LDAP аутентификация в домене MS AD

-

При работе с linux или Unnix подобными системами, которые введены в MS AD, что бы постоянно не придумывать разные пароли и просто для удобства, на предприятиях используют LDAP аутентификацию.Для начала обновим порты 


# portsnap fetch && portsnap update

Нам понадобится:

  • nss_ldap
  • pam_ldap
  • pam_mkhomedir

Ставим:

# cd /usr/ports/net/nss_ldap
# make install clean
# cd /usr/ports/security/pam_ldap
# make install clean
# cd /usr/ports/security/pam_mkhomedir
# make install clean
На всякий случай проверим, все ли установилось?
 pkg_info | grep -E '(ldap|pam)'
Место расположения LDAP сервера (в нашем случаи контроллер(ы) домена) будем указывать по имени. В нашем конкретном случаи будем использовать имя домена. Что обеспечить отказоустойчивость при недоступности основного LDAP сервера.
Удостоверимся, что с разрешением имен у нас все Ок (имя нашего домена ltd.local):
 nslookup ltd.local
На всякий случай, привожу листинг файла /etc/resolv.conf (этот файл отвечает за разрешение имен)
  ee /etc/resolv.conf

Начинаем править конфиги:

Настраиваем openldap:
 ee /usr/local/etc/openldap/ldap.conf
Проверим, правильно ли мы все сделали. Запросим информацию о пользователе a.ya при помощи утилиты ldapsearch.
 Ключи:
  •  "(cn=a.ya)" - учетная запись, информацию о которой хотим получить
  • -D admin - доменная учетная запись от имени которой будет выполняться LDAP запрос (анонимный доступ к LDAP каталогу у нас закрыт)
  •  -W нужен для того чтобы утилита запросила пароль к учетке от имени которой будем подключаться
 ldapsearch -D admin -W "(cn=a.ya)"

Переходим к настройке nss_ldap и pam_ldap.
Приводим файлы:
  • /usr/local/etc/ldap.conf
  • /usr/local/etc/nss_ldap.conf
К следующему виду:

# Имя LDAP сервера
host ltd.local
# Домен, в нашем случаи ltd.local
base dc=ltd,dc=local
# Версия протокола
ldap_version 3
# Т.к. анонимный доступ к LDAP каталогу у наз запрещен
# указываем учетные данные пользователя, от имени которого
# будет происходить подключение к LDAP сервере.
# Не забываем предварительно его создать в AD :=)
binddn ldap_reader@ltd.local
bindpw 123@qwe1944!
# Зона поиска - искать во всем каталоге
scope sub
bind_policy soft
# Какие типы объектов будем запрашивать
pam_filter objectclass=User
# Какой атрибут в LDAP будет соответствовать атрибуту uid
pam_login_attribute uid
# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
pam_password ad
# Где будем искать пользователей, их пароли, группы
# в нашем случаи во всем LDAP каталоге
nss_base_passwd dc=ltd,dc=local?sub
nss_base_shadow dc=ltd,dc=local?sub
nss_base_group          dc=ltd,dc=local?sub
# Services for UNIX 3.5 mappings
# Соответствия атрибутов
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_attribute uid uid
#nss_map_attribute uid msSFU30Name
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute homeDirectory msSFUHomeDirectory
nss_map_objectclass posixGroup Group
pam_login_attribute msSFU30Name
pam_filter objectclass=User
pam_password ad

На этом настройка ldap окончена. Для того чтобы все заработало необходимо "научить" систему читать данные о пользователях из LDAP каталога. За это отвечают два модуля операционной системы: PAM и NSS.
Настраиваем NSS.
Приводим файл /etc/nsswitch.conf к следующему виду:

#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: release/9.0.0/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
# Меняем group: compat -> group: files ldap
group: files ldap
group_compat: nis
hosts: files dns
networks: files
# Меняем passwd: compat -> passwd: files ldap
passwd: files ldap
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

Если все было правильно сделано, при помощи утилиты id мы будем иметь возможность запрашивать данные о пользователях AD. Протестируем:

# id a.ya
uid=10006(a.ya) gid=10002(unix_mega_admins) groups=10002(unix_mega_admins),10006(it-gw),10007(unix_sudo)

Настройка SSH сервера.
Для того чтобы включить LDAP аутентификацию в sshd, необходимо привести файл /etc/pam.d/sshd к следующему виду:
/etc/pam.d/sshd

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
# Отключаем:
# auth           required        pam_unix.so             no_warn try_first_pass
# Добавляем:
auth            sufficient      pam_unix.so                 no_warn try_first_pass
auth            required        /usr/local/lib/pam_ldap.so  no_warn try_first_pass
# account
account         required        pam_nologin.so
account         required        pam_login_access.so
# Отключаем:
# account        required        pam_unix.so
# Добавляем:
account         sufficient      pam_unix.so
account         required        /usr/local/lib/pam_ldap.so
# session
session         required        pam_permit.so
# Подключаем автоматическое создание домашних директорий
session         required        /usr/local/lib/pam_mkhomedir.so
# password
# Отключаем:
# password       required        pam_unix.so                    no_warn try_first_pass
# Добавляем:
password        sufficient      pam_unix.so                     no_warn try_first_pass
password        required        /usr/local/lib/pam_ldap.so      no_warn try_first_pass

Пробуем зайти на сервер под своей доменной учеткой если пускает - все сделано правильно.
Теперь на сервер сможет зайти любой доменный пользователь у которого активированы UNIX Attributes.
Это можно исправить следующим образом в файле конфигурации sshd существует директива AllowGroups через нее можно указать список групп, которым разрешен доступ к серверу
Пример:
# cat /etc/ssh/sshd_config | grep -i group
AllowGroups ssh_users it-gw unix_gw_admins unix_mega_admins

Таким же образом доменному пользователю можно предоставить root доступ к нашему серверу.
Для этого нам понадобиться sudo.
Эта утилита по умолчанию отсутствует во Free BSD - установим:
# cd /usr/ports/security/sudo
# make install && make clean

Сначала поправим настройки pam модуля:

# PAM configuration for the "sudo" service
#
# auth
# Добавим
auth            sufficient      /usr/local/lib/pam_ldap.so              no_warn try_first_pass ignore_unknown_user
auth            include         system
# account
# Добавим
account         sufficient      /usr/local/lib/pam_ldap.so
account         include         system
# session
# XXX: pam_lastlog (used in system) causes users to appear as though
# they are no longer logged in in system logs.
session         required        pam_permit.so
# password
# Добавим
account         sufficient      /usr/local/lib/pam_ldap.so
password        include         system

И пропишем доменную группу, которой разрешен root доступ в /usr/local/etc/sudoers для этого воспользуемся утилитой visudo.
Для того чтобы разрешить доступ доменной группе unix_mega_admin root привелегии необходимо добавить следующую строчку:

%unix_mega_admins ALL=(ALL) ALL

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

FreeBSD: gpart — пример работы с дисками

-
Несколько слов о такой замечательной утилите как gpart . Утилита предназначена для работы с дисками и разделами на нём. На самом деле, утилита gpart является жесткой ссылкой на утилиту geom . Основная задача утилиты — заменить собой такие устаревшие морально программы для работы с дисками, как bsdlabel и fdisk (хотя они по-прежнему включены в дистрибутив и есть в портах).
Далее...