די ווינערז פון די אינטערנאַציאָנאַלע קאַמפּאַטישאַנז SSH און Sudo זענען ווידער אויף דער בינע. געפירט דורך אונטערשיידן אַקטיוו Directory קאָנדוקטאָר

היסטאָריש, סודאָ פּערמישאַנז זענען גאַווערנד דורך די אינהאַלט פון טעקעס פֿון /etc/sudoers.d и visado, און שליסל דערלויבעניש איז געפירט אויס ניצן ~/.ssh/authorized_keys. אָבער, ווי ינפראַסטראַקטשער וואקסט, עס איז אַ פאַרלאַנג צו פירן די רעכט סענטראַלי. הייַנט עס קען זיין עטלעכע לייזונג אָפּציעס:

• קאַנפיגיעריישאַן מאַנאַגעמענט סיסטעם - קאָכער, ליאַלקע, Ansible, זאַלץ
• אַקטיוו Directory + סססד
• פאַרשידן פּערווערסיאָנס אין די פאָרעם פון סקריפּס און מאַנואַל טעקע עדיטינג

אין מיין סאַבדזשעקטיוו מיינונג, דער בעסטער אָפּציע פֿאַר סענטראַלייזד פאַרוואַלטונג איז נאָך אַ קאָמבינאַציע אַקטיוו Directory + סססד. די אַדוואַנידזשיז פון דעם צוגאַנג זענען:

• באמת אַ איין סענטראַלייזד באַניצער וועגווייַזער.
• פאַרשפּרייטונג פון רעכט סודאָ קומט אַראָפּ צו לייגן אַ באַניצער צו אַ ספּעציפיש זיכערהייט גרופּע.
• אין די פאַל פון פאַרשידן לינוקס סיסטעמען, עס איז נייטיק צו באַקענען נאָך טשעקס צו באַשליסן די אַס ווען איר נוצן קאַנפיגיעריישאַן סיסטעמען.

הייַנט ס סוויט וועט זיין דעדאַקייטאַד ספּאַסיפיקלי צו די קשר אַקטיוו Directory + סססד פֿאַר רעכט פאַרוואַלטונג סודאָ און סטאָרידזש סש שליסלען אין אַ איין ריפּאַזאַטאָרי.
אַזוי, דער זאַל האָט זיך געפרוירן אין אַ געשפּאַנטן שטילקייט, דער דיריגענט האָט אויפֿגעהויבן זײַן באַטאָן, און דער אָרקעסטער האָט זיך גרייט.
גיי.

Given:
- אַקטיווע Directory פעלד testopf.local אויף Windows Server 2012 R2.
- לינוקס באַלעבאָס פליסנדיק Centos 7
- קאַנפיגיערד דערלויבעניש ניצן סססד
ביידע סאַלושאַנז מאַכן ענדערונגען צו די סטשעמאַ אַקטיוו Directory, אַזוי מיר קאָנטראָלירן אַלץ אין אַ פּראָבע סוויווע און בלויז דעמאָלט מאַכן ענדערונגען צו די ארבעטן ינפראַסטראַקטשער. איך וואָלט ווי צו טאָן אַז אַלע ענדערונגען זענען טאַרגעטעד און, אין פאַקט, לייגן בלויז די נייטיק אַטריביוץ און קלאסן.

קאַמף 1: קאָנטראָל סודאָ ראָלעס דורך אַקטיוו Directory.

צו פאַרברייטערן די קרייַז אַקטיוו Directory איר דאַרפֿן צו אָפּלאָדירן די לעצטע מעלדונג סודאָ — 1.8.27 ביז היינט. אַנפּאַק און נאָכמאַכן די טעקע סטשעמאַ.אַקטיוועדירעקטאָרי פון די ./doc וועגווייַזער צו די פעלד קאָנטראָללער. פֿון די באַפֿעלן שורה מיט אַדמיניסטראַטאָר רעכט פֿון דער וועגווייַזער ווו די טעקע איז קאַפּיד, לויפן:
ldifde -i -f schema.ActiveDirectory -c dc=X dc=testopf,dc=local
(דו זאלסט נישט פאַרגעסן צו פאַרבייַטן דיין וואַלועס)
אָפן adsiedit.msc און פאַרבינדן צו די פעליקייַט קאָנטעקסט:
שאַפֿן אַ אָפּטייל אין דער וואָרצל פון די פעלד סוועץ. (די בורזשואזיע טענהט מיט עקשנות, אז אין דעם איינהייט איז דער שד סססד זוכן פֿאַר אַ נומער sudoRole אַבדזשעקץ. אָבער, נאָך אויסגעדרייט אויף דיטיילד דיבאַגינג און געלערנט די לאָגס, עס איז געווען אנטפלעקט אַז די זוכן איז דורכגעקאָכט איבער די גאנצע Directory בוים.)
מיר מאַכן דער ערשטער כייפעץ בילאָנגינג צו די קלאַס אין דער אָפּטייל sudoRole. דער נאָמען קענען זיין אויסדערוויילט לעגאַמרע אַרביטרעראַלי, ווייַל עס סערוועס בלויז פֿאַר באַקוועם לעגיטימאַציע.
צווישן די מעגלעך בנימצא אַטריביוץ פון די סטשעמאַ געשפּרייט, די הויפּט אָנעס זענען די פאלגענדע:

• sudoCommand - באַשטימט וואָס קאַמאַנדז זענען ערלויבט צו זיין עקסאַקיוטאַד אויף דער באַלעבאָס.
• sudoHost - באשלאסן אויף וואָס מחנות דעם ראָלע אַפּלייז. קענען זיין ספּעסיפיעד ווי אַלע, און פֿאַר אַ יחיד באַלעבאָס דורך נאָמען. עס איז אויך מעגלעך צו נוצן אַ מאַסקע.
• sudoUser - אָנווייַזן וואָס יוזערז זענען ערלויבט צו ויספירן סודאָ.
  אויב איר ספּעציפיצירן אַ זיכערהייט גרופּע, לייגן אַ "%" צייכן אין די אָנהייב פון די נאָמען. אויב עס זענען ספּייסאַז אין די גרופּע נאָמען, עס איז גאָרנישט צו זאָרג וועגן. אויב משפטן לויט די לאָגס, די אַרבעט פון יסקייפּינג ספּייסאַז איז איבערגענומען דורך די מעקאַניזאַם סססד.

פייַג 1. sudoRole אַבדזשעקץ אין די סודאָערס סאַבדיוויזשאַן אין דער וואָרצל פון די וועגווייַזער

פיגורע 2. מיטגלידערשאַפֿט אין זיכערהייט גרופּעס ספּעסיפיעד אין סודאָראָלע אַבדזשעקץ.

די פאלגענדע סעטאַפּ איז דורכגעקאָכט אויף די לינוקס זייַט.
אין טעקע / עטק / נסוויטטש .conf לייג די שורה צו די סוף פון די טעקע:

sudoers: files sss

אין טעקע / עטק / ססססד / סססד.קאָנף אין אָפּטיילונג [סססד] לייגן צו סערוויסעס סודאָ

cat /etc/sssd/sssd.conf | grep services
services = nss, pam, sudo

נאָך אַלע אַפּעריישאַנז, איר דאַרפֿן צו ויסמעקן די sssd daemon קאַש. אָטאַמאַטיק דערהייַנטיקונגען פאַלן יעדער 6 שעה, אָבער וואָס זאָל מיר וואַרטן אַזוי לאַנג ווען מיר וועלן עס איצט?

sss_cache -E

עס אָפט כאַפּאַנז אַז קלאָר די קאַש טוט נישט העלפן. דערנאָך מיר האַלטן די דינסט, ריין די דאַטאַבייס און אָנהייבן די דינסט.

service sssd stop
rm -rf /var/lib/sss/db/*
service sssd start

מיר פאַרבינדן ווי דער ערשטער באַניצער און קאָנטראָלירן וואָס איז בנימצא פֿאַר אים אונטער סודאָ:

su user1
[user1@testsshad log]$ id
uid=1109801141(user1) gid=1109800513(domain users) groups=1109800513(domain users),1109801132(admins_)
[user1@testsshad log]$ sudo -l
[sudo] password for user1:
Matching Defaults entries for user1 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user1 may run the following commands on testsshad:
    (root) /usr/bin/ls, /usr/bin/cat

מיר טאָן די זעלבע מיט אונדזער צווייט באַניצער:

su user2
[user2@testsshad log]$ id
uid=1109801142(user2) gid=1109800513(domain users) groups=1109800513(domain users),1109801138(sudo_root)
[user2@testsshad log]$ sudo -l
Matching Defaults entries for user2 on testsshad:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

User user2 may run the following commands on testsshad:
    (root) ALL

דער צוגאַנג אַלאַוז איר צו צענטראל דעפינירן סודאָ ראָלעס פֿאַר פאַרשידענע באַניצער גרופּעס.

סטאָרינג און ניצן ssh שליסלען אין אַקטיוו Directory

מיט אַ קליין יקספּאַנשאַן פון די סכעמע, עס איז מעגלעך צו קראָם ssh שליסלען אין אַקטיווע Directory באַניצער אַטריביוץ און נוצן זיי ווען אָטערייזינג אויף לינוקס מחנות.

דערלויבעניש דורך sssd מוזן זיין קאַנפיגיערד.
לייג די פארלאנגט אַטריביוט ניצן אַ PowerShell שריפט.
AddsshPublicKeyAttribute.ps1פונקציע New-AttributeID {
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[סיסטעם.גויד]::NewGuid().ToString()
$ פּאַרץ=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),,"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),,"AllowHexSpecifier")
$oid=[String]::Format(«{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}»,$prefix,$Parts[0],
$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$אָיד
}
$ schemaPath = (באַקומען-ADRootDSE). schemaNamingContext
$אָיד = New-AttributeID
$ אַטריביוץ = @{
lDAPDisplayName = 'sshPublicKey';
attributeId = $אָיד;
אָמסינטאַקס = 22;
אַטריביוטסינטאַקס = "2.5.5.5";
isSingleValued = $ אמת;
adminDescription = 'באַניצער פּובליק שליסל פֿאַר SSH לאָגין';
}

New-ADObject -Name sshPublicKey -Type attributeSchema -Path $schemapath -OtherAttributes $attributes
$userSchema = get-adobject -SearchBase $schemapath -פילטער 'נאָמען -eq "באַניצער"'
$userSchema | Set-ADObject -Add @{mayContain = 'sshPublicKey'}

נאָך אַדינג די אַטריביוט, איר מוזן ריסטאַרט Active Directory דאָמאַין באַדינונגס.
זאל ס מאַך אויף צו אַקטיווע Directory יוזערז. מיר וועלן דזשענערייט אַ שליסל פּאָר פֿאַר ssh פֿאַרבינדונג מיט קיין מעטאָד וואָס איז באַקוועם פֿאַר איר.
מיר קאַטער PuttyGen, דריקן די "גענעראַטע" קנעפּל און פראַנטאַקלי מאַך די מויז אין די ליידיק געגנט.
נאָך קאַמפּלישאַן פון דעם פּראָצעס, מיר קענען ראַטעווען די ציבור און פּריוואַט שליסלען, צופֿעליקער דעם ציבור שליסל צו די אַקטיווע Directory באַניצער אַטריביוט און הנאה דעם פּראָצעס. אָבער, דער ציבור שליסל מוזן זיין געוויינט פֿון די "ציבור שליסל פֿאַר פּאַסטינג אין OpenSSH Authorized_keys טעקע:".

לייג דעם שליסל צו די באַניצער אַטריביוט.
אָפּציע 1 - GUI:

אָפּציע 2 - PowerShell:
get-aduser user1 | set-aduser -add @{sshPublicKey = 'AAAAB...XAVnX9ZRJJ0p/Q=='}
אַזוי, מיר דערווייַל האָבן: אַ באַניצער מיט די sshPublicKey אַטריביוט אָנגעפילט, אַ קאַנפיגיערד פּאַטי קליענט פֿאַר דערלויבעניש ניצן שליסלען. עס בלייבט איין קליין פונט: ווי צו צווינגען די sshd דיימאַן צו עקסטראַקט די ציבור שליסל וואָס מיר דאַרפֿן פון די אַטריביוץ פון די באַניצער. א קליין שריפט געפונען אויף די בורזשואזע אינטערנעט קענען הצלחה קאָפּע מיט דעם.

cat /usr/local/bin/fetchSSHKeysFromLDAP
#!/bin/sh
ldapsearch -h testmdt.testopf.local -xb "dc=testopf,dc=local" '(sAMAccountName='"${1%@*}"')' -D [email protected] -w superSecretPassword 'sshPublicKey' | sed -n '/^ /{H;d};/sshPublicKey:/x;$g;s/n *//g;s/sshPublicKey: //gp'

מיר שטעלן די פּערמישאַנז אויף עס צו 0500 פֿאַר וואָרצל.

chmod 0500  /usr/local/bin/fetchSSHKeysFromLDAP

אין דעם בייַשפּיל, אַ אַדמיניסטראַטאָר חשבון איז געניצט צו בינדן צו די וועגווייַזער. אין קאַמבאַט טנאָים עס מוזן זיין אַ באַזונדער חשבון מיט אַ מינימום שטעלן פון רעכט.
איך פּערסנאַלי איז געווען זייער צעמישט דורך דעם מאָמענט פון די פּאַראָל אין זייַן ריין פאָרעם אין די שריפט, טראָץ די רעכט שטעלן.
לייזונג אָפּציע:

• איך היט דעם פּאַראָל אין אַ באַזונדער טעקע:

  echo -n Supersecretpassword > /usr/local/etc/secretpass

• איך שטעלן טעקע פּערמישאַנז צו 0500 פֿאַר וואָרצל

  chmod 0500 /usr/local/etc/secretpass

• טשאַנגינג לדאַפּסעאַרטש קאַטער פּאַראַמעטערס: פּאַראַמעטער -w superSecretPassword איך טוישן עס צו -י /usr/local/etc/secretpass

די לעצט קאָרד אין הייַנט ס סוויט איז עדיטינג sshd_config

cat /etc/ssh/sshd_config | egrep -v -E "#|^$" | grep -E "AuthorizedKeysCommand|PubkeyAuthe"
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/local/bin/fetchSSHKeysFromLDAP
AuthorizedKeysCommandUser root

ווי אַ רעזולטאַט, מיר באַקומען די פאלגענדע סיקוואַנס מיט שליסל דערלויבעניש קאַנפיגיערד אין די ssh קליענט:

1. דער באַניצער קאַנעקץ צו די סערווער דורך ינדאַקייטינג זיין לאָגין.
2. די sshd דיימאַן, דורך אַ שריפט, עקסטראַקט די ציבור שליסל ווערט פון אַ באַניצער אַטריביוט אין אַקטיוו Directory און פּערפאָרמז דערלויבעניש ניצן די שליסלען.
3. די sssd דאַעמאָן ווייַטער אָטענטאַקייץ דער באַניצער באזירט אויף גרופּע מיטגלידערשאַפט. ופמערקזאַמקייַט! אויב דאָס איז נישט קאַנפיגיערד, יעדער פעלד באַניצער וועט האָבן אַקסעס צו דער באַלעבאָס.
4. ווען איר פּרוּווט צו סודאָ, די sssd דיימאַן זוכן די אַקטיווע Directory פֿאַר ראָלעס. אויב ראָלעס זענען פאָרשטעלן, די באַניצער ס אַטריביוץ און גרופּע מיטגלידערשאַפט זענען אָפּגעשטעלט (אויב sudoRoles איז קאַנפיגיערד צו נוצן באַניצער גרופּעס)

דער רעזולטאַט.

אזוי, די שליסלען זענען סטאָרד אין אַקטיוו Directory באַניצער אַטריביוץ, סודאָ פּערמישאַנז - סימילאַרלי, אַקסעס צו לינוקס מחנות דורך פעלד אַקאַונץ איז דורכגעקאָכט דורך קאָנטראָלירן מיטגלידערשאַפט אין די אַקטיווע Directory גרופּע.
די לעצטע כוואַליע פון ​​די קאָנדוקטאָרס באַטאַן - און דער זאַל פרירן אין מורא שטילקייַט.

רעסאָורסעס געניצט אין שרייבן:

סודאָ דורך אַקטיוו Directory
Ssh שליסלען דורך Active Directory
Powershell שריפט, אַדינג אַן אַטריביוט צו Active Directory סטשעמאַ
סודאָ סטאַביל מעלדונג

מקור: www.habr.com