Здравейте приятели!. Ще направим мрежа с няколко настолни компютъра, но този път с операционната система Debian 7 "Wheezy". Като сървър той ClearOS. Като данни, нека забележим, че проектът Дебиан-Еду използвайте Debian на вашите сървъри и работни станции. И този проект ни учи и улеснява създаването на цялостно училище.
Важно е да прочетете преди:
- Въведение в мрежа със свободен софтуер (I): Представяне на ClearOS
Ще видим:
- Примерна мрежа
- Конфигурираме LDAP клиента
- Създадени и / или модифицирани конфигурационни файлове
- Файлът /etc/ldap/ldap.conf
Примерна мрежа
- Контролер на домейни, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Име на контролера: CentOS
- Име на домейн: приятели.cu
- IP на контролера: 10.10.10.60
- ---------------
- Версия на Debian: Хриптене.
- Име на отбора: debian7
- IP адрес: Използване на DHCP
Конфигурираме LDAP клиента
Трябва да разполагаме с данните на сървъра на OpenLDAP, които получаваме от уеб интерфейса за администриране ClearOS в «Директория »->« Домейн и LDAP":
LDAP Base DN: dc = приятели, dc = cu LDAP Bind DN: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
Инсталираме необходимите пакети. Като потребител корен изпълняваме:
aptitude инсталирайте libnss-ldap nscd пръст
Забележете, че изходът на предишната команда включва и пакета libpam-ldap. По време на инсталационния процес те ще ни зададат няколко въпроса, на които трябва да отговорим правилно. Отговорите ще бъдат в случая на този пример:
URI на LDAP сървър: ldap: //10.10.10.60 Отличителното име (DN) на базата за търсене: dc = приятели, dc = cu LDAP версия за използване: 3 LDAP акаунт за root: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu Парола за основния LDAP акаунт: kLGD + Mj + ZTWzkD8W Сега той ни казва, че файлът /etc/nsswitch.conf не се управлява автоматично и че трябва да го модифицираме ръчно. Искате ли да разрешите на LDAP акаунта на администратор да се държи като локален администратор?: Si Необходим ли е потребител за достъп до базата данни LDAP?: Не LDAP администраторски акаунт: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu Парола за основния LDAP акаунт: kLGD + Mj + ZTWzkD8W
Ако грешим в предишните отговори, изпълняваме като потребител корен:
dpkg-преконфигурирайте libnss-ldap dpkg-преконфигурирайте libpam-ldap
И ние отговаряме адекватно на същите въпроси, зададени преди, с единственото допълнение на въпроса:
Локален алгоритъм за криптиране, който да се използва за пароли: md5
Охо при отговор, защото стойността по подразбиране, която ни се предлага, е Крипта, и ние трябва да заявим, че е така md5. Той също така ни показва екран в конзолен режим с изхода на командата pam-auth-актуализация изпълнени като корен, което трябва да приемем.
Ние модифицираме файла /etc/nsswitch.conf, и го оставяме със следното съдържание:
# /etc/nsswitch.conf # # Примерна конфигурация на функционалността на GNU Name Service Switch. # Ако имате инсталирани пакетите `glibc-doc-reference 'и` info', опитайте: # `info libc" Switch Service Name "за информация за този файл. passwd: съвместим ldap група: съвместим ldap сянка: съвместим ldap хостове: файлове mdns4_minimal [NOTFOUND = return] dns mdns4 мрежи: файлови протоколи: db файлови услуги: db файлове етери: db файлове rpc: db файлове netgroup: nis
Ние модифицираме файла /etc/pam.d/common-session за автоматично създаване на потребителски папки при влизане в случай, че не съществуват:
[----] необходима сесия pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Горният ред трябва да бъде включен ПРЕДИ # тук са модулите за отделни пакети (блокът "Основен") [----]
Изпълняваме в конзола като потребител корен, Само за проверка, pam-auth-актуализация:
Рестартираме услугата nscd, и ние правим проверки:
: ~ # услуга nscd рестартиране [ok] Рестартиране на демон на кеш услуга за имена: nscd. : ~ # крачки на пръстите Вход: strides Име: Strides El Rey Директория: / home / strides Shell: / bin / bash Никога не сте влизали. Няма поща. Няма план. : ~ # getent passwd крачки Крачки: x: 1006: 63000: Крачки El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Модифицираме политиката за повторно свързване със сървъра OpenLDAP.
Редактираме като потребител корен и много внимателно досието /etc/libnss-ldap.conf. Търсим думата «трудно«. Премахваме коментара от реда #bind_policy трудно и го оставяме така: bind_policy мека.
Същата промяна, спомената преди, я правим във файла /etc/pam_ldap.conf.
Горните модификации премахват редица съобщения, свързани с LDAP по време на зареждане и в същото време го правят по-бърз (процесът на зареждане).
Рестартираме нашия Wheezy, защото направените промени са от съществено значение:
: ~ # рестартирате
След рестартиране можем да влезем с всеки потребител, регистриран в ClearOS OpenLDAP.
Ние препоръчваме че след това се прави следното:
- Направете външни потребители членове на същите групи като локалния потребител, създаден по време на инсталацията на нашия Debian.
- Използване на командата visudo, изпълнен като корен, дайте необходимите разрешения за изпълнение на външни потребители.
- Създайте маркер с адреса https://centos.amigos.cu:81/?user en Ледена сладка, за да имаме достъп до личната страница в ClearOS, където можем да сменим личната си парола.
- Инсталирайте сървъра OpenSSH -ако не го избрахме при инсталирането на системата-, за да имаме достъп до нашия Debian от друг компютър.
Създадени и / или модифицирани конфигурационни файлове
Темата за LDAP изисква много проучване, търпение и опит. Последното, което нямам. Горещо препоръчваме пакети libnss-ldap y libpam-ldap, в случай на ръчна модификация, която кара удостоверяването да спре да работи, бъдете преконфигурирани правилно с помощта на командата dpkg-преконфигуриране, който се генерира от DEBCONF.
Свързаните конфигурационни файлове са:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Файлът /etc/ldap/ldap.conf
Все още не сме докоснали този файл. Обаче удостоверяването работи правилно поради конфигурацията на изброените по-горе файлове и PAM конфигурацията, генерирана от pam-auth-актуализация. Трябва обаче да го конфигурираме правилно. Улеснява използването на команди като ldapsearch, предоставени от пакета ldap-полезни програми. Минималната конфигурация ще бъде:
BASE dc = приятели, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF никога
Можем да проверим дали OpenLDAP сървърът на ClearOS работи правилно, ако изпълним в конзола:
ldapsearch -d 5 -L "(objectclass = *)"
Изходът на командата е обилен. 🙂
Обичам Debian! И заниманието приключи за днес, приятели !!!
Отлична статия, директно към чекмеджето с моите съвети
Благодаря, че коментирахте Elav ... още гориво 🙂 и изчакайте следващото, което се опитва да се удостовери с помощта на sssd срещу OpenLDAP.
Благодаря ви много за споделянето, с нетърпение очакваме другата доставка 😀
Благодаря за коментара !!!. Изглежда, че умствената инерция при удостоверяването срещу домейн на Microsoft е силна. Оттук и малкото коментари. Ето защо пиша за истинските безплатни алтернативи. Ако го разгледате внимателно, те са по-лесни за изпълнение. Отначало малко концептуално. Но нищо.