作者 主題: LDAP+sudo與su的筆記  (閱讀 12462 次)

0 會員 與 1 訪客 正在閱讀本文。

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
LDAP+sudo與su的筆記
« 於: 2012-12-09 19:40 »
hello!!又是小弟我...會完成這篇筆記主要是wlhfor大大提了一個問題,剛好利用之前弄好的LDAP server,所以就稍微實作了一下  :P

sudo
先把sudo的schema加到LDAP中,以ldap1為例 :
代碼: [選擇]
[root@ldap1 ~]# cp  /usr/share/doc/sudo-1.7.4p5/schema.OpenLDAP    /etc/openldap/schema/sudo.schema

修改slapd.conf
代碼: [選擇]
[root@ldap1 ~]# vim  /etc/openldap/slapd.conf #新增設定

include     /etc/openldap/schema/sudo.schema

##################################################
# database definitions
##################################################

index       sudoUser        eq


代碼: [選擇]
[root@ldap1 ~]# rm  -rf  /etc/openldap/slapd.d/*
[root@ldap1 ~]# slapdtest  -f  /etc/openldap/slapd.conf  -F  /etc/openldap/slapd.d
[root@ldap1 ~]# service  slapd  restart

完成後到phpLDAPadmin上的schema去搜尋是否有出現『sudoRole』這個objectClass。

接下來建立一個ou (或者也可以使用現有的) ,名稱為Sudoers,底下的子記錄就是用來建立sudo的規則,下面使用ldif檔來示範。
代碼: [選擇]
[root@ldap1 ~]# vim  sudoers.ldif #ou=Sudoers,dc=split,dc=com,dc=tw
dn: ou=Sudoers,dc=split,dc=com,dc=tw
objectclass: organizationalUnit
objectclass: top
ou: Sudoers

#cn=%d30,ou=Sudoers,dc=split,dc=com,dc=tw
dn: cn=%d30,ou=Sudoers,dc=split,dc=com,dc=tw
cn: %d30
objectclass: sudoRole
objectclass: top
sudocommand: ALL
sudohost: ALL
sudouser: %d30

依照 /etc/sudoers的內容說明就是 :
群組(sudouser)        來源主機(sudohost)                   可切換的身份(預設)          可用指令(sudocommand)
%d30                          ALL                            =                  (root)                             ALL


匯入LDIF檔
代碼: [選擇]
[root@ldap1 ~]# ldapmodify  -D  "cn=admin,dc=split,dc=com,dc=tw"   -W  -x  -a  -f  sudoers.ldif

然後把niko這個帳號加入至d30群組中,以便稍後用來測試。 (詳細操作小弟就不說了)

Client設定
sudo要能夠支持LDAP似乎要sudo-1.7.4p5-13以上版本,CentOS 6.3預設的版本為sudo-1.7.4p5-11,所以先使用『yum  update  sudo』來升級版本,之後在 /etc下會有個sudo-ldap.conf的檔案。
sorry~這裡小弟突然鬼打牆,經測試後,CentOS6.3預設帶的sudo(sudo-1.7.4p5-11.el6.x86_64)就能夠支援LDAP了,所以這裡可以不用特別去更新,如果沒有/etc/sudo-ldap.conf這個檔再去更新也不遲!!!

設定sudo-ldap.conf
代碼: [選擇]
[root@client ~]# vim  /etc/sudo-ldap.conf
#新增內容
uri  ldap://ldap1.split.com.tw  ldap://ldap2.split.com.tw

sudoers_base  ou=Sudoers,dc=split,dc=com,dc=tw


設定nsswitch.conf
代碼: [選擇]
[root@client ~]# vim  /etc/nsswitch.conf
#新增內容
sudoers:    ldap

設定好後小弟我是直接reboot,然後niko這個帳號就可使用sudo了,當然還有其它沒有加入d30群組的帳號來做測試。


sudo問題 :
一般在local上,sudo的expire time預設是5分鐘,第一次使用sudo時要輸入密碼,如果5分鐘內沒有執行過sudo,則再一次執行時會重新要求密碼。
修改expire time的方式為 :
代碼: [選擇]
[root@client ~]# vim  /etc/sudoers #新增
Defaults    env_reset , timestamp_timeout=X      # X的單位為分鐘
或者可單獨指定帳號
Defaults : niko  timestamp_timeout=1

# timestamp_timeout=0,表示每次執行sudo都要輸入密碼
# timestamp_timeout=-1,表示執行sudo時不用輸入密碼

如果使用LDAP就無法用上面的方法來設定,目前還沒找到修改expire time的方法。


接著問題來了,就以niko這個已經加入d30 group的帳號來說一下...
在home server的NFS中已經有設定root_squash這個參數,但是如果niko在client主機上輸入sudo su - xxx,那不就....囧
所以,小弟另外限制了su,也就是d30可以su,非d30的成員只可su到非root的其它用戶,並且root要su到其它用戶也必須要輸入用戶的密碼。

su
代碼: [選擇]
[root@client ~]# vim  /etc/pam.d/su #%PAM-1.0
#新增
auth            [ignore=1 default=ignore]  pam_wheel.so  group=su  use_uid debug
auth            required        pam_listfile.so  item=user sense=deny  onerr=succeed  file=/etc/sudeny

#auth           sufficient      pam_rootok.so        #註解

代碼: [選擇]
[root@client ~]# vim  /etc/sudeny #新增
root

代碼: [選擇]
[root@clinet ~]# chmod  440  /etc/sudeny
設定好後不需要重新開機,立即生效。(資料來源 : http://www.suse.url.tw/sles10/  http://hi.baidu.com/nashczh/item/7d2623ed1591aa3c87d9dee8 )
« 上次編輯: 2013-01-20 20:42 由 Niko »

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #1 於: 2012-12-12 22:24 »
大大安,感謝回覆,小弟想該USER可以變更自己的密碼,有參考您之前的文章,在slapd.conf加入
access to attrs=userPassword      ## 限制 userPassword 只用於認證 ##
            by self write            ## 允許使用者變更自己的密碼 ##
            by anonymous auth         ## 匿名用戶需要認證 ##
            by * none               ## 任何人都無法存取 ##

小弟測試後,會出現這樣的訊息
-bash-4.1$ passwd
更改使用者 jones 的密碼。
Enter login(LDAP) password:
新 密碼:
再次輸入新的 密碼:
LDAP password information update failed: Insufficient access
passwd: 驗證記號處理錯誤

另外client端/var/log/secure出現
passwd: pam_unix(passwd:chauthtok): user "jones" does not exist in /etc/passwd
不知是那裡設錯??

另外sudo的版本問題,我有看到一篇在講1.7.4P5的版本有bug,下面文章有提到
http://itdavid.blogspot.tw/2012/05/howto-openldap-24-sudo-repository-on.html

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #2 於: 2012-12-13 00:17 »
這應該是client的問題.....請問你client端加ldap的方式是?!

小弟剛拿smb1來測試,也出現"smb1 passwd: pam_unix(passwd:chauthtok): user "niko" does not exist in /etc/passwd"
但我的niko帳號是完全無法登入的,如果用root登入在用su - niko 又可以登入,結果發現是/etc/pam_ldap.conf 裡面的base參數打錯了
這給您參考一下....


很感謝你提供sudo的訊息,不過從小弟的第五篇筆記開始都是在家裡自己研究的,雖然測試後都可正常運作,但可能還有問題是我沒有發現,所以有任何問題都可以發問,我們一起來研究研究....  :)
« 上次編輯: 2012-12-13 00:18 由 Niko »

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8823
    • 檢視個人資料
    • http://www.24online.cjb.net
Re: LDAP+sudo與su的筆記
« 回覆 #3 於: 2012-12-13 14:35 »
Niko,給你一個讚!!




很有成就感吧!   ;D ;D
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #4 於: 2012-12-13 17:37 »
這應該是client的問題.....請問你client端加ldap的方式是?!

小弟剛拿smb1來測試,也出現"smb1 passwd: pam_unix(passwd:chauthtok): user "niko" does not exist in /etc/passwd"
但我的niko帳號是完全無法登入的,如果用root登入在用su - niko 又可以登入,結果發現是/etc/pam_ldap.conf 裡面的base參數打錯了
這給您參考一下....


很感謝你提供sudo的訊息,不過從小弟的第五篇筆記開始都是在家裡自己研究的,雖然測試後都可正常運作,但可能還有問題是我沒有發現,所以有任何問題都可以發問,我們一起來研究研究....  :)

感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17308
    • 檢視個人資料
    • http://www.study-area.org
Re: LDAP+sudo與su的筆記
« 回覆 #5 於: 2012-12-13 21:24 »
太讚了!推一下~~

xiang

  • 鑽研的研究生
  • *****
  • 文章數: 706
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #6 於: 2012-12-14 09:39 »
推~~~

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #7 於: 2012-12-14 13:44 »
Niko,給你一個讚!!




很有成就感吧!   ;D ;D

三子大給的讚特別甜美.... ;D

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #8 於: 2012-12-14 13:55 »
感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過,不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看,還有video版的唷!很讚!!!!


有筆記....丟上來就對了  ;D

說到監控,除了nagios、cacti,小弟也推薦一款目前正在研究的zabbix,功能不輸其它監控軟體,而且設定上也簡單易懂... :)

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
Re: LDAP+sudo與su的筆記
« 回覆 #9 於: 2012-12-15 10:02 »
期待各位大大分享自己的研究筆記
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #10 於: 2012-12-17 17:34 »
感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過,不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看,還有video版的唷!很讚!!!!


有筆記....丟上來就對了  ;D

說到監控,除了nagios、cacti,小弟也推薦一款目前正在研究的zabbix,功能不輸其它監控軟體,而且設定上也簡單易懂... :)

呵...netman大那篇小弟已經拜讀好幾次啦...收獲良多呢~~小弟最近要先忙別的,之後再回來弄ldap的東西,筆記有點亂,而且有點久沒用了,先貼上來大家有興趣再來討論

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #11 於: 2012-12-21 14:11 »
感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過,不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看,還有video版的唷!很讚!!!!


有筆記....丟上來就對了  ;D

說到監控,除了nagios、cacti,小弟也推薦一款目前正在研究的zabbix,功能不輸其它監控軟體,而且設定上也簡單易懂... :)

NIKO大大想請教一下,您做的LDAP有加密嗎??

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #12 於: 2012-12-21 23:05 »
報告,沒有....
不過小弟筆記做完後有試過,但是client端也要跟著一起改,就懶了...囧

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17308
    • 檢視個人資料
    • http://www.study-area.org
Re: LDAP+sudo與su的筆記
« 回覆 #13 於: 2012-12-22 07:47 »
報告,沒有....
不過小弟筆記做完後有試過,但是client端也要跟著一起改,就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #14 於: 2012-12-22 10:13 »
感謝兩位大大回覆,小弟再試看看

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #15 於: 2012-12-22 13:39 »
報告,沒有....
不過小弟筆記做完後有試過,但是client端也要跟著一起改,就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大,其實小弟對加密這塊還不是很了解,參考了網路的文章,單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2,就....懶了... :P
不過netman大大發聲了,那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #16 於: 2012-12-22 17:37 »
報告,沒有....
不過小弟筆記做完後有試過,但是client端也要跟著一起改,就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大,其實小弟對加密這塊還不是很了解,參考了網路的文章,單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2,就....懶了... :P
不過netman大大發聲了,那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

期待大大的筆記哦~~
另外改密碼的問題已經解決了,因為slapd.conf加入時,小弟只有重啟slapd服務,沒有把slapd.d目錄清掉重建
access to attrs=userPassword
   by self write
   by anonymous auth
   by * none

access to *
   by * read

小弟知錯,以後會改進XD

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #17 於: 2013-01-01 18:23 »
小弟參考張明泰老師的http://blog.jangmt.com/2012/08/centos-6-ldap-server-ldap.html
但是認證如果使用sssd就掛了....
ldap的log :
ldap1 slapd[2669]: conn=1088 fd=35 ACCEPT from IP=192.168.1.13:35099 (IP=0.0.0.0:389)
ldap1 slapd[2669]: conn=1088 op=0 EXT oid=1.3.6.1.4.1.1466.20037
ldap1 slapd[2669]: conn=1088 op=0 STARTTLS
ldap1 slapd[2669]: conn=1088 op=0 RESULT oid= err=0 text=
ldap1 slapd[2669]: conn=1088 fd=35 TLS established tls_ssf=256 ssf=256
ldap1 slapd[2669]: conn=1088 op=1 UNBIND
ldap1 slapd[2669]: conn=1088 fd=35 closed

如果是用小弟自己手動設定的驗證是可以的
ldap1 slapd[2669]: conn=1115 fd=24 ACCEPT from IP=192.168.1.10:55997 (IP=0.0.0.0:389)
ldap1 slapd[2669]: conn=1115 op=0 EXT oid=1.3.6.1.4.1.1466.20037
ldap1 slapd[2669]: conn=1115 op=0 STARTTLS
ldap1 slapd[2669]: conn=1115 op=0 RESULT oid= err=0 text=
ldap1 slapd[2669]: conn=1115 fd=24 TLS established tls_ssf=256 ssf=256
ldap1 slapd[2669]: conn=1115 op=1 BIND dn="" method=128
-------------以下省略

另外想問個笨問題....我在ldap1上做好的key能不能夠丟到ldap2上使用?!
兩台主機用同一個private key,client也只要用同一個憑證檔就可以了

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17308
    • 檢視個人資料
    • http://www.study-area.org
Re: LDAP+sudo與su的筆記
« 回覆 #18 於: 2013-01-01 20:23 »
centos6還沒試過,
cert的話,不是有hostname在上面嗎?

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #19 於: 2013-01-01 21:00 »
centos6還沒試過,
cert的話,不是有hostname在上面嗎?

netman大大,您的意思是當初在製作憑證檔時
"Common Name (eg, your name or your server's hostname) []:"  這裡要輸入server 的FQDN對嗎?
這裡小弟直接enter留空...

剛剛在client上測試SSL (兩台結果都一樣)
#openssl s_client -connect ldap1.split.com.tw:636 -showcerts -state -CAfile /etc/openldap/certs/slapd.pem

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 C = TW, ST = taiwan, L = taipei, O = Default Company Ltd, emailAddress = split926@gmail.com
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
------中間省略
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: 0A6D14CDF8F1D947656C0CE3962A33663CB5DD71D579C8C10ACE2B598DBDFE3F
    Session-ID-ctx:
    Master-Key: 43D3CBE8E9B8C3A6AEA9539CDE549F374047915D442666BA64089EFE11CE8FC666B7D7C7CE351C5F73F4CC059EA3F922
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1357044568
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

然後ldap server的log
conn=1195 fd=41 ACCEPT from IP=192.168.1.10:35830 (IP=0.0.0.0:636)
conn=1195 fd=41 TLS established tls_ssf=256 ssf=256
conn=1195 fd=41 closed (connection lost)


這應該算是正常吧?! ???

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #20 於: 2013-01-01 21:27 »
報告,問題解決,答案→http://www.linuxquestions.org/questions/linux-enterprise-47/rhel-6-ldap-now-requires-tls-843917/ 在13樓

小弟簡單整理一下
用system-config-authentication圖形介面來加入LDAP認證
最後還要再/etc/sssd/sssd.conf的[domain/default]區段中加入"ldap_tls_reqcert = never"

順便man了一下這個參數的意思
TLS_REQCERT <level>
              Specifies what checks to perform on server certificates in a TLS session, if
              any. The <level> can be specified as one of the following keywords:

              never  The client will not request or check any server certificate.

              allow  The  server  certificate is requested. If no certificate is provided,
                     the session proceeds normally. If a bad certificate is  provided,  it
                     will be ignored and the session proceeds normally.

              try    The  server  certificate is requested. If no certificate is provided,
                     the session proceeds normally. If a bad certificate is provided,  the
                     session is immediately terminated.

              demand | hard           ←問題應該就出在這吧?!
                     These  keywords  are equivalent. The server certificate is requested.
                     If no certificate is provided, or a bad certificate is provided,  the
                     session is immediately terminated. This is the default setting.



今天小弟玩了system-config-authentication這個圖形介面覺得超級方便的,硬要說缺點的話好像就是它只能透過TLS/SSL來進行認證
« 上次編輯: 2013-01-01 21:37 由 Niko »

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17308
    • 檢視個人資料
    • http://www.study-area.org
Re: LDAP+sudo與su的筆記
« 回覆 #21 於: 2013-01-02 12:51 »
如果要tls,要cacert,client cert,client key。關鍵是雙方用的 cert 都是相同ca或受信任的ca。

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #22 於: 2013-01-02 23:33 »
報告netman大大,您的影片剛剛又複習了一次,在影片中的做法意思是不是
先自己建立一個CA,用來簽發server和client的憑證,最後每台機器都要有自己的憑證和key,以及最初建立CA的那個憑證?!
小弟不知道理解的對不對.....

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17308
    • 檢視個人資料
    • http://www.study-area.org
Re: LDAP+sudo與su的筆記
« 回覆 #23 於: 2013-01-02 23:50 »
基本如此。
方法有二:
1,所有的key跟cert都在ca那邊做完並簽完,然後再轉移到每一台機器。
2,每一台機器自己做好key跟req,然後請ca簽cert發回。
不管哪種方法,cacert要統一就是了。

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #24 於: 2013-01-05 00:27 »
繞了一大圈,稍微了解一點 (應該吧... :P)
netman大大的做法是server也要去驗證client,所以要幫client做certificate,雙方驗證通過後才會走TLS
而小弟的做法是server不需要去驗證client,只要client端信任server自己簽發的certificate就可以走TLS。
至於要怎麼信任,方法應該就是TLS_REQCERT這個參數吧?!
OH~對了,小弟把"用system-config-authentication圖形介面來加入LDAP認證"的方式算是完成了,完全不用更改任何東西。
只是還不太了解為什麼它會去信任server自己簽發的certificate。
至於CA,可以建立一台CA (http://www.l-penguin.idv.tw/article/root-ca.htm),
又或者自己簽 (http://linux.vbird.org/linux_server/0360apache.php#www_ssl)

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #25 於: 2013-01-07 23:01 »
報告,沒有....
不過小弟筆記做完後有試過,但是client端也要跟著一起改,就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大,其實小弟對加密這塊還不是很了解,參考了網路的文章,單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2,就....懶了... :P
不過netman大大發聲了,那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

期待大大的筆記哦~~
另外改密碼的問題已經解決了,因為slapd.conf加入時,小弟只有重啟slapd服務,沒有把slapd.d目錄清掉重建
access to attrs=userPassword
   by self write
   by anonymous auth
   by * none

access to *
   by * read

小弟知錯,以後會改進XD

HELLO!!wlhfor大大,我算是把TLS/SSL這部份算完成了,包含client(nslcd或sssd)和兩台server的mirror mode,雖然CA的部份還是不太了解,但小弟用wireshark去觀察的確有加密,這部份等小弟整理好再PO筆記上來與大家討論,謝謝!!!

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #26 於: 2013-01-18 17:21 »
一直沒時間測試加密部份,期待大大的筆記~~

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #27 於: 2013-01-20 21:18 »
修正了一點小錯誤,關於client的部份,用CentOS6.3預設帶的sudo版本就可以了....

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #28 於: 2013-01-20 21:26 »
一直沒時間測試加密部份,期待大大的筆記~~

小弟最近其實也滿忙的... :P
不過還是把LDAP over TLS/SSL做完了,包括client、syncrepl、PDC、sudo,總之就是小弟筆記上的架構全走TLS。
OH~對了,小弟目前在玩另一個有趣的東西,叫做radius
http://phorum.study-area.org/index.php?topic=41417.0,嘿嘿~~不小心把三子大以前的筆記給翻了出來,不過user要透過ap去認證還需要再加點東西進去,雖然大致上可行,不過win7上卻碰到了點問題,正在努力解決中....

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
Re: LDAP+sudo與su的筆記
« 回覆 #29 於: 2013-01-21 11:38 »
一直沒時間測試加密部份,期待大大的筆記~~

小弟最近其實也滿忙的... :P
不過還是把LDAP over TLS/SSL做完了,包括client、syncrepl、PDC、sudo,總之就是小弟筆記上的架構全走TLS。
OH~對了,小弟目前在玩另一個有趣的東西,叫做radius
http://phorum.study-area.org/index.php?topic=41417.0,嘿嘿~~不小心把三子大以前的筆記給翻了出來,不過user要透過ap去認證還需要再加點東西進去,雖然大致上可行,不過win7上卻碰到了點問題,正在努力解決中....

呵....這部份以後應該有機會用到,不過等我們公司Ldap上線後再說吧XD