🥇अन्तर्राष्ट्रिय प्रतियोगिता SSH र sudo का विजेताहरू फेरि स्टेजमा छन्। प्रतिष्ठित सक्रिय निर्देशिका कन्डक्टरको नेतृत्वमा

ऐतिहासिक रूपमा, sudo अनुमतिहरू बाट फाइलहरूको सामग्रीद्वारा शासित थिए /etc/sudoers.d и भिसुडो, र कुञ्जी प्राधिकरण प्रयोग गरीएको थियो ~/.ssh/authorized_keys। तर, पूर्वाधार बढ्दै जाँदा यी अधिकारहरू केन्द्रीय रूपमा व्यवस्थापन गर्ने इच्छा छ। आज त्यहाँ धेरै समाधान विकल्प हुन सक्छ:

कन्फिगरेसन व्यवस्थापन प्रणाली - सेफ, कठपुतली, अज्ञात, नुन
सक्रिय निर्देशिका + ssd
स्क्रिप्ट र म्यानुअल फाइल सम्पादनको रूपमा विभिन्न विकृतिहरू

मेरो व्यक्तिपरक विचारमा, केन्द्रीकृत व्यवस्थापनको लागि उत्तम विकल्प अझै पनि संयोजन हो सक्रिय निर्देशिका + ssd। यस दृष्टिकोणका फाइदाहरू हुन्:

साँच्चै एकल केन्द्रीकृत प्रयोगकर्ता निर्देशिका।
अधिकारको वितरण sudo एक विशिष्ट सुरक्षा समूहमा प्रयोगकर्ता थप्न तल आउँछ।
विभिन्न लिनक्स प्रणालीहरूको मामलामा, कन्फिगरेसन प्रणालीहरू प्रयोग गर्दा OS निर्धारण गर्न थप जाँचहरू परिचय गर्न आवश्यक हुन्छ।

आजको सुइट जडानको लागि विशेष रूपमा समर्पित हुनेछ सक्रिय निर्देशिका + ssd अधिकार व्यवस्थापनको लागि sudo र भण्डारण SSH एकल भण्डारमा कुञ्जीहरू।
त्यसोभए, हल तनावपूर्ण मौनतामा जम्यो, कन्डक्टरले आफ्नो डण्डा उठायो, र अर्केस्ट्रा तयार भयो।
जानुहोस्

दिइएको:
- सक्रिय निर्देशिका डोमेन testopf.local Windows Server 2012 R2 मा।
- लिनक्स होस्ट चलिरहेको Centos 7
- प्रयोग गरेर प्राधिकरण कन्फिगर गरियो ssd
दुबै समाधानहरूले स्कीमामा परिवर्तन गर्दछ सक्रिय निर्देशिका, त्यसैले हामी सबै कुरा परीक्षण वातावरणमा जाँच गर्छौं र त्यसपछि मात्र काम गर्ने पूर्वाधारमा परिवर्तनहरू गर्छौं। म नोट गर्न चाहन्छु कि सबै परिवर्तनहरू लक्षित छन् र, वास्तवमा, केवल आवश्यक विशेषताहरू र वर्गहरू थप्नुहोस्।

कार्य १: नियन्त्रण sudo मार्फत भूमिकाहरू सक्रिय निर्देशिका.

सर्किट विस्तार गर्न सक्रिय निर्देशिका तपाईंले नवीनतम रिलीज डाउनलोड गर्न आवश्यक छ sudo - 1.8.27 आज सम्म। अनप्याक गर्नुहोस् र फाइल प्रतिलिपि गर्नुहोस् schema.ActiveDirectory ./doc डाइरेक्टरीबाट डोमेन नियन्त्रकमा। फाइल प्रतिलिपि गरिएको डाइरेक्टरीबाट प्रशासक अधिकारको साथ आदेश रेखाबाट, चलाउनुहोस्:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(आफ्ना मानहरू प्रतिस्थापन गर्न नबिर्सनुहोस्)
खोल्नुहोस् adsiedit.msc र पूर्वनिर्धारित सन्दर्भमा जडान गर्नुहोस्:
डोमेनको मूलमा विभाजन सिर्जना गर्नुहोस् स्वेटर। (पुँजीपति वर्गले यो एकाइमा राक्षस हो भनी जिद्दीपूर्वक दाबी गर्दछ ssd वस्तु खोज्छ sudoRole वस्तुहरू। यद्यपि, विस्तृत डिबगिङ सक्रिय गरेपछि र लगहरू अध्ययन गरेपछि, यो पत्ता लाग्यो कि खोज सम्पूर्ण डाइरेक्टरी रूखमा प्रदर्शन गरिएको थियो।)
हामीले विभाजनमा वर्गसँग सम्बन्धित पहिलो वस्तु सिर्जना गर्छौं sudoRole। नाम पूर्णतया मनमानी रूपमा चयन गर्न सकिन्छ, किनकि यसले सुविधाजनक पहिचानको लागि मात्र कार्य गर्दछ।
स्कीमा विस्तारबाट सम्भावित उपलब्ध विशेषताहरू मध्ये, मुख्य निम्न हुन्:

sudoCommand - कुन आदेशहरू होस्टमा कार्यान्वयन गर्न अनुमति दिइन्छ निर्धारण गर्दछ।
sudoHost - यो भूमिका कुन होस्टहरूमा लागू हुन्छ भनेर निर्धारण गर्दछ। को रूपमा निर्दिष्ट गर्न सकिन्छ सबै, र नाम द्वारा एक व्यक्तिगत होस्ट को लागी। मास्क प्रयोग गर्न पनि सम्भव छ।
sudoUser - कुन प्रयोगकर्ताहरूलाई कार्यान्वयन गर्न अनुमति छ संकेत गर्नुहोस् sudo.
यदि तपाइँ सुरक्षा समूह निर्दिष्ट गर्नुहुन्छ भने, नामको सुरुमा "%" चिन्ह थप्नुहोस्। यदि समूहको नाममा खाली ठाउँहरू छन् भने, चिन्ता लिनुपर्ने कुरा छैन। लगहरू द्वारा न्याय गर्दै, खाली ठाउँहरू हटाउने कार्य संयन्त्रद्वारा लिइन्छ ssd.

चित्र १. डाइरेक्टरीको रूटमा sudoers उपविभाजनमा sudoRole वस्तुहरू

चित्र २. sudoRole वस्तुहरूमा निर्दिष्ट सुरक्षा समूहहरूमा सदस्यता।

निम्न सेटअप लिनक्स साइडमा गरिन्छ।
फाइलमा /etc/nsswitch.conf फाइलको अन्त्यमा लाइन थप्नुहोस्:

sudoers: files sss

फाइलमा /etc/sssd/sssd.conf खण्डमा [sssd] सेवाहरूमा थप्नुहोस् sudo

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

सबै कार्यहरू पछि, तपाईंले sssd डेमन क्यास खाली गर्न आवश्यक छ। स्वचालित अपडेटहरू हरेक 6 घण्टामा हुन्छन्, तर हामीले अहिले चाहेको बेला किन यति लामो पर्खने?

sss_cache -E

यो अक्सर हुन्छ कि क्यास खाली गर्न मद्दत गर्दैन। त्यसपछि हामी सेवा बन्द गर्छौं, डाटाबेस सफा गर्छौं, र सेवा सुरु गर्छौं।

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

हामी पहिलो प्रयोगकर्ताको रूपमा जडान गर्छौं र sudo अन्तर्गत उहाँलाई के उपलब्ध छ जाँच गर्नुहोस्:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

हामी हाम्रो दोस्रो प्रयोगकर्तासँग त्यस्तै गर्छौं:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

यो दृष्टिकोणले तपाईंलाई विभिन्न प्रयोगकर्ता समूहहरूको लागि सुडो भूमिकाहरू केन्द्रीय रूपमा परिभाषित गर्न अनुमति दिन्छ।

सक्रिय निर्देशिकामा ssh कुञ्जीहरू भण्डारण र प्रयोग गर्दै

योजनाको थोरै विस्तारको साथ, सक्रिय डाइरेक्टरी प्रयोगकर्ता विशेषताहरूमा ssh कुञ्जीहरू भण्डारण गर्न र लिनक्स होस्टहरूमा अधिकृत गर्दा तिनीहरूलाई प्रयोग गर्न सम्भव छ।

sssd मार्फत प्राधिकरण कन्फिगर गरिनु पर्छ।
PowerShell स्क्रिप्ट प्रयोग गरेर आवश्यक विशेषता थप्नुहोस्।
AddsshPublicKeyAttribute.ps1प्रकार्य नयाँ-विशेषता आईडी {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE)।schemaNamingContext
$oid = New-AttributeID
$विशेषता = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH लगइनको लागि प्रयोगकर्ता सार्वजनिक कुञ्जी';
}

नयाँ-ADObject -नाम sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -फिल्टर 'name -eq "user"'
$userSchema | सेट-ADObject - @{mayContain = 'sshPublicKey'} थप्नुहोस्

विशेषता थपेपछि, तपाईंले सक्रिय निर्देशिका डोमेन सेवाहरू पुन: सुरु गर्नुपर्छ।
सक्रिय निर्देशिका प्रयोगकर्ताहरूमा जाऔं। हामी तपाईंको लागि सुविधाजनक कुनै पनि विधि प्रयोग गरेर ssh जडानको लागि कुञ्जी जोडी उत्पन्न गर्नेछौं।
हामी PuttyGen सुरु गर्छौं, "उत्पन्न गर्नुहोस्" बटन थिच्नुहोस् र खाली क्षेत्रमा माउसलाई पागल रूपमा सार्नुहोस्।
प्रक्रिया पूरा भएपछि, हामी सार्वजनिक र निजी कुञ्जीहरू बचत गर्न, सक्रिय निर्देशिका प्रयोगकर्ता विशेषतामा सार्वजनिक कुञ्जी अपलोड गर्न र प्रक्रियाको आनन्द लिन सक्छौं। यद्यपि, सार्वजनिक कुञ्जी "बाट प्रयोग गरिनुपर्छ।OpenSSH authorized_keys फाइलमा टाँस्नका लागि सार्वजनिक कुञ्जी:"।

प्रयोगकर्ता विशेषतामा कुञ्जी थप्नुहोस्।
विकल्प १ - GUI:

विकल्प २ - PowerShell:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
त्यसोभए, हामीसँग हाल छ: sshPublicKey विशेषता भरिएको प्रयोगकर्ता, कुञ्जीहरू प्रयोग गरेर प्राधिकरणको लागि कन्फिगर गरिएको पुट्टी ग्राहक। त्यहाँ एउटा सानो बिन्दु बाँकी छ: कसरी sshd डेमनलाई जबरजस्ती गर्ने सार्वजनिक कुञ्जी निकाल्नको लागि हामीलाई प्रयोगकर्ताको विशेषताहरूबाट चाहिन्छ। बुर्जुवा इन्टरनेटमा फेला परेको एउटा सानो लिपिले यसलाई सफलतापूर्वक सामना गर्न सक्छ।

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

हामीले यसलाई रूटको लागि 0500 मा अनुमतिहरू सेट गर्यौं।

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

यस उदाहरणमा, एक प्रशासक खाता डाइरेक्टरीमा बाँध्न प्रयोग गरिन्छ। लडाई परिस्थितिहरूमा त्यहाँ अधिकारहरूको न्यूनतम सेटको साथ छुट्टै खाता हुनुपर्छ।
अधिकार सेटको बावजुद, स्क्रिप्टमा यसको शुद्ध रूपमा पासवर्डको क्षणबाट म व्यक्तिगत रूपमा धेरै अलमलमा परें।
समाधान विकल्प:

मैले एउटा छुट्टै फाइलमा पासवर्ड बचत गर्छु:
```
echo -n Supersecretpassword > /usr/local/etc/secretpass
```
मैले रूटको लागि 0500 मा फाइल अनुमतिहरू सेट गरें
```
chmod 0500 /usr/local/etc/secretpass
```
ldapsearch लन्च प्यारामिटरहरू परिवर्तन गर्दै: प्यारामिटर -w सुपरसेक्रेट पासवर्ड म यसलाई परिवर्तन गर्छु -y/usr/local/etc/secretpass

आजको सूटमा अन्तिम तार भनेको sshd_config सम्पादन हो

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

नतिजाको रूपमा, हामीले ssh क्लाइन्टमा कन्फिगर गरिएको कुञ्जी प्राधिकरणको साथ निम्न अनुक्रम पाउँछौं:

प्रयोगकर्ताले आफ्नो लगइन संकेत गरेर सर्भरमा जडान गर्दछ।
sshd डेमन, स्क्रिप्ट मार्फत, सक्रिय निर्देशिकामा प्रयोगकर्ता विशेषताबाट सार्वजनिक कुञ्जी मान निकाल्छ र कुञ्जीहरू प्रयोग गरेर प्राधिकरण कार्य गर्दछ।
sssd डेमनले समूह सदस्यताको आधारमा प्रयोगकर्तालाई थप प्रमाणीकरण गर्दछ। ध्यान! यदि यो कन्फिगर गरिएको छैन भने, कुनै पनि डोमेन प्रयोगकर्ताको होस्टमा पहुँच हुनेछ।
जब तपाइँ sudo को प्रयास गर्नुहुन्छ, sssd डेमनले भूमिकाहरूको लागि सक्रिय निर्देशिका खोज्छ। यदि भूमिकाहरू छन् भने, प्रयोगकर्ताका विशेषताहरू र समूह सदस्यता जाँच गरिन्छ (यदि sudoRoles प्रयोगकर्ता समूहहरू प्रयोग गर्न कन्फिगर गरिएको छ)

कुल।

यसरी, कुञ्जीहरू सक्रिय डाइरेक्टरी प्रयोगकर्ता विशेषताहरू, sudo अनुमतिहरूमा भण्डार गरिएको छ - त्यसै गरी, डोमेन खाताहरूद्वारा लिनक्स होस्टहरूमा पहुँच सक्रिय निर्देशिका समूहमा सदस्यता जाँच गरेर गरिन्छ।
कन्डक्टरको लाठीको अन्तिम लहर - र हल श्रद्धापूर्ण मौनतामा जम्छ।

लिखित रूपमा प्रयोग गरिएका स्रोतहरू:

सक्रिय निर्देशिका मार्फत Sudo
सक्रिय निर्देशिका मार्फत Ssh कुञ्जीहरू
Powershell स्क्रिप्ट, एक्टिभ डाइरेक्टरी स्कीमामा विशेषता थप्दै
sudo स्थिर रिलीज

स्रोत: www.habr.com

कार्य १: नियन्त्रण sudo मार्फत भूमिकाहरू सक्रिय निर्देशिका.

सक्रिय निर्देशिकामा ssh कुञ्जीहरू भण्डारण र प्रयोग गर्दै

कुल।

एक टिप्पणी थप्न Отменить ответ