Как я могу использовать аутентификацию ldap с полным шифрованием диска?
Я оцениваю (x) клиент Ubuntu для разработчика программного обеспечения моей компании. Мы должны использовать полное шифрование диска из-за программного обеспечения, которое не сохраняет свои файлы в / home (например, базы данных). Компания использует «активный каталог» в качестве решения LDAP.
При запуске системы я бы хотел, чтобы аутентификация пользователя LDAP разблокировала шифрование. Легко ли это сделать с помощью инструментов Linux?
Я знаю о LVM с Luks, но на самом деле это один пароль, который нельзя подключить к ldap.
Аналогичное решение для Windows - «DriveLock».
1 ответ
Решение 1: Используя crypttab сценарий для запросов полного шифрования диска LDAP
нуждается в ключе, прежде чем пользователь пройдет проверку подлинности. По этой причине необходимо писать/находить сценарий, который выполняется crypttab, когда Вы используете полное шифрование диска Ubuntu по умолчанию. Очень простой пример (без LDAP) может быть найден здесь . Сценарий Python аутентификации LDAP в качестве примера может быть найден здесь . Если Вы требуете, чтобы многочисленные пользователи использовали машину, необходимо ли будет стать творческими, чтобы видеть, как аутентификация LDAP обеспечит тот же дисковый ключ все время (например, несколько зашифрованных копий ключа локально, дешифрует с паролем пользователя?).
Решение 2: отображение файлов/направления к зашифрованному корневому каталогу
, Если я понимаю Вас правильно, Вам нужно решение, которое по существу расширяет зашифрованный корневой каталог с помощью нескольких других местоположений, к которым получают доступ программным обеспечением, запущенным пользователем. Можно затем использовать стандарт аутентификация LDAP , чтобы сделать вход в систему исходного пользователя.
Решение 2a: использование ln -s
ln -s создает символьные ссылки. Если Вы только планируете наличие статической установки, где тот же, который пользователь использует машину все время, эта установка, мог работать. Используйте ln -s для перенаправления файлов/папок, которые программное обеспечение пишет в (перенаправление к зашифрованному корневому каталогу). Или просто попытайтесь узнать, можете ли Вы re-condigure (посредством перекомпиляции?) выходной dir программного обеспечения.
Решение 2b: использование loopfs
последнее решение подобно зашифрованным корневым каталогам: используйте петлевые файловые системы, сохраненные в корневом каталоге пользователя, и зашифруйте корневой каталог. Если Вы знаете точно, где Ваш sofware хранит данные, можно записать сценарий для монтирования петлевых файловых систем к тем местоположениям. Я изображу схематически решение теперь, можно адаптировать его к определенным потребностям затем.
, Например, позволяет, принимают Ваши потребности программного обеспечения хранить уязвимые данные в/opt/foo. Я предполагаю, что/opt/foo в настоящее время пуст. Я не на 100% уверен в текущей человечности способ сделать это, но по существу Вы должны:
создают пустой файл соответствующего размера с dd, позволяет вызову что одно использование myLoopFS
losetup /dev/loop0 yourfile или подобный для соединения файла с устройством закольцовывания (как/dev/loop0). Вы могли даже зашифровать тот файл с losetup -e AES, но это не нужно, поскольку он будет сохранен в зашифрованном корневом каталоге.
Затем формат/dev/loop0 с ext4.
Затем монтируют его в/opt/foo, когда пользователь входит в систему.
программное обеспечение затем пишет в/dev/loop0, который входит в Ваш myLoopFS файл.
Удостоверяются, что/dev/loop0 размонтирован снова, когда пользователь выходит из системы.
, Что система должна награда Ваши требования, если Ваше программное обеспечение не пишет уязвимые данные повсеместно.
Сводка
я не нашел, что готовое программное обеспечение решило Вашу проблему, но, кажется достаточно легким решить с инструментами Linux по умолчанию как ln -s, losetup, или использующий crypttab сценарии.