Технология NSS

С целью универсального изменения источников различных данных для приложений (информация о пользователях, группах, компьютерах и т. п.) в Unix-системах используется технология Name Service Switch (NSS). Техноло-

гия  эта  похожа на  PAM,  т.е.  при  выполнении определенных стандартных функций специальная библиотека (здесь это библиотека языка C) переадресо- вывает вызов некоторому специальному модулю, который указывается в кон- фигурационном файле.

Настройка системы NSS производится через файл «/etc/nsswitch.conf»,

который содержит информацию об объектах и источниках данных о них. На- пример, в файле содержится строка hosts, которая задает поведение функции gethostbyname. В качестве источника данных для этой функции указаны file и dns, т. е. сначала будет произведен поиск в файле «/etc/hosts», а потом при по- мощи системы DNS.

Для того чтобы обеспечить получение авторизующей информации из

Active Directory, необходимо изменить настройки для объектов users и groups,

указав в качестве источника ldap. Однако соответствующая библиотека также требует определенной настройки, а именно ей необходимо указать, как интер- претировать объекты в нашей схеме LDAP.

ВЫПОЛНИТЬ!

37. Настройка модуля nss_ldap на виртуальной машине ws-linux

a.  Открыть в текстовом редакторе файл «/etc/libnss-ldap.conf»

b.  Указать следующие параметры

# адрес ldap сервера

host 192.168.0.1

# база  поиска

base dc=example,dc=com

# версия  протокола

ldap_version 3

# учетная  запись  для соединения с  сервером

binddn cn=proxyuser,cn=users,dc=example,dc=com

# пароль учетной записи

bindpw P@ssw0rd

# глубина поиска

scope sub

# Настройки  схемы:

# контейнер  с  объектами  с  информацией о  пользователе

nss_base_passwd CN=users,DC=example,DC=com

# контейнер  с  информацией о  группах

nss_base_group CN=users,DC=example,DC=com

# указать  аналог класса posixAccount

# (класс  posixAccount содержится в  стандартной  схеме,

# определенной в  RFC 2307)

nss_map_objectclass posixAccount user

# аналог атрибута uid nss_map_attribute uid sAMAccountName

# аналог атрибута homeDirectory

nss_map_attribute homeDirectory msSFUHomeDirectory

# указать  аналог класса posixGroup nss_map_objectclass posixGroup group

# аналог атрибута uniqueMember nss_map_attribute uniqueMember member

Остальные параметры оставить по умолчанию.

c.  Открыть текстовым редактором файл «/etc/nsswitch.conf». Доба-

вить метод ldap в строках passwd и group.

38. Задать атрибуты для Unix систем пользователя root. a.  Запустить оснастку ADSI Edit.

b.  Открыть редактор атрибутов для группы Domain Users. Задать ат-

рибуту gidNumber значение 2000.

c.  Открыть редактор атрибутов для пользователя root. Задать  сле- дующие значения атрибутов: uid — 0, gidNumber — 2000,  login- Shell — «/bin/bash», msSFUHomeDirectory — «/root».

39. С помощью текстового редактора удалить запись о пользователе root из

файла «/etc/passwd».

40. Проверить получение авторизующей информации из каталога AD.

a.  Выполнить команду getent passwd и убедиться, что пользователь

root присутствует в выводе.

b.  Выполнить команду getent group и убедиться, что в выводе при-

сутствует группа Domain Users.

c.  Выполнить команду id root и убедиться, что такой  пользователь существует, его uid — 0, основная группа — Domain Users.

41. Конфигурация PAM.

a.  Открыть в текстовом редакторе файл «/etc/pam.d/common-auth» и поставить  символ  «#»  в  начале  строки,  описывающей  модуль pam_unix.

b.  Перейти в новую виртуальную консоль и убедиться, что пользова-

тель root по-прежнему способен войти в систему.

42. Сделать    также    учетные    записи    student    и    Administrator    Unix-

пользователями (учтите, что пользователю Administrator необходимо соз-

дать домашний каталог).

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий