主題: LDAP+sudo與su的筆記

[Niko]

hello!!又是小弟我...會完成這篇筆記主要是wlhfor大大提了一個問題，剛好利用之前弄好的LDAP server，所以就稍微實作了一下 

sudo
先把sudo的schema加到LDAP中，以ldap1為例 :

代碼: [選擇]

[root@ldap1 ~]# cp  /usr/share/doc/sudo-1.7.4p5/schema.OpenLDAP    /etc/openldap/schema/sudo.schema

修改slapd.conf

代碼: [選擇]

[root@ldap1 ~]# vim  /etc/openldap/slapd.conf #新增設定

include     /etc/openldap/schema/sudo.schema

##################################################
# database definitions
##################################################

index       sudoUser        eq

代碼: [選擇]

[root@ldap1 ~]# rm  -rf  /etc/openldap/slapd.d/*
[root@ldap1 ~]# slapdtest  -f  /etc/openldap/slapd.conf  -F  /etc/openldap/slapd.d
[root@ldap1 ~]# service  slapd  restart
完成後到phpLDAPadmin上的schema去搜尋是否有出現『sudoRole』這個objectClass。

接下來建立一個ou (或者也可以使用現有的) ，名稱為Sudoers，底下的子記錄就是用來建立sudo的規則，下面使用ldif檔來示範。

代碼: [選擇]

[root@ldap1 ~]# vim  sudoers.ldif #ou=Sudoers,dc=split,dc=com,dc=tw
dn: ou=Sudoers,dc=split,dc=com,dc=tw
objectclass: organizationalUnit
objectclass: top
ou: Sudoers

#cn=%d30,ou=Sudoers,dc=split,dc=com,dc=tw
dn: cn=%d30,ou=Sudoers,dc=split,dc=com,dc=tw
cn: %d30
objectclass: sudoRole
objectclass: top
sudocommand: ALL
sudohost: ALL
sudouser: %d30

依照 /etc/sudoers的內容說明就是 :
群組(sudouser)        來源主機(sudohost)                   可切換的身份(預設)          可用指令(sudocommand)
%d30                          ALL                            =                  (root)                             ALL


匯入LDIF檔

代碼: [選擇]

[root@ldap1 ~]# ldapmodify  -D  "cn=admin,dc=split,dc=com,dc=tw"   -W  -x  -a  -f  sudoers.ldif

然後把niko這個帳號加入至d30群組中，以便稍後用來測試。 (詳細操作小弟就不說了)

Client設定
sudo要能夠支持LDAP似乎要sudo-1.7.4p5-13以上版本，CentOS 6.3預設的版本為sudo-1.7.4p5-11，所以先使用『yum  update  sudo』來升級版本，之後在 /etc下會有個sudo-ldap.conf的檔案。
sorry~這裡小弟突然鬼打牆，經測試後，CentOS6.3預設帶的sudo(sudo-1.7.4p5-11.el6.x86_64)就能夠支援LDAP了，所以這裡可以不用特別去更新，如果沒有/etc/sudo-ldap.conf這個檔再去更新也不遲!!!

設定sudo-ldap.conf

代碼: [選擇]

[root@client ~]# vim  /etc/sudo-ldap.conf
#新增內容
uri  ldap://ldap1.split.com.tw  ldap://ldap2.split.com.tw

sudoers_base  ou=Sudoers,dc=split,dc=com,dc=tw


設定nsswitch.conf

代碼: [選擇]

[root@client ~]# vim  /etc/nsswitch.conf
#新增內容
sudoers:    ldap

設定好後小弟我是直接reboot，然後niko這個帳號就可使用sudo了，當然還有其它沒有加入d30群組的帳號來做測試。


sudo問題 :
一般在local上，sudo的expire time預設是5分鐘，第一次使用sudo時要輸入密碼，如果5分鐘內沒有執行過sudo，則再一次執行時會重新要求密碼。
修改expire time的方式為 :

代碼: [選擇]

[root@client ~]# vim  /etc/sudoers #新增
Defaults    env_reset , timestamp_timeout=X      # X的單位為分鐘
或者可單獨指定帳號
Defaults : niko  timestamp_timeout=1

# timestamp_timeout=0，表示每次執行sudo都要輸入密碼
# timestamp_timeout=-1，表示執行sudo時不用輸入密碼

如果使用LDAP就無法用上面的方法來設定，目前還沒找到修改expire time的方法。


接著問題來了，就以niko這個已經加入d30 group的帳號來說一下...
在home server的NFS中已經有設定root_squash這個參數，但是如果niko在client主機上輸入sudo su - xxx，那不就....囧
所以，小弟另外限制了su，也就是d30可以su，非d30的成員只可su到非root的其它用戶，並且root要su到其它用戶也必須要輸入用戶的密碼。

su

代碼: [選擇]

[root@client ~]# vim  /etc/pam.d/su #%PAM-1.0
#新增
auth            [ignore=1 default=ignore]  pam_wheel.so  group=su  use_uid debug
auth            required        pam_listfile.so  item=user sense=deny  onerr=succeed  file=/etc/sudeny
#auth           sufficient      pam_rootok.so        #註解

代碼: [選擇]

[root@client ~]# vim  /etc/sudeny #新增
root

代碼: [選擇]

[root@clinet ~]# chmod  440  /etc/sudeny
設定好後不需要重新開機，立即生效。(資料來源 : http://www.suse.url.tw/sles10/  http://hi.baidu.com/nashczh/item/7d2623ed1591aa3c87d9dee8 )

[wlhfor]

大大安,感謝回覆,小弟想該USER可以變更自己的密碼,有參考您之前的文章,在slapd.conf加入
access to attrs=userPassword      ## 限制 userPassword 只用於認證 ##
            by self write            ## 允許使用者變更自己的密碼 ##
            by anonymous auth         ## 匿名用戶需要認證 ##
            by * none               ## 任何人都無法存取 ##

小弟測試後,會出現這樣的訊息
-bash-4.1$ passwd
更改使用者 jones 的密碼。
Enter login(LDAP) password:
新 密碼：
再次輸入新的 密碼：
LDAP password information update failed: Insufficient access
passwd: 驗證記號處理錯誤

另外client端/var/log/secure出現
passwd: pam_unix(passwd:chauthtok): user "jones" does not exist in /etc/passwd
不知是那裡設錯??

另外sudo的版本問題,我有看到一篇在講1.7.4P5的版本有bug,下面文章有提到
http://itdavid.blogspot.tw/2012/05/howto-openldap-24-sudo-repository-on.html

[Niko]

這應該是client的問題.....請問你client端加ldap的方式是?!

小弟剛拿smb1來測試，也出現"smb1 passwd: pam_unix(passwd:chauthtok): user "niko" does not exist in /etc/passwd"
但我的niko帳號是完全無法登入的，如果用root登入在用su - niko 又可以登入，結果發現是/etc/pam_ldap.conf 裡面的base參數打錯了
這給您參考一下....


很感謝你提供sudo的訊息，不過從小弟的第五篇筆記開始都是在家裡自己研究的，雖然測試後都可正常運作，但可能還有問題是我沒有發現，所以有任何問題都可以發問，我們一起來研究研究.... 

[日京三子]

Niko，給你一個讚！！




很有成就感吧！   

[wlhfor]

這應該是client的問題.....請問你client端加ldap的方式是?!

小弟剛拿smb1來測試，也出現"smb1 passwd: pam_unix(passwd:chauthtok): user "niko" does not exist in /etc/passwd"
但我的niko帳號是完全無法登入的，如果用root登入在用su - niko 又可以登入，結果發現是/etc/pam_ldap.conf 裡面的base參數打錯了
這給您參考一下....


很感謝你提供sudo的訊息，不過從小弟的第五篇筆記開始都是在家裡自己研究的，雖然測試後都可正常運作，但可能還有問題是我沒有發現，所以有任何問題都可以發問，我們一起來研究研究.... 

感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

[netman]

太讚了！推一下～～

[xiang]

推~~~

[Niko]

Niko，給你一個讚！！




很有成就感吧！   

三子大給的讚特別甜美....

[Niko]

感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過，不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看，還有video版的唷！很讚!!!!


有筆記....丟上來就對了 

說到監控，除了nagios、cacti，小弟也推薦一款目前正在研究的zabbix，功能不輸其它監控軟體，而且設定上也簡單易懂...

[treble]

期待各位大大分享自己的研究筆記

[wlhfor]

感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過，不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看，還有video版的唷！很讚!!!!


有筆記....丟上來就對了 

說到監控，除了nagios、cacti，小弟也推薦一款目前正在研究的zabbix，功能不輸其它監控軟體，而且設定上也簡單易懂...

呵...netman大那篇小弟已經拜讀好幾次啦...收獲良多呢~~小弟最近要先忙別的,之後再回來弄ldap的東西,筆記有點亂,而且有點久沒用了,先貼上來大家有興趣再來討論

[wlhfor]

感謝niko大大回覆,我client端加ldap是用authenticate-tui方法設定,未加密,登入方式是用public Key,然後sudo -i打入密碼進入root
登入都是正常的

那篇文章小弟印像很深,因為用過很多指令,小弟在之前文章都沒看過,等這弄完,再來去研究一下那篇,
小弟也都有做筆記,之前做過nagios,cacti,若有須要,小弟可以提供,大家互相研究~~~感謝..

使用authenticate-tui加ldap的方法小弟沒有試過，不過用這方法的話好像就要去看sssd的設定?!
netman大有一篇ldap+samba PDC的教學你可以去看看，還有video版的唷！很讚!!!!


有筆記....丟上來就對了 

說到監控，除了nagios、cacti，小弟也推薦一款目前正在研究的zabbix，功能不輸其它監控軟體，而且設定上也簡單易懂...

NIKO大大想請教一下,您做的LDAP有加密嗎??

[Niko]

報告，沒有....
不過小弟筆記做完後有試過，但是client端也要跟著一起改，就懶了...囧

[netman]

報告，沒有....
不過小弟筆記做完後有試過，但是client端也要跟著一起改，就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

[wlhfor]

感謝兩位大大回覆,小弟再試看看

[Niko]

報告，沒有....
不過小弟筆記做完後有試過，但是client端也要跟著一起改，就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大，其實小弟對加密這塊還不是很了解，參考了網路的文章，單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2，就....懶了...
不過netman大大發聲了，那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

[wlhfor]

報告，沒有....
不過小弟筆記做完後有試過，但是client端也要跟著一起改，就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大，其實小弟對加密這塊還不是很了解，參考了網路的文章，單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2，就....懶了...
不過netman大大發聲了，那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

期待大大的筆記哦~~
另外改密碼的問題已經解決了,因為slapd.conf加入時,小弟只有重啟slapd服務,沒有把slapd.d目錄清掉重建
access to attrs=userPassword
   by self write
   by anonymous auth
   by * none

access to *
   by * read

小弟知錯,以後會改進XD

[Niko]

小弟參考張明泰老師的http://blog.jangmt.com/2012/08/centos-6-ldap-server-ldap.html。
但是認證如果使用sssd就掛了....
ldap的log :
ldap1 slapd[2669]: conn=1088 fd=35 ACCEPT from IP=192.168.1.13:35099 (IP=0.0.0.0:389)
ldap1 slapd[2669]: conn=1088 op=0 EXT oid=1.3.6.1.4.1.1466.20037
ldap1 slapd[2669]: conn=1088 op=0 STARTTLS
ldap1 slapd[2669]: conn=1088 op=0 RESULT oid= err=0 text=
ldap1 slapd[2669]: conn=1088 fd=35 TLS established tls_ssf=256 ssf=256
ldap1 slapd[2669]: conn=1088 op=1 UNBIND
ldap1 slapd[2669]: conn=1088 fd=35 closed

如果是用小弟自己手動設定的驗證是可以的
ldap1 slapd[2669]: conn=1115 fd=24 ACCEPT from IP=192.168.1.10:55997 (IP=0.0.0.0:389)
ldap1 slapd[2669]: conn=1115 op=0 EXT oid=1.3.6.1.4.1.1466.20037
ldap1 slapd[2669]: conn=1115 op=0 STARTTLS
ldap1 slapd[2669]: conn=1115 op=0 RESULT oid= err=0 text=
ldap1 slapd[2669]: conn=1115 fd=24 TLS established tls_ssf=256 ssf=256
ldap1 slapd[2669]: conn=1115 op=1 BIND dn="" method=128
-------------以下省略

另外想問個笨問題....我在ldap1上做好的key能不能夠丟到ldap2上使用?!
兩台主機用同一個private key，client也只要用同一個憑證檔就可以了

[netman]

centos6還沒試過，
cert的話，不是有hostname在上面嗎？

[Niko]

centos6還沒試過，
cert的話，不是有hostname在上面嗎？

netman大大，您的意思是當初在製作憑證檔時
"Common Name (eg, your name or your server's hostname) []:"  這裡要輸入server 的FQDN對嗎?
這裡小弟直接enter留空...

剛剛在client上測試SSL (兩台結果都一樣)
#openssl s_client -connect ldap1.split.com.tw:636 -showcerts -state -CAfile /etc/openldap/certs/slapd.pem

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 C = TW, ST = taiwan, L = taipei, O = Default Company Ltd, emailAddress = split926@gmail.com
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
------中間省略
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: 0A6D14CDF8F1D947656C0CE3962A33663CB5DD71D579C8C10ACE2B598DBDFE3F
    Session-ID-ctx:
    Master-Key: 43D3CBE8E9B8C3A6AEA9539CDE549F374047915D442666BA64089EFE11CE8FC666B7D7C7CE351C5F73F4CC059EA3F922
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1357044568
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

然後ldap server的log
conn=1195 fd=41 ACCEPT from IP=192.168.1.10:35830 (IP=0.0.0.0:636)
conn=1195 fd=41 TLS established tls_ssf=256 ssf=256
conn=1195 fd=41 closed (connection lost)


這應該算是正常吧?!

[Niko]

報告，問題解決，答案→http://www.linuxquestions.org/questions/linux-enterprise-47/rhel-6-ldap-now-requires-tls-843917/ 在13樓

小弟簡單整理一下
用system-config-authentication圖形介面來加入LDAP認證
最後還要再/etc/sssd/sssd.conf的[domain/default]區段中加入"ldap_tls_reqcert = never"

順便man了一下這個參數的意思
TLS_REQCERT <level>
              Specifies what checks to perform on server certificates in a TLS session, if
              any. The <level> can be specified as one of the following keywords:

              never  The client will not request or check any server certificate.

              allow  The  server  certificate is requested. If no certificate is provided,
                     the session proceeds normally. If a bad certificate is  provided,  it
                     will be ignored and the session proceeds normally.

              try    The  server  certificate is requested. If no certificate is provided,
                     the session proceeds normally. If a bad certificate is provided,  the
                     session is immediately terminated.

              demand | hard           ←問題應該就出在這吧?!
                     These  keywords  are equivalent. The server certificate is requested.
                     If no certificate is provided, or a bad certificate is provided,  the
                     session is immediately terminated. This is the default setting.



今天小弟玩了system-config-authentication這個圖形介面覺得超級方便的，硬要說缺點的話好像就是它只能透過TLS/SSL來進行認證

[netman]

如果要tls，要cacert，client cert，client key。關鍵是雙方用的 cert 都是相同ca或受信任的ca。

[Niko]

報告netman大大，您的影片剛剛又複習了一次，在影片中的做法意思是不是
先自己建立一個CA，用來簽發server和client的憑證，最後每台機器都要有自己的憑證和key，以及最初建立CA的那個憑證?!
小弟不知道理解的對不對.....

[netman]

基本如此。
方法有二：
1，所有的key跟cert都在ca那邊做完並簽完，然後再轉移到每一台機器。
2，每一台機器自己做好key跟req，然後請ca簽cert發回。
不管哪種方法，cacert要統一就是了。

[Niko]

繞了一大圈，稍微了解一點 (應該吧... )
netman大大的做法是server也要去驗證client，所以要幫client做certificate，雙方驗證通過後才會走TLS
而小弟的做法是server不需要去驗證client，只要client端信任server自己簽發的certificate就可以走TLS。
至於要怎麼信任，方法應該就是TLS_REQCERT這個參數吧?!
OH~對了，小弟把"用system-config-authentication圖形介面來加入LDAP認證"的方式算是完成了，完全不用更改任何東西。
只是還不太了解為什麼它會去信任server自己簽發的certificate。
至於CA，可以建立一台CA (http://www.l-penguin.idv.tw/article/root-ca.htm)，
又或者自己簽 (http://linux.vbird.org/linux_server/0360apache.php#www_ssl)

[Niko]

報告，沒有....
不過小弟筆記做完後有試過，但是client端也要跟著一起改，就懶了...囧

client 端就只需要 cacert 跟 client cert & client key 就好了...
client cert 必須是同一 ca 簽署的。

netman大大，其實小弟對加密這塊還不是很了解，參考了網路的文章，單以LDAP的加密就有很多不同的做法...
再加上小弟有ldap1、ldap2、smb1、smb2，就....懶了...
不過netman大大發聲了，那小弟就利用元旦四天連假來試試看把我目前的LDAP架構來加密看看好了....

期待大大的筆記哦~~
另外改密碼的問題已經解決了,因為slapd.conf加入時,小弟只有重啟slapd服務,沒有把slapd.d目錄清掉重建
access to attrs=userPassword
   by self write
   by anonymous auth
   by * none

access to *
   by * read

小弟知錯,以後會改進XD

HELLO!!wlhfor大大，我算是把TLS/SSL這部份算完成了，包含client(nslcd或sssd)和兩台server的mirror mode，雖然CA的部份還是不太了解，但小弟用wireshark去觀察的確有加密，這部份等小弟整理好再PO筆記上來與大家討論，謝謝!!!

[wlhfor]

一直沒時間測試加密部份,期待大大的筆記~~

[Niko]

修正了一點小錯誤，關於client的部份，用CentOS6.3預設帶的sudo版本就可以了....

[Niko]

一直沒時間測試加密部份,期待大大的筆記~~

小弟最近其實也滿忙的...
不過還是把LDAP over TLS/SSL做完了，包括client、syncrepl、PDC、sudo，總之就是小弟筆記上的架構全走TLS。
OH~對了，小弟目前在玩另一個有趣的東西，叫做radius
http://phorum.study-area.org/index.php?topic=41417.0，嘿嘿~~不小心把三子大以前的筆記給翻了出來，不過user要透過ap去認證還需要再加點東西進去，雖然大致上可行，不過win7上卻碰到了點問題，正在努力解決中....

[wlhfor]

一直沒時間測試加密部份,期待大大的筆記~~

小弟最近其實也滿忙的...
不過還是把LDAP over TLS/SSL做完了，包括client、syncrepl、PDC、sudo，總之就是小弟筆記上的架構全走TLS。
OH~對了，小弟目前在玩另一個有趣的東西，叫做radius
http://phorum.study-area.org/index.php?topic=41417.0，嘿嘿~~不小心把三子大以前的筆記給翻了出來，不過user要透過ap去認證還需要再加點東西進去，雖然大致上可行，不過win7上卻碰到了點問題，正在努力解決中....

呵....這部份以後應該有機會用到,不過等我們公司Ldap上線後再說吧XD