So überprüfen Sie, ob eine Authentifizierungsmethode in Linux aktiviert ist

Einführung

In diesem Lab lernen Sie, wie Sie prüfen können, welche Authentifizierungsmethoden auf einem Linux-System aktiviert sind. Wir werden uns die wichtigsten Konfigurationsdateien ansehen, die bestimmen, wie Benutzer authentifiziert und autorisiert werden.

Sie beginnen damit, die PAM (Pluggable Authentication Modules)-Konfigurationsdateien im Verzeichnis /etc/pam.d/ zu untersuchen, um das grundlegende Framework für die Authentifizierung zu verstehen. Als Nächstes prüfen Sie die SSSD (System Security Services Daemon)-Konfigurationsdatei unter /etc/sssd/sssd.conf, um festzustellen, ob es für remote Identitätsquellen konfiguriert ist. Abschließend überprüfen Sie die NSS (Name Service Switch)-Konfiguration in /etc/nsswitch.conf, um die Reihenfolge zu bestimmen, in der das System Benutzer- und Gruppeninformationen sucht. Am Ende dieses Labs haben Sie ein grundlegendes Verständnis davon, wo Sie nach den aktiven Authentifizierungsmethoden auf einem Linux-System suchen können.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/ls -.-> lab-558781{{"So überprüfen Sie, ob eine Authentifizierungsmethode in Linux aktiviert ist"}} linux/cat -.-> lab-558781{{"So überprüfen Sie, ob eine Authentifizierungsmethode in Linux aktiviert ist"}} end

Prüfen der PAM-Konfiguration mit ls /etc/pam.d

In diesem Schritt beginnen wir zu untersuchen, wie Linux die Benutzerauthentifizierung und -autorisierung handhabt. Ein wichtiger Bestandteil ist PAM, was für Pluggable Authentication Modules steht. PAM bietet eine flexible Möglichkeit, zu verwalten, wie Benutzer sich anmelden, Passwörter ändern und auf Systemressourcen zugreifen.

Stellen Sie sich PAM als eine Reihe von Regeln vor, die Anwendungen (wie der Anmeldebildschirm oder sudo) konsultieren, bevor sie einem Benutzer erlauben, eine Aktion auszuführen. Diese Regeln sind in Konfigurationsdateien definiert, die sich hauptsächlich im Verzeichnis /etc/pam.d/ befinden.

Schauen wir uns die PAM-Konfigurationsdateien auf diesem System an. Wir verwenden den Befehl ls, der den Inhalt eines Verzeichnisses auflistet.

Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Denken Sie daran, dass Sie das Symbol für das Xfce Terminal auf der linken Seite Ihres Desktops finden können.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

ls /etc/pam.d/

Sie sehen eine Liste von Dateien. Jede Datei entspricht in der Regel einem Dienst oder einer Anwendung, die PAM für die Authentifizierung verwendet. Beispielsweise könnten Sie Dateien wie common-auth, login, sudo, sshd usw. sehen.

atd
chfn
chsh
common-account
common-auth
common-password
common-session
common-session-noninteractive
cron
... (die Ausgabe kann variieren)

Diese Dateien enthalten die spezifischen PAM-Regeln für jeden Dienst. Wir werden uns noch nicht in die Details der Dateiinhalte vertiefen, aber es ist wichtig zu wissen, wo sich diese Konfigurationen befinden.

Das Verständnis von PAM ist entscheidend für die Verwaltung des Benutzerzugangs und der Sicherheit in Linux. Indem Sie den Inhalt von /etc/pam.d/ aufgelistet haben, haben Sie den ersten Schritt unternommen, um zu sehen, wie die Authentifizierung auf diesem System konfiguriert ist.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen der SSSD-Konfiguration mit cat /etc/sssd/sssd.conf

In diesem Schritt schauen wir uns eine weitere wichtige Komponente im Zusammenhang mit der Benutzerverwaltung und -authentifizierung an: SSSD. SSSD steht für System Security Services Daemon. Es ist ein Dienst, der Zugang zu remote Authentifizierungs- und Identitätsquellen wie LDAP, Active Directory oder FreeIPA bietet.

SSSD kann Anmeldeinformationen und Informationen zwischenspeichern, was die Leistung verbessert und es Benutzern ermöglicht, sich auch dann zu authentifizieren, wenn die Netzwerkverbindung zur remote Quelle vorübergehend nicht verfügbar ist.

Die Hauptkonfigurationsdatei für SSSD befindet sich normalerweise unter /etc/sssd/sssd.conf. Wir verwenden den Befehl cat, um den Inhalt dieser Datei anzuzeigen. Der cat-Befehl ist ein einfaches Hilfsprogramm, das zum Anzeigen des Inhalts von Dateien verwendet wird.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

cat /etc/sssd/sssd.conf

Sie sehen die Konfigurationsdetails für SSSD. Der Inhalt dieser Datei hängt davon ab, ob SSSD so konfiguriert ist, dass es sich an externe Identitätsquellen anschließt. Auf einem Basis-System kann die Datei minimal sein oder Standard-Einstellungen enthalten.

[sssd]
domains =
config_file_version = 2
services = nss, pam

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

Diese Ausgabe zeigt die Grundstruktur der sssd.conf-Datei. Der Abschnitt [sssd] enthält globale Einstellungen, und die Zeile services gibt an, dass SSSD Dienste für nss (Name Service Switch) und pam bereitstellt. Die Abschnitte [nss] und [pam] enthalten Einstellungen, die speziell für diese Dienste gelten.

Selbst wenn SSSD nicht vollständig für eine remote Quelle konfiguriert ist, zeigt seine Existenz und die grundlegende Konfiguration in sssd.conf, dass das System so eingerichtet ist, dass es es möglicherweise für die Authentifizierung und die Identitätsermittlung nutzen kann.

Das Prüfen dieser Datei hilft Ihnen zu verstehen, ob Ihr System so konfiguriert ist, dass es SSSD nutzt und mit welchen Diensten es integriert ist.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Prüfen der NSS-Konfiguration mit cat /etc/nsswitch.conf

In diesem letzten Schritt dieses Einführungslabs werden wir die Name Service Switch (NSS)-Konfiguration untersuchen. NSS ist ein entscheidender Bestandteil davon, wie Linux-Systeme bestimmen, wo sie nach Informationen über Benutzer, Gruppen, Hostnamen und andere netzwerkbezogene Daten suchen sollen.

Wenn ein Programm die Informationen eines Benutzers (z. B. seine Benutzer-ID oder sein Heimatverzeichnis) abrufen muss, konsultiert es die NSS-Konfiguration, um zu wissen, welche Quellen es überprüfen und in welcher Reihenfolge. Diese Quellen können lokale Dateien (wie /etc/passwd und /etc/group), DNS, LDAP oder Dienste wie SSSD (das wir gerade betrachtet haben) umfassen.

Die Konfigurationsdatei für NSS ist /etc/nsswitch.conf. Wir verwenden erneut den Befehl cat, um ihren Inhalt anzuzeigen.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

cat /etc/nsswitch.conf

Sie sehen Zeilen, die angeben, welche Quellen für verschiedene Arten von Informationen verwendet werden sollen. Jede Zeile beginnt mit der Art der Information (z. B. passwd, group, hosts), gefolgt von einem Doppelpunkt und einer Liste der zu überprüfenden Quellen.

## /etc/nsswitch.conf
#
## Example configuration of GNU Name Service Switch functionality.
## If you have the `glibc-doc-reference' and `info' packages installed, try:
## `info libc "Name Service Switch"' for information.

passwd:         compat systemd
group:          compat systemd
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

In dieser Beispielausgabe:

passwd: compat systemd bedeutet, dass beim Abrufen von Benutzerinformationen das System zunächst die von compat konfigurierten Quellen (oft traditionelle Dateien wie /etc/passwd) und dann systemd überprüfen sollte.
hosts: files dns bedeutet, dass beim Auflösen von Hostnamen das System zunächst die lokale /etc/hosts-Datei (files) und dann DNS verwenden sollte.

Die Reihenfolge der Quellen in jeder Zeile ist wichtig, da das System sie nacheinander überprüft, bis es die angeforderte Information findet.

Das Verständnis von nsswitch.conf hilft Ihnen, Probleme im Zusammenhang mit Benutzeranmeldungen, Hostnamenauflösung und anderen identitätsbezogenen Problemen zu beheben, indem es Ihnen die Reihenfolge zeigt, in der Ihr System diese Informationen abruft.

Sie haben sich jetzt kurz drei Schlüsselbereichen im Zusammenhang mit der Benutzerverwaltung und -authentifizierung in Linux angeschaut: PAM, SSSD und NSS. Dies ist ein grundlegender Schritt zum Verständnis, wie Ihr System Identitäten und Zugriffe verwaltet.

Klicken Sie auf Weiter, um dieses Lab abzuschließen.

Zusammenfassung

In diesem Lab haben wir begonnen, zu untersuchen, wie Linux die Benutzerauthentifizierung verwaltet, indem wir wichtige Konfigurationsdateien betrachtet haben. Zunächst haben wir ls /etc/pam.d/ verwendet, um die Pluggable Authentication Modules (PAM)-Konfigurationsdateien aufzulisten, die die Authentifizierungsregeln für verschiedene Dienste und Anwendungen definieren. Dies hat uns gezeigt, wo die Kernauthentifizierungsrichtlinien auf dem System gespeichert sind.

Als Nächstes haben wir begonnen, den System Security Services Daemon (SSSD) zu untersuchen, indem wir versucht haben, seine Konfigurationsdatei unter /etc/sssd/sssd.conf mit dem cat-Befehl anzuzeigen. SSSD ist ein entscheidender Dienst für die Integration mit remote Identitäts- und Authentifizierungsquellen, und das Prüfen seiner Konfiguration hilft dabei zu bestimmen, ob und wie das System für die Authentifizierung gegenüber externen Verzeichnissen konfiguriert ist.