- Córas Bainistíochta Cumraíochta - Cócaire, puipéad, Freagra, Salann
- Eolaire Gníomhach + ssd
- Perversions éagsúla i bhfoirm scripteanna agus eagarthóireacht comhaid láimhe
I mo thuairim suibiachtúla, is é an rogha is fearr maidir le bainistíocht láraithe fós teaglaim Eolaire Gníomhach + ssd. Is iad na buntáistí a bhaineann leis an gcur chuige seo:
- I ndáiríre eolaire amháin láraithe úsáideoirí.
- Cearta a dháileadh sudo thagann síos ar úsáideoir a chur le grúpa slándála ar leith.
- I gcás córais Linux éagsúla, bíonn sé riachtanach seiceálacha breise a thabhairt isteach chun an OS a chinneadh agus córais chumraíochta á n-úsáid.
Beidh sraith an lae inniu tiomnaithe go sonrach don nasc Eolaire Gníomhach + ssd le haghaidh bainistíochta cearta sudo agus stóráil ssh eochracha i stór amháin.
Mar sin, reo an halla le teann tost, d'ardaigh an seoltóir a bhata, agus d'éirigh leis an gceolfhoireann.
Téigh.
Mar gheall ar:
— Fearann Eolaire Gníomhach testopf.local Ar windows server 2012 r2.
- Óstach Linux ag rith Centos 7
— Údarú cumraithe ag baint úsáide as ssd
Déanann an dá réiteach athruithe ar an scéimre Eolaire Gníomhach, mar sin déanaimid seiceáil ar gach rud i dtimpeallacht tástála agus gan ach ansin déanaimid athruithe ar an mbonneagar oibre. Ba mhaith liom a thabhairt faoi deara go bhfuil na hathruithe go léir spriocdhírithe agus, i ndáiríre, ní chuireann siad ach na tréithe agus na haicmí riachtanacha.
Gníomh 1: rialú sudo róil tríd Eolaire Gníomhach.
Chun an ciorcad a leathnú Eolaire Gníomhach ní mór duit an scaoileadh is déanaí a íoslódáil — 1.8.27 amhail inniu. Díphacáil agus cóipeáil an comhad scéimre.ActiveDirectory ón eolaire ./doc chuig an rialtóir fearainn. Ón líne ordaithe le cearta riarthóra ón eolaire inar cóipeáladh an comhad, rith:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(Ná déan dearmad do luachanna a ionadú)
Oscailte adsiedit.msc agus ceangail leis an gcomhthéacs réamhshocraithe:
Cruthaigh deighilt ag fréamh an fhearainn allas. (Maíonn an bourgeoisie go stubbornly go bhfuil sé san aonad seo go bhfuil an diabhal ssd cuardach le haghaidh míre sudoRól rudaí. Mar sin féin, tar éis dífhabhtaithe mionsonraithe a chur ar siúl agus staidéar a dhéanamh ar na logaí, tugadh le fios go ndearnadh an cuardach ar fud an chrainn eolaire ar fad.)
Cruthaímid an chéad réad a bhaineann leis an rang sa roinn sudoRól. Is féidir an t-ainm a roghnú go hiomlán treallach, toisc go bhfreastalaíonn sé le haghaidh aitheantais áisiúil amháin.
I measc na tréithe féideartha atá ar fáil ón síneadh scéimre, is iad seo a leanas na príomhchinn:
- sudoCommand — a chinneann na horduithe a cheadaítear a fhorghníomhú ar an ósta.
- sudoHost — a chinneann cé na hóstach a mbaineann an ról seo leo. Is féidir a shonrú mar GACH, agus d'óstach aonair de réir ainm. Is féidir freisin masc a úsáid.
- sudoÚsáideoir — cuir in iúl cé na húsáideoirí a cheadaítear a fhorghníomhú sudo.
Má shonraíonn tú grúpa slándála, cuir comhartha “%” ag tús an ainm. Má tá spásanna in ainm an ghrúpa, níl aon rud imní ort. Agus na logaí á meas, glacann an mheicníocht an tasc chun spásanna a éalú ssd.
Fíor 1. rudaí sudoRole san fhoroinn sudoers i bhfréamh an eolaire
Fíor 2. Ballraíocht i ngrúpaí slándála a shonraítear i oibiachtaí sudoRole.
Déantar an socrú seo a leanas ar thaobh Linux.
I gcomhad /etc/nsswitch.conf cuir an líne le deireadh an chomhaid:
sudoers: files sssI gcomhad /etc/sssd/sssd.conf i roinn [ssd] cur le seirbhísí sudo
cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo
Tar éis gach oibríocht, ní mór duit an taisce deamhan sssd a ghlanadh. Tarlaíonn nuashonruithe uathoibríocha gach 6 huaire, ach cén fáth ar cheart dúinn fanacht chomh fada agus é á iarraidh anois?
sss_cache -ETarlaíonn sé go minic nach gcuidíonn imréitigh an taisce. Ansin stopaimid an tseirbhís, glanaimid an bunachar sonraí, agus cuirimid tús leis an tseirbhís.
service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start
Déanaimid ceangal mar an chéad úsáideoir agus seiceáil a bhfuil ar fáil dó faoi sudo:
su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user1 may run the following commands on testsshad:
(root) /usr/bin/ls, /usr/bin/catDéanaimid an rud céanna lenár dara úsáideoir:
su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin:/bin:/usr/sbin:/usr/bin
User user2 may run the following commands on testsshad:
(root) ALL
Ligeann an cur chuige seo duit róil sudo a shainiú go lárnach do ghrúpaí úsáideoirí éagsúla.
Eochracha ssh a stóráil agus a úsáid san Eolaire Gníomhach
Le leathnú beag ar an scéim, is féidir eochracha ssh a stóráil i dtréithe úsáideora an Eolaire Gníomhach agus iad a úsáid agus iad á údarú ar óstaigh Linux.
Ní mór údarú trí sssd a chumrú.
Cuir leis an tréith riachtanach ag baint úsáide as script PowerShell.
AddsshPublicKeyAttribute.ps1Feidhm New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid] ::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Faigh-ADRootDSE).schemaNamingContext
$oid = ID Tréithe Nua
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'Eochair Phoiblí Úsáideora le haghaidh logáil isteach SSH';
}
Nua-ADObject -Ainm sshPublicKey -Type attributeSchema -Conair $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | Set-ADObject -Add @{mayContain = 'sshPublicKey'}
Tar éis duit an tréith a chur leis, ní mór duit Seirbhísí Fearainn Eolaire Gníomhach a atosú.
Bogfaimid ar aghaidh go dtí úsáideoirí an Eolaire Gníomhach. Ginfimid péire eochair do nasc ssh ag baint úsáide as aon mhodh atá áisiúil duit.
Seolaimid PuttyGen, brúigh an cnaipe “Gin” agus bogfaimid an luch go frantically laistigh den limistéar folamh.
Nuair a bheidh an próiseas críochnaithe, is féidir linn na heochracha poiblí agus príobháideacha a shábháil, an eochair phoiblí a uaslódáil chuig tréith úsáideora an Eolaire Gníomhach agus taitneamh a bhaint as an bpróiseas. Mar sin féin, ní mór an eochair phoiblí a úsáid ón "Eochair phoiblí chun é a ghreamú isteach i gcomhad údaraithe_keys OpenSSH:".
Cuir an eochair leis an tréith úsáideora.
Rogha 1 - GUI:
Rogha 2 - PowerShell:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
Mar sin, tá na nithe seo a leanas againn faoi láthair: úsáideoir leis an tréith sshPublicKey líonta isteach, cliant Putty cumraithe le haghaidh údarú ag baint úsáide as eochracha. Tá pointe beag amháin ann fós: conas iallach a chur ar an deamhan sshd an eochair phoiblí a theastaíonn uainn a bhaint as tréithe an úsáideora. Is féidir le script bheag a fhaightear ar an Idirlíon bourgeois dul i ngleic leis seo go rathúil.
cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'Shocraigh muid na ceadanna ar sé go 0500 le haghaidh root.
chmod 0500 /usr/local/bin/fetchSSHKeysFromLDAP
Sa sampla seo, úsáidtear cuntas riarthóra chun ceangal leis an eolaire. I gcoinníollacha comhraic ní mór cuntas ar leith a bheith ann le tacar íosta ceart.
Bhí mé go pearsanta an-mearbhall ag an nóiméad an focal faire ina fhoirm íon sa script, in ainneoin na cearta atá leagtha síos.
Rogha réitigh:
- Sábháilim an pasfhocal i gcomhad ar leith:
echo -n Supersecretpassword > /usr/local/etc/secretpass - Shocraigh mé ceadanna comhaid go 0500 le haghaidh root
chmod 0500 /usr/local/etc/secretpass - Athrú paraiméadair seolta ldapsearch: paraiméadar -w superSecretPassword Athraím go -y /usr/local/etc/secretpass
Is é an corda deiridh i sraith an lae inniu ná eagarthóireacht a dhéanamh ar sshd_config
cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root
Mar thoradh air sin, faighimid an seicheamh seo a leanas le príomhúdarú cumraithe sa chliant ssh:
- Ceanglaíonn an t-úsáideoir leis an bhfreastalaí trína logáil isteach a chur in iúl.
- Baineann an deamhan sshd, trí script, amach luach na heochrach poiblí ó tréith úsáideora san Eolaire Gníomhach agus déanann sé údarú ag baint úsáide as na heochracha.
- Déanann an deamhan sssd an t-úsáideoir a fhíordheimhniú tuilleadh bunaithe ar bhallraíocht an ghrúpa. Aird! Mura bhfuil sé seo cumraithe, beidh rochtain ag aon úsáideoir fearainn ar an ósta.
- Nuair a dhéanann tú iarracht sudo, déanann an deamhan sssd cuardach ar an Eolaire Gníomhach le haghaidh róil. Má tá róil i láthair, seiceáiltear tréithe an úsáideora agus ballraíocht grúpa (má tá sudoRoles cumraithe chun grúpaí úsáideoirí a úsáid)
Achoimre.
Mar sin, stóráiltear na heochracha i dtréithe úsáideora Eolaire Gníomhach, ceadanna sudo - mar an gcéanna, déantar rochtain ar óstaigh Linux de réir cuntais fearainn trí bhallraíocht a sheiceáil sa ghrúpa Eolaire Gníomhach.
An tonn deiridh de bhata an tseoltóra - agus reoiteann an halla ina thost urramach.
Acmhainní a úsáidtear i scríbhinn:
Foinse: will.com