Utilisation des groupes Active Directory pour contrôler l'accès aux services Linux


Je ai récemment publié un article sur la façon à intégrer Unix active Répertoire tout en conservant le style de sécurité avec UNIX et Samba OpenLDAP décrit la création d'ID effectuer une configuration OpenLDAP mappage entre Unix et Active Directory, ainsi que configure le client pour l'authentification dans Active Directory Users et obtenir et Groupe UID et GID de OpenLDAP.

Maintenant passons à discuter de la façon de tirer parti pour utiliser Active Directory pour contrôler l'accès au client et le serveur services.




1. (authentification PAM module peut brancher)

Par défaut, lorsque lié à ne importe quel utilisateur Active Directory Active Directory peut accéder console de poste de travail/serveur ou un environnement de bureau graphique. Employé sur le rôle et le contenu stocké sur le système de poste de travail/serveur Les administrateurs peuvent vouloir restreindre l'accès uniquement à une filiale groupe en utilisant Active Directory pour gérer contrôlé et simplifiée.

Les administrateurs système peuvent souhaiter profiter de Active Directory pour permettre l'accès à certains services tels que les utilisateurs ou groupes SHH et FTP pour fournir une gestion simplifiée et un accès contrôlé. PAM rend cela possible.

Le PAM fournit une authentification interfaces d'applications telles que SSH, FTP, bureau graphique environnements (WDM), ainsi que la console UNIX. Toutes moderne et UNIX Les systèmes d'exploitation Linux supportent PAM. Pour contrôler l'accès à certains services ces modules devront être modifiées.

Ce document sera revenir sur certains services pour fournir un exemple de la façon de changer les modules PAM pour bien sécuriser l'accès aux services. Ces paramètres peuvent être configurés sur une station de travail ou un serveur.

1.2 Restreindre l'accès à GDM, console, et SSH à un Groupe de domaine

1.2.2 groupe Active Directory

Créer des groupes de sécurité pour chaque service que vous souhaitez contrôler l'accès. Comment vous voulez définir les groupes est de vous. Vous pouvez avoir les groupes de parents et les groupes imbriqués, puis dans des groupes de parents. Ceci est idéal si vous voulez avoir un groupe de sécurité pour centre de données/site pour locale Les administrateurs de site et ensuite avoir votre groupe Enterprise Unix Admin dans membre du centre de données pour fournir un soutien mondial; créer un groupe de sécurité d'accueillir et de groupes imbriqués de donner accès à divers groupes de soutien; ou un groupe de sécurité pour l'ordinateur hôte et puis accorder aux groupes de sécurité pour différents sites FTP hébergés sur l'hôte autoriser le FTP d'accès utilisateur. Ce ne sont que quelques exemples et options sont à vous. On peut dire plus d'un groupe si vous ne voulez pas d'avoir des groupes imbriqués dans les groupes. Vous n'êtes pas limité.

Dans ce document, nous allons créer des groupes collés sur l'accès hôte. Quand la création d'un groupe d'assurer le groupe n'a pas d'espaces. Exemple JIMMNIX01-console où jimmnix01 est le nom d'hôte du client.

1.2.3 Restreindre Console

  1. Pour restreindre l'accès à la console Changer /etc/pam.d/login avec les modifications suivantes:

    1. Commentaire sur les lignes suivantes l'aide d'un (#) devant chaque ligne:

#auth use_first_pass de pam_unix.so suffisante

#account pam_winbind.so suffisante

#account pam_stack.so demandé service = system-auth

2. Ajouter suffisamment compte membre de ingroup pam_succeed_if.so DomainGroup (où DomainGroup est le groupe créé dans Active Directory)

Exemple: Compte pam_succeed_if.so utilisateur ingroup de roue suffisante


3. Pour accorder à un autre add de groupe une autre ligne avec suffisamment compte utilisateur pam_succeed_if.so ingroup DomainGroup2 (où DomainGroup2 est le deuxième groupe a été créé dans Active Directory)

4. Ajoutez suffisamment compte pam_succeed_If.so utilisateur tourne ingroup

Exemple: Compte pam_succeed_if.so ingroup utilisateur suffisante jimmnix01-console

1.2.4 Restreindre SSH

  1. Pour restreindre l'accès à ssh /etc/pam.d/sshd modifier et remplacer tout le contenu avec le contenu en vertu changer DomainGroup avec le groupe de sécurité créé dans Active Directory.

auth pam_stack.so demandé service = system-auth

auth demande pam_nologin.so

compte pam_succeed_if.so membre ingroup suffisante DomainGroup

compte pam_succeed_if.so utilisateur ingroup de roue suffisante

mot de passe pam_stack.so demandé service = system-auth

session pam_stack.so demandé service = system-auth

session demande pam_loginuid.so

session demande pam_mkhomedir.so skel =/etc/skel/umask = 0022

1.2.5 Restreindre WDM (Windows Desktop Manager)

  1. Pour restreindre l'accès à directeur de l'accès et de commentaires sur les graphiques changer /etc/pam.d/gdm suivante:

#auth inclure system-auth

#account inclure system-auth

#SESSION inclure system-auth

2. Ajoutez les lignes suivantes:

auth pam_stack.so demandé service = system-auth

compte pam_succeed_if.so membre ingroup suffisante DomainGroup compte pam_succeed_if.so roue suffisante utilisateur ingroup

mot de passe pam_stack.so demandé service = system-auth

session pam_stack.so demandé service = system-auth

3. Changer DomainGroup avec le groupe créé dans Active Directory)

Exemple: Compte pam_succeed_if.so ingroup utilisateur suffisante jimmnix01-console

4. Pour accorder à un autre groupe à ajouter une autre ligne avec le compte membre de ingroup suffisante pam_succeed_if.so DomainGroup2 (où DomainGroup2 est le deuxième groupe a été créé dans Active Directory)

1.2.5 Limite FTP et autres services

En d'autres services tels que FTP changement auth inclure system-auth et la session inclure la demande system-auth Service pam_stack.so = system-auth et changeant compte comprend system-auth suffisante pour pam_succeed_if.so membre ingroup DomainGroup (où DomainGroup est un groupe créé dans Active Directory) sera limitant l'accès uniquement au groupe de sécurité créé.

Exemple:

auth pam_stack.so demandé service = system-auth

compte pam_succeed_if.so utilisateur ingroup ftpusers suffisantes compte pam_succeed_if.so roue suffisante utilisateur ingroup

mot de passe pam_stack.so demandé service = system-auth

session pam_stack.so demandé service = system-auth

(0)
(0)

Commentaires - 0

Sans commentaires

Ajouter un commentaire

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caractères restants: 3000
captcha