Salı, Haziran 04, 2013

LDAP Yetkilendirmesi İçin Gerçekleştirilen İşlemler

Sunucu/İstemci hazırlandıktan sonra aşağıdaki adımlar uygulanır.

1. **SELINUX** kapatılır.

  # vi /etc/sysconfig/selinux
  :%s/SELINUX=enforcing/SELINUX=disabled/
  :wq!

2. **IPTABLES** kapatılır veya ihtiyaca göre kurallar düzenlenir.

  # service iptables stop
  # chkconfig iptables off
 
3. LDAP yetkilendirme yapabilemsi için aşağıdaki adımlar izlenir.

3.1. Yoksa **OPENLDAP-CLIENTS** ve **SSSD** paketleri yüklenir.

//NOT : SSSD CentOS 6 ile gelen ve NSCD'nin yerine geçen pakettir. Güvenli haberleşmeyi sağlar.//

  # yum install openldap-clients sssd sssd-client pam_ldap fprintd-pam oddjob
  # chkconfig --level 345 sssd on

3.2. İstemci için LDAP tanımları gerçekleştirilir.

İşlemleri komutsatırından gerçekleştirmek için;

  # authconfig
 
İşlemleri bir arayüz üzerinden gerçekleştirmek için;

  # authconfig-tui
  veya
  # authconfig-gtk

komutları kullanılır. Açılan arayüz üzerinden LDAP yetkilendirme biçimi seçilir. LDAP sunucu bilgileri, TLS bağlantı bilgileri ve CA sertifikanın yüklenmesi sağlanır. Sertifika arayüzden yüklenebildiği gibi elle de ilgili konuma konulabilir. Sertifikayı almak için;

  # wget http://SUNUCU_ADI/ca_cert.pem
 
komutu işletilir. Sertifika **/etc/openldap/cacerts** dizinine kopyalanır/konur. Sertifikanın özeti hesaplanarak bir bağlantı/kısa yol oluşturulur.

  # openssl x509 -hash -noout -in ca_cert.pem
  # ln -s ca_cert.pem 26826123.0
 
Bu işlemler;

  /etc/ldap.conf (bu dosya yoksa /etc/openldap/ldap.conf dosyası)
  /etc/pam_ldap.conf
  /etc/sysconfig/authconfig
  /etc/sssd/sssd.conf
  /etc/pam.d/system-auth

dosyalarını güncellemektedir. Sorun oluşması durumunda ayrıca;

  /etc/nsswitch.conf
 
dosyası da incelenmelidir.

Eğer yoksa, aşağıdaki dosyalara **session     optional      pam_oddjob_mkhomedir.so** satırı eklenmelidir.

  /etc/pam.d/system-auth
  /etc/pam.d/password-auth

3.3. LDAP bağlantısının kontrolü için

  ldapsearch -x -b 'ou=People,dc=sea,dc=net' '(ObjectClass=*)'

komutu işletilebilir.

4. SSH servisinde root erişimi kapatılır. **PermitRootLogin** parametresi **no** olarak ayarlanır.

  # vi /etc/sshd/sshd_config
  PermitRootLogin no

5. **SUDOERS** dosyası düzenlenir.

  # visudo
     Cmnd_Alias FORBIDDEN = /usr/sbin/visudo, /bin/su 
     %User   ALL=(ALL)       ALL

Eklenen bu satır ile **User** grubuna ait olan tüm kullanıcılar tüm makinelerden tüm komutları şifresini girerek çalıştırabilmektedir.

6. DNS sunucusuna erişemediği durumda sorun yaşanmaması için;

  # vi /etc/hosts
  172.16.0.203 venus.sea.net venus
 
satırı eklenmesi gerekir.

 

Gönderen zaman: Hiç yorum yok:
Kaydol: Kayıtlar (Atom)