Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD
nikkitab0 1 минуту назад Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD Средний 14 мин 2 Блог компании Группа Астра Настройка Linux * IT-компании Софт...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. nikkitab0 1 минуту назад Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD Средний 14 мин 2 Блог компании Группа Астра Настройка Linux * IT-компании Софт IT-инфраструктура * Роадмэп Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды.
Давайте познакомимся теперь внимательнее со всеми этими возможностями. Централизация с помощью LDAPСервис LDAP на отечественных операционных системах можно поднять на старом добром OpenLDAP или с помощью 389 Directory Server, на котором работает FreeIPA. Оба решения имеют общего предка из Мичигана, но разошлись еще в лихие 90-е, поэтому кодовая база у них сейчас существенно отличается.
Технические детали
Можно долго дискутировать о преимуществах и недостатках каждого из решений, но достаточно сказать, что Red Hat и SUSE уже списали проект OpenLDAP в утиль и не включают его пакеты в свои дистрибутивы, предлагая мигрировать на 389ds. И, если уж выбирать OpenLDAP, то лучше обратить внимание на отечественный форк ReOpenLDAP, в котором основательно переработан механизм репликации, да и много чего еще. Отдельно сервер LDAP из российских разработчиков больше никто не разрабатывает, но как сервис он доступен в составе продуктов Мультифактор (Multidirectory) и Аванпост (Avanpost DS).
В качестве LDAP-сервера можно использовать еще Samba, но в этом случае лучше и SSSD переключить на бэкенд AD. Поэтому, как видите, альтернатив особо и нет. Для работы с бэкендом LDAP в секции domain конфигурационного файла sssd.
conf следует указать следующие параметры:id_provider = ldap — указывает поставщика идентификационных данных, который используется так же для аутентификации пользователей и смены пароля с помощью утилиты passwd, если иное не определено параметрами auth_provider и chpass_provider;ldap_uri = ldap://ldap-1. lan — определяет список LDAP-серверов, через которые служба SSSD будет взаимодействовать с доменом;ldap_id_use_start_tls = True — указывает, что при обмене данными по протоколу LDAP следует вызывать команду STARTTLS для шифрования данных;ldap_tls_cacert = /etc/ipa/ca. crt — указывает путь к файлу, в котором находится корневой сертификат домена для переключения на шифрованный канал связи при подключении по LDAP;ldap_search_base = cn=users,cn=accounts,dc=company,dc=lan — указывает, где находятся учетные записи пользователей;ldap_group_search_base = cn=groups,cn=accounts,dc=company,dc=lan — указывает, где находятся учетные записи групп пользователей;cache_credentials = True — указывает, что хеши паролей нужно сохранять в локальном кэше для возможности аутентификации пользователей в автономном режиме без доступа к серверу.
Дополнительно рекомендуется настроить файл /etc/ldap/ldap.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
