SWL mreža (III): Debian Wheezy i ClearOS. LDAP provjera autentičnosti

Pozdrav prijatelji! Napravit ćemo mrežu s nekoliko stolnih računara, ali ovaj put s operativnim sustavom Debian 7 "Wheezy". Kao server ClearOS. Kao podatak, zapazimo da je projekat Debian-Edu koristite Debian na svojim serverima i radnim stanicama. A taj projekt nas uči i olakšava uspostavljanje kompletne škole.

Neophodno je prije pročitati:

  • Uvod u mrežu sa besplatnim softverom (I): Prezentacija ClearOS-a

Vidjet ćemo:

  • Primjer mreže
  • Konfiguriramo LDAP klijenta
  • Konfiguracijske datoteke kreirane i / ili modificirane
  • Datoteka /etc/ldap/ldap.conf

Primjer mreže

  • Kontroler domene, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
  • Ime kontrolera: centi
  • Ime domena: friends.cu
  • IP kontrolera: 10.10.10.60
  • ---------------
  • Debian verzija: wheezy.
  • Ime tima: debian7
  • IP adresa: Korištenje DHCP-a

debian7-dhcp-ip

Konfiguriramo LDAP klijenta

Moramo imati pri ruci podatke OpenLDAP servera, koje dobivamo putem web interfejsa administracije ClearOS uDirektorij »->« Domena i LDAP":

LDAP osnovni DN: dc = prijatelji, dc = cu LDAP veza BN: cn = upravitelj, cn = interni, dc = prijatelji, dc = cu LDAP veza lozinka: kLGD + Mj + ZTWzkD8W

Instaliramo potrebne pakete. Kao korisnik korijen izvršavamo:

aptitude instalirajte libnss-ldap nscd prst

Primijetite da izlaz prethodne naredbe također uključuje paket libpam-ldap. Tijekom postupka instalacije postavit će nam nekoliko pitanja na koja moramo tačno odgovoriti. Odgovori bi bili u slučaju ovog primjera:

URI LDAP poslužitelja: ldap: //10.10.10.60
Razlikovano ime (DN) baze pretraživanja: dc = prijatelji, dc = cu
LDAP verzija za upotrebu: 3
LDAP račun za root: cn = menadžer, cn = interni, dc = prijatelji, dc = cu
Lozinka za root LDAP račun: kLGD + Mj + ZTWzkD8W

Sad nam kaže da je dosije /etc/nsswitch.conf njime se ne upravlja automatski i da ga moramo ručno izmijeniti. Želite li dopustiti LDAP administratorskom računu da se ponaša kao lokalni administrator?: Si
Da li je korisnik potreban za pristup LDAP bazi podataka: Ne
LDAP račun administratora: cn = menadžer, cn = interni, dc = prijatelji, dc = cu
Lozinka za root LDAP račun: kLGD + Mj + ZTWzkD8W

Ako nismo u pravu u prethodnim odgovorima, izvršavamo kao korisnik korijen:

dpkg-rekonfiguracija libnss-ldap
dpkg-rekonfiguracija libpam-ldap

I mi odgovaramo na ista pitanja postavljena ranije, uz jedini dodatak pitanju:

Lokalni algoritam šifriranja koji se koristi za lozinke: Md5

Ojo prilikom odgovaranja jer je zadana vrijednost koja nam se nudi Kripta, i moramo izjaviti da jeste Md5. Takođe nam pokazuje zaslon u načinu konzole s izlazom naredbe pam-auth-update izvršeno kao korijen, što moramo prihvatiti.

Mi modificiramo datoteku /etc/nsswitch.conf, a mi ga ostavljamo sa sljedećim sadržajem:

# /etc/nsswitch.conf # # Primjer konfiguracije funkcionalnosti GNU Name Service Switch. # Ako imate instalirane pakete `glibc-doc-reference 'i` info', pokušajte: # `info libc" Prekidač usluge imena "'za informacije o ovoj datoteci. passwd:         compat ldap
grupa:          compat ldap
sjena:         compat ldap

domaćini: datoteke mdns4_minimal [NOTFOUND = return] dns mdns4 mreže: protokoli datoteka: db datoteke usluge: db datoteke eteri: db datoteke rpc: db datoteke netgroup: nis

Mi modificiramo datoteku /etc/pam.d/common-session za automatsko kreiranje korisničkih mapa prilikom prijavljivanja ako ne postoje:

[----]
potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Gornji redak mora biti naveden PRIJE
# ovdje su moduli po paketu (blok "Primarni") [----]

Izvršavamo u konzoli kao korisnik korijen, Samo da provjerim, pam-auth-update:

debian7-pam-auth-update

Ponovo pokrećemo uslugu nscdi radimo provjere:

: ~ # ponovno pokretanje usluge nscd
[ok] Ponovno pokretanje Daemon Cache Service Name: nscd. : ~ # koraci prstiju
Prijava: strides Ime: Strides El Rey Direktorij: / home / strides Shell: / bin / bash Nikada se niste prijavili. Nema pošte. Nema plana. : ~ # getent passwd koraci
Koraci: x: 1006: 63000: Koraci El Rey: / home / koraci: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas vilenjak: / dom / legolas: / bin / bash

Mijenjamo politiku ponovnog povezivanja s OpenLDAP serverom.

Uređujemo kao korisnik korijen i vrlo pažljivo, dosije /etc/libnss-ldap.conf. Tražimo riječ «tvrd«. Uklanjamo komentar iz retka #bind_policy teško i ostavljamo ovako: bind_policy soft.

Istu promjenu spomenutu prije, mi unosimo u datoteku /etc/pam_ldap.conf.

Gore navedene izmjene uklanjaju brojne poruke povezane s LDAP-om tijekom pokretanja i istovremeno ga čine bržim (postupak pokretanja).

Ponovno pokrećemo naš Wheezy jer su izvršene promjene ključne:

: ~ # reboot

Nakon ponovnog pokretanja, možemo se prijaviti sa bilo kojim korisnikom koji je registrovan u ClearOS OpenLDAP.

Preporučujemo da se tada radi sljedeće:

  • Učinite vanjske korisnike članom istih grupa kojima pripada lokalni korisnik stvoren tijekom instalacije našeg Debiana.
  • Upotreba naredbe visado, izvršeno kao korijen, daju potrebna odobrenja za izvršavanje vanjskim korisnicima.
  • Stvorite oznaku s adresom https://centos.amigos.cu:81/?user en iceweasel, da bismo imali pristup ličnoj stranici u ClearOS-u, gdje možemo promijeniti svoju ličnu lozinku.
  • Instalirajte OpenSSH-poslužitelj -ako nije odabran prilikom instaliranja sistema-da biste mogli pristupiti našem Debianu s drugog računara.

Konfiguracijske datoteke kreirane i / ili modificirane

LDAP tema zahtijeva puno proučavanja, strpljenja i iskustva. Posljednju koju nemam. Toplo preporučujemo pakete libnss-ldap y libpam-ldap, u slučaju ručne modifikacije zbog koje provjera autentičnosti prestaje raditi, pravilno konfigurirajte pomoću naredbe dpkg-rekonfiguracija, koji generira DEBCONF.

Povezane konfiguracijske datoteke su:

  • /etc/libnss-ldap.conf
  • /etc/libnss-ldap.secret
  • /etc/pam_ldap.conf
  • /etc/pam_ldap.secret
  • /etc/nsswitch.conf
  • /etc/pam.d/common-sessions

Datoteka /etc/ldap/ldap.conf

Još nismo dodirnuli ovu datoteku. Međutim, provjera autentičnosti radi ispravno zbog konfiguracije gore navedenih datoteka i PAM konfiguracije koju generira pam-auth-update. Međutim, moramo je i pravilno konfigurirati. Olakšava upotrebu naredbi poput ldapsearch, predviđen paketom ldap-utils. Minimalna konfiguracija bi bila:

BAZA dc = prijatelji, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikad

Možemo li provjeriti radi li OpenLDAP poslužitelj ClearOS-a ispravno, ako izvršimo u konzoli:

ldapsearch -d 5 -L "(objectclass = *)"

Izlaz naredbe je obilan. 🙂

Volim Debian! A aktivnost za danas je gotova, prijatelji !!!

debian7.amigos.cu


4 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   živahno rekao je

    Odličan članak, direktno u ladicu sa mojim savjetima

    1.    Federico Antonio Valdes Toujague rekao je

      Hvala što ste komentirali Elav ... još goriva 🙂 i pričekajte sljedeći koji pokušava provjeriti autentičnost pomoću sssd protiv OpenLDAP-a.

  2.   euforija rekao je

    Puno vam hvala što ste podijelili, radujući se drugoj isporuci 😀

    1.    Federico Antonio Valdes Toujague rekao je

      Hvala na komentaru !!!. Čini se da je mentalna inercija autentifikacije protiv Microsoft domene jaka. Otuda i nekoliko komentara. Zbog toga pišem o istinskim besplatnim alternativama. Ako ih pažljivo pogledate, lakše ih je primijeniti. U početku pomalo konceptualno. Ali ništa.