អ្នកឈ្នះនៃការប្រកួតអន្តរជាតិ SSH និង sudo ឡើងឆាកម្តងទៀត។ ដឹកនាំដោយអ្នកនាំផ្លូវសកម្មដែលមានកិត្តិយស

ជាប្រវត្តិសាស្ត្រ ការអនុញ្ញាត sudo ត្រូវបានគ្រប់គ្រងដោយមាតិកានៃឯកសារពី /etc/sudoers.d и វីសូឌូហើយការអនុញ្ញាតសំខាន់ត្រូវបានអនុវត្តដោយប្រើ ~/.ssh/authorized_keys. ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែលហេដ្ឋារចនាសម្ព័ន្ធរីកចម្រើន មានបំណងចង់គ្រប់គ្រងសិទ្ធិទាំងនេះជាកណ្តាល។ ថ្ងៃនេះអាចមានជម្រើសដំណោះស្រាយជាច្រើន៖

• ប្រព័ន្ធគ្រប់គ្រងការកំណត់រចនាសម្ព័ន្ធ - ប្រធាន, Puppet, Ansible, អំបិល
• Active Directory + អេសអេសឌី
• ការបំប្លែងផ្សេងៗក្នុងទម្រង់ជាស្គ្រីប និងការកែសម្រួលឯកសារដោយដៃ

តាមគំនិតរបស់ខ្ញុំ ជម្រើសដ៏ល្អបំផុតសម្រាប់ការគ្រប់គ្រងកណ្តាលនៅតែជាការរួមបញ្ចូលគ្នា Active Directory + អេសអេសឌី. គុណសម្បត្តិនៃវិធីសាស្រ្តនេះគឺ៖

• ពិត​ជា​បញ្ជី​អ្នក​ប្រើ​កណ្តាល​តែមួយ។
• ការចែកចាយសិទ្ធិ sudo ចុះមកដើម្បីបន្ថែមអ្នកប្រើប្រាស់ទៅក្រុមសុវត្ថិភាពជាក់លាក់។
• ក្នុងករណីប្រព័ន្ធលីនុចផ្សេងៗ វាចាំបាច់ដើម្បីណែនាំការត្រួតពិនិត្យបន្ថែមដើម្បីកំណត់ប្រព័ន្ធប្រតិបត្តិការនៅពេលប្រើប្រព័ន្ធកំណត់រចនាសម្ព័ន្ធ។

ឈុតថ្ងៃនេះនឹងត្រូវបានឧទ្ទិសជាពិសេសចំពោះការតភ្ជាប់ Active Directory + អេសអេសឌី សម្រាប់ការគ្រប់គ្រងសិទ្ធិ sudo និងការផ្ទុក ssh គ្រាប់ចុចនៅក្នុងឃ្លាំងតែមួយ។
ដូច្នេះ​ហើយ សាល​បាន​បង្កក​ក្នុង​ភាព​ស្ងៀមស្ងាត់ អ្នក​ដឹកនាំ​បាន​លើក​ដំបង ហើយ​វង់ភ្លេង​បាន​ត្រៀម​ខ្លួន​ជា​ស្រេច។
ទៅ។

បានផ្តល់ឱ្យ៖
- ដែនថតសកម្ម testopf. ក្នុងស្រុក នៅលើ Windows Server 2012 R2.
- ម៉ាស៊ីន Linux ដំណើរការ Centos 7
- កំណត់រចនាសម្ព័ន្ធការអនុញ្ញាតដោយប្រើ អេសអេសឌី
ដំណោះស្រាយទាំងពីរធ្វើការផ្លាស់ប្តូរគ្រោងការណ៍ Active Directoryដូច្នេះ យើងពិនិត្យអ្វីៗគ្រប់យ៉ាងនៅក្នុងបរិយាកាសសាកល្បង ហើយគ្រាន់តែធ្វើការផ្លាស់ប្តូរទៅលើហេដ្ឋារចនាសម្ព័ន្ធដែលកំពុងដំណើរការប៉ុណ្ណោះ។ ខ្ញុំចង់កត់សម្គាល់ថាការផ្លាស់ប្តូរទាំងអស់ត្រូវបានកំណត់គោលដៅហើយតាមការពិតបន្ថែមតែគុណលក្ខណៈចាំបាច់និងថ្នាក់។

សកម្មភាពទី 1: ការត្រួតពិនិត្យ sudo តួនាទីតាមរយៈ Active Directory.

ដើម្បីពង្រីកសៀគ្វី Active Directory អ្នកត្រូវទាញយកការចេញផ្សាយចុងក្រោយបំផុត។ sudo - 1.8.27 គិតត្រឹមថ្ងៃនេះ។ ដោះ​ខ្ចប់​ហើយ​ចម្លង​ឯកសារ schema.ActiveDirectory ពីថតឯកសារ ./doc ទៅឧបករណ៍បញ្ជាដែន។ ពីបន្ទាត់ពាក្យបញ្ជាដែលមានសិទ្ធិជាអ្នកគ្រប់គ្រងពីថតដែលឯកសារត្រូវបានចម្លងសូមដំណើរការ៖
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(កុំភ្លេចជំនួសតម្លៃរបស់អ្នក)
បើក adsiedit.msc ហើយភ្ជាប់ទៅបរិបទលំនាំដើម៖
បង្កើតការបែងចែកនៅឫសនៃដែន បែកញើស. (ពួក​មហាសេដ្ឋី​រឹងរូស​អះអាង​ថា​វា​ស្ថិត​នៅ​ក្នុង​អង្គភាព​នេះ​ដែល​បិសាច​នោះ អេសអេសឌី ស្វែងរកធាតុមួយ។ sudoRole វត្ថុ។ ទោះជាយ៉ាងណាក៏ដោយ បន្ទាប់ពីបើកការកែកំហុសលម្អិត និងសិក្សាកំណត់ហេតុ វាត្រូវបានបង្ហាញថាការស្វែងរកត្រូវបានអនុវត្តនៅទូទាំងមែកធាងថតទាំងមូល។)
យើងបង្កើតវត្ថុទីមួយដែលជាកម្មសិទ្ធិរបស់ថ្នាក់នៅក្នុងផ្នែក sudoRole. ឈ្មោះអាចត្រូវបានជ្រើសរើសតាមអំពើចិត្ត ព្រោះវាបម្រើសម្រាប់ការកំណត់អត្តសញ្ញាណងាយស្រួលតែប៉ុណ្ណោះ។
ក្នុងចំណោមគុណលក្ខណៈដែលអាចមានបានពីផ្នែកបន្ថែមគ្រោងការណ៍ លក្ខណៈសំខាន់ៗមានដូចខាងក្រោម៖

• sudoCommand - កំណត់ពាក្យបញ្ជាណាមួយដែលត្រូវបានអនុញ្ញាតឱ្យប្រតិបត្តិនៅលើម៉ាស៊ីន។
• sudoHost - កំណត់ថាតើម្ចាស់ផ្ទះណាដែលតួនាទីនេះអនុវត្តចំពោះ។ អាចត្រូវបានបញ្ជាក់ជា ទាំងអស់និងសម្រាប់ម្ចាស់ផ្ទះបុគ្គលតាមឈ្មោះ។ វាក៏អាចប្រើរបាំងមុខផងដែរ។
• sudoUser - ចង្អុលបង្ហាញអ្នកប្រើប្រាស់ណាដែលត្រូវបានអនុញ្ញាតឱ្យប្រតិបត្តិ sudo.
  ប្រសិនបើអ្នកបញ្ជាក់ក្រុមសុវត្ថិភាព បន្ថែមសញ្ញា “%” នៅដើមឈ្មោះ។ ប្រសិនបើមានចន្លោះនៅក្នុងឈ្មោះក្រុម នោះគ្មានអ្វីដែលត្រូវព្រួយបារម្ភនោះទេ។ ដោយវិនិច្ឆ័យដោយកំណត់ហេតុ ភារកិច្ចនៃការគេចចេញពីកន្លែងនានាត្រូវបានគ្រប់គ្រងដោយយន្តការ អេសអេសឌី.

រូប 1. វត្ថុ sudoRole នៅក្នុងផ្នែករង sudoers ក្នុង root នៃថត

រូបភាពទី 2. សមាជិកភាពក្នុងក្រុមសន្តិសុខដែលបានបញ្ជាក់នៅក្នុងវត្ថុ sudoRole ។

ការដំឡើងខាងក្រោមត្រូវបានធ្វើនៅលើផ្នែកលីនុច។
នៅក្នុងឯកសារ /etc/nsswitch.conf បន្ថែមបន្ទាត់ទៅចុងបញ្ចប់នៃឯកសារ៖

sudoers: files sss

នៅក្នុងឯកសារ /etc/sssd/sssd.conf នៅក្នុងផ្នែក [ssd] បន្ថែមទៅសេវាកម្ម sudo

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

បន្ទាប់ពីប្រតិបត្តិការទាំងអស់ អ្នកត្រូវសម្អាតឃ្លាំងសម្ងាត់ដេមិន sssd ។ ការអាប់ដេតដោយស្វ័យប្រវត្តិកើតឡើងរៀងរាល់ 6 ម៉ោងម្តង ប៉ុន្តែហេតុអ្វីបានជាយើងគួររង់ចាំយូរម្ល៉េះ នៅពេលដែលយើងចង់បានវាឥឡូវនេះ?

sss_cache -E

វាជារឿយៗកើតឡើងដែលការសម្អាតឃ្លាំងសម្ងាត់មិនអាចជួយបានទេ។ បន្ទាប់មកយើងបញ្ឈប់សេវាកម្ម សម្អាតមូលដ្ឋានទិន្នន័យ និងចាប់ផ្តើមសេវាកម្ម។

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

យើងភ្ជាប់ជាអ្នកប្រើប្រាស់ដំបូង ហើយពិនិត្យមើលអ្វីដែលមានសម្រាប់គាត់នៅក្រោម sudo៖

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

យើងធ្វើដូចគ្នាជាមួយអ្នកប្រើប្រាស់ទីពីររបស់យើង៖

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកំណត់តួនាទី sudo ជាកណ្តាលសម្រាប់ក្រុមអ្នកប្រើប្រាស់ផ្សេងៗគ្នា។

ការរក្សាទុក និងប្រើប្រាស់គ្រាប់ចុច ssh នៅក្នុង Active Directory

ជាមួយនឹងការពង្រីកបន្តិចនៃគ្រោងការណ៍ វាអាចរក្សាទុកសោ ssh នៅក្នុងលក្ខណៈអ្នកប្រើប្រាស់ Active Directory ហើយប្រើវានៅពេលផ្តល់សិទ្ធិលើម៉ាស៊ីន Linux ។

ការអនុញ្ញាតតាមរយៈ sssd ត្រូវតែកំណត់រចនាសម្ព័ន្ធ។
បន្ថែមគុណលក្ខណៈដែលត្រូវការដោយប្រើស្គ្រីប PowerShell ។
AddsshPublicKeyAttribute.ps1មុខងារ New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(4,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(9,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(14,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(19,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(24,6),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(30,6),“AllowHexSpecifier”)
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = New-AttributeID
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'កូនសោសាធារណៈអ្នកប្រើប្រាស់សម្រាប់ការចូល SSH';
}

New-ADObject -Name sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | Set-ADObject -Add @{mayContain = 'sshPublicKey'}

បន្ទាប់ពីបន្ថែមគុណលក្ខណៈ អ្នកត្រូវតែចាប់ផ្តើម Active Directory Domain Services ឡើងវិញ។
ចូរបន្តទៅកាន់អ្នកប្រើប្រាស់ Active Directory។ យើងនឹងបង្កើតគូគន្លឹះសម្រាប់ការតភ្ជាប់ ssh ដោយប្រើវិធីសាស្រ្តណាមួយដែលងាយស្រួលសម្រាប់អ្នក។
យើងបើកដំណើរការ PuttyGen ចុចប៊ូតុង "បង្កើត" ហើយផ្លាស់ទីកណ្តុរយ៉ាងក្លៀវក្លានៅក្នុងតំបន់ទទេ។
នៅពេលបញ្ចប់ដំណើរការ យើងអាចរក្សាទុកសោសាធារណៈ និងឯកជន បង្ហោះសោសាធារណៈទៅកាន់គុណលក្ខណៈអ្នកប្រើប្រាស់ Active Directory ហើយរីករាយនឹងដំណើរការនេះ។ ទោះយ៉ាងណាក៏ដោយ សោសាធារណៈត្រូវតែប្រើពី "សោសាធារណៈសម្រាប់បិទភ្ជាប់ទៅក្នុងឯកសារ OpenSSH authorized_keys៖"។

បន្ថែមសោទៅគុណលក្ខណៈអ្នកប្រើប្រាស់។
ជម្រើសទី 1 - GUI៖

ជម្រើសទី 2 - PowerShell៖
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
ដូច្នេះ បច្ចុប្បន្នយើងមាន៖ អ្នកប្រើប្រាស់ដែលមានគុណលក្ខណៈ sshPublicKey ដែលត្រូវបានបំពេញ ជាម៉ាស៊ីនភ្ញៀវ Putty ដែលបានកំណត់រចនាសម្ព័ន្ធសម្រាប់ការអនុញ្ញាតដោយប្រើសោ។ នៅមានចំណុចតូចមួយ៖ របៀបបង្ខំដេមិន sshd ឱ្យទាញយកសោសាធារណៈដែលយើងត្រូវការពីគុណលក្ខណៈរបស់អ្នកប្រើ។ ស្គ្រីបតូចមួយដែលរកឃើញនៅលើអ៊ីនធឺណិត bourgeois អាចដោះស្រាយដោយជោគជ័យ។

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

យើងកំណត់ការអនុញ្ញាតនៅលើវាទៅ 0500 សម្រាប់ root ។

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

ក្នុងឧទាហរណ៍នេះ គណនីអ្នកគ្រប់គ្រងមួយត្រូវបានប្រើដើម្បីភ្ជាប់ទៅថត។ នៅក្នុងលក្ខខណ្ឌប្រយុទ្ធត្រូវតែមានគណនីដាច់ដោយឡែកមួយដែលមានសំណុំសិទ្ធិអប្បបរមា។
ខ្ញុំផ្ទាល់មានការភ័ន្តច្រឡំយ៉ាងខ្លាំងចំពោះពេលដែលពាក្យសម្ងាត់នៅក្នុងទម្រង់ដ៏បរិសុទ្ធរបស់វានៅក្នុងស្គ្រីប ទោះបីជាមានសិទ្ធិកំណត់ក៏ដោយ។
ជម្រើសដំណោះស្រាយ៖

• ខ្ញុំរក្សាទុកពាក្យសម្ងាត់នៅក្នុងឯកសារដាច់ដោយឡែកមួយ៖

  echo -n Supersecretpassword > /usr/local/etc/secretpass

• ខ្ញុំបានកំណត់ការអនុញ្ញាតឯកសារទៅ 0500 សម្រាប់ root

  chmod 0500 /usr/local/etc/secretpass

• ការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្របើកដំណើរការ ldapsearch៖ ប៉ារ៉ាម៉ែត្រ -w superSecretPassword ខ្ញុំប្តូរវាទៅ -y /usr/local/etc/secretpass

អង្កត់ធ្នូចុងក្រោយនៅក្នុងឈុតថ្ងៃនេះកំពុងកែសម្រួល sshd_config

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

ជាលទ្ធផល យើងទទួលបានលំដាប់ដូចខាងក្រោមជាមួយនឹងការអនុញ្ញាតគន្លឹះដែលបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងម៉ាស៊ីនភ្ញៀវ ssh៖

1. អ្នកប្រើប្រាស់ភ្ជាប់ទៅម៉ាស៊ីនមេដោយបង្ហាញការចូលរបស់គាត់។
2. ដេមិន sshd តាមរយៈស្គ្រីប ទាញយកតម្លៃសោសាធារណៈពីគុណលក្ខណៈអ្នកប្រើប្រាស់នៅក្នុង Active Directory ហើយអនុវត្តការអនុញ្ញាតដោយប្រើគ្រាប់ចុច។
3. ដេមិន sssd បន្ថែមការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ដោយផ្អែកលើសមាជិកភាពក្រុម។ យកចិត្តទុកដាក់! ប្រសិនបើវាមិនត្រូវបានកំណត់រចនាសម្ព័ន្ធទេ នោះអ្នកប្រើប្រាស់ដែនណាមួយនឹងមានសិទ្ធិចូលប្រើម៉ាស៊ីន។
4. នៅពេលអ្នកព្យាយាម sudo ដេមិន sssd ស្វែងរក Active Directory សម្រាប់តួនាទី។ ប្រសិនបើតួនាទីមានវត្តមាន គុណលក្ខណៈរបស់អ្នកប្រើ និងសមាជិកភាពក្រុមត្រូវបានពិនិត្យ (ប្រសិនបើ sudoRoles ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីប្រើក្រុមអ្នកប្រើប្រាស់)

លទ្ធផល។

ដូច្នេះ គ្រាប់ចុចត្រូវបានរក្សាទុកនៅក្នុង Active Directory user attributes ការអនុញ្ញាត sudo - ស្រដៀងគ្នានេះដែរ ការចូលទៅកាន់ Linux hosts ដោយគណនី domain ត្រូវបានអនុវត្តដោយពិនិត្យមើលសមាជិកភាពនៅក្នុង Active Directory group។
រលក​ចុង​ក្រោយ​នៃ​ដំបង​របស់​អ្នក​ដឹកនាំ - ហើយ​សាល​ក៏​បង្កក​ក្នុង​ភាព​ស្ងៀមស្ងាត់​គួរ​ឱ្យ​គោរព។

ធនធានដែលប្រើក្នុងការសរសេរ៖

Sudo តាមរយៈ Active Directory
គ្រាប់ចុច Ssh តាមរយៈ Active Directory
ស្គ្រីប Powershell ដោយបន្ថែមគុណលក្ខណៈទៅ Active Directory Schema
ការចេញផ្សាយ sudo មានស្ថេរភាព

ប្រភព: www.habr.com