NSS, PAM a LDAP

Jakub Kováč, xkovac5@mail.muni.cz

Obsah

UNIX
NSS
PAM
LDAP
Literatura

Autentizace v UNIXu

každý uživatel má uid gid a doplňková gid

/etc/passwd - obsahuje jméno uživatele, uid, gid a shell
/etc/shadow - obsahuje zahešovaná hesla, jen root a suid programy
/etc/group - obsahuje jméno skupiny, gid a seznam uživatelů

Name Service Switch (NNS)

umožňuje brát inforamce o uživetelích a skupinách nejen z /etc/passwd /etc/shadow. Specifikuje kde se mají hledat

Konfigurace - /etc/nsswitch.conf

vypisuje "databáze" a kde je hledat. Databáze může být třeba passwd, shadow, group, hosts, ... . Pak následuje jeden nebo více zdrojů kde je hledat - vezme se první který vyhoví. To jak funguje je specifikováno v /lib/libnss_*zdroj*.so.X

Nebo akce ve formátu [!]status = akce (!status - všechny kromě toho statusu)

statusy jsou:

success - žádná chyba , defaultní akce = return
notfound - prohledávání funguje ale záznam nebyl nalezen , defaultní akce = continue
unavail - služba není dostupná/soubor neexistuje ... , defaultní akce = continue
tryagain - služba je dočasně nedostupná/soubor je zamčený ... , defaultní akce = continue

akce zamenají:

return - zastaví prohledávání, pokud našlo nějaký záznam vrátí jej, případnou chybu oznámí aplikaci
continue - pokračuje prohledávání, zahodí případný výsledek
merge - pokračuje prohledávání, pokuj je další akce return tak skončí a vrátí výsledky obou akcí, pokud je další akce merge tak se výsledky postupně spojují

příklad

    hosts: dns files
    ethers: nisplus [NOTFOUND=return] db files

cashe

zdroje nemusí být vždycky k dispozici, proto se používají cashe - sssd, ...

nscd - cache pro passwd, group, hosts; konfigurace v /etc/nscd.conf
dvě cache - pootivní pro nalezené záznamy a nezativní pro nenalezené záznamy
sssd - cache pro LDAP, NIS, ... jak pro NSS tak i pro PAM ?????? nutný aby ldap s nss fungoval ???????
nsscache, unscd, nss-pam-ldapd, ...

nis

protokol na kominikaci; centrální NIS server, ukládá autentizační informace

Pluggable Authentication Modules (PAM)

sdílené moduly pro su, sshd, ftpd, ... . Musí implemontovat api libpam.so

konfigurace v /etc/pam.d

soubory pro jednotlivé služby a taky common-[něco]
formát: služba(/etc/pam.conf) typ control modul parametry

typ

account - neprovádí autentizaci - existuje účet, přístup v určitou hodinu, max. počet přihlášených uživatelů, ...
auth - zajištuje autentizaci - ptá se uživatele na heslo, pin ...; taky přidává práva skupiny, ...
password - změna autentizačních údajů - hesla, pin, ...
session - zprostředkovává služby před/po autentizaci - logování, pipojování adresářů, ...

control

buď jen jedno slovo nebo [náv. hodnota=akce,...]

required - pokud selže tak selže celá fáze ale dodělá se zbytek stejného typu
requisite - pokud selže tak selže celá fáze ihned
sufficient - pokud selže nevadí, pokud uspěje vrátí úspěch (záleží na required)
optional - nezáleží na návratové hodnotě
include - použije všechny řádky se stejným typem
substack - jako include akorát done a die skončí jen tento substack, při skocích se nemůže vyskočit ven a při skoku v hlavním souboru se počítá jako jeden modul a reset resetuje a stav před voláním substack

[náv. hodnota=akce]

návratových hodnot je víc jak 30 - success, ignore, abort, něco_err, default, ...; akce:

ignore - hodnota se ignoruje
bad - hodnota se bere jako špatná, pokud je první ze zásobníku, tak bude vrácena
die - jako bad akorát skončí hned
ok - hodnota se bere jako dobrá, pokud je první ze zásobníku, tak bude vrácena
done - jako ok akorát skončí hned
N - číslo - jako ok akorát skočí o N modulů (řádků)
reset - smaže stav zásobníku modulů

příklad - sshd

    # PAM configuration for the Secure Shell service
    @include common-auth

    account    required     pam_nologin.so

    @include common-account

    session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
    session    required     pam_loginuid.so
    session    optional     pam_keyinit.so force revoke

    @include common-session

    session    optional     pam_motd.so  motd=/run/motd.dynamic
    session    optional     pam_motd.so noupdate
    session    optional     pam_mail.so standard noenv # [1]
    session    required     pam_limits.so
    session    required     pam_env.so # [1]
    session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale
    session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

    @include common-password

nějaké moduly

pam_allow - vždy success
pam_deny - vždy selže
pam_succeed_if - podmínky na uživatele
pam_nologin - existuje soubor (ne pro root uživatele) def. /etc/nologin
pam_cracklib - kritéria pro heslo
pam_rootok - povolí jen uid = 0
pam_limits - nastavuje limity, /etc/security/limits.d/

další autentizační systémy

pam_google_authenticator - při instalaci se nastaví
pam_otpw - vygeneruje se soubor s 280 hesly, při přihlášení se ukáže "index" hesla a pro přihlášení je nutno vyhledat tento index a k tomu heslu připojit heslo zadané při generování listu hesel. Je nutné ručně vytvářet nové listy.
fprintd
yubico-pam - pro YubiKey ~/.yubico/authorized_yubikeys

Lightweight Directory Access Protocol (LDAP)

je to protokol (port 389, LDAPS 636) pro komunikaci s databází, je na LDAP serveru jak ta databáze bude vypadat. Neukládá jenom jména, hesla ale může vše (konfigurace služeb).

modely

Informační model - schéma
záznamům se říká objekt a ten má atributy které mají typ a jednu nebo více hodnot.
schéma je definice všech tříd objektů a atributů. Třída (objectClass) je vytvořitelná kolekce objektů.
odkaz na wiki - seznam tříd
Jmenný model
DN - distinguished name - unikátně identifikuje, něco jako (absolutní) cesta k souboru ve filesystému (čteme zleva doprava)
obsahuje RDN - atribut=hodnota+atribut2=hodnota2+... ; oddělené čárkami (relativní cesta)
dn: cn=John Doe,dc=example,dc=com
Funkční model
- bind (authenticate) - vytvoří session a zahájí autentikaci (záleží jak se připojuje TLS,SASL,...)
- unbind - zavře spojení
- abandon - vyžádá si od serveru o ukončení operace
- search, compare - vyhledá podle kritérií
- add - přidá záznam
- delete - odebere záznam
- modify - upraví existující záznam
- modify DN - upraví RDN v DN
Bezpočnostní model
autentizace/autentizace klienta, dále ssl/TLS, SASL, ...

Konfigurace

administrativní uživatel cn=admin,to co zadáte při instalaci
nastavení démona pomocí cn=config,to co zadáte při instalaci

/etc/ldap/slapd.d/ - výpis configů ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

cn=module,cn=config dynamicky načtené moduly;
cn=schema,cn=config definice schémat - děti jsou uživatelsky definované schémata; (/etc/ldap/schema)
olcBackend=xxx,cn=config nastavení backendu;
olcDatabase=xxx,cn=config nastavení databází;

autentizace

LDAP není šifrováný je nutno použít TLS/SSL pro LDAPS

pro každou databázi je admin uživatel zvlášť (olcRootDN a olcRootPW)

pro každou databázi je ACL zvlášť (olcAccess)


    olcAccess: {1}to attrs=loginShell,gecos
      by dn="cn=admin,dc=example,dc=com" write
      by self write
      by * read

SASL

poskytuje autentizaci a bezpočnostní vrstvu pro různé služby. Funguje tak, že server poskytne list podporovaných autentiačních mechanizmů a client si vybere
některé: ANONYMOUS, DIGEST-MD5, GSSAPI, PLAIN, NMAS_LOGIN, SPNEGO

ldap utils

v /etc/ldap/slapd.d/ složce se nacházejí složky a soubory podle jmenného modelu

ldapsearch vrací záznam(y) podle kritérií

ldapadd přidává do stromové struktury záznamy

příklad použití:

ldapadd -x -D cn=admin,dc=practice,dc=net -W -f soubor_na_prodani.ldif

dn: ou=Groups,dc=practice,dc=net
objectClass: organizationalUnit
ou: Groups

dn: cn=developers,ou=Groups,dc=practice,dc=net
objectClass: posixGroup
cn: developers
gidNumber: 5000

dn: uuid=freddy,ou=employee,dc=practice,dc=net
objectClass: posixAccount
uuid: freddy
gidNumber: 5000

ldapmodify upravuje záznamy