PV090: Databáze uživatelů, PAM a LDAP

Náměty k referátu

Autentizace

• Autentizace v UNIXu, soubory passwd a shadow, ukládání hesel.
• Systém PAM (napojení dalších autentizačních mechanismů, konfigurace, zpětná kompatibilita).
• Vybrané zajímavé PAM moduly.
• Další autentizační systémy:
  • vícefaktorová autentizace
  • jednorázová hesla (TOTP)
  • FIDO2/U2F/Passkeys

NSSwitch

• Nsswitch: moduly, konfigurace
• Cache dat a vyčlenění LDAP klienta do samostatného démona (nslcd, nscd, sssd)

LDAP

• Co je to LDAP, directory services.
• Strom LDAP objektů, LDAP Schema.
• Nástroje na práci s LDAP (ldapsearch, ldapadd, …).
• OpenLDAP, základní nastavení (konfigurační soubory versus LDAP objekty).
• Unixoví uživatelé v LDAPu (PosixAccount, ShadowAccount).
• MigrationTools. Spolupráce se SASL.
• Přístupová práva k jednotlivým objektům LDAP serveru
• Replikace.
• LDAP a ukládání hesel.

Úkol

• Nakonfigurujte na počítači alpha PAM tak, aby vždy po přihlášení měl uživatel nastavenou proměnnou prostředí PV090 na hodnotu test.
• Na počítači alpha nakonfigurujte LDAP server.
• Vytvořte strom objektů se suffixem dc=pv090,dc=fi,dc=muni,dc=cz.
• V podstromu ou=PeoplePV090 vytvořte objekt uid=pv090ldap, popisující UNIXový účet s UID 4242; jako heslo nastavte LDAP090.
• LDAP server musí odpovídat i na anonymní dotazy z erigony.
• Vytvořte na stroji alpha soubor /home/pv090ldap/pokus vlastněný uživatelem pv090ldap.
• Na obou počítačích nakonfigurujte NSSwitch tak, aby bral informace o uživatelích z lokálních tabulek i z LDAPu a umožněte přihlášení uživatele pv090ldap, který bude zaveden jenom v LDAPu.
• Na počítači beta zprovozněte záložní LDAP server a nakonfigurujte replikaci dat z počítače alpha.

Mohlo by se hodit

• Příkaz ldapsearch -x -h 127.0.0.1 -w -b ou=PeoplePV090,dc=pv090,dc=fi,dc=muni,dc=cz uid=pv090ldap
• Když něco změníte v LDAP serveru, nezapomeňte na cache dat v nslcd nebo podobných
• getent passwd pv090ldap ověří přítomnost uživatele pv090ldap někde v nsswitchi

Hodnocení

Základní část

• Na stroji alpha běží LDAP server a obsahuje objekt uid=pv090ldap,ou=PeoplePV090,dc=pv090,dc=fi,dc=muni,dc=cz
• Ve výpisu programu ls -l /home/pv090ldap/pokus se korektně překládá UID u souborů vlastněných uživatelem pv090ldap na jeho login

Hodnocená část

• 1 bod: na stroji alpha má uživatel po přihlášení nastavenou proměnnou prostředí PV090 podle zadání
• 2 body: funguje přihlášení uživatele pv090ldap s heslem ze zadání
• 1 bod: LDAP server je dostupný po IPv4 i IPv6
• 1 bod: LDAP server je dostupný taky jako LDAPS se správným certifikátem
• 1 bod: klienti fungují včetně ověřování TLS certifikátu LDAP serveru

Bonusová část

• 3 body: funguje replikace databáze LDAPu