利用Freeipa實現Liunx用戶身份、許可權的統一管理 | 企業安全擁抱開源

新聞 02-05

*本文原創作者：agui，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

在《企業安全擁抱開源之FREEOTP部署實戰》一文中（下面簡稱上文），已經介紹了Freeipa的部署方法和OTP的啟用方法，本文繼續深入介紹如何將Linux接入進行統一的身份管理。

在未部署統一身份管理系統時，管理員需要分別在每一台主機上為對應的系統管理員創建、維護賬號和密碼，無法進行統一的管理。

當主機數量增加到一定程度後，也將難以進行有效的安全管理，對賬號密碼泄露等問題難以進行控制。統一身份認證系統可以幫助我們解決這一問題。

Windows環境下可以使用域賬號進行身份管理，而在Linux環境下，上文中我們部署的Freeipa已經提供了相關功能，可以快速、便捷的將linux系統接入，進行統一的身份認證和許可權管理。

0×01 序

本文假設系統管理員已將域賬號同步至Freeipa或已在Freeipa中建立了用戶賬號（username）。

本文client使用CentOS 7作為測試環境。

0×02 準備工作

1. 批量啟用令牌

將域賬號同步至Freeipa後，上文介紹了使用WEBUI啟用令牌的方法，為便於批量操作，管理員也可採用下列腳本簡化啟用令牌的過程：

命令詳細用法請使用ipa help topics查詢。

執行完畢後，用戶令牌配置文件輸出至otplist，輸出結果如圖所示。

利用新創建的賬號登錄Freeipa WebUI測試無誤後，即可進行接下來的步驟。

2. 設置用戶配置文件

使用管理員賬號登錄WebUI，找到需要設置的用戶，設置用戶登錄shell、home目錄、SSH public keys等，本例中設置如下：

命令：

#ipa user-mod USERNAME --shell=/bin/bash--homedir=/home/USERNAME

3. 創建autoenroll用戶

為方便主機Host加入Freeipa管理，應創建單獨的用戶用於自動註冊主機，

新建帳號autoenroll，需要登錄一下web，更新一下密碼。

Web UI創建 enroll帳號的步驟：

【IPA Server ->Role Based ACL -> ROLES】添加Enroll組 -> 選擇PRIVILEGES許可權組，添加許可權：

同時，將autoenroll用戶加入enroll組中

4. 客戶機安裝和配置ipa-client

a) 安裝ipa client

# yum install ipa-client

配置ipa client

在主機未加入Freeipa統一管理之前，主機中只創建了root賬號，未創建其它賬號，Freeipa用戶顯而易見是無法直接登錄主機的：

b) 配置ipa-client

執行ipa-client-install,按照提示輸domain name、freeipa hostname、autoenroll賬號密碼等信息後，確認執行：

# ipa-client-install

c) 為用戶創建home目錄

# mkdir /home/username

0×03 登錄系統測試

執行成功後，再次嘗試使用Freeipa中已有用戶賬號連接主機，此時已可以成功登錄：

如果已開啟OTP，則會要求連續輸入密碼、OTP後才可成功登錄，登錄提示信息如下：

提示First Factor：請輸入你的密碼，如果已進行AD同步，此處為域賬號密碼

提示Second Factor：請輸入你的OTP，通常為6位或8位數字

0×04許可權管理

Freeipa提供了統一許可權管理功能，可直觀的通過web ui進行配置，

1. 創建HBAC規則

【Policy-Host Based Access Control】，根據需要創建控制規則,

規則設置簡單易懂，即【

什麼用戶（組）可以通過什麼服務（組）訪問哪台主機（組）

】，在創建響應的用戶、用戶組、主機、主機組、服務、服務組後即可進行篩選、添加等操作。

配置完畢後，請刪除刪除默認的allow_all規則

。

2. 創建sudo規則

在未創建sudo規則前，登錄用戶只具備普通用戶許可權，如果需進行系統管理操作，需要創建對應的sudo規則。

a) **

首先檢查確認上一節HBAC配置：**

Who：需要使用sudo的用戶或用戶組已配置

Accessing：需訪問的主機或主機組已配置

Via Service：已啟用sshd、sudo服務

b) **

創建適當的sudo規則**

【Policy-Sudo-Sudo Rules】，創建新的Sudo規則，名為「admin_sudo_rule」

3. 驗證sudo規則

SSH遠程登錄驗證是否可正常登錄，同時執行sudo command驗證是否可正常執行。如出現要求反覆輸入密碼的情況，請檢查上述配置是否正確。

0×05 參考內容

http://www.freeipa.org/images/7/77/Freeipa30_SSSD_SUDO_Integration.pdf

*本文原創作者：agui，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※美國國防部DARPA想要創建安全數據共享技術
※圖解Meterpreter實現網路穿透的方法
※大量開發者會將訪問token和API密鑰硬編碼至Android應用
※法庭文件揭秘：美國聯邦調查局是如何監聽汽車15年的
※Android是今年的漏洞之王？CVE Details的數據根本就不靠譜！

TAG:FreeBuf |

您可能感興趣

※Rackspace將收購TriCore進軍企業應用管理
※PKS：企業管理和運維Kubernetes的利器
※思科收購企業安全創企Observable Networks
※谷歌Transfer Appliance可以幫助企業用戶向Google Cloud傳輸數據
※向企業用戶收費 Facebook打算用WhatsApp賺錢了
※Windows 10 Mobile再為企業添力：設備管理應用上架商店
※Moleskine 與義大利企業孵化器 Digital Magics 合作開展開放創新計劃
※如何配合好專利律師，妥善解決企業專利侵權訴訟How to cooperate with patent lawyers
※「Cyclotron Road計劃」，支援被忽視的能源企業家
※微軟收購企業雲服務公司 Cycle Computing
※TalkingData：用好大數據，為企業轉型賦能
※微軟Power BI Premium提供價格親民的企業級功能
※攝影師Patricio Suarez大牌企業的新寵
※Concur助力企業利用Concur定位與主動監控解決方案
※PowerVM+PowerVC 看IBM Power Systems助力企業雲化資源管理
※微軟向企業捆綁銷售Windows和Office
※微軟開放 Insider Preview 計畫供企業試用
※想去頂級企業Google、YoutuBe、Airbnb、Shopify的多倫多辦公室參觀、搭訕、找工作的絕佳機會來了！
※為何App Store是企業開展業務的好去處