У меня есть (открытый) сервер LDAP, работающий в системе Debian внутри моей локальной сети, и несколько систем, работающих под управлением Linux Mint, настроенных как клиенты LDAP.
Вот содержание моего /etc/nsswitch.conf
:
passwd: compat ldap
group: compat ldap
shadow: compat ldap
gshadow: files
hosts: files mdns4_minimal [NOTFOUND=return] dns myhostname
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: ldap
Мой вопрос: что произойдет, если сервер LDAP вводит конфликты пользователей (uid / username)? Можно ли использовать это для получения root-доступа на клиентах? Является ли в этом отношении LDAP-сервер единственной точкой отказа? Можно ли это предотвратить?
Я знаю, что задал 4 вопроса, но все они по одной теме: «конфликты пользователей».
Спасибо!
/etc/passwd
имеют одинаковый UID, оба могут получить доступ к файлам другого - фактически, они являются одним и тем же пользователем. sudo
права или что-то подобное, у другого пользователя также будет (как я уже сказал, это фактически один и тот же пользователь). /etc/passwd
. Предотвратить это означает убедиться, что у вас нет коллизий перед подключением к LDAP, а после этого добавлять пользователей только в LDAP, а не в локальные файлы (за исключением учетных записей служб). Это ваша ответственность, и система не защищает вас в этом случае. Что происходит, так это то, что вы получаете номера UID / GID, которые не совпадают между серверами.
Ситуации:
Несогласованные номера UID / GID на серверах могут вызвать ряд проблем, таких как проблемы с владением файлами при экспорте NFS или проблемы с владением файлами при переключении хранилища / файловых систем SAN между серверами.
Вы не можете успешно использовать центральную систему аутентификации пользователей, такую как LDAP, у вас нет согласованных номеров UID / GID.
Итак, что вам нужно сделать, это собрать информацию со всех серверов, чтобы установить:
По сути, вы составляете общую картину всего. Вы предотвратите все проблемы, сделав аналогичный анализ с вышеупомянутым и приняв меры, чтобы все это объединить.
Что касается единой точки отказа, вам следует проверить передовые методы, подобные перечисленным Вот.
Чтобы защитить свой сервер LDAP, отметьте это руководство.
Также см связанные уязвимости.