🥇 ਅੰਤਰਰਾਸ਼ਟਰੀ ਮੁਕਾਬਲਿਆਂ ਦੇ ਜੇਤੂ SSH ਅਤੇ sudo ਦੁਬਾਰਾ ਸਟੇਜ 'ਤੇ ਹਨ। ਦੀ ਅਗਵਾਈ ਵਿੱਚ ਡਿਸਟਿਗਊਸ਼ਡ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਕੰਡਕਟਰ

ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, sudo ਅਨੁਮਤੀਆਂ ਨੂੰ ਫਾਈਲਾਂ ਦੀ ਸਮੱਗਰੀ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਗਿਆ ਸੀ /etc/sudoers.d и ਵਿਸੂਡੋ, ਅਤੇ ਕੁੰਜੀ ਅਧਿਕਾਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤਾ ਗਿਆ ਸੀ ~/.ssh/authorized_keys. ਹਾਲਾਂਕਿ, ਜਿਵੇਂ ਕਿ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਵਧਦਾ ਹੈ, ਕੇਂਦਰੀ ਤੌਰ 'ਤੇ ਇਹਨਾਂ ਅਧਿਕਾਰਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਦੀ ਇੱਛਾ ਹੁੰਦੀ ਹੈ। ਅੱਜ ਕਈ ਹੱਲ ਵਿਕਲਪ ਹੋ ਸਕਦੇ ਹਨ:

ਸੰਰਚਨਾ ਪ੍ਰਬੰਧਨ ਸਿਸਟਮ - ਸਿਰ ', ਕਠਪੁਤਲੀ, Ansimate, ਸਾਲ੍ਟ
ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ + ਐਸਐਸਡੀ
ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਮੈਨੂਅਲ ਫਾਈਲ ਸੰਪਾਦਨ ਦੇ ਰੂਪ ਵਿੱਚ ਕਈ ਵਿਗਾੜ

ਮੇਰੀ ਵਿਅਕਤੀਗਤ ਰਾਏ ਵਿੱਚ, ਕੇਂਦਰੀਕ੍ਰਿਤ ਪ੍ਰਬੰਧਨ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਵਿਕਲਪ ਅਜੇ ਵੀ ਇੱਕ ਸੁਮੇਲ ਹੈ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ + ਐਸਐਸਡੀ. ਇਸ ਪਹੁੰਚ ਦੇ ਫਾਇਦੇ ਹਨ:

ਸੱਚਮੁੱਚ ਇੱਕ ਸਿੰਗਲ ਕੇਂਦਰੀ ਉਪਭੋਗਤਾ ਡਾਇਰੈਕਟਰੀ.
ਅਧਿਕਾਰਾਂ ਦੀ ਵੰਡ ਸੂਡੋ ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਖਾਸ ਸੁਰੱਖਿਆ ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਹੇਠਾਂ ਆਉਂਦਾ ਹੈ.
ਕਈ ਲੀਨਕਸ ਸਿਸਟਮਾਂ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਸੰਰਚਨਾ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ OS ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਵਾਧੂ ਜਾਂਚਾਂ ਨੂੰ ਪੇਸ਼ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੋ ਜਾਂਦਾ ਹੈ।

ਅੱਜ ਦਾ ਸੂਟ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਕੁਨੈਕਸ਼ਨ ਨੂੰ ਸਮਰਪਿਤ ਕੀਤਾ ਜਾਵੇਗਾ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ + ਐਸਐਸਡੀ ਅਧਿਕਾਰ ਪ੍ਰਬੰਧਨ ਲਈ ਸੂਡੋ ਅਤੇ ਸਟੋਰੇਜ SSH ਇੱਕ ਸਿੰਗਲ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਕੁੰਜੀਆਂ.
ਇਸ ਲਈ, ਹਾਲ ਤਣਾਅਪੂਰਨ ਚੁੱਪ ਵਿੱਚ ਜੰਮ ਗਿਆ, ਕੰਡਕਟਰ ਨੇ ਆਪਣਾ ਡੰਡਾ ਚੁੱਕਿਆ, ਅਤੇ ਆਰਕੈਸਟਰਾ ਤਿਆਰ ਹੋ ਗਿਆ।
ਚਲੋ ਚੱਲੀਏ.

ਦਿੱਤਾ ਗਿਆ:
- ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਡੋਮੇਨ testopf.local ਵਿੰਡੋਜ਼ ਸਰਵਰ 2012 R2 'ਤੇ.
- ਲੀਨਕਸ ਹੋਸਟ Centos 7 ਚਲਾ ਰਿਹਾ ਹੈ
- ਵਰਤ ਕੇ ਸੰਰਚਿਤ ਅਧਿਕਾਰ ਐਸਐਸਡੀ
ਦੋਵੇਂ ਹੱਲ ਸਕੀਮਾ ਵਿੱਚ ਬਦਲਾਅ ਕਰਦੇ ਹਨ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ, ਇਸ ਲਈ ਅਸੀਂ ਇੱਕ ਟੈਸਟ ਵਾਤਾਵਰਨ ਵਿੱਚ ਹਰ ਚੀਜ਼ ਦੀ ਜਾਂਚ ਕਰਦੇ ਹਾਂ ਅਤੇ ਕੇਵਲ ਤਦ ਹੀ ਕਾਰਜਸ਼ੀਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਬਦਲਾਅ ਕਰਦੇ ਹਾਂ। ਮੈਂ ਇਹ ਨੋਟ ਕਰਨਾ ਚਾਹਾਂਗਾ ਕਿ ਸਾਰੀਆਂ ਤਬਦੀਲੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ, ਅਸਲ ਵਿੱਚ, ਸਿਰਫ ਲੋੜੀਂਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਕਲਾਸਾਂ ਸ਼ਾਮਲ ਕਰੋ.

ਕਾਰਵਾਈ 1: ਨਿਯੰਤਰਣ ਸੂਡੋ ਦੁਆਰਾ ਭੂਮਿਕਾਵਾਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ.

ਸਰਕਟ ਦਾ ਵਿਸਥਾਰ ਕਰਨ ਲਈ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਤੁਹਾਨੂੰ ਨਵੀਨਤਮ ਰੀਲੀਜ਼ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਸੂਡੋ - 1.8.27 ਅੱਜ ਤੱਕ। ਫਾਈਲ ਨੂੰ ਅਨਪੈਕ ਕਰੋ ਅਤੇ ਕਾਪੀ ਕਰੋ schema.ActiveDirectory ./doc ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਤੱਕ। ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਪ੍ਰਬੰਧਕ ਅਧਿਕਾਰਾਂ ਵਾਲੀ ਕਮਾਂਡ ਲਾਈਨ ਤੋਂ ਜਿੱਥੇ ਫਾਈਲ ਦੀ ਨਕਲ ਕੀਤੀ ਗਈ ਸੀ, ਚਲਾਓ:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(ਆਪਣੇ ਮੁੱਲਾਂ ਨੂੰ ਬਦਲਣਾ ਨਾ ਭੁੱਲੋ)
ਖੁੱਲਾ adsiedit.msc ਅਤੇ ਡਿਫੌਲਟ ਪ੍ਰਸੰਗ ਨਾਲ ਜੁੜੋ:
ਡੋਮੇਨ ਦੇ ਰੂਟ 'ਤੇ ਇੱਕ ਵੰਡ ਬਣਾਓ ਸਵੈਟਰ. (ਬੁਰਜੂਆਜ਼ੀ ਜ਼ਿੱਦ ਨਾਲ ਦਾਅਵਾ ਕਰਦੀ ਹੈ ਕਿ ਇਸ ਇਕਾਈ ਵਿੱਚ ਭੂਤ ਹੈ ਐਸਐਸਡੀ ਕਿਸੇ ਵਸਤੂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ sudoRole ਵਸਤੂਆਂ. ਹਾਲਾਂਕਿ, ਵਿਸਤ੍ਰਿਤ ਡੀਬੱਗਿੰਗ ਨੂੰ ਚਾਲੂ ਕਰਨ ਅਤੇ ਲੌਗਸ ਦਾ ਅਧਿਐਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਹ ਸਾਹਮਣੇ ਆਇਆ ਕਿ ਖੋਜ ਪੂਰੇ ਡਾਇਰੈਕਟਰੀ ਟ੍ਰੀ ਵਿੱਚ ਕੀਤੀ ਗਈ ਸੀ।)
ਅਸੀਂ ਡਿਵੀਜ਼ਨ ਵਿੱਚ ਕਲਾਸ ਨਾਲ ਸਬੰਧਤ ਪਹਿਲਾ ਆਬਜੈਕਟ ਬਣਾਉਂਦੇ ਹਾਂ sudoRole. ਨਾਮ ਨੂੰ ਬਿਲਕੁਲ ਮਨਮਰਜ਼ੀ ਨਾਲ ਚੁਣਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਸਿਰਫ਼ ਸੁਵਿਧਾਜਨਕ ਪਛਾਣ ਲਈ ਕੰਮ ਕਰਦਾ ਹੈ।
ਸਕੀਮਾ ਐਕਸਟੈਂਸ਼ਨ ਤੋਂ ਸੰਭਵ ਉਪਲਬਧ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ, ਮੁੱਖ ਹੇਠ ਲਿਖੇ ਹਨ:

sudoCommand — ਨਿਰਧਾਰਿਤ ਕਰਦਾ ਹੈ ਕਿ ਹੋਸਟ ਉੱਤੇ ਕਿਹੜੀਆਂ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਹੈ।
sudoHost — ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਇਹ ਭੂਮਿਕਾ ਕਿਸ ਮੇਜ਼ਬਾਨ 'ਤੇ ਲਾਗੂ ਹੁੰਦੀ ਹੈ। ਵਜੋਂ ਨਿਰਧਾਰਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਸਾਰੇ, ਅਤੇ ਨਾਮ ਦੁਆਰਾ ਇੱਕ ਵਿਅਕਤੀਗਤ ਮੇਜ਼ਬਾਨ ਲਈ। ਮਾਸਕ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਵੀ ਸੰਭਵ ਹੈ।
sudoUser — ਦੱਸੋ ਕਿ ਕਿਹੜੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਹੈ ਸੂਡੋ.
ਜੇਕਰ ਤੁਸੀਂ ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹੋ, ਤਾਂ ਨਾਮ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ “%” ਚਿੰਨ੍ਹ ਸ਼ਾਮਲ ਕਰੋ। ਜੇਕਰ ਗਰੁੱਪ ਦੇ ਨਾਮ ਵਿੱਚ ਖਾਲੀ ਥਾਂਵਾਂ ਹਨ, ਤਾਂ ਚਿੰਤਾ ਕਰਨ ਦੀ ਕੋਈ ਗੱਲ ਨਹੀਂ ਹੈ। ਲੌਗਸ ਦੁਆਰਾ ਨਿਰਣਾ ਕਰਦੇ ਹੋਏ, ਸਪੇਸ ਤੋਂ ਬਚਣ ਦਾ ਕੰਮ ਵਿਧੀ ਦੁਆਰਾ ਲਿਆ ਜਾਂਦਾ ਹੈ ਐਸਐਸਡੀ.

ਚਿੱਤਰ 1. ਡਾਇਰੈਕਟਰੀ ਦੇ ਰੂਟ ਵਿੱਚ sudoers ਸਬ-ਡਿਵੀਜ਼ਨ ਵਿੱਚ sudoRole ਆਬਜੈਕਟ

ਚਿੱਤਰ 2. sudoRole ਆਬਜੈਕਟ ਵਿੱਚ ਦਰਸਾਏ ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਵਿੱਚ ਸਦੱਸਤਾ।

ਹੇਠ ਦਿੱਤੀ ਸੈਟਅਪ ਲੀਨਕਸ ਸਾਈਡ 'ਤੇ ਕੀਤੀ ਗਈ ਹੈ।
ਫਾਈਲ ਵਿੱਚ /etc/nsswitch.conf ਫਾਈਲ ਦੇ ਅੰਤ ਵਿੱਚ ਲਾਈਨ ਜੋੜੋ:

sudoers: files sss

ਫਾਈਲ ਵਿੱਚ /etc/sssd/sssd.conf ਭਾਗ ਵਿੱਚ [sssd] ਸੇਵਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ ਸੂਡੋ

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

ਸਾਰੀਆਂ ਕਾਰਵਾਈਆਂ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ sssd ਡੈਮਨ ਕੈਸ਼ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਆਟੋਮੈਟਿਕ ਅੱਪਡੇਟ ਹਰ 6 ਘੰਟਿਆਂ ਵਿੱਚ ਹੁੰਦੇ ਹਨ, ਪਰ ਜਦੋਂ ਅਸੀਂ ਇਸਨੂੰ ਹੁਣੇ ਚਾਹੁੰਦੇ ਹਾਂ ਤਾਂ ਸਾਨੂੰ ਇੰਨਾ ਸਮਾਂ ਇੰਤਜ਼ਾਰ ਕਿਉਂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ?

sss_cache -E

ਇਹ ਅਕਸਰ ਹੁੰਦਾ ਹੈ ਕਿ ਕੈਸ਼ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਨਾਲ ਮਦਦ ਨਹੀਂ ਮਿਲਦੀ. ਫਿਰ ਅਸੀਂ ਸੇਵਾ ਬੰਦ ਕਰਦੇ ਹਾਂ, ਡੇਟਾਬੇਸ ਨੂੰ ਸਾਫ਼ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਸੇਵਾ ਸ਼ੁਰੂ ਕਰਦੇ ਹਾਂ।

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

ਅਸੀਂ ਪਹਿਲੇ ਉਪਭੋਗਤਾ ਵਜੋਂ ਜੁੜਦੇ ਹਾਂ ਅਤੇ ਜਾਂਚ ਕਰਦੇ ਹਾਂ ਕਿ sudo ਦੇ ਅਧੀਨ ਉਸ ਲਈ ਕੀ ਉਪਲਬਧ ਹੈ:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

ਅਸੀਂ ਆਪਣੇ ਦੂਜੇ ਉਪਭੋਗਤਾ ਨਾਲ ਵੀ ਅਜਿਹਾ ਕਰਦੇ ਹਾਂ:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

ਇਹ ਪਹੁੰਚ ਤੁਹਾਨੂੰ ਵੱਖ-ਵੱਖ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਲਈ ਸੂਡੋ ਰੋਲ ਨੂੰ ਕੇਂਦਰੀ ਤੌਰ 'ਤੇ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ssh ਕੁੰਜੀਆਂ ਨੂੰ ਸਟੋਰ ਕਰਨਾ ਅਤੇ ਵਰਤਣਾ

ਸਕੀਮ ਦੇ ਥੋੜੇ ਜਿਹੇ ਵਿਸਤਾਰ ਨਾਲ, ssh ਕੁੰਜੀਆਂ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸਟੋਰ ਕਰਨਾ ਅਤੇ ਲੀਨਕਸ ਹੋਸਟਾਂ 'ਤੇ ਅਧਿਕਾਰਤ ਕਰਨ ਵੇਲੇ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸੰਭਵ ਹੈ।

sssd ਦੁਆਰਾ ਅਧਿਕਾਰ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
PowerShell ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲੋੜੀਂਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਸ਼ਾਮਲ ਕਰੋ।
AddsshPublicKeyAttribute.ps1ਫੰਕਸ਼ਨ New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(4,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(9,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(14,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(19,4),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(24,6),“AllowHexSpecifier”)
$Parts+=[UInt64]::Parse($guid.SubString(30,6),“AllowHexSpecifier”)
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
}
$schemaPath = (Get-ADRootDSE)।schemaNamingContext
$oid = New-AttributeID
$ ਗੁਣ = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $oid;
oMSyntax = 22;
attributeSyntax = "2.5.5.5";
isSingleValued = $true;
adminDescription = 'SSH ਲਾਗਇਨ ਲਈ ਯੂਜ਼ਰ ਪਬਲਿਕ ਕੁੰਜੀ';
}

ਨਵਾਂ-ADObject -ਨਾਮ sshPublicKey -Type ਗੁਣ ਸਕੀਮ -ਪਾਥ $schemapath -ਹੋਰ ਵਿਸ਼ੇਸ਼ਤਾ $ ਗੁਣ
$userSchema = get-adobject -SearchBase $schemapath -Filter 'name -eq "user"'
$userSchema | ਸੈੱਟ-ADObject -Add @{mayContain = 'sshPublicKey'}

ਵਿਸ਼ੇਸ਼ਤਾ ਜੋੜਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਡੋਮੇਨ ਸੇਵਾਵਾਂ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਚਲੋ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਉਪਭੋਗਤਾਵਾਂ ਵੱਲ ਵਧਦੇ ਹਾਂ। ਅਸੀਂ ਤੁਹਾਡੇ ਲਈ ਸੁਵਿਧਾਜਨਕ ਕਿਸੇ ਵੀ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ssh ਕੁਨੈਕਸ਼ਨ ਲਈ ਇੱਕ ਕੁੰਜੀ ਜੋੜਾ ਤਿਆਰ ਕਰਾਂਗੇ।
ਅਸੀਂ ਪੁਟੀਜੇਨ ਨੂੰ ਲਾਂਚ ਕਰਦੇ ਹਾਂ, "ਜਨਰੇਟ" ਬਟਨ ਨੂੰ ਦਬਾਉਂਦੇ ਹਾਂ ਅਤੇ ਮਾਊਸ ਨੂੰ ਖਾਲੀ ਥਾਂ ਦੇ ਅੰਦਰ ਲੈ ਜਾਂਦੇ ਹਾਂ।
ਪ੍ਰਕਿਰਿਆ ਦੇ ਪੂਰਾ ਹੋਣ 'ਤੇ, ਅਸੀਂ ਜਨਤਕ ਅਤੇ ਨਿੱਜੀ ਕੁੰਜੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰ ਸਕਦੇ ਹਾਂ, ਜਨਤਕ ਕੁੰਜੀ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ਤਾ 'ਤੇ ਅੱਪਲੋਡ ਕਰ ਸਕਦੇ ਹਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਦਾ ਆਨੰਦ ਲੈ ਸਕਦੇ ਹਾਂ। ਹਾਲਾਂਕਿ, ਜਨਤਕ ਕੁੰਜੀ ਨੂੰ "" ਤੋਂ ਵਰਤਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈOpenSSH authorized_keys ਫਾਈਲ ਵਿੱਚ ਪੇਸਟ ਕਰਨ ਲਈ ਜਨਤਕ ਕੁੰਜੀ:".

ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਕੁੰਜੀ ਸ਼ਾਮਲ ਕਰੋ।
ਵਿਕਲਪ 1 - GUI:

ਵਿਕਲਪ 2 - PowerShell:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
ਇਸ ਲਈ, ਸਾਡੇ ਕੋਲ ਵਰਤਮਾਨ ਵਿੱਚ ਹੈ: ਇੱਕ ਉਪਭੋਗਤਾ ਜਿਸ ਵਿੱਚ sshPublicKey ਵਿਸ਼ੇਸ਼ਤਾ ਭਰੀ ਗਈ ਹੈ, ਕੁੰਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਇੱਕ ਸੰਰਚਿਤ ਪੁਟੀ ਕਲਾਇੰਟ। ਇੱਥੇ ਇੱਕ ਛੋਟਾ ਜਿਹਾ ਬਿੰਦੂ ਬਚਿਆ ਹੈ: ਉਪਭੋਗਤਾ ਦੇ ਗੁਣਾਂ ਤੋਂ ਸਾਨੂੰ ਲੋੜੀਂਦੀ ਜਨਤਕ ਕੁੰਜੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ sshd ਡੈਮਨ ਨੂੰ ਕਿਵੇਂ ਮਜਬੂਰ ਕਰਨਾ ਹੈ। ਬੁਰਜੂਆ ਇੰਟਰਨੈਟ ਤੇ ਪਾਈ ਗਈ ਇੱਕ ਛੋਟੀ ਜਿਹੀ ਲਿਪੀ ਇਸ ਨਾਲ ਸਫਲਤਾਪੂਰਵਕ ਸਿੱਝ ਸਕਦੀ ਹੈ.

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

ਅਸੀਂ ਇਸਨੂੰ ਰੂਟ ਲਈ 0500 'ਤੇ ਅਨੁਮਤੀਆਂ ਸੈਟ ਕਰਦੇ ਹਾਂ।

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

ਇਸ ਉਦਾਹਰਨ ਵਿੱਚ, ਇੱਕ ਪ੍ਰਬੰਧਕ ਖਾਤਾ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਬੰਨ੍ਹਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਲੜਾਈ ਦੀਆਂ ਸਥਿਤੀਆਂ ਵਿੱਚ ਅਧਿਕਾਰਾਂ ਦੇ ਘੱਟੋ-ਘੱਟ ਸੈੱਟ ਦੇ ਨਾਲ ਇੱਕ ਵੱਖਰਾ ਖਾਤਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।
ਅਧਿਕਾਰ ਸੈੱਟ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਸਕਰਿਪਟ ਵਿੱਚ ਇਸਦੇ ਸ਼ੁੱਧ ਰੂਪ ਵਿੱਚ ਪਾਸਵਰਡ ਦੇ ਪਲ ਦੁਆਰਾ ਮੈਂ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਬਹੁਤ ਉਲਝਣ ਵਿੱਚ ਸੀ।
ਹੱਲ ਵਿਕਲਪ:

ਮੈਂ ਇੱਕ ਵੱਖਰੀ ਫਾਈਲ ਵਿੱਚ ਪਾਸਵਰਡ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹਾਂ:
```
echo -n Supersecretpassword > /usr/local/etc/secretpass
```
ਮੈਂ ਰੂਟ ਲਈ ਫਾਈਲ ਅਨੁਮਤੀਆਂ ਨੂੰ 0500 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਹੈ
```
chmod 0500 /usr/local/etc/secretpass
```
ldapsearch ਲਾਂਚ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਬਦਲਣਾ: ਪੈਰਾਮੀਟਰ -w superSecretPassword ਮੈਂ ਇਸਨੂੰ ਇਸ ਵਿੱਚ ਬਦਲਦਾ ਹਾਂ -y /usr/local/etc/secretpass

ਅੱਜ ਦੇ ਸੂਟ ਵਿੱਚ ਅੰਤਮ ਕੋਰਡ sshd_config ਨੂੰ ਸੰਪਾਦਿਤ ਕਰ ਰਿਹਾ ਹੈ

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

ਨਤੀਜੇ ਵਜੋਂ, ਸਾਨੂੰ ssh ਕਲਾਇੰਟ ਵਿੱਚ ਸੰਰਚਿਤ ਕੁੰਜੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਨਾਲ ਹੇਠ ਲਿਖਿਆ ਕ੍ਰਮ ਮਿਲਦਾ ਹੈ:

ਉਪਭੋਗਤਾ ਆਪਣੇ ਲੌਗਇਨ ਨੂੰ ਦਰਸਾ ਕੇ ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ।
sshd ਡੈਮਨ, ਇੱਕ ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ, ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਉਪਭੋਗਤਾ ਗੁਣ ਤੋਂ ਜਨਤਕ ਕੁੰਜੀ ਮੁੱਲ ਨੂੰ ਕੱਢਦਾ ਹੈ ਅਤੇ ਕੁੰਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਦਾ ਹੈ।
sssd ਡੈਮਨ ਗਰੁੱਪ ਮੈਂਬਰਸ਼ਿਪ ਦੇ ਅਧਾਰ 'ਤੇ ਉਪਭੋਗਤਾ ਨੂੰ ਹੋਰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ। ਧਿਆਨ ਦਿਓ! ਜੇਕਰ ਇਹ ਕੌਂਫਿਗਰ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਕਿਸੇ ਵੀ ਡੋਮੇਨ ਉਪਭੋਗਤਾ ਕੋਲ ਹੋਸਟ ਤੱਕ ਪਹੁੰਚ ਹੋਵੇਗੀ।
ਜਦੋਂ ਤੁਸੀਂ sudo ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹੋ, sssd ਡੈਮਨ ਰੋਲ ਲਈ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ। ਜੇ ਭੂਮਿਕਾਵਾਂ ਮੌਜੂਦ ਹਨ, ਤਾਂ ਉਪਭੋਗਤਾ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਸਮੂਹ ਸਦੱਸਤਾ ਦੀ ਜਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ (ਜੇ sudoRoles ਨੂੰ ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ)

ਨਤੀਜਾ

ਇਸ ਤਰ੍ਹਾਂ, ਕੁੰਜੀਆਂ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ, ਸੂਡੋ ਅਨੁਮਤੀਆਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ - ਇਸੇ ਤਰ੍ਹਾਂ, ਡੋਮੇਨ ਖਾਤਿਆਂ ਦੁਆਰਾ ਲੀਨਕਸ ਹੋਸਟਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਮੂਹ ਵਿੱਚ ਮੈਂਬਰਸ਼ਿਪ ਦੀ ਜਾਂਚ ਕਰਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਕੰਡਕਟਰ ਦੇ ਡੰਡੇ ਦੀ ਅੰਤਮ ਲਹਿਰ - ਅਤੇ ਹਾਲ ਸ਼ਰਧਾਮਈ ਚੁੱਪ ਵਿੱਚ ਜੰਮ ਜਾਂਦਾ ਹੈ।

ਲਿਖਤੀ ਰੂਪ ਵਿੱਚ ਵਰਤੇ ਗਏ ਸਰੋਤ:

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਰਾਹੀਂ ਸੂਡੋ
ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਰਾਹੀਂ Ssh ਕੁੰਜੀਆਂ
ਪਾਵਰਸ਼ੇਲ ਸਕ੍ਰਿਪਟ, ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਕੀਮਾ ਵਿੱਚ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋੜ ਰਹੀ ਹੈ
sudo ਸਥਿਰ ਰੀਲੀਜ਼

ਸਰੋਤ: www.habr.com

ਅੰਤਰਰਾਸ਼ਟਰੀ ਮੁਕਾਬਲਿਆਂ ਦੇ ਜੇਤੂ SSH ਅਤੇ sudo ਮੁੜ ਸਟੇਜ 'ਤੇ ਹਨ। ਡਿਸਟਿੰਗੂਇਸ਼ਡ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਕੰਡਕਟਰ ਦੁਆਰਾ ਅਗਵਾਈ ਕੀਤੀ ਗਈ

ਕਾਰਵਾਈ 1: ਨਿਯੰਤਰਣ ਸੂਡੋ ਦੁਆਰਾ ਭੂਮਿਕਾਵਾਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ.

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ssh ਕੁੰਜੀਆਂ ਨੂੰ ਸਟੋਰ ਕਰਨਾ ਅਤੇ ਵਰਤਣਾ

ਨਤੀਜਾ

ਇੱਕ ਟਿੱਪਣੀ ਜੋੜੋ Отменить ответ