🥇अंतर्राष्ट्रीय प्रतियोगिताओं SSH और sudo के विजेता फिर से मंच पर हैं। प्रतिष्ठित सक्रिय निर्देशिका कंडक्टर के नेतृत्व में

ऐतिहासिक रूप से, sudo अनुमतियाँ फ़ाइलों की सामग्री द्वारा नियंत्रित की जाती थीं /etc/sudoers.d и visudo, और कुंजी प्राधिकरण का उपयोग करके किया गया था ~/.ssh/authorized_keys. हालाँकि, जैसे-जैसे बुनियादी ढाँचा बढ़ता है, इन अधिकारों को केंद्रीय रूप से प्रबंधित करने की इच्छा होती है। आज कई समाधान विकल्प हो सकते हैं:

कॉन्फ़िगरेशन प्रबंधन प्रणाली - महाराज, कठपुतली, Ansible, नमक
सक्रिय निर्देशिका + एसएसएसडी
स्क्रिप्ट और मैन्युअल फ़ाइल संपादन के रूप में विभिन्न विकृतियाँ

मेरी व्यक्तिपरक राय में, केंद्रीकृत प्रबंधन के लिए सबसे अच्छा विकल्प अभी भी एक संयोजन है सक्रिय निर्देशिका + एसएसएसडी. इस दृष्टिकोण के लाभ हैं:

वास्तव में एक एकल केंद्रीकृत उपयोगकर्ता निर्देशिका।
अधिकारों का वितरण sudo किसी उपयोगकर्ता को किसी विशिष्ट सुरक्षा समूह में जोड़ने के लिए नीचे आता है।
विभिन्न लिनक्स सिस्टम के मामले में, कॉन्फ़िगरेशन सिस्टम का उपयोग करते समय ओएस निर्धारित करने के लिए अतिरिक्त जांच शुरू करना आवश्यक हो जाता है।

आज का सुइट विशेष रूप से कनेक्शन के लिए समर्पित होगा सक्रिय निर्देशिका + एसएसएसडी अधिकार प्रबंधन के लिए sudo और भंडारण एसएसएच एक ही भंडार में कुंजियाँ।
तो, हॉल में तनावपूर्ण शांति छा गई, कंडक्टर ने अपना डंडा उठाया और ऑर्केस्ट्रा तैयार हो गया।
चलो.

मई:
— सक्रिय निर्देशिका डोमेन testopf.local विंडोज़ सर्वर 2012 R2 पर।
— Linux होस्ट Centos 7 चला रहा है
- प्राधिकरण का उपयोग करके कॉन्फ़िगर किया गया एसएसएसडी
दोनों समाधान स्कीमा में परिवर्तन करते हैं सक्रिय निर्देशिका, इसलिए हम एक परीक्षण वातावरण में सब कुछ जांचते हैं और उसके बाद ही कामकाजी बुनियादी ढांचे में बदलाव करते हैं। मैं यह नोट करना चाहूंगा कि सभी परिवर्तन लक्षित हैं और वास्तव में, केवल आवश्यक विशेषताएँ और वर्ग ही जोड़ते हैं।

क्रिया 1: नियंत्रण sudo भूमिकाओं के माध्यम से सक्रिय निर्देशिका.

सर्किट का विस्तार करने के लिए सक्रिय निर्देशिका आपको नवीनतम रिलीज़ डाउनलोड करना होगा sudo — 1.8.27 आज तक। फ़ाइल को अनपैक करें और कॉपी करें स्कीमा.सक्रियनिर्देशिका ./doc निर्देशिका से डोमेन नियंत्रक तक। उस निर्देशिका से व्यवस्थापक अधिकारों के साथ कमांड लाइन से जहां फ़ाइल की प्रतिलिपि बनाई गई थी, चलाएँ:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(अपने मूल्यों को प्रतिस्थापित करना न भूलें)
खोलने adsiedit.msc और डिफ़ॉल्ट संदर्भ से कनेक्ट करें:
डोमेन के मूल में एक प्रभाग बनाएँ sudoers. (पूंजीपति हठपूर्वक दावा करते हैं कि इस इकाई में ही राक्षस है एसएसएसडी किसी वस्तु की खोज करता है सुडोरोल वस्तुएं. हालाँकि, विस्तृत डिबगिंग चालू करने और लॉग का अध्ययन करने के बाद, यह पता चला कि खोज संपूर्ण निर्देशिका ट्री में की गई थी।)
हम प्रभाग में वर्ग से संबंधित पहली वस्तु बनाते हैं सुडोरोल. नाम बिल्कुल मनमाने ढंग से चुना जा सकता है, क्योंकि यह केवल सुविधाजनक पहचान के लिए काम करता है।
स्कीमा एक्सटेंशन से संभावित उपलब्ध विशेषताओं में से मुख्य निम्नलिखित हैं:

सुडोकमांड - यह निर्धारित करता है कि होस्ट पर किन कमांडों को निष्पादित करने की अनुमति है।
सुडोहोस्ट — निर्धारित करता है कि यह भूमिका किस होस्ट पर लागू होती है। के रूप में निर्दिष्ट किया जा सकता है सब, और नाम से एक व्यक्तिगत होस्ट के लिए। मास्क का प्रयोग भी संभव है।
sudoUser - इंगित करें कि किन उपयोगकर्ताओं को निष्पादित करने की अनुमति है sudo.
यदि आप कोई सुरक्षा समूह निर्दिष्ट करते हैं, तो नाम की शुरुआत में "%" चिह्न जोड़ें। यदि समूह के नाम में रिक्त स्थान हैं, तो चिंता की कोई बात नहीं है। लॉग को देखते हुए, रिक्त स्थान से बचने का कार्य तंत्र द्वारा लिया जाता है एसएसएसडी.

चित्र 1. निर्देशिका के मूल में sudoers उपखंड में sudoRole ऑब्जेक्ट

चित्र 2. sudoRole ऑब्जेक्ट में निर्दिष्ट सुरक्षा समूहों में सदस्यता।

निम्नलिखित सेटअप Linux पक्ष पर किया गया है.
फाइल मैं /etc/nsswitch.conf फ़ाइल के अंत में पंक्ति जोड़ें:

sudoers: files sss

फाइल मैं /etc/sssd/sssd.conf अनुभाग में [एसएसएसडी] सेवाओं में जोड़ें sudo

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

सभी ऑपरेशनों के बाद, आपको एसएसएसडी डेमॉन कैश को साफ़ करना होगा। हर 6 घंटे में स्वचालित अपडेट होते हैं, लेकिन जब हम इसे अभी चाहते हैं तो हमें इतना लंबा इंतजार क्यों करना चाहिए?

sss_cache -E

अक्सर ऐसा होता है कि कैश साफ़ करने से कोई मदद नहीं मिलती। फिर हम सेवा रोकते हैं, डेटाबेस साफ़ करते हैं और सेवा शुरू करते हैं।

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

हम पहले उपयोगकर्ता के रूप में जुड़ते हैं और जांचते हैं कि सूडो के तहत उसके लिए क्या उपलब्ध है:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

हम अपने दूसरे उपयोगकर्ता के साथ भी ऐसा ही करते हैं:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

यह दृष्टिकोण आपको विभिन्न उपयोगकर्ता समूहों के लिए सूडो भूमिकाओं को केंद्रीय रूप से परिभाषित करने की अनुमति देता है।

सक्रिय निर्देशिका में ssh कुंजियाँ संग्रहीत करना और उनका उपयोग करना

योजना के थोड़े से विस्तार के साथ, सक्रिय निर्देशिका उपयोगकर्ता विशेषताओं में ssh कुंजियों को संग्रहीत करना और लिनक्स होस्ट पर अधिकृत करते समय उनका उपयोग करना संभव है।

एसएसएसडी के माध्यम से प्राधिकरण को कॉन्फ़िगर किया जाना चाहिए।
PowerShell स्क्रिप्ट का उपयोग करके आवश्यक विशेषता जोड़ें।
AddsshPublicKeyAttribute.ps1फ़ंक्शन नई-विशेषता आईडी {
$उपसर्ग='1.2.840.113556.1.8000.2554'
$GUID=[System.Guid]::NewGuid().ToString()
$पार्ट्स=@()
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(0,4),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(4,4),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(9,4),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(14,4),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(19,4),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(24,6),“AllowHexSpecifier”)
$पार्ट्स+=[यूआईएनटी64]::पार्स($guid.SubString(30,6),“AllowHexSpecifier”)
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$ओइड
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = नया-विशेषता आईडी
$विशेषताएं = @{
lDAPDisplayName = 'sshPublicKey';
विशेषताआईडी = $oid;
oMSyntax = 22;
विशेषता सिंटेक्स = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH लॉगिन के लिए उपयोगकर्ता सार्वजनिक कुंजी';
}

नया-ADObject -नाम sshPublicKey -प्रकार विशेषतास्कीमा -पथ $schemapath -अन्य विशेषताएँ $विशेषताएँ
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | सेट-ADObject - @{mayContain = 'sshPublicKey'} जोड़ें

विशेषता जोड़ने के बाद, आपको सक्रिय निर्देशिका डोमेन सेवाओं को पुनरारंभ करना होगा।
आइए सक्रिय निर्देशिका उपयोगकर्ताओं पर चलते हैं। हम आपके लिए सुविधाजनक किसी भी विधि का उपयोग करके एसएसएच कनेक्शन के लिए एक कुंजी जोड़ी तैयार करेंगे।
हम पुट्टीजेन लॉन्च करते हैं, "जेनरेट" बटन दबाते हैं और माउस को खाली क्षेत्र में घुमाते हैं।
प्रक्रिया पूरी होने पर, हम सार्वजनिक और निजी कुंजियाँ सहेज सकते हैं, सार्वजनिक कुंजी को सक्रिय निर्देशिका उपयोगकर्ता विशेषता पर अपलोड कर सकते हैं और प्रक्रिया का आनंद ले सकते हैं। हालाँकि, सार्वजनिक कुंजी का उपयोग "से किया जाना चाहिए"OpenSSH अधिकृत_कुंजी फ़ाइल में चिपकाने के लिए सार्वजनिक कुंजी:"।

उपयोगकर्ता विशेषता में कुंजी जोड़ें.
विकल्प 1 - जीयूआई:

विकल्प 2 - पावरशेल:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
तो, वर्तमान में हमारे पास है: sshPublicKey विशेषता वाला एक उपयोगकर्ता, कुंजियों का उपयोग करके प्राधिकरण के लिए एक कॉन्फ़िगर किया गया पुट्टी क्लाइंट। एक छोटा सा बिंदु बाकी है: sshd डेमॉन को उपयोगकर्ता की विशेषताओं से आवश्यक सार्वजनिक कुंजी निकालने के लिए कैसे बाध्य किया जाए। बुर्जुआ इंटरनेट पर पाई जाने वाली एक छोटी सी स्क्रिप्ट इसका सफलतापूर्वक सामना कर सकती है।

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

हमने रूट के लिए इस पर अनुमतियाँ 0500 पर सेट की हैं।

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

इस उदाहरण में, एक व्यवस्थापक खाते का उपयोग निर्देशिका से जुड़ने के लिए किया जाता है। युद्ध की स्थिति में न्यूनतम अधिकारों के साथ एक अलग खाता होना चाहिए।
अधिकार निर्धारित होने के बावजूद, स्क्रिप्ट में पासवर्ड के शुद्ध रूप में आने के क्षण से मैं व्यक्तिगत रूप से बहुत भ्रमित था।
समाधान विकल्प:

मैं पासवर्ड को एक अलग फ़ाइल में सहेजता हूं:
```
echo -n Supersecretpassword > /usr/local/etc/secretpass
```
मैंने रूट के लिए फ़ाइल अनुमतियाँ 0500 पर सेट की हैं
```
chmod 0500 /usr/local/etc/secretpass
```
Ldapsearch लॉन्च पैरामीटर बदलना: पैरामीटर -w सुपरसीक्रेट पासवर्ड मैं इसे बदलता हूं -y /usr/local/etc/secretpass

आज के सुइट में अंतिम कॉर्ड sshd_config का संपादन है

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

परिणामस्वरूप, हमें ssh क्लाइंट में कॉन्फ़िगर किए गए कुंजी प्राधिकरण के साथ निम्नलिखित अनुक्रम मिलता है:

उपयोगकर्ता अपना लॉगिन दर्शाकर सर्वर से जुड़ता है।
Sshd डेमॉन, एक स्क्रिप्ट के माध्यम से, सक्रिय निर्देशिका में उपयोगकर्ता विशेषता से सार्वजनिक कुंजी मान निकालता है और कुंजियों का उपयोग करके प्राधिकरण करता है।
एसएसएसडी डेमॉन समूह सदस्यता के आधार पर उपयोगकर्ता को प्रमाणित करता है। ध्यान! यदि यह कॉन्फ़िगर नहीं किया गया है, तो किसी भी डोमेन उपयोगकर्ता के पास होस्ट तक पहुंच होगी।
जब आप sudo करने का प्रयास करते हैं, तो sssd डेमॉन भूमिकाओं के लिए सक्रिय निर्देशिका में खोज करता है। यदि भूमिकाएँ मौजूद हैं, तो उपयोगकर्ता की विशेषताओं और समूह सदस्यता की जाँच की जाती है (यदि sudoRoles को उपयोगकर्ता समूहों का उपयोग करने के लिए कॉन्फ़िगर किया गया है)

सारांश.

इस प्रकार, कुंजियाँ सक्रिय निर्देशिका उपयोगकर्ता विशेषताओं, सुडो अनुमतियों में संग्रहीत की जाती हैं - इसी तरह, डोमेन खातों द्वारा लिनक्स होस्ट तक पहुंच सक्रिय निर्देशिका समूह में सदस्यता की जाँच करके की जाती है।
कंडक्टर के डंडे की आखिरी लहर - और हॉल श्रद्धामय सन्नाटे में डूब गया।

लेखन में प्रयुक्त संसाधन:

सक्रिय निर्देशिका के माध्यम से सूडो
सक्रिय निर्देशिका के माध्यम से Ssh कुंजियाँ
पावरशेल स्क्रिप्ट, सक्रिय निर्देशिका स्कीमा में एक विशेषता जोड़ रही है
सुडो स्थिर रिलीज

स्रोत: www.habr.com

क्रिया 1: नियंत्रण sudo भूमिकाओं के माध्यम से सक्रिय निर्देशिका.

सक्रिय निर्देशिका में ssh कुंजियाँ संग्रहीत करना और उनका उपयोग करना

सारांश.

एक टिप्पणी जोड़ें उत्तर रद्द