🥇 आंतरराष्ट्रीय स्पर्धांचे विजेते SSH आणि sudo पुन्हा मंचावर आले आहेत. प्रतिष्ठित सक्रिय निर्देशिका कंडक्टर यांच्या नेतृत्वाखाली

ऐतिहासिकदृष्ट्या, sudo परवानग्या कडील फायलींच्या सामग्रीद्वारे शासित होत्या /etc/sudoers.d и विसुडो, आणि की अधिकृतता वापरून चालते ~/.ssh/authorized_keys. तथापि, जसजशी पायाभूत सुविधा वाढत आहेत, तसतसे या अधिकारांचे केंद्रिय व्यवस्थापन करण्याची इच्छा आहे. आज अनेक उपाय पर्याय असू शकतात:

कॉन्फिगरेशन व्यवस्थापन प्रणाली - डोके, कठपुतळी, उत्तर द्या, मीठ
चालू निर्देशिका + एसएसडी
स्क्रिप्ट आणि मॅन्युअल फाइल संपादनाच्या स्वरूपात विविध विकृती

माझ्या व्यक्तिनिष्ठ मतानुसार, केंद्रीकृत व्यवस्थापनासाठी सर्वोत्तम पर्याय अजूनही संयोजन आहे चालू निर्देशिका + एसएसडी. या पद्धतीचे फायदे आहेत:

खरोखर एकल केंद्रीकृत वापरकर्ता निर्देशिका.
अधिकारांचे वितरण सुडो विशिष्ट सुरक्षा गटामध्ये वापरकर्त्याला जोडण्यासाठी खाली येते.
विविध Linux सिस्टीमच्या बाबतीत, कॉन्फिगरेशन सिस्टीम वापरताना OS निश्चित करण्यासाठी अतिरिक्त तपासण्या करणे आवश्यक होते.

आजचा संच विशेषत: कनेक्शनसाठी समर्पित असेल चालू निर्देशिका + एसएसडी अधिकार व्यवस्थापनासाठी सुडो आणि स्टोरेज एसएसएच एकाच भांडारातील कळा.
त्यामुळे हॉलमध्ये तणावपूर्ण शांतता पसरली, कंडक्टरने दंडुका उगारला आणि ऑर्केस्ट्रा सज्ज झाला.
चला जाऊया.

दिलेः
- सक्रिय निर्देशिका डोमेन testopf.local विंडोज सर्व्हर 2012 R2 वर.
- लिनक्स होस्ट सेंटोस 7 चालवित आहे
— वापरून अधिकृतता कॉन्फिगर केली एसएसडी
दोन्ही उपाय स्कीमामध्ये बदल करतात चालू निर्देशिका, म्हणून आम्ही चाचणी वातावरणात सर्वकाही तपासतो आणि त्यानंतरच कार्यरत पायाभूत सुविधांमध्ये बदल करतो. मी हे लक्षात घेऊ इच्छितो की सर्व बदल लक्ष्यित आहेत आणि खरं तर, फक्त आवश्यक गुणधर्म आणि वर्ग जोडतात.

कृती 1: नियंत्रण सुडो माध्यमातून भूमिका चालू निर्देशिका.

सर्किट विस्तृत करण्यासाठी चालू निर्देशिका आपण नवीनतम प्रकाशन डाउनलोड करणे आवश्यक आहे सुडो — 1.8.27 आजपासून. फाइल अनपॅक करा आणि कॉपी करा schema.ActiveDirectory ./doc निर्देशिकेतून डोमेन कंट्रोलरवर. फाईल कॉपी केलेल्या निर्देशिकेतील प्रशासक अधिकारांसह कमांड लाइनवरून, चालवा:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(तुमची मूल्ये बदलायला विसरू नका)
उघडा adsiedit.msc आणि डीफॉल्ट संदर्भाशी कनेक्ट करा:
डोमेनच्या रूटवर एक विभाग तयार करा स्वेटर. (बुर्जुआ हट्टीपणे दावा करतात की या युनिटमध्ये राक्षस आहे एसएसडी एखादी वस्तू शोधते sudoRole वस्तू. तथापि, तपशीलवार डीबगिंग चालू केल्यानंतर आणि लॉगचा अभ्यास केल्यावर, संपूर्ण निर्देशिका ट्रीमध्ये शोध घेण्यात आला होता हे उघड झाले.)
विभागातील वर्गाशी संबंधित प्रथम ऑब्जेक्ट तयार करतो sudoRole. नाव पूर्णपणे स्वैरपणे निवडले जाऊ शकते, कारण ते केवळ सोयीस्कर ओळखीसाठी काम करते.
स्कीमा विस्तारातील संभाव्य उपलब्ध गुणधर्मांपैकी, मुख्य खालील आहेत:

sudoCommand — होस्टवर कोणती आज्ञा अंमलात आणण्याची परवानगी आहे हे निर्धारित करते.
sudoHost — ही भूमिका कोणत्या होस्टवर लागू होते हे ठरवते. म्हणून निर्दिष्ट केले जाऊ शकते सर्व, आणि नावाने वैयक्तिक होस्टसाठी. मास्क वापरणे देखील शक्य आहे.
sudo वापरकर्ता — कोणत्या वापरकर्त्यांना अंमलात आणण्याची परवानगी आहे ते सूचित करा सुडो.
तुम्ही सुरक्षा गट निर्दिष्ट केल्यास, नावाच्या सुरुवातीला “%” चिन्ह जोडा. ग्रुपच्या नावात स्पेस असल्यास काळजी करण्यासारखे काही नाही. नोंदींच्या आधारे, मोकळी जागा सोडण्याचे काम यंत्रणेद्वारे घेतले जाते एसएसडी.

अंजीर 1. डिरेक्टरीच्या रूटमधील sudoers उपविभागातील sudoRole ऑब्जेक्ट्स

आकृती 2. sudoRole ऑब्जेक्ट्समध्ये निर्दिष्ट सुरक्षा गटांमधील सदस्यत्व.

खालील सेटअप लिनक्स बाजूला केले आहे.
फाईलमध्ये /etc/nsswitch.conf फाइलच्या शेवटी ओळ जोडा:

sudoers: files sss

फाईलमध्ये /etc/sssd/sssd.conf विभागात [sssd] सेवांमध्ये जोडा सुडो

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

सर्व ऑपरेशन्सनंतर, तुम्हाला sssd डिमन कॅशे साफ करणे आवश्यक आहे. स्वयंचलित अद्यतने दर 6 तासांनी होतात, परंतु जेव्हा आम्हाला ते हवे असेल तेव्हा आम्ही इतका वेळ का थांबावे?

sss_cache -E

हे बर्याचदा घडते की कॅशे साफ करणे मदत करत नाही. मग आम्ही सेवा थांबवतो, डेटाबेस साफ करतो आणि सेवा सुरू करतो.

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

आम्ही प्रथम वापरकर्ता म्हणून कनेक्ट करतो आणि sudo अंतर्गत त्याच्यासाठी काय उपलब्ध आहे ते तपासा:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

आम्ही आमच्या दुसऱ्या वापरकर्त्यासह असेच करतो:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

हा दृष्टिकोन तुम्हाला वेगवेगळ्या वापरकर्ता गटांसाठी मध्यवर्तीपणे सुडो भूमिका परिभाषित करण्यास अनुमती देतो.

सक्रिय निर्देशिकेत ssh की साठवणे आणि वापरणे

योजनेच्या थोड्या विस्ताराने, सक्रिय निर्देशिका वापरकर्ता विशेषतांमध्ये ssh की संचयित करणे आणि लिनक्स होस्टवर अधिकृत करताना त्यांचा वापर करणे शक्य आहे.

sssd द्वारे अधिकृतता कॉन्फिगर करणे आवश्यक आहे.
पॉवरशेल स्क्रिप्ट वापरून आवश्यक विशेषता जोडा.
AddsshPublicKeyAttribute.ps1फंक्शन नवीन-विशेषता ID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(4,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(9,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(14,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(19,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(24,6),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(30,6),“AllowHexSpecifier”)
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADrootDSE).schemaNamingContext
$oid = नवीन-विशेषता आयडी
$विशेषता = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH लॉगिनसाठी वापरकर्ता सार्वजनिक की';
}

नवीन-ADObject -नाव sshPublicKey -Type विशेषता स्कीमा -पथ $schemapath -इतरविशेषता $विशेषता
$userSchema = get-adobject -SearchBase $schemapath -फिल्टर 'name -eq "user"'
$userSchema | सेट-ADObject - @{mayContain = 'sshPublicKey'} जोडा

विशेषता जोडल्यानंतर, तुम्ही सक्रिय निर्देशिका डोमेन सेवा रीस्टार्ट करणे आवश्यक आहे.
चला सक्रिय निर्देशिका वापरकर्त्यांकडे जाऊया. आम्ही तुमच्यासाठी सोयीस्कर कोणत्याही पद्धतीचा वापर करून ssh कनेक्शनसाठी एक की जोडी तयार करू.
आम्ही पुट्टीजेन लाँच करतो, "जनरेट" बटण दाबा आणि रिकाम्या भागात माउस हलवा.
प्रक्रिया पूर्ण झाल्यावर, आम्ही सार्वजनिक आणि खाजगी की जतन करू शकतो, सार्वजनिक की सक्रिय निर्देशिका वापरकर्ता विशेषतावर अपलोड करू शकतो आणि प्रक्रियेचा आनंद घेऊ शकतो. तथापि, सार्वजनिक की वापरणे आवश्यक आहे "OpenSSH अधिकृत_की फाइलमध्ये पेस्ट करण्यासाठी सार्वजनिक की:".

वापरकर्ता विशेषता की जोडा.
पर्याय 1 - GUI:

पर्याय २ - पॉवरशेल:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
तर, आमच्याकडे सध्या आहे: sshPublicKey विशेषता भरलेला वापरकर्ता, की वापरून अधिकृततेसाठी कॉन्फिगर केलेला पुट्टी क्लायंट. एक छोटासा मुद्दा शिल्लक आहे: वापरकर्त्याच्या विशेषतांमधून आम्हाला आवश्यक असलेली सार्वजनिक की काढण्यासाठी sshd डिमनला सक्ती कशी करावी. बुर्जुआ इंटरनेटवर सापडलेली एक छोटी स्क्रिप्ट यशस्वीरित्या याचा सामना करू शकते.

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

आम्ही रूटसाठी 0500 वर परवानग्या सेट केल्या आहेत.

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

या उदाहरणात, प्रशासक खाते निर्देशिकेशी जोडण्यासाठी वापरले जाते. लढाऊ परिस्थितींमध्ये, हक्कांच्या किमान संचासह स्वतंत्र खाते असणे आवश्यक आहे.
अधिकार सेट असूनही, स्क्रिप्टमध्ये त्याच्या शुद्ध स्वरूपात पासवर्डच्या क्षणामुळे मी वैयक्तिकरित्या खूप गोंधळलो होतो.
समाधान पर्यायः

मी एका वेगळ्या फाईलमध्ये पासवर्ड सेव्ह करतो:
```
echo -n Supersecretpassword > /usr/local/etc/secretpass
```
मी रूटसाठी फाइल परवानग्या 0500 वर सेट केल्या आहेत
```
chmod 0500 /usr/local/etc/secretpass
```
ldapsearch लॉन्च पॅरामीटर्स बदलणे: पॅरामीटर -w superSecretPassword मी ते बदलतो -y /usr/local/etc/secretpass

आजच्या सूटमधील अंतिम जीवा sshd_config संपादित करणे आहे

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

परिणामी, आम्हाला ssh क्लायंटमध्ये कॉन्फिगर केलेल्या की ऑथोरायझेशनसह खालील क्रम मिळतात:

वापरकर्ता त्याचे लॉगिन सूचित करून सर्व्हरशी कनेक्ट करतो.
sshd डिमन, स्क्रिप्ट द्वारे, ऍक्टिव्ह डिरेक्ट्रीमधील वापरकर्ता विशेषता मधून सार्वजनिक की मूल्य काढतो आणि की वापरून अधिकृतता करते.
sssd डिमन पुढे वापरकर्त्याला गट सदस्यत्वावर आधारित प्रमाणीकृत करते. लक्ष द्या! हे कॉन्फिगर केलेले नसल्यास, कोणत्याही डोमेन वापरकर्त्यास होस्टमध्ये प्रवेश असेल.
जेव्हा तुम्ही sudo करण्याचा प्रयत्न करता, तेव्हा sssd डिमन भूमिकांसाठी सक्रिय निर्देशिका शोधते. भूमिका उपस्थित असल्यास, वापरकर्त्याचे गुणधर्म आणि गट सदस्यत्व तपासले जाते (जर sudoRoles वापरकर्ता गट वापरण्यासाठी कॉन्फिगर केले असेल)

निकाल.

अशा प्रकारे, की ऍक्टिव्ह डिरेक्ट्री वापरकर्ता विशेषता, सुडो परवानग्यांमध्ये संग्रहित केल्या जातात - त्याचप्रमाणे, डोमेन खात्यांद्वारे लिनक्स होस्टमध्ये प्रवेश सक्रिय निर्देशिका गटातील सदस्यत्व तपासून केला जातो.
कंडक्टरच्या दंडुक्याची अंतिम लाट - आणि हॉल आदरणीय शांततेत गोठतो.

लिखित स्वरूपात वापरलेली संसाधने:

सक्रिय निर्देशिका द्वारे Sudo
सक्रिय निर्देशिका द्वारे Ssh की
पॉवरशेल स्क्रिप्ट, सक्रिय डिरेक्ट्री स्कीमामध्ये एक विशेषता जोडणे
sudo स्थिर प्रकाशन

स्त्रोत: www.habr.com

आंतरराष्ट्रीय स्पर्धांचे विजेते SSH आणि sudo पुन्हा मंचावर आहेत. प्रतिष्ठित सक्रिय निर्देशिका कंडक्टरचे नेतृत्व

कृती 1: नियंत्रण सुडो माध्यमातून भूमिका चालू निर्देशिका.

सक्रिय निर्देशिकेत ssh की साठवणे आणि वापरणे

निकाल.

एक टिप्पणी जोडा Отменить ответ