അന്താരാഷ്‌ട്ര മത്സരങ്ങളായ എസ്‌എസ്‌എച്ച്, സുഡോ വിജയികൾ വീണ്ടും വേദിയിൽ. വിശിഷ്ട കണ്ടക്ടർ ആക്റ്റീവ് ഡയറക്ടറിയുടെ നേതൃത്വത്തിൽ

ചരിത്രപരമായി, സുഡോ അവകാശങ്ങൾ നിയന്ത്രിക്കുന്നത് ഫയലുകളുടെ ഉള്ളടക്കമാണ് /etc/sudoers.d и visudo, കീകൾ മുഖേനയുള്ള അംഗീകാരം ഉപയോഗിച്ചാണ് നടപ്പിലാക്കിയത് ~/.ssh/authorized_keys. എന്നിരുന്നാലും, അടിസ്ഥാന സൗകര്യങ്ങളുടെ വളർച്ചയോടെ, ഈ അവകാശങ്ങൾ കേന്ദ്രീകൃതമായി കൈകാര്യം ചെയ്യാനുള്ള ആഗ്രഹമുണ്ട്. നിലവിൽ, സാധ്യമായ നിരവധി പരിഹാരങ്ങളുണ്ട്:

• കോൺഫിഗറേഷൻ മാനേജ്മെന്റ് സിസ്റ്റം - തല, പാവ, അസാധ്യം, ഉപ്പ്
• ആക്ടീവ് ഡയറക്ടറി + ssd
• സ്ക്രിപ്റ്റുകളുടെയും ഫയലുകളുടെ മാനുവൽ എഡിറ്റിംഗിന്റെയും രൂപത്തിലുള്ള വിവിധ വികൃതികൾ

എന്റെ ആത്മനിഷ്ഠമായ അഭിപ്രായത്തിൽ, കേന്ദ്രീകൃത മാനേജ്മെന്റിനുള്ള ഏറ്റവും മികച്ച ഓപ്ഷൻ ഇപ്പോഴും ഒരു കൂട്ടമാണ് ആക്ടീവ് ഡയറക്ടറി + ssd. ഈ സമീപനത്തിന്റെ ഗുണങ്ങൾ ഇവയാണ്:

• ശരിക്കും ഉപയോക്താക്കളുടെ ഏകീകൃത കേന്ദ്രീകൃത ഡയറക്ടറി.
• അവകാശങ്ങളുടെ വിതരണം സുഡോ ഒരു പ്രത്യേക സുരക്ഷാ ഗ്രൂപ്പിലേക്ക് ഒരു ഉപയോക്താവിനെ ചേർക്കുന്നതിലേക്ക് വരുന്നു.
• വിവിധ ലിനക്സ് സിസ്റ്റങ്ങളുടെ കാര്യത്തിൽ, കോൺഫിഗറേഷൻ സിസ്റ്റങ്ങൾ ഉപയോഗിക്കുമ്പോൾ OS നിർണ്ണയിക്കാൻ അധിക പരിശോധനകൾ അവതരിപ്പിക്കേണ്ടത് ആവശ്യമാണ്.

ഇന്നത്തെ സ്യൂട്ട് ബണ്ടിൽ സമർപ്പിക്കും ആക്ടീവ് ഡയറക്ടറി + ssd അവകാശ മാനേജ്മെന്റിനായി സുഡോ സംഭരണവും ssh ഒരൊറ്റ ശേഖരത്തിലെ കീകൾ.
അങ്ങനെ, ഹാൾ പിരിമുറുക്കത്തിൽ നിശ്ശബ്ദമായി, കണ്ടക്ടർ ബാറ്റൺ ഉയർത്തി, ഓർക്കസ്ട്ര തയ്യാറാക്കി.
നമുക്ക് പോകാം.

നൽകിയത്:
- സജീവ ഡയറക്ടറി ഡൊമെയ്ൻ testopf.local വിൻഡോസ് സെർവർ 2012 R2-ൽ.
- സെന്റോസ് 7-ൽ പ്രവർത്തിക്കുന്ന ലിനക്സ് ഹോസ്റ്റ്
- ഉപയോഗിച്ച് ഇഷ്ടാനുസൃത അംഗീകാരം ssd
രണ്ട് പരിഹാരങ്ങളും സ്കീമ മാറ്റങ്ങൾ വരുത്തുന്നു ആക്ടീവ് ഡയറക്ടറി, അതിനാൽ ഞങ്ങൾ എല്ലാം ഒരു ടെസ്റ്റ് പരിതസ്ഥിതിയിൽ പരിശോധിക്കുകയും അതിനുശേഷം മാത്രമേ പ്രവർത്തന അടിസ്ഥാന സൗകര്യങ്ങളിൽ മാറ്റങ്ങൾ വരുത്തുകയുള്ളൂ. എല്ലാ മാറ്റങ്ങളും പോയിന്റ്-വൈസ് ആണെന്നും, വാസ്തവത്തിൽ, ആവശ്യമായ ആട്രിബ്യൂട്ടുകളും ക്ലാസുകളും മാത്രം ചേർക്കുന്നതും ഞാൻ ശ്രദ്ധിക്കാൻ ആഗ്രഹിക്കുന്നു.

ആക്ഷൻ 1: മാനേജ്മെന്റ് സുഡോ വഴി വേഷങ്ങൾ ആക്ടീവ് ഡയറക്ടറി.

സ്കീമ വിപുലീകരിക്കാൻ ആക്ടീവ് ഡയറക്ടറി നിങ്ങൾ ഏറ്റവും പുതിയ പതിപ്പ് ഡൗൺലോഡ് ചെയ്യേണ്ടതുണ്ട് സുഡോ - 1.8.27 ഇന്ന്. അൺപാക്ക് ചെയ്യുക, ഫയൽ പകർത്തുക schema.ActiveDirectory ./doc ഡയറക്ടറിയിൽ നിന്ന് ഒരു ഡൊമെയ്ൻ കൺട്രോളറിലേക്ക്. ഫയൽ പകർത്തിയ ഡയറക്ടറിയിൽ നിന്നുള്ള അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങളുള്ള കമാൻഡ് ലൈനിൽ നിന്ന്, പ്രവർത്തിപ്പിക്കുക:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(നിങ്ങളുടെ മൂല്യങ്ങൾ മാറ്റിസ്ഥാപിക്കാൻ മറക്കരുത്)
തുറക്കുക adsiedit.msc കൂടാതെ ഡിഫോൾട്ട് സന്ദർഭത്തിലേക്ക് ബന്ധിപ്പിക്കുക:
ഡൊമെയ്‌നിന്റെ റൂട്ടിൽ ഒരു ഉപവിഭാഗം സൃഷ്‌ടിക്കുക sudoers. (ഈ യൂണിറ്റിലാണ് ഭൂതം എന്ന് ബൂർഷ്വാ ശാഠ്യത്തോടെ അവകാശപ്പെടുന്നു ssd ഒരു ഇനത്തിനായി തിരയുന്നു സുഡോ റോൾ വസ്തുക്കൾ. എന്നിരുന്നാലും, വിശദമായ ഡീബഗ്ഗിംഗ് ഓണാക്കി ലോഗുകൾ പരിശോധിച്ച ശേഷം, മുഴുവൻ ഡയറക്ടറി ട്രീയിലും തിരച്ചിൽ നടക്കുന്നതായി കണ്ടെത്തി.)
വിഭാഗത്തിൽ പെടുന്ന ആദ്യത്തെ ഒബ്ജക്റ്റ് സൃഷ്ടിക്കുക സുഡോ റോൾ. പേര് തികച്ചും ഏകപക്ഷീയമായി തിരഞ്ഞെടുക്കാം, കാരണം ഇത് സൗകര്യപ്രദമായ തിരിച്ചറിയലിനായി മാത്രം പ്രവർത്തിക്കുന്നു.
ഒരു സ്കീമ വിപുലീകരണത്തിൽ നിന്ന് ലഭ്യമായ സാധ്യമായ ആട്രിബ്യൂട്ടുകളിൽ, പ്രധാനമായവ ഇവയാണ്:

• sudoCommand - ഹോസ്റ്റിൽ ഏതൊക്കെ കമാൻഡുകൾ എക്സിക്യൂട്ട് ചെയ്യാൻ അനുവദിക്കണമെന്ന് നിർണ്ണയിക്കുന്നു.
• sudoHost - ഏതൊക്കെ ഹോസ്റ്റുകൾക്കാണ് ഈ റോൾ പ്രയോഗിക്കുന്നതെന്ന് നിർണ്ണയിക്കുന്നു. ആയി നൽകാം എല്ലാം, കൂടാതെ പേര് പ്രകാരം ഒരു പ്രത്യേക ഹോസ്റ്റിനായി. മാസ്ക് ഉപയോഗിക്കാനും സാധിക്കും.
• sudoUser - ഏത് ഉപയോക്താക്കളെയാണ് എക്സിക്യൂട്ട് ചെയ്യാൻ അനുവദിച്ചതെന്ന് വ്യക്തമാക്കുക സുഡോ.
  ഒരു സുരക്ഷാ ഗ്രൂപ്പ് വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ, പേരിന്റെ തുടക്കത്തിൽ ഒരു "%" ചിഹ്നം ചേർക്കുക. ഗ്രൂപ്പിന്റെ പേരിൽ സ്‌പെയ്‌സുകളുണ്ടെങ്കിൽ വിഷമിക്കേണ്ട കാര്യമില്ല. ലോഗുകൾ അനുസരിച്ച്, സ്പെയ്സുകൾ രക്ഷപ്പെടാനുള്ള ചുമതല മെക്കാനിസം ഏറ്റെടുക്കുന്നു ssd.

ഡയറക്‌ടറിയുടെ റൂട്ടിലുള്ള sudoers ഉപവിഭാഗത്തിലെ ചിത്രം 1 sudoRole ഒബ്‌ജക്‌റ്റുകൾ

ചിത്രം 2. സുഡോറോൾ ഒബ്‌ജക്‌റ്റുകളിൽ വ്യക്തമാക്കിയ സുരക്ഷാ ഗ്രൂപ്പുകളിലെ അംഗത്വം.

ഇനിപ്പറയുന്ന സജ്ജീകരണം Linux വശത്ത് ചെയ്തു.
ഫയലിൽ /etc/nsswitch.conf ഫയലിന്റെ അവസാനം ഇനിപ്പറയുന്ന വരി ചേർക്കുക:

sudoers: files sss

ഫയലിൽ /etc/sssd/sssd.conf വിഭാഗത്തിൽ [sssd] സേവനങ്ങളിലേക്ക് ചേർക്കുക സുഡോ

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

എല്ലാ പ്രവർത്തനങ്ങൾക്കും ശേഷം, നിങ്ങൾ sssd ഡെമണിന്റെ കാഷെ മായ്‌ക്കേണ്ടതുണ്ട്. ഓരോ 6 മണിക്കൂറിലും സ്വയമേവയുള്ള അപ്‌ഡേറ്റുകൾ നടക്കുന്നു, എന്നാൽ ഇപ്പോൾ ആവശ്യമുള്ളപ്പോൾ നമ്മൾ എന്തിന് കാത്തിരിക്കണം.

sss_cache -E

കാഷെ മായ്‌ക്കുന്നത് സഹായിക്കില്ല എന്നത് പലപ്പോഴും സംഭവിക്കുന്നു. തുടർന്ന് ഞങ്ങൾ സേവനം നിർത്തുക, ഡാറ്റാബേസ് വൃത്തിയാക്കുക, സേവനം ആരംഭിക്കുക.

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

ഞങ്ങൾ ആദ്യ ഉപയോക്താവായി കണക്റ്റുചെയ്‌ത് സുഡോയിൽ നിന്ന് അദ്ദേഹത്തിന് എന്താണ് ലഭ്യമെന്ന് പരിശോധിക്കുക:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

ഞങ്ങളുടെ രണ്ടാമത്തെ ഉപയോക്താവുമായി ഞങ്ങൾ ഇതുതന്നെ ചെയ്യുന്നു:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

വ്യത്യസ്ത ഉപയോക്തൃ ഗ്രൂപ്പുകൾക്കായി സുഡോ റോളുകൾ കേന്ദ്രീകൃതമായി നിർവ്വചിക്കാൻ ഈ സമീപനം നിങ്ങളെ അനുവദിക്കുന്നു.

സജീവ ഡയറക്ടറിയിൽ ssh കീകൾ സംഭരിക്കുകയും ഉപയോഗിക്കുകയും ചെയ്യുന്നു

സ്കീമിന്റെ ഒരു ചെറിയ വിപുലീകരണത്തിലൂടെ, ആക്റ്റീവ് ഡയറക്‌ടറി ഉപയോക്തൃ ആട്രിബ്യൂട്ടുകളിൽ ssh കീകൾ സംഭരിക്കാനും Linux ഹോസ്റ്റുകളിൽ അംഗീകാരം നൽകുമ്പോൾ അവ ഉപയോഗിക്കാനും സാധിക്കും.

sssd വഴിയുള്ള അംഗീകാരം ക്രമീകരിച്ചിരിക്കണം.
പവർഷെൽ സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് ഞങ്ങൾ ആവശ്യമായ ആട്രിബ്യൂട്ട് ചേർക്കുന്നു.
AddsshPublicKeyAttribute.ps1ഫംഗ്‌ഷൻ പുതിയ-ആട്രിബ്യൂട്ട് ഐഡി {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$ഭാഗങ്ങൾ=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = New-AtributeID
$ആട്രിബ്യൂട്ടുകൾ = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $id;
oMSyntax = 22;
ആട്രിബ്യൂട്ട് സിന്റാക്സ്="2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH ലോഗിൻ ചെയ്യുന്നതിനുള്ള യൂസർ പബ്ലിക് കീ';
}

പുതിയ-ADObject -Name sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | സെറ്റ്-ADObject -Add @{mayContain = 'sshPublicKey'}

ആട്രിബ്യൂട്ട് ചേർത്ത ശേഷം, നിങ്ങൾ സജീവ ഡയറക്ടറി ഡൊമെയ്ൻ സേവനങ്ങൾ പുനരാരംഭിക്കണം.
നമുക്ക് സജീവ ഡയറക്ടറി ഉപയോക്താക്കളിലേക്ക് പോകാം. നിങ്ങൾക്ക് സൗകര്യപ്രദമായ ഏത് വിധത്തിലും, ഞങ്ങൾ ssh കണക്ഷനായി ഒരു ജോടി കീകൾ സൃഷ്ടിക്കുന്നു.
ഞങ്ങൾ PuttyGen സമാരംഭിക്കുക, "ജനറേറ്റ്" ബട്ടൺ അമർത്തി ശൂന്യമായ സ്ഥലത്ത് മൗസ് ഭ്രാന്തമായി ക്രാൾ ചെയ്യുക.
പ്രക്രിയ പൂർത്തിയാകുമ്പോൾ, ഞങ്ങൾക്ക് പബ്ലിക്, പ്രൈവറ്റ് കീകൾ സംരക്ഷിക്കാനും ആക്റ്റീവ് ഡയറക്‌ടറി യൂസർ ആട്രിബ്യൂട്ടിലേക്ക് പബ്ലിക് കീ അപ്‌ലോഡ് ചെയ്യാനും പ്രോസസ്സ് ആസ്വദിക്കാനും കഴിയും. എന്നിരുന്നാലും, " എന്നതിൽ നിന്ന് പൊതു കീ ഉപയോഗിക്കേണ്ടതാണ്.OpenSSH authorized_keys ഫയലിലേക്ക് ഒട്ടിക്കുന്നതിനുള്ള പൊതു കീ:".

ഉപയോക്തൃ ആട്രിബ്യൂട്ടിലേക്ക് കീ ചേർക്കുക.
ഓപ്ഷൻ 1 - GUI:

ഓപ്ഷൻ 2 - പവർഷെൽ:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
അതിനാൽ, ഇപ്പോൾ ഞങ്ങൾക്കുണ്ട്: sshPublicKey ആട്രിബ്യൂട്ട് പൂരിപ്പിച്ച ഒരു ഉപയോക്താവ്, കീകൾ മുഖേനയുള്ള അംഗീകാരത്തിനായി ക്രമീകരിച്ച പുട്ടി ക്ലയന്റ്. ഒരു ചെറിയ പോയിന്റ് അവശേഷിക്കുന്നു, ഉപയോക്താവിന്റെ ആട്രിബ്യൂട്ടുകളിൽ നിന്ന് നമുക്ക് ആവശ്യമുള്ള പബ്ലിക് കീ പിൻവലിക്കാൻ sshd ഡെമണിനെ എങ്ങനെ നിർബന്ധിക്കാം. ബൂർഷ്വാ ഇന്റർനെറ്റിന്റെ തുറസ്സായ ഇടങ്ങളിൽ കണ്ടെത്തിയ ഒരു ചെറിയ സ്ക്രിപ്റ്റ് ഇതിനെ വിജയകരമായി നേരിടുന്നു.

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

റൂട്ടിനായി ഞങ്ങൾ അതിന്റെ അവകാശങ്ങൾ 0500 ആയി സജ്ജമാക്കി.

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

ഈ ഉദാഹരണത്തിൽ, ഡയറക്ടറിയുമായി ബന്ധിപ്പിക്കുന്നതിന് അഡ്മിനിസ്ട്രേറ്റർ അക്കൗണ്ട് ഉപയോഗിക്കുന്നു. പോരാട്ട സാഹചര്യങ്ങളിൽ, കുറഞ്ഞ അവകാശങ്ങളുള്ള ഒരു പ്രത്യേക അക്കൗണ്ട് ഉണ്ടായിരിക്കണം.
സെറ്റ് അവകാശങ്ങൾ ഉണ്ടായിരുന്നിട്ടും, സ്ക്രിപ്റ്റിൽ അതിന്റെ ശുദ്ധമായ രൂപത്തിൽ പാസ്‌വേഡ് നൽകിയ നിമിഷം വ്യക്തിപരമായി ഞാൻ വളരെ ലജ്ജിച്ചു.
പരിഹാര ഓപ്ഷൻ:

• ഞാൻ രഹസ്യവാക്ക് ഒരു പ്രത്യേക ഫയലിൽ സംരക്ഷിക്കുന്നു:

  echo -n Supersecretpassword > /usr/local/etc/secretpass

• റൂട്ടിനായി 0500 എന്ന ഫയലിന്റെ അവകാശങ്ങൾ ഞാൻ സജ്ജമാക്കി

  chmod 0500 /usr/local/etc/secretpass

• ldapsearch സ്റ്റാർട്ടപ്പ് ഓപ്ഷനുകൾ മാറ്റുക: പരാമീറ്റർ -w superSecretPassword മാറ്റുക -y /usr/local/etc/secretpass

ഇന്നത്തെ സ്യൂട്ടിലെ അവസാന കോർഡ് എഡിറ്റ് ചെയ്യുന്നത് sshd_config ആണ്

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

തൽഫലമായി, ssh ക്ലയന്റിലെ കീകൾ വഴി കോൺഫിഗർ ചെയ്‌ത അംഗീകാരത്തോടുകൂടിയ ഇനിപ്പറയുന്ന ക്രമം ഞങ്ങൾക്ക് ലഭിക്കുന്നു:

1. ഉപയോക്താവ് തന്റെ ലോഗിൻ വ്യക്തമാക്കുന്നതിലൂടെ സെർവറിലേക്ക് കണക്റ്റുചെയ്യുന്നു.
2. sshd ഡെമൺ ഒരു സ്ക്രിപ്റ്റ് വഴി ആക്റ്റീവ് ഡയറക്‌ടറിയിലെ ഉപയോക്തൃ ആട്രിബ്യൂട്ടിൽ നിന്ന് പൊതു കീയുടെ മൂല്യം വലിച്ചെടുക്കുകയും കീകൾ വഴി അംഗീകാരം നൽകുകയും ചെയ്യുന്നു.
3. ഗ്രൂപ്പ് അംഗത്വത്തെ അടിസ്ഥാനമാക്കി sssd ഡെമൺ കൂടുതൽ ഉപയോക്തൃ പ്രാമാണീകരണം നടത്തുന്നു. ശ്രദ്ധ! കോൺഫിഗർ ചെയ്തിട്ടില്ലെങ്കിൽ, ഏതൊരു ഡൊമെയ്ൻ ഉപയോക്താവിനും ഹോസ്റ്റിലേക്ക് ആക്സസ് ഉണ്ടായിരിക്കും.
4. നിങ്ങൾ sudo ചെയ്യാൻ ശ്രമിക്കുമ്പോൾ, sssd ഡെമൺ റോളുകൾക്കായി സജീവ ഡയറക്ടറിയിൽ തിരയുന്നു. റോളുകൾ ഉണ്ടെങ്കിൽ, ഉപയോക്താവിന്റെ ആട്രിബ്യൂട്ടുകളും ഗ്രൂപ്പ് അംഗത്വവും പരിശോധിക്കും (ഉപയോക്തൃ ഗ്രൂപ്പുകൾ ഉപയോഗിക്കാൻ sudoRoles കോൺഫിഗർ ചെയ്തിട്ടുണ്ടെങ്കിൽ)

ഫലം.

അങ്ങനെ, കീകൾ സജീവ ഡയറക്ടറി ഉപയോക്തൃ ആട്രിബ്യൂട്ടുകൾ, സുഡോ അനുമതികൾ എന്നിവയിൽ സംഭരിക്കുന്നു - അതുപോലെ, ഡൊമെയ്ൻ അക്കൗണ്ടുകൾ ഉപയോഗിക്കുന്ന ലിനക്സ് ഹോസ്റ്റുകളിലേക്കുള്ള ആക്സസ് ഒരു സജീവ ഡയറക്ടറി ഗ്രൂപ്പിലെ അംഗത്വം പരിശോധിച്ചാണ് നടത്തുന്നത്.
കണ്ടക്ടറുടെ ബാറ്റണിന്റെ അവസാന തിരമാല - ബഹുമാനത്തോടെയുള്ള നിശബ്ദതയിൽ ഹാൾ മരവിക്കുന്നു.

എഴുത്തിൽ ഉപയോഗിക്കുന്ന വിഭവങ്ങൾ:

സജീവ ഡയറക്ടറി വഴി സുഡോ
സജീവ ഡയറക്ടറി വഴി Ssh കീകൾ
പവർഷെൽ സ്ക്രിപ്റ്റ്, ആക്റ്റീവ് ഡയറക്ടറി സ്കീമയിലേക്ക് ഒരു ആട്രിബ്യൂട്ട് ചേർക്കുന്നു
സുഡോ സ്ഥിരതയുള്ള റിലീസ്

അവലംബം: www.habr.com