Pozdrav prijatelji! Napravit ćemo mrežu s nekoliko stolnih računara, ali ovaj put s operativnim sustavom Debian 7 "Wheezy". Kao server ClearOS. Kao podatak, zapazimo da je projekat Debian-Edu koristite Debian na svojim serverima i radnim stanicama. A taj projekt nas uči i olakšava uspostavljanje kompletne škole.
Neophodno je prije pročitati:
- Uvod u mrežu sa besplatnim softverom (I): Prezentacija ClearOS-a
Vidjet ćemo:
- Primjer mreže
- Konfiguriramo LDAP klijenta
- Konfiguracijske datoteke kreirane i / ili modificirane
- Datoteka /etc/ldap/ldap.conf
Primjer mreže
- Kontroler domene, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Ime kontrolera: centi
- Ime domena: friends.cu
- IP kontrolera: 10.10.10.60
- ---------------
- Debian verzija: wheezy.
- Ime tima: debian7
- IP adresa: Korištenje DHCP-a
Konfiguriramo LDAP klijenta
Moramo imati pri ruci podatke OpenLDAP servera, koje dobivamo putem web interfejsa administracije ClearOS uDirektorij »->« Domena i LDAP":
LDAP osnovni DN: dc = prijatelji, dc = cu LDAP veza BN: cn = upravitelj, cn = interni, dc = prijatelji, dc = cu LDAP veza lozinka: kLGD + Mj + ZTWzkD8W
Instaliramo potrebne pakete. Kao korisnik korijen izvršavamo:
aptitude instalirajte libnss-ldap nscd prst
Primijetite da izlaz prethodne naredbe također uključuje paket libpam-ldap. Tijekom postupka instalacije postavit će nam nekoliko pitanja na koja moramo tačno odgovoriti. Odgovori bi bili u slučaju ovog primjera:
URI LDAP poslužitelja: ldap: //10.10.10.60 Razlikovano ime (DN) baze pretraživanja: dc = prijatelji, dc = cu LDAP verzija za upotrebu: 3 LDAP račun za root: cn = menadžer, cn = interni, dc = prijatelji, dc = cu Lozinka za root LDAP račun: kLGD + Mj + ZTWzkD8W Sad nam kaže da je dosije /etc/nsswitch.conf njime se ne upravlja automatski i da ga moramo ručno izmijeniti. Želite li dopustiti LDAP administratorskom računu da se ponaša kao lokalni administrator?: Si Da li je korisnik potreban za pristup LDAP bazi podataka: Ne LDAP račun administratora: cn = menadžer, cn = interni, dc = prijatelji, dc = cu Lozinka za root LDAP račun: kLGD + Mj + ZTWzkD8W
Ako nismo u pravu u prethodnim odgovorima, izvršavamo kao korisnik korijen:
dpkg-rekonfiguracija libnss-ldap dpkg-rekonfiguracija libpam-ldap
I mi odgovaramo na ista pitanja postavljena ranije, uz jedini dodatak pitanju:
Lokalni algoritam šifriranja koji se koristi za lozinke: Md5
Ojo prilikom odgovaranja jer je zadana vrijednost koja nam se nudi Kripta, i moramo izjaviti da jeste Md5. Takođe nam pokazuje zaslon u načinu konzole s izlazom naredbe pam-auth-update izvršeno kao korijen, što moramo prihvatiti.
Mi modificiramo datoteku /etc/nsswitch.conf, a mi ga ostavljamo sa sljedećim sadržajem:
# /etc/nsswitch.conf # # Primjer konfiguracije funkcionalnosti GNU Name Service Switch. # Ako imate instalirane pakete `glibc-doc-reference 'i` info', pokušajte: # `info libc" Prekidač usluge imena "'za informacije o ovoj datoteci. passwd: compat ldap grupa: compat ldap sjena: compat ldap domaćini: datoteke mdns4_minimal [NOTFOUND = return] dns mdns4 mreže: protokoli datoteka: db datoteke usluge: db datoteke eteri: db datoteke rpc: db datoteke netgroup: nis
Mi modificiramo datoteku /etc/pam.d/common-session za automatsko kreiranje korisničkih mapa prilikom prijavljivanja ako ne postoje:
[----] potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Gornji redak mora biti naveden PRIJE # ovdje su moduli po paketu (blok "Primarni") [----]
Izvršavamo u konzoli kao korisnik korijen, Samo da provjerim, pam-auth-update:
Ponovo pokrećemo uslugu nscdi radimo provjere:
: ~ # ponovno pokretanje usluge nscd [ok] Ponovno pokretanje Daemon Cache Service Name: nscd. : ~ # koraci prstiju Prijava: strides Ime: Strides El Rey Direktorij: / home / strides Shell: / bin / bash Nikada se niste prijavili. Nema pošte. Nema plana. : ~ # getent passwd koraci Koraci: x: 1006: 63000: Koraci El Rey: / home / koraci: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas vilenjak: / dom / legolas: / bin / bash
Mijenjamo politiku ponovnog povezivanja s OpenLDAP serverom.
Uređujemo kao korisnik korijen i vrlo pažljivo, dosije /etc/libnss-ldap.conf. Tražimo riječ «tvrd«. Uklanjamo komentar iz retka #bind_policy teško i ostavljamo ovako: bind_policy soft.
Istu promjenu spomenutu prije, mi unosimo u datoteku /etc/pam_ldap.conf.
Gore navedene izmjene uklanjaju brojne poruke povezane s LDAP-om tijekom pokretanja i istovremeno ga čine bržim (postupak pokretanja).
Ponovno pokrećemo naš Wheezy jer su izvršene promjene ključne:
: ~ # reboot
Nakon ponovnog pokretanja, možemo se prijaviti sa bilo kojim korisnikom koji je registrovan u ClearOS OpenLDAP.
Preporučujemo da se tada radi sljedeće:
- Učinite vanjske korisnike članom istih grupa kojima pripada lokalni korisnik stvoren tijekom instalacije našeg Debiana.
- Upotreba naredbe visado, izvršeno kao korijen, daju potrebna odobrenja za izvršavanje vanjskim korisnicima.
- Stvorite oznaku s adresom https://centos.amigos.cu:81/?user en iceweasel, da bismo imali pristup ličnoj stranici u ClearOS-u, gdje možemo promijeniti svoju ličnu lozinku.
- Instalirajte OpenSSH-poslužitelj -ako nije odabran prilikom instaliranja sistema-da biste mogli pristupiti našem Debianu s drugog računara.
Konfiguracijske datoteke kreirane i / ili modificirane
LDAP tema zahtijeva puno proučavanja, strpljenja i iskustva. Posljednju koju nemam. Toplo preporučujemo pakete libnss-ldap y libpam-ldap, u slučaju ručne modifikacije zbog koje provjera autentičnosti prestaje raditi, pravilno konfigurirajte pomoću naredbe dpkg-rekonfiguracija, koji generira DEBCONF.
Povezane konfiguracijske datoteke su:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Datoteka /etc/ldap/ldap.conf
Još nismo dodirnuli ovu datoteku. Međutim, provjera autentičnosti radi ispravno zbog konfiguracije gore navedenih datoteka i PAM konfiguracije koju generira pam-auth-update. Međutim, moramo je i pravilno konfigurirati. Olakšava upotrebu naredbi poput ldapsearch, predviđen paketom ldap-utils. Minimalna konfiguracija bi bila:
BAZA dc = prijatelji, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikad
Možemo li provjeriti radi li OpenLDAP poslužitelj ClearOS-a ispravno, ako izvršimo u konzoli:
ldapsearch -d 5 -L "(objectclass = *)"
Izlaz naredbe je obilan. 🙂
Volim Debian! A aktivnost za danas je gotova, prijatelji !!!
Odličan članak, direktno u ladicu sa mojim savjetima
Hvala što ste komentirali Elav ... još goriva 🙂 i pričekajte sljedeći koji pokušava provjeriti autentičnost pomoću sssd protiv OpenLDAP-a.
Puno vam hvala što ste podijelili, radujući se drugoj isporuci 😀
Hvala na komentaru !!!. Čini se da je mentalna inercija autentifikacije protiv Microsoft domene jaka. Otuda i nekoliko komentara. Zbog toga pišem o istinskim besplatnim alternativama. Ako ih pažljivo pogledate, lakše ih je primijeniti. U početku pomalo konceptualno. Ali ništa.