နိုင်ငံတကာပြိုင်ပွဲများတွင် SSH နှင့် sudo မှ အနိုင်ရသူများသည် စင်မြင့်ပေါ်သို့ ထပ်မံရောက်ရှိနေပြီဖြစ်သည်။ Distinguished Active Directory Conductor မှ ဦးဆောင်သည်။

သမိုင်းအရ၊ sudo ခွင့်ပြုချက်များကို ဖိုင်များမှ အကြောင်းအရာများဖြင့် အုပ်ချုပ်ခဲ့သည်။ /etc/sudoers.d и မျက်လုံးနှင့် သော့ခွင့်ပြုချက်ကို အသုံးပြု၍ ဆောင်ရွက်ခဲ့ပါသည်။ ~/.ssh/authorized_keys. သို့သော်လည်း အခြေခံအဆောက်အအုံများ ကြီးထွားလာသည်နှင့်အမျှ ဤအခွင့်အရေးများကို ဗဟိုမှ စီမံခန့်ခွဲရန် ဆန္ဒရှိပါသည်။ ယနေ့တွင် ဖြေရှင်းနည်းများစွာ ရှိနိုင်သည်-

• ဖွဲ့စည်းမှုစီမံခန့်ခွဲမှုစနစ် - ဦးခေါင်းကို, ရုပ်သေး, မြင်မရဘူး, ဆားငန်
• active Directory + ပြောလေ
• script များနှင့် manual file တည်းဖြတ်ခြင်းပုံစံအမျိုးမျိုးဖြင့်ဖောက်ပြန်ခြင်း

ကျွန်ုပ်၏ပုဂ္ဂလအမြင်အရ၊ ဗဟိုချုပ်ကိုင်မှုစီမံခန့်ခွဲခြင်းအတွက် အကောင်းဆုံးရွေးချယ်မှုမှာ ပေါင်းစပ်တစ်ခု ဖြစ်နေဆဲဖြစ်သည်။ active Directory + ပြောလေ. ဤချဉ်းကပ်မှု၏အားသာချက်များမှာ-

• အမှန်တကယ်ပင် ဗဟိုချုပ်ကိုင်ထားသော သုံးစွဲသူလမ်းညွှန်တစ်ခုဖြစ်သည်။
• အခွင့်အရေးများ ဖြန့်ဝေခြင်း။ sudo အသုံးပြုသူတစ်ဦးအား သီးခြားလုံခြုံရေးအုပ်စုတစ်ခုသို့ ထည့်သွင်းခြင်းမှ ဆင်းသက်လာသည်။
• Linux စနစ်အမျိုးမျိုးတွင်၊ configuration စနစ်များကိုအသုံးပြုသည့်အခါ OS ကိုဆုံးဖြတ်ရန်နောက်ထပ်စစ်ဆေးမှုများကိုထည့်သွင်းရန်လိုအပ်လာသည်။

ယနေ့ခေတ်အစုံသည် ချိတ်ဆက်မှုအတွက် အထူးသီးသန့်လုပ်ဆောင်ပါမည်။ active Directory + ပြောလေ အခွင့်အရေးစီမံခန့်ခွဲမှုအတွက် sudo သိုလှောင်မှု ssh repository တစ်ခုထဲရှိ သော့များ။
ထို့ကြောင့် ခန်းမသည် တိတ်ဆိတ်ငြိမ်သက်စွာ အေးခဲသွားပြီး စပယ်ယာက သူ့နံပါတ်တုတ်ကို မြှောက်လိုက်ပြီး သံစုံတီးဝိုင်းက အဆင်သင့်ဖြစ်နေပါပြီ။
သွား

ပေးထားသော:
- Active Directory ဒိုမိန်း testopf.local Windows Server 2012 R2 တွင်
- Centos 7 လည်ပတ်နေသော Linux host
- ခွင့်ပြုချက်ကို အသုံးပြု၍ ပြင်ဆင်ထားသည်။ ပြောလေ
ဖြေရှင်းချက်နှစ်ခုလုံးသည် schema ကို ပြောင်းလဲစေသည်။ active Directoryထို့ကြောင့် ကျွန်ုပ်တို့သည် စမ်းသပ်မှုပတ်ဝန်းကျင်တွင် အရာအားလုံးကို စစ်ဆေးပြီးမှသာ အလုပ်လုပ်သော အခြေခံအဆောက်အအုံကို အပြောင်းအလဲလုပ်ပါ။ ပြောင်းလဲမှုအားလုံးကို ပစ်မှတ်ထားပြီး အမှန်တကယ် လိုအပ်သော အရည်အချင်းများနှင့် အတန်းများကိုသာ ထည့်သွင်းထားကြောင်း သတိပြုစေလိုပါသည်။

လုပ်ဆောင်ချက် 1- ထိန်းချုပ်မှု sudo အခန်းကဏ္ဍများမှတဆင့် active Directory.

ပတ်လမ်းချဲ့ထွင်ရန် active Directory နောက်ဆုံးထွက်ရှိမှုကို ဒေါင်းလုဒ်လုပ်ရန် လိုအပ်သည်။ sudo - ယနေ့ ၁.၈.၂၇. ဖိုင်ကိုထုတ်ပြီး ကော်ပီကူးပါ။ schema.ActiveDirectory ./doc directory မှ domain controller သို့။ ဖိုင်ကိုကူးယူထားသည့် လမ်းညွှန်မှစီမံခန့်ခွဲသူအခွင့်အရေးများပါရှိသော command line မှ၊ run-
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(ကိုယ့်တန်ဖိုးတွေကို အစားထိုးဖို့ မမေ့ပါနဲ့)
ဖွင့် adsiedit.msc နှင့် မူရင်းအကြောင်းအရာသို့ ချိတ်ဆက်ပါ-
ဒိုမိန်း၏ အမြစ်တွင် ပိုင်းခြားမှုတစ်ခုကို ဖန်တီးပါ။ ဆံပင်. (ဓနရှင်လူတန်းစားသည် ဤဌာနတွင် နတ်ဆိုးဖြစ်သည်ဟု ခေါင်းမာစွာ အခိုင်အမာဆိုသည်။ ပြောလေ အရာတစ်ခုကို ရှာဖွေသည်။ sudoRole အရာဝတ္ထုများ။ သို့သော်၊ အသေးစိတ် အမှားရှာပြင်ခြင်းကို ဖွင့်ပြီး မှတ်တမ်းများကို လေ့လာပြီးနောက်၊ လမ်းညွှန်သစ်ပင်တစ်ခုလုံးတွင် ရှာဖွေမှုကို ပြုလုပ်ခဲ့ကြောင်း ထင်ရှားပါသည်။)
ကျွန်ုပ်တို့သည် ဌာနခွဲရှိ class နှင့်သက်ဆိုင်သည့် ပထမဆုံးအရာဝတ္ထုကို ဖန်တီးသည်။ sudoRole. အဆင်ပြေသော သက်သေခံခြင်းအတွက်သာ ဆောင်ရွက်ပေးသောကြောင့် အမည်ကို နိုင်ထက်စီးနင်း ရွေးချယ်နိုင်ပါသည်။
schema extension မှ ရရှိနိုင်သော အရည်အချင်းများ အနက်၊ အဓိက များမှာ အောက်ပါ အတိုင်း ဖြစ်သည်။

• sudoCommand - host တွင် မည်သည့် command များကို လုပ်ဆောင်ခွင့်ပြုသည်ကို ဆုံးဖြတ်သည်။
• sudoHost — ဤအခန်းကဏ္ဍကို လက်ခံဆောင်ရွက်ပေးမည့်သူအား ဆုံးဖြတ်ပေးသည်။ အဖြစ်သတ်မှတ်နိုင်သည်။ အားလုံး, နှင့်တစ်ဦးချင်းစီ host ကိုအမည်အားဖြင့်။ Mask ကိုလည်း သုံးလို့ရပါတယ်။
• sudoUser — မည်သည့်အသုံးပြုသူများကို လုပ်ဆောင်ခွင့်ပြုထားကြောင်း ဖော်ပြပါ။ sudo.
  လုံခြုံရေးအဖွဲ့ကို သတ်မှတ်ပါက၊ အမည်၏အစတွင် “%” ဆိုင်းဘုတ်ကို ထည့်ပါ။ အဖွဲ့အမည်တွင် နေရာလွတ်များရှိလျှင် စိတ်ပူစရာမရှိပါ။ သစ်လုံးများဖြင့် အကဲဖြတ်ရာတွင် နေရာလွတ်များကို လွတ်မြောက်ရန် တာဝန်ကို ယန္တရားဖြင့် လွှဲပြောင်းယူသည်။ ပြောလေ.

ပုံ 1. လမ်းညွှန်၏အမြစ်ရှိ sudoers ခွဲခွဲရှိ sudoRole အရာဝတ္ထုများ

ပုံ 2။ sudoRole အရာဝတ္ထုများတွင် သတ်မှတ်ထားသော လုံခြုံရေးအဖွဲ့များတွင် အဖွဲ့ဝင်ခြင်း

အောက်ပါ setup ကို Linux ဘက်မှာ ပြီးပါပြီ။
ဖိုင်ထဲမှာ /etc/nsswitch.conf ဖိုင်၏အဆုံးတွင် စာကြောင်းထည့်ပါ။

sudoers: files sss

ဖိုင်ထဲမှာ /etc/sssd/sssd.conf အပိုင်း [ssd] ဝန်ဆောင်မှုများသို့ထည့်ပါ။ sudo

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

လုပ်ဆောင်ချက်အားလုံးပြီးနောက်၊ သင်သည် sssd daemon cache ကိုရှင်းလင်းရန်လိုအပ်သည်။ အလိုအလျောက် အပ်ဒိတ်များသည် 6 နာရီတိုင်း ဖြစ်ပေါ်သော်လည်း၊ ကျွန်ုပ်တို့ ၎င်းကို ယခုလိုသည့်အခါ အဘယ်ကြောင့် အကြာကြီး စောင့်ရမည်နည်း။

sss_cache -E

ကက်ရှ်ကို ရှင်းလင်းခြင်းသည် အထောက်အကူမဖြစ်ဘဲ မကြာခဏ ဖြစ်တတ်သည်။ ထို့နောက် ကျွန်ုပ်တို့သည် ဝန်ဆောင်မှုကို ရပ်တန့်ကာ ဒေတာဘေ့စ်ကို သန့်ရှင်းစေပြီး ဝန်ဆောင်မှုကို စတင်ပါ။

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

ကျွန်ုပ်တို့သည် ပထမဆုံးအသုံးပြုသူအဖြစ် ချိတ်ဆက်ပြီး sudo အောက်တွင် သူရရှိနိုင်သောအရာများကို စစ်ဆေးပါ။

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ ဒုတိယအသုံးပြုသူနှင့် အလားတူလုပ်ဆောင်သည်-

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

ဤနည်းလမ်းသည် မတူညီသောအသုံးပြုသူအုပ်စုများအတွက် sudo အခန်းကဏ္ဍများကို ဗဟိုမှသတ်မှတ်နိုင်စေပါသည်။

Active Directory တွင် ssh ကီးများကို သိမ်းဆည်းခြင်းနှင့် အသုံးပြုခြင်း။

အစီအစဥ်ကို အနည်းငယ်ချဲ့ထွင်ခြင်းဖြင့်၊ Active Directory အသုံးပြုသူ attribute များတွင် ssh key များကို သိမ်းဆည်းနိုင်ပြီး Linux hosts များကို ခွင့်ပြုသည့်အခါ ၎င်းတို့ကို အသုံးပြုနိုင်သည်။

sssd မှတစ်ဆင့် ခွင့်ပြုချက်ကို ပြင်ဆင်သတ်မှတ်ရပါမည်။
PowerShell script ကိုအသုံးပြု၍ လိုအပ်သော attribute ကိုထည့်ပါ။
AddsshPublicKeyAttribute.ps1Function New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE).schemaNamingContext
$oid = New-AttributeID
$attributes = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH ဝင်ရောက်မှုအတွက် အသုံးပြုသူ အများသူငှာသော့';
}

New-ADObject -Name sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | Set-ADObject -Add @{mayContain = 'sshPublicKey'}

အရည်အချင်းကို ထည့်သွင်းပြီးနောက်၊ Active Directory Domain Services ကို ပြန်လည်စတင်ရပါမည်။
Active Directory အသုံးပြုသူများထံ ဆက်သွားကြပါစို့။ သင့်အတွက် အဆင်ပြေသည့် မည်သည့်နည်းလမ်းကိုမဆို အသုံးပြု၍ ssh ချိတ်ဆက်မှုအတွက် သော့တွဲတစ်စုံကို ထုတ်ပေးပါမည်။
ကျွန်ုပ်တို့သည် PuttyGen ကိုဖွင့်ပါ၊ “ထုတ်လုပ်ရန်” ခလုတ်ကိုနှိပ်ပြီး မောက်စ်ကို လွတ်နေသောဧရိယာအတွင်း အရူးအမူးရွှေ့ပါ။
လုပ်ငန်းစဉ်ပြီးဆုံးသောအခါ၊ ကျွန်ုပ်တို့သည် အများသူငှာနှင့် သီးသန့်သော့များကို သိမ်းဆည်းနိုင်ပြီး၊ အများသူငှာသော့ကို Active Directory အသုံးပြုသူ၏ရည်ညွှန်းချက်သို့ အပ်လုဒ်လုပ်ကာ လုပ်ငန်းစဉ်ကို ခံစားနိုင်မည်ဖြစ်သည်။ သို့သော် အများသူငှာ သော့ကို အသုံးပြုရမည်”၊OpenSSH authorized_keys ဖိုင်သို့ ကူးထည့်ရန်အတွက် အများသူငှာကီး"။

အသုံးပြုသူ attribute တွင် သော့ကို ထည့်ပါ။
ရွေးချယ်မှု 1 - GUI-

ရွေးချယ်မှု 2 - PowerShell:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
ထို့ကြောင့်၊ ကျွန်ုပ်တို့တွင် လောလောဆယ်တွင်- ဖြည့်သွင်းထားသော sshPublicKey ရည်ညွှန်းချက်ပါသော သုံးစွဲသူတစ်ဦး၊ သော့များကို အသုံးပြု၍ ခွင့်ပြုချက်အတွက် ပြင်ဆင်ထားသော Putty client တစ်ခုရှိသည်။ သေးငယ်သောအချက်တစ်ခုကျန်သည်- သုံးစွဲသူ၏အရည်အချင်းများမှကျွန်ုပ်တို့လိုအပ်သောအများပြည်သူသော့ကိုထုတ်ယူရန် sshd daemon အား မည်သို့တွန်းအားပေးရမည်နည်း။ ဘူဇွာအင်တာနက်ပေါ်တွင် တွေ့ရှိရသည့် သေးငယ်သော ဇာတ်ညွှန်းတစ်ခုသည် ယင်းကို အောင်မြင်စွာ ရင်ဆိုင်နိုင်သည်။

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

၎င်းတွင်ခွင့်ပြုချက်များကို 0500 ကို root အတွက်ကျွန်ုပ်တို့သတ်မှတ်ထားသည်။

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

ဤဥပမာတွင်၊ စီမံခန့်ခွဲသူအကောင့်ကို လမ်းညွှန်နှင့်တွဲဖက်ရန် အသုံးပြုသည်။ တိုက်ပွဲအခြေအနေများတွင် အနည်းဆုံးအခွင့်အရေးအစုံပါသော သီးခြားအကောင့်တစ်ခုရှိရမည်။
အခွင့်အရေးများသတ်မှတ်ထားသော်လည်း Script ထဲတွင် ၎င်း၏စင်ကြယ်သောပုံစံဖြင့် စကားဝှက်၏အခိုက်အတန့်ကို ကျွန်ုပ်ကိုယ်တိုင်ပင် ရှုပ်ထွေးနေပါသည်။
ဖြေရှင်းချက်ရွေးစရာ

• စကားဝှက်ကို သီးခြားဖိုင်တွင် သိမ်းဆည်းပါသည်-

  echo -n Supersecretpassword > /usr/local/etc/secretpass

• root အတွက် 0500 ကို ကျွန်တော် ဖိုင်ခွင့်ပြုချက် သတ်မှတ်လိုက်ပါတယ်။

  chmod 0500 /usr/local/etc/secretpass

• ldapsearch စတင်ခြင်း ကန့်သတ်ချက်များ ပြောင်းလဲခြင်း- ကန့်သတ်ချက် -w superSecretPassword အဲဒါကို ပြောင်းလိုက်တာ -y /usr/local/etc/secretpass

ယနေ့အတွဲလိုက်ရှိ နောက်ဆုံးကြိုးသည် sshd_config ကိုတည်းဖြတ်ခြင်းဖြစ်သည်။

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

ရလဒ်အနေဖြင့်၊ ssh client တွင် သတ်မှတ်ထားသော သော့ခွင့်ပြုချက်ဖြင့် အောက်ပါအစီအစဥ်ကို ကျွန်ုပ်တို့ ရရှိသည်-

1. အသုံးပြုသူသည် ၎င်း၏ဝင်ရောက်မှုကို ညွှန်ပြခြင်းဖြင့် ဆာဗာသို့ ချိတ်ဆက်သည်။
2. sshd daemon သည် script တစ်ခုမှတဆင့်၊ Active Directory ရှိ သုံးစွဲသူ attribute တစ်ခုမှ အများသူငှာသော့တန်ဖိုးကို ထုတ်ယူပြီး သော့များကို အသုံးပြု၍ ခွင့်ပြုချက်လုပ်ဆောင်သည်။
3. sssd daemon သည် အဖွဲ့အဖွဲ့ဝင်ဖြစ်မှုအပေါ် အခြေခံ၍ သုံးစွဲသူကို စစ်မှန်ကြောင်း ထပ်မံအတည်ပြုသည်။ သတိထား! ၎င်းကို ပြုပြင်မွမ်းမံပါက၊ ဒိုမိန်းအသုံးပြုသူတိုင်းသည် host သို့ ဝင်ရောက်ခွင့်ရှိပါမည်။
4. sudo လုပ်ရန်ကြိုးစားသောအခါ၊ sssd daemon သည် အခန်းကဏ္ဍများအတွက် Active Directory ကိုရှာဖွေသည်။ အခန်းကဏ္ဍများရှိနေပါက၊ အသုံးပြုသူ၏ရည်ညွှန်းချက်များနှင့် အဖွဲ့အဖွဲ့ဝင်ဖြစ်ခြင်းကို အမှန်ခြစ်ပေးမည် (အကယ်၍ sudoRoles ကို အသုံးပြုသူအုပ်စုများကို အသုံးပြုရန် ပြင်ဆင်သတ်မှတ်ထားပါက)

အောက်ခြေလိုင်း။

ထို့ကြောင့်၊ သော့များကို Active Directory အသုံးပြုသူ attribute များ၊ sudo ခွင့်ပြုချက်များတွင် သိမ်းဆည်းထားပါသည် - အလားတူပင်၊ domain အကောင့်များမှ Linux host များသို့ ဝင်ရောက်ခွင့်ကို Active Directory အုပ်စုတွင် အဖွဲ့ဝင်မှုကို စစ်ဆေးခြင်းဖြင့် လုပ်ဆောင်ပါသည်။
စပယ်ယာ၏ နံပါတ်တုတ်၏ နောက်ဆုံးလှိုင်း- ခန်းမကြီးသည် ရိုသေစွာ တိတ်ဆိတ်စွာ အေးခဲသွားသည်။

စာရေးရာတွင် အသုံးပြုသည့် အရင်းအမြစ်များ

Active Directory မှတဆင့် Sudo
Active Directory မှတဆင့် Ssh သော့များ
Active Directory Schema တွင် ရည်ညွှန်းချက်တစ်ခု ထည့်သွင်းခြင်း Powershell script
sudo တည်ငြိမ်သောလွှတ်ပေးရန်

source: www.habr.com