SWL мрежа (III): Debian Wheezy и ClearOS. LDAP удостоверяване

Здравейте приятели!. Ще направим мрежа с няколко настолни компютъра, но този път с операционната система Debian 7 "Wheezy". Като сървър той ClearOS. Като данни, нека забележим, че проектът Дебиан-Еду използвайте Debian на вашите сървъри и работни станции. И този проект ни учи и улеснява създаването на цялостно училище.

Важно е да прочетете преди:

• Въведение в мрежа със свободен софтуер (I): Представяне на ClearOS

Ще видим:

• Примерна мрежа
• Конфигурираме LDAP клиента
• Създадени и / или модифицирани конфигурационни файлове
• Файлът /etc/ldap/ldap.conf

Примерна мрежа

• Контролер на домейни, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Име на контролера: CentOS
• Име на домейн: приятели.cu
• IP на контролера: 10.10.10.60
• ---------------
• Версия на Debian: Хриптене.
• Име на отбора: debian7
• IP адрес: Използване на DHCP
  

Конфигурираме LDAP клиента

Трябва да разполагаме с данните на сървъра на OpenLDAP, които получаваме от уеб интерфейса за администриране ClearOS в «Директория »->« Домейн и LDAP":

LDAP Base DN: dc = приятели, dc = cu LDAP Bind DN: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Инсталираме необходимите пакети. Като потребител корен изпълняваме:

aptitude инсталирайте libnss-ldap nscd пръст

Забележете, че изходът на предишната команда включва и пакета libpam-ldap. По време на инсталационния процес те ще ни зададат няколко въпроса, на които трябва да отговорим правилно. Отговорите ще бъдат в случая на този пример:

URI на LDAP сървър: ldap: //10.10.10.60
Отличителното име (DN) на базата за търсене: dc = приятели, dc = cu
LDAP версия за използване: 3
LDAP акаунт за root: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu
Парола за основния LDAP акаунт: kLGD + Mj + ZTWzkD8W

Сега той ни казва, че файлът /etc/nsswitch.conf не се управлява автоматично и че трябва да го модифицираме ръчно. Искате ли да разрешите на LDAP акаунта на администратор да се държи като локален администратор?: Si
Необходим ли е потребител за достъп до базата данни LDAP?: Не
LDAP администраторски акаунт: cn = мениджър, cn = вътрешен, dc = приятели, dc = cu
Парола за основния LDAP акаунт: kLGD + Mj + ZTWzkD8W

Ако грешим в предишните отговори, изпълняваме като потребител корен:

dpkg-преконфигурирайте libnss-ldap
dpkg-преконфигурирайте libpam-ldap

И ние отговаряме адекватно на същите въпроси, зададени преди, с единственото допълнение на въпроса:

Локален алгоритъм за криптиране, който да се използва за пароли: md5

Охо при отговор, защото стойността по подразбиране, която ни се предлага, е Крипта, и ние трябва да заявим, че е така md5. Той също така ни показва екран в конзолен режим с изхода на командата pam-auth-актуализация изпълнени като корен, което трябва да приемем.

Ние модифицираме файла /etc/nsswitch.conf, и го оставяме със следното съдържание:

# /etc/nsswitch.conf # # Примерна конфигурация на функционалността на GNU Name Service Switch. # Ако имате инсталирани пакетите `glibc-doc-reference 'и` info', опитайте: # `info libc" Switch Service Name "за информация за този файл. passwd:         съвместим ldap
група:          съвместим ldap
сянка:         съвместим ldap

хостове: файлове mdns4_minimal [NOTFOUND = return] dns mdns4 мрежи: файлови протоколи: db файлови услуги: db файлове етери: db файлове rpc: db файлове netgroup: nis

Ние модифицираме файла /etc/pam.d/common-session за автоматично създаване на потребителски папки при влизане в случай, че не съществуват:

[----]
необходима сесия pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Горният ред трябва да бъде включен ПРЕДИ
# тук са модулите за отделни пакети (блокът "Основен") [----]

Изпълняваме в конзола като потребител корен, Само за проверка, pam-auth-актуализация:

Рестартираме услугата nscd, и ние правим проверки:

: ~ # услуга nscd рестартиране
[ok] Рестартиране на демон на кеш услуга за имена: nscd. : ~ # крачки на пръстите
Вход: strides Име: Strides El Rey Директория: / home / strides Shell: / bin / bash Никога не сте влизали. Няма поща. Няма план. : ~ # getent passwd крачки
Крачки: x: 1006: 63000: Крачки El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Модифицираме политиката за повторно свързване със сървъра OpenLDAP.

Редактираме като потребител корен и много внимателно досието /etc/libnss-ldap.conf. Търсим думата «трудно«. Премахваме коментара от реда #bind_policy трудно и го оставяме така: bind_policy мека.

Същата промяна, спомената преди, я правим във файла /etc/pam_ldap.conf.

Горните модификации премахват редица съобщения, свързани с LDAP по време на зареждане и в същото време го правят по-бърз (процесът на зареждане).

Рестартираме нашия Wheezy, защото направените промени са от съществено значение:

: ~ # рестартирате

След рестартиране можем да влезем с всеки потребител, регистриран в ClearOS OpenLDAP.

Ние препоръчваме че след това се прави следното:

• Направете външни потребители членове на същите групи като локалния потребител, създаден по време на инсталацията на нашия Debian.
• Използване на командата visudo, изпълнен като корен, дайте необходимите разрешения за изпълнение на външни потребители.
• Създайте маркер с адреса https://centos.amigos.cu:81/?user en Ледена сладка, за да имаме достъп до личната страница в ClearOS, където можем да сменим личната си парола.
• Инсталирайте сървъра OpenSSH -ако не го избрахме при инсталирането на системата-, за да имаме достъп до нашия Debian от друг компютър.

Създадени и / или модифицирани конфигурационни файлове

Темата за LDAP изисква много проучване, търпение и опит. Последното, което нямам. Горещо препоръчваме пакети libnss-ldap y libpam-ldap, в случай на ръчна модификация, която кара удостоверяването да спре да работи, бъдете преконфигурирани правилно с помощта на командата dpkg-преконфигуриране, който се генерира от DEBCONF.

Свързаните конфигурационни файлове са:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Файлът /etc/ldap/ldap.conf

Все още не сме докоснали този файл. Обаче удостоверяването работи правилно поради конфигурацията на изброените по-горе файлове и PAM конфигурацията, генерирана от pam-auth-актуализация. Трябва обаче да го конфигурираме правилно. Улеснява използването на команди като ldapsearch, предоставени от пакета ldap-полезни програми. Минималната конфигурация ще бъде:

BASE dc = приятели, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF никога

Можем да проверим дали OpenLDAP сървърът на ClearOS работи правилно, ако изпълним в конзола:

ldapsearch -d 5 -L "(objectclass = *)"

Изходът на командата е обилен. 🙂

Обичам Debian! И заниманието приключи за днес, приятели !!!