VietNetwork.Vn

Nếu bạn cảm thấy mệt mỏi với việc quản lý tài khoản người dùng và xác thực trên từng máy trong mạng của mình và bạn đang tìm kiếm một cách tập trung và an toàn hơn để xử lý các tác vụ này, sử dụng SSSD để định cấu hình xác thực LDAP là giải pháp tối ưu của bạn.


LDAP (Giao thức truy cập thư mục nhẹ) là một giao thức chuẩn mở để truy cập và quản lý các dịch vụ thông tin thư mục phân tán qua mạng. Nó thường được sử dụng để quản lý và xác thực người dùng tập trung, cũng như để lưu trữ các loại dữ liệu cấu hình mạng và hệ thống khác.

Mặt khác, SSSD cung cấp quyền truy cập vào các nhà cung cấp nhận dạng và xác thực như LDAP, Kerberos và Active Directory. Nó lưu trữ cục bộ thông tin người dùng và nhóm, cải thiện hiệu suất và tính khả dụng của hệ thống.

Sử dụng SSSD để định cấu hình xác thực LDAP, bạn có thể xác thực người dùng bằng dịch vụ thư mục trung tâm, giảm nhu cầu quản lý tài khoản người dùng cục bộ và cải thiện bảo mật bằng cách tập trung kiểm soát truy cập.

Bài viết này tìm hiểu cách định cấu hình Máy khách LDAP để sử dụng SSSD (Daemon Dịch vụ Bảo mật Hệ thống), một giải pháp xác thực và quản lý danh tính tập trung mạnh mẽ.

1. Đảm bảo rằng máy của bạn đáp ứng các điều kiện tiên quyết

Trước khi định cấu hình SSSD để xác thực LDAP, hệ thống của bạn phải đáp ứng các điều kiện tiên quyết sau:

• Kết nối mạng : Đảm bảo rằng hệ thống của bạn có kết nối đang hoạt động và có thể kết nối với (các) máy chủ LDAP qua mạng. Bạn có thể cần định cấu hình cài đặt mạng như DNS, định tuyến và quy tắc tường lửa để cho phép hệ thống giao tiếp với (các) máy chủ LDAP.
• Chi tiết máy chủ LDAP : Bạn cũng phải biết tên máy chủ LDAP hoặc địa chỉ IP, số cổng, DN cơ sở và thông tin đăng nhập của quản trị viên để định cấu hình SSSD cho xác thực LDAP.
• Chứng chỉ SSL/TLS : Nếu bạn đang sử dụng SSL/TLS để bảo mật liên lạc LDAP của mình, bạn cần lấy chứng chỉ SSL/TLS từ (các) máy chủ LDAP và cài đặt nó trên hệ thống của mình. Bạn cũng có thể cần định cấu hình SSSD để tin cậy chứng chỉ bằng cách chỉ định ldap_tls_reqcert = demand hoặc ldap_tls_reqcert = allow trong tệp cấu hình SSSD.

2. Cài đặt và cấu hình SSSD để Sử dụng Xác thực LDAP

Dưới đây là các bước để định cấu hình SSSD cho xác thực LDAP.

Bước 1: Cài đặt gói SSSD và LDAP bắt buộc

Bạn có thể cài đặt SSSD và các gói LDAP cần thiết trong Ubuntu hoặc bất kỳ môi trường dựa trên Debian nào bằng dòng lệnh sau:

sudo apt-get install sssd libnss-ldap libpam-ldap ldap-utils
Lệnh đã cho sẽ cài đặt gói SSSD và các phụ thuộc bắt buộc để xác thực LDAP trên hệ thống Ubuntu hoặc Debian. Sau khi chạy lệnh này, hệ thống sẽ nhắc bạn nhập các chi tiết máy chủ LDAP như tên máy chủ hoặc địa chỉ IP của máy chủ LDAP, số cổng, DN cơ sở và thông tin xác thực của quản trị viên.

Bước 2: Định cấu hình SSSD cho LDAP

Chỉnh sửa tệp cấu hình SSSD /etc/sssd/sssd.conf và thêm khối miền LDAP sau vào tệp:

[sssd]

config_file_version = 2

services = nss, pam

domains = ldap_example_com

[domain/ldap_example_com]

id_provider = ldap

auth_provider = ldap

ldap_uri = ldaps://ldap.example.com/

ldap_search_base = dc=example,dc=com

ldap_tls_reqcert = demand

ldap_tls_cacert = /path/to/ca-cert.pem
Trong đoạn mã trước, tên miền là ldap_example_com. Thay thế nó bằng tên miền của bạn. Ngoài ra, hãy thay thế   Đăng nhập để xem liên kết bằng địa chỉ IP hoặc FQDN của máy chủ LDAP và dc=example,dc=com bằng DN cơ sở LDAP của bạn.

ldap_tls_reqcert = nhu cầu chỉ định rằng SSSD phải yêu cầu chứng chỉ SSL/TLS hợp lệ từ máy chủ LDAP. Nếu bạn có chứng chỉ tự ký hoặc CA trung gian, hãy đặt ldap_tls_reqcert = allow.

ldap_tls_cacert = /path/to/ca-cert.pem chỉ định đường dẫn đến tệp chứng chỉ SSL/TLS CA của hệ thống của bạn.

Bước 3: Khởi động lại SSSD

Sau khi thay đổi tệp cấu hình SSSD hoặc bất kỳ tệp cấu hình liên quan nào, bạn cần khởi động lại dịch vụ SSSD để áp dụng các thay đổi.

Bạn có thể sử dụng lệnh sau:

sudo systemctl restart sssd
Trên một số hệ thống, bạn có thể cần tải lại tệp cấu hình bằng cách sử dụng lệnh "sudo systemctl reload sssd" thay vì khởi động lại dịch vụ. Điều này tải lại cấu hình SSSD mà không làm gián đoạn bất kỳ phiên hoặc quy trình đang hoạt động nào.

Khởi động lại hoặc tải lại dịch vụ SSSD tạm thời làm gián đoạn bất kỳ phiên hoặc quy trình người dùng đang hoạt động nào dựa vào SSSD để xác thực hoặc ủy quyền. Đó là lý do tại sao bạn nên lên lịch khởi động lại dịch vụ trong khoảng thời gian bảo trì để giảm thiểu mọi tác động tiềm ẩn đối với người dùng.

Bước 4: Kiểm tra xác thực LDAP

Sau khi hoàn tất, hãy tiến hành kiểm tra hệ thống xác thực của bạn bằng lệnh sau:

getent passwd ldapuser1
Lệnh "getent passwd ldapuser1" truy xuất thông tin về tài khoản người dùng LDAP từ cấu hình Name Service Switch (NSS) của hệ thống, bao gồm cả dịch vụ SSSD.

Khi lệnh được thực thi, hệ thống sẽ tìm kiếm cấu hình NSS để biết thông tin về "người dùng ldapuser1". Nếu người dùng tồn tại và được định cấu hình chính xác trong thư mục LDAP và SSSD, đầu ra sẽ chứa thông tin về tài khoản của người dùng. Những thông tin này bao gồm tên người dùng, ID người dùng (UID), ID nhóm (GID), thư mục chính và shell mặc định.

Đây là một ví dụ đầu ra: ldapuser1:x:1001:1001:LDAP user:/home/ldapuser1:/bin/bash

Trong đầu ra ví dụ trước, " ldapuser1 " là tên người dùng LDAP, " 1001 " là ID người dùng (UID), " 1001 " là ID nhóm (GID), người dùng LDAP là tên đầy đủ của người dùng, /home/ldapuser1 là thư mục chính và /bin/bash là shell mặc định.

Nếu người dùng không tồn tại trong thư mục LDAP của bạn hoặc có vấn đề về cấu hình với dịch vụ SSSD, lệnh "getent" sẽ không trả về bất kỳ đầu ra nào.

Định cấu hình ứng dụng khách LDAP để sử dụng SSSD cung cấp một cách an toàn và hiệu quả để xác thực người dùng đối với thư mục LDAP. Với SSSD, bạn có thể tập trung xác thực và ủy quyền người dùng, đơn giản hóa việc quản lý người dùng và tăng cường bảo mật. Các bước được cung cấp sẽ giúp bạn định cấu hình thành công SSSD trên hệ thống của mình và bắt đầu sử dụng xác thực LDAP.