Dobrý den, přátelé!. Chystáme se vytvořit síť s několika stolními počítači, ale tentokrát s operačním systémem Debian 7 „Wheezy“. Jako server on ClearOS. Jako údaje sledujme, že projekt Debian-Edu používat Debian na svých serverech a pracovních stanicích. A tento projekt nás učí a usnadňuje založení celé školy.
Je důležité si přečíst dříve:
- Úvod do sítě se svobodným softwarem (I): Představení ClearOS
Uvidíme:
- Příklad sítě
- Nakonfigurujeme klienta LDAP
- Vytvořené a / nebo upravené konfigurační soubory
- Soubor /etc/ldap/ldap.conf
Příklad sítě
- Řadič domény, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Název správce: CentOS
- Doménové jméno: friends.cu
- Controller IP: 10.10.10.60
- ---------------
- Debian verze: Sípavý.
- Název týmu: debian7
- IP adresa: Pomocí DHCP
Nakonfigurujeme klienta LDAP
Musíme mít po ruce data serveru OpenLDAP, která získáváme z administračního webového rozhraní ClearOS v «Adresář »->« Doména a LDAP„:
LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
Nainstalujeme potřebné balíčky. Jako uživatel kořen provádíme:
aptitude install libnss-ldap nscd prst
Všimněte si, že výstup předchozího příkazu také obsahuje balíček libpam-ldap. Během procesu instalace nám položí několik otázek, na které musíme správně odpovědět. Odpovědi by byly v případě tohoto příkladu:
URI serveru LDAP: ldap: //10.10.10.60 Rozlišující název (DN) základny vyhledávání: dc = přátelé, dc = cu Verze LDAP, která se má použít: 3 Účet LDAP pro root: cn = manažer, cn = interní, dc = přátelé, dc = cu Heslo pro kořenový účet LDAP: kLGD + Mj + ZTWzkD8W Nyní oznamuje, že spis /etc/nsswitch.conf není spravována automaticky a že ji musíme upravit ručně. Chcete povolit, aby se účet správce LDAP choval jako místní správce?: Si Je od uživatele vyžadován přístup do databáze LDAP?: Ne Účet správce LDAP: cn = manažer, cn = interní, dc = přátelé, dc = cu Heslo pro kořenový účet LDAP: kLGD + Mj + ZTWzkD8W
Pokud se mýlíme v předchozích odpovědích, provedeme jako uživatel kořen:
dpkg-překonfigurovat libnss-ldap dpkg-překonfigurovat libpam-ldap
A odpovídajícím způsobem zodpovíme tytéž otázky, které byly položeny dříve, s jediným přidáním otázky:
Místní šifrovací algoritmus pro hesla: md5
Ojo při odpovědi, protože výchozí hodnota, která je nám nabízena, je Kryptoa musíme prohlásit, že je md5. Také nám ukazuje obrazovku v režimu konzoly s výstupem příkazu aktualizace pam-auth proveden jako kořen, což musíme přijmout.
Upravíme soubor /etc/nsswitch.conf, a necháme to s následujícím obsahem:
# /etc/nsswitch.conf # # Příklad konfigurace funkce GNU Name Service Switch. # Pokud máte nainstalovány balíčky `glibc-doc-reference 'a` info', zkuste: #` info libc "Přepínač názvů služeb" 'pro informace o tomto souboru. heslo: Compat ldap skupina: Compat ldap stín: Compat ldap hostitelé: soubory mdns4_minimal [NOTFOUND = návrat] dns mdns4 sítě: soubory protokoly: db soubory služby: db soubory ethery: db soubory rpc: db soubory netgroup: nis
Upravíme soubor /etc/pam.d/common-session automaticky vytvářet uživatelské složky při přihlášení v případě, že neexistují:
[----] je vyžadována relace pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Výše uvedený řádek musí být zahrnut PŘED # zde jsou moduly na balíček (blok „Primární“) [----]
Provádíme v konzole jako uživatel kořen, Jen pro kontrolu, aktualizace pam-auth:
Restartujeme službu nscda provádíme kontroly:
: ~ # restart služby nscd [ok] Restartování služby Name Service Cache Daemon: nscd. : ~ # kroky prstu Přihlášení: strides Jméno: Strides El Rey Adresář: / home / strides Shell: / bin / bash Nikdy nepřihlášen. Žádná pošta. Žádný plán. : ~ # dostat passwd kroky Kroky: x: 1006: 63000: Kroky El Rey: / home / kroky: / bin / bash: ~ # dostal jsem lego lego legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Upravujeme zásady opětovného připojení se serverem OpenLDAP.
Upravujeme jako uživatel kořen a velmi opatrně soubor /etc/libnss-ldap.conf. Hledáme slovo «usilovně«. Odebereme komentář z řádku #bind_policy těžké a necháme to takto: bind_policy soft.
Stejná změna uvedená výše, provedeme ji v souboru /etc/pam_ldap.conf.
Výše uvedené úpravy eliminují řadu zpráv souvisejících s LDAP během bootování a zároveň ho zrychlují (bootovací proces).
Restartujeme naše Wheezy, protože provedené změny jsou zásadní:
: ~ # restart
Po restartu se můžeme přihlásit s jakýmkoli uživatelem registrovaným v ClearOS OpenLDAP.
Doporučujeme že je provedeno následující:
- Udělejte z externích uživatelů člena stejných skupin, jaké vytvořil místní uživatel během instalace našeho Debianu.
- Pomocí příkazu visudo, provedeno jako kořen, udělit potřebná oprávnění ke spuštění externím uživatelům.
- Vytvořte záložku s adresou https://centos.amigos.cu:81/?user en Iceweasel, abychom měli přístup k osobní stránce v ClearOS, kde můžeme změnit naše osobní heslo.
- Nainstalujte OpenSSH-Server - pokud jsme jej nevybrali při instalaci systému - abychom měli přístup k Debianu z jiného počítače.
Vytvořené a / nebo upravené konfigurační soubory
Téma LDAP vyžaduje hodně studia, trpělivosti a zkušeností. Poslední, kterou nemám. Důrazně doporučujeme, aby balíčky libnss-ldap y libpam-ldap, v případě ruční úpravy, která způsobí, že autentizace přestane fungovat, proveďte správnou konfiguraci pomocí příkazu dpkg-překonfigurovat, který je generován DEBCONF.
Související konfigurační soubory jsou:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Soubor /etc/ldap/ldap.conf
Dosud jsme se tohoto souboru nedotkli. Ověření však funguje správně kvůli konfiguraci ve výše uvedených souborech a konfiguraci PAM generované aktualizace pam-auth. Musíme to však také správně nakonfigurovat. Usnadňuje používání příkazů jako ldapsearch, poskytované balíčkem ldap-utils. Minimální konfigurace by byla:
ZÁKLAD dc = přátelé, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikdy
Můžeme zkontrolovat, zda server OpenLDAP systému ClearOS funguje správně, pokud provádíme v konzole:
ldapsearch -d 5 -L "(objectclass = *)"
Výstup příkazu je hojný. 🙂
Miluji Debian! A aktivita pro dnešek skončila, přátelé !!!
Vynikající článek, přímo do zásuvky mých tipů
Děkujeme za komentář Elav… více paliva 🙂 a počkejte na další, která se pokusí ověřit pomocí sssd proti OpenLDAP.
Moc děkujeme za sdílení a těšíme se na další doručení 😀
Děkuji za komentář !!!. Zdá se, že mentální setrvačnost autentizace proti doméně Microsoft je silná. Proto pár komentářů. Proto píšu o skutečných alternativách zdarma. Pokud se na to podíváte pečlivě, je snazší je implementovat. Zpočátku trochu koncepční. Ale nic.