Síť SWL (III): Debian Wheezy a ClearOS. Ověření LDAP

Dobrý den, přátelé!. Chystáme se vytvořit síť s několika stolními počítači, ale tentokrát s operačním systémem Debian 7 „Wheezy“. Jako server on ClearOS. Jako údaje sledujme, že projekt Debian-Edu používat Debian na svých serverech a pracovních stanicích. A tento projekt nás učí a usnadňuje založení celé školy.

Je důležité si přečíst dříve:

• Úvod do sítě se svobodným softwarem (I): Představení ClearOS

Uvidíme:

• Příklad sítě
• Nakonfigurujeme klienta LDAP
• Vytvořené a / nebo upravené konfigurační soubory
• Soubor /etc/ldap/ldap.conf

Příklad sítě

• Řadič domény, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Název správce: CentOS
• Doménové jméno: friends.cu
• Controller IP: 10.10.10.60
• ---------------
• Debian verze: Sípavý.
• Název týmu: debian7
• IP adresa: Pomocí DHCP
  

Nakonfigurujeme klienta LDAP

Musíme mít po ruce data serveru OpenLDAP, která získáváme z administračního webového rozhraní ClearOS v «Adresář »->« Doména a LDAP„:

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Nainstalujeme potřebné balíčky. Jako uživatel kořen provádíme:

aptitude install libnss-ldap nscd prst

Všimněte si, že výstup předchozího příkazu také obsahuje balíček libpam-ldap. Během procesu instalace nám položí několik otázek, na které musíme správně odpovědět. Odpovědi by byly v případě tohoto příkladu:

URI serveru LDAP: ldap: //10.10.10.60
Rozlišující název (DN) základny vyhledávání: dc = přátelé, dc = cu
Verze LDAP, která se má použít: 3
Účet LDAP pro root: cn = manažer, cn = interní, dc = přátelé, dc = cu
Heslo pro kořenový účet LDAP: kLGD + Mj + ZTWzkD8W

Nyní oznamuje, že spis /etc/nsswitch.conf není spravována automaticky a že ji musíme upravit ručně. Chcete povolit, aby se účet správce LDAP choval jako místní správce?: Si
Je od uživatele vyžadován přístup do databáze LDAP?: Ne
Účet správce LDAP: cn = manažer, cn = interní, dc = přátelé, dc = cu
Heslo pro kořenový účet LDAP: kLGD + Mj + ZTWzkD8W

Pokud se mýlíme v předchozích odpovědích, provedeme jako uživatel kořen:

dpkg-překonfigurovat libnss-ldap
dpkg-překonfigurovat libpam-ldap

A odpovídajícím způsobem zodpovíme tytéž otázky, které byly položeny dříve, s jediným přidáním otázky:

Místní šifrovací algoritmus pro hesla: md5

Ojo při odpovědi, protože výchozí hodnota, která je nám nabízena, je Kryptoa musíme prohlásit, že je md5. Také nám ukazuje obrazovku v režimu konzoly s výstupem příkazu aktualizace pam-auth proveden jako kořen, což musíme přijmout.

Upravíme soubor /etc/nsswitch.conf, a necháme to s následujícím obsahem:

# /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. heslo:         Compat ldap
skupina:          Compat ldap
stín:         Compat ldap

hostitelé: soubory mdns4_minimal [NOTFOUND = návrat] dns mdns4 sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis

Upravíme soubor /etc/pam.d/common-session automaticky vytvářet uživatelské složky při přihlášení v případě, že neexistují:

[----]
je vyžadována relace pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Výše ​​uvedený řádek musí být zahrnut PŘED
# zde jsou moduly na balíček (blok „Primární“) [----]

Provádíme v konzole jako uživatel kořen, Jen pro kontrolu, aktualizace pam-auth:

Restartujeme službu nscda provádíme kontroly:

: ~ # restart služby nscd
[ok] Restartování služby Name Service Cache Daemon: nscd. : ~ # kroky prstu
Přihlášení: strides Jméno: Strides El Rey Adresář: / home / strides Shell: / bin / bash Nikdy nepřihlášen. Žádná pošta. Žádný plán. : ~ # dostat passwd kroky
Kroky: x: 1006: 63000: Kroky El Rey: / home / kroky: / bin / bash: ~ # dostal jsem lego lego
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Upravujeme zásady opětovného připojení se serverem OpenLDAP.

Upravujeme jako uživatel kořen a velmi opatrně soubor /etc/libnss-ldap.conf. Hledáme slovo «usilovně«. Odebereme komentář z řádku #bind_policy těžké a necháme to takto: bind_policy soft.

Stejná změna uvedená výše, provedeme ji v souboru /etc/pam_ldap.conf.

Výše uvedené úpravy eliminují řadu zpráv souvisejících s LDAP během bootování a zároveň ho zrychlují (bootovací proces).

Restartujeme naše Wheezy, protože provedené změny jsou zásadní:

: ~ # restart

Po restartu se můžeme přihlásit s jakýmkoli uživatelem registrovaným v ClearOS OpenLDAP.

Doporučujeme že je provedeno následující:

• Udělejte z externích uživatelů člena stejných skupin, jaké vytvořil místní uživatel během instalace našeho Debianu.
• Pomocí příkazu visudo, provedeno jako kořen, udělit potřebná oprávnění ke spuštění externím uživatelům.
• Vytvořte záložku s adresou https://centos.amigos.cu:81/?user en Iceweasel, abychom měli přístup k osobní stránce v ClearOS, kde můžeme změnit naše osobní heslo.
• Nainstalujte OpenSSH-Server - pokud jsme jej nevybrali při instalaci systému - abychom měli přístup k Debianu z jiného počítače.

Vytvořené a / nebo upravené konfigurační soubory

Téma LDAP vyžaduje hodně studia, trpělivosti a zkušeností. Poslední, kterou nemám. Důrazně doporučujeme, aby balíčky libnss-ldap y libpam-ldap, v případě ruční úpravy, která způsobí, že autentizace přestane fungovat, proveďte správnou konfiguraci pomocí příkazu dpkg-překonfigurovat, který je generován DEBCONF.

Související konfigurační soubory jsou:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Soubor /etc/ldap/ldap.conf

Dosud jsme se tohoto souboru nedotkli. Ověření však funguje správně kvůli konfiguraci ve výše uvedených souborech a konfiguraci PAM generované aktualizace pam-auth. Musíme to však také správně nakonfigurovat. Usnadňuje používání příkazů jako ldapsearch, poskytované balíčkem ldap-utils. Minimální konfigurace by byla:

ZÁKLAD dc = přátelé, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikdy

Můžeme zkontrolovat, zda server OpenLDAP systému ClearOS funguje správně, pokud provádíme v konzole:

ldapsearch -d 5 -L "(objectclass = *)"

Výstup příkazu je hojný. 🙂

Miluji Debian! A aktivita pro dnešek skončila, přátelé !!!