Hola Amics !. Anem a fer una xarxa amb diversos equips d'escriptori, però en aquesta ocasió amb el Sistema Operatiu Debian 7 «Wheezy». Com servidor el Clear-vos. Com a dada, observem que el projecte Debian-Edu usa Debian en els seus servidors i estacions de treball. I aquest projecte ens ensenya i facilita el muntar una escola completa.
És imprescindible llegeixin abans:
- Introducció a una Xarxa amb Programari Lliure (I): Presentació de l'ClearOS
veurem:
- Xarxa d'exemple
- Configurem el client LDAP
- Arxius de configuració creats i / o modificats
- L'arxiu /etc/ldap/ldap.conf
Xarxa d'exemple
- Controlador de Domini, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Nom de l'Controlador: centos
- Nom de l'Domini: amics.cu
- IP de l'Controlador: 10.10.10.60
- ---------------
- Versió de Debian: Wheezy.
- Nom de l'equip: debian7
- adreça IP: mitjançant DHCP
Configurem el client LDAP
Hem de tenir a mà les dades de servidor OpenLDAP, els que obtenim de la interfície web d'administració de l'ClearOS a «Directory »->« Domain and LDAP":
LDAP Base DN: dc = amics, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = amics, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
Instal·lem paquets necessaris. Com l'usuari root executem:
aptitude install libnss-ldap nscd finger
Observi que la sortida de la comanda anterior, inclou també a el paquet libpam-ldap. Durant el procés d'instal·lació ens faran diverses preguntes, les quals hem de respondre correctament. Les respostes serien en el cas d'aquest exemple:
URI de servidor LDAP: ldap: //10.10.10.60 El nom distintiu (DN) de la base de recerques: dc = amics, dc = cu Versió de LDAP a utilitzar: 3 Compte LDAP per root: cn = manager, cn = internal, dc = amics, dc = cu Contrasenya per al compte LDAP de root: kLGD + Mj + ZTWzkD8W Ara ens anuncia que l'arxiu /etc/nsswitch.conf no es gestiona de forma automàtica, i que ho hem de modificar manualment. Voleu permetre que el compte de l'administrador de LDAP es comporti com l'administrador local ?: Si ¿Cal un usuari per accedir a la base de dades LDAP ?: no Compte de l'administrador d'LDAP: cn = manager, cn = internal, dc = amics, dc = cu Contrasenya per al compte LDAP de root: kLGD + Mj + ZTWzkD8W
Si ens equivoquem en les respostes anteriors, executem com l'usuari root:
dpkg-reconfigure libnss-ldap dpkg-reconfigure libpam-ldap
I responem adequadament les mateixes preguntes formulades abans, amb l'única addició de la pregunta:
Algorisme de xifrat local a utilitzar en les contrasenyes: md5
ull a l'respondre perquè el valor per defecte que se'ns ofereix és Cripta, I nosaltres hem de declarar que és md5. També ens mostra una pantalla en mode consola amb la sortida de la comanda pam-auth-update executat com root, La qual hem de acord.
Modifiquem el fitxer /etc/nsswitch.conf, I ho deixem amb el següent contingut:
# /Etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference 'and` info' packages installed, try: # `info libc" Name Service Switch " 'for information about this file. passwd: compat ldap grup: compat ldap ombra: compat ldap hosts: files mdns4_minimal [notfound = return] dns mdns4 networks: files protocols: db files serveis: db files ethers: db files rpc: db files netgroup: nis
Modifiquem el fitxer /etc/pam.d/common-session perquè creu automàticament les carpetes d'usuaris a l'iniciar sessió en cas que no hi hagi:
[----] session required pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### La línia anterior s'ha d'incloure ABANS de # Here are the per-package modules (the "Primary" block) [----]
Executem en una consola com l'usuari root, Només per Comprovar, pam-auth-update:
Reiniciem el servei nscd, I fem comprovacions:
: ~ # service nscd restart [Ok] Restarting Name Service Cache Daemon: nscd. : ~ # finger trancaments Login: gambades Name: Trancos El Rei Directory: / home / gambades Shell: / bin / bash Never logged in. No mail. No Pla. : ~ # getent passwd trancs trancos: x: 1006: 63000: Trancos El Rei: / home / gambades: / bin / bash: ~ # getent passwd legoles legolas: x: 1004: 63000: Legolas L'Elfo: / home / legolas: / bin / bash
Modifiquem la política de re connexió amb el servidor OpenLDAP.
Editem com l'usuari root i amb molt de compte, l'arxiu /etc/libnss-ldap.conf. Busquem la paraula «dur«. Eliminem el comentari de la línia #bind_policy hard i la deixem així: bind_policy soft.
El mateix canvi esmentat abans, ho fem a l'arxiu /etc/pam_ldap.conf.
Les modificacions anteriors eliminen una sèrie de missatges relacionats amb el LDAP durant l'arrencada i a el mateix temps ho agilitza (el procés d'arrencada).
Reiniciem el nostre Wheezy perquè els canvis realitzats són medul·lars:
: ~ # reiniciar
Després de reiniciar, podem iniciar sessió amb qualsevol usuari registrat en el OpenLDAP de l'ClearOS.
Recomanem que a continuació es realitzi el següent:
- Fer membre als usuaris externs als mateixos grups als quals pertany l'usuari local creat durant la instal·lació del nostre Debian.
- Mitjançant la comanda visut, Executat com root, Donar els permisos d'execució necessaris als usuaris externs.
- Crear un marcador amb la direcció https://centos.amigos.cu:81/?user en iceweasel, Per tenir accés a la pàgina personal en l'ClearOS, on podem canviar la nostra contrasenya personal.
- Instal·lar el OpenSSH-Server -si és que no ho vam seleccionar a l'instal·lar el sistema-per poder accedir al nostre Debian des d'un altre equip.
Arxius de configuració creats i / o modificats
El tema LDAP requereix de molt estudi, paciència i experiència. L'última no la tinc. Recomanem encaridament que els paquets libnss-ldap y libpam-ldap, En el suposat cas d'una modificació manual que provoqui que l'autenticació deixi de funcionar, siguin tornats a configurar correctament mitjançant la comanda dpkg-reconfigure, És a dir generat per debconf.
Els arxius de configuració relacionats són:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
L'arxiu /etc/ldap/ldap.conf
Aquest fitxer encara no ho hem tocat per a res. No obstant això, l'autenticació funciona correctament causa de la configuració dels arxius relacionats anteriorment ia la pròpia configuració de l'PAM generada per pam-auth-update. No obstant això, també ho hem de configurar adequadament. Facilita l'ús de comandaments com ldapsearch, Proporcionats pel paquet ldap-utils. La configuració mínima seria:
BASE dc = amics, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never
Podem comprovar si el servidor OpenLDAP de l'ClearOS funciona correctament, si executem en una consola:
ldapsearch -d 5 -L "(objectclass = *)"
La sortida de la comanda és copiosa. 🙂
M'encanta Debian !. I es va acabar l'activitat per avui, Amics !!!
Excel·lent article, directe al meu calaix de tips
Gràcies per comentar ILAV ... més combustible 🙂 i espera el pròxim que tracta d'autenticar mitjançant sssd contra un OpenLDAP.
Moltes gràcies per compartir, esperant amb ànsies les altres lliurament 😀
Gràcies per comentar !!!. Sembla que la inèrcia mental d'autenticar contra un domini Microsoft és fort. D'aquí els pocs comentaris. Per això escric sobre les veritables alternatives lliures. Si ho mires bé, són més fàcils d'implementar. Una mica conceptual a el principi. Més res.