SWL-netværk (III): Debian Wheezy og ClearOS. LDAP-godkendelse

Hej venner!. Vi skal oprette et netværk med flere stationære computere, men denne gang med Debian 7 "Wheezy" operativsystem. Som server han ClearOS. Lad os som data bemærke, at projektet Debian-Edu Brug Debian på dine servere og arbejdsstationer. Og det projekt lærer os og gør det lettere at oprette en komplet skole.

Det er vigtigt at læse før:

• Introduktion til et netværk med fri software (I): Præsentation af ClearOS

Vi vil se:

• Eksempel på netværk
• Vi konfigurerer LDAP-klienten
• Konfigurationsfiler oprettet og / eller ændret
• Filen /etc/ldap/ldap.conf

Eksempel på netværk

• Domain Controller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Controller navn: CentOS
• Domænenavn: venner.cu
• Controller IP: 10.10.10.60
• ---------------
• Debian-version: Hvæsen.
• Holdnavn: debian7
• IP-adresse: Brug af DHCP
  

Vi konfigurerer LDAP-klienten

Vi skal have OpenLDAP-serverdataene ved hånden, som vi får fra ClearOS-administrationswebgrænsefladen i «Vejviser »->« Domæne og LDAP":

LDAP Base DN: dc = venner, dc = cu LDAP Bind DN: cn = manager, cn = intern, dc = venner, dc = cu LDAP Bind adgangskode: kLGD + Mj + ZTWzkD8W

Vi installerer nødvendige pakker. Som bruger rod vi udfører:

aptitude installer libnss-ldap nscd finger

Bemærk, at output fra den forrige kommando også inkluderer pakken libpam-ldap. Under installationsprocessen vil de stille os flere spørgsmål, som vi skal besvare korrekt. Svarene ville være i tilfældet med dette eksempel:

LDAP-server URI: ldap: //10.10.10.60
Det fornemme navn (DN) på søgebasen: dc = venner, dc = cu
LDAP-version, der skal bruges: 3
LDAP-konto til root: cn = manager, cn = intern, dc = venner, dc = cu
Adgangskode til rod-LDAP-kontoen: kLGD + Mj + ZTWzkD8W

Nu meddeler han, at sagen /etc/nsswitch.conf det administreres ikke automatisk, og at vi skal ændre det manuelt. Vil du tillade, at LDAP-administratorkontoen opfører sig som den lokale administrator?: Si
Er en bruger forpligtet til at få adgang til LDAP-databasen?: Ingen
LDAP-administratorkonto: cn = manager, cn = intern, dc = venner, dc = cu
Adgangskode til rod-LDAP-kontoen: kLGD + Mj + ZTWzkD8W

Hvis vi tager fejl i de foregående svar, udfører vi som bruger rod:

dpkg-omkonfigurer libnss-ldap
dpkg-omkonfigurer libpam-ldap

Og vi besvarer tilstrækkeligt de samme spørgsmål, der er stillet før, med den eneste tilføjelse af spørgsmålet:

Lokal krypteringsalgoritme, der skal bruges til adgangskoder: md5

Ojo når du svarer, fordi standardværdien, der tilbydes os, er Crypt, og vi må erklære, at det er tilfældet md5. Det viser os også en skærm i konsoltilstand med output fra kommandoen pam-auth-opdatering udført som rod, som vi skal acceptere.

Vi ændrer filen /etc/nsswitch.conf, og vi efterlader det med følgende indhold:

# /etc/nsswitch.conf # # Eksempel på konfiguration af GNU Name Service Switch-funktionalitet. # Hvis du har pakkerne 'glibc-doc-reference' og 'info' installeret, så prøv: # `info libc" Navneservicekontakt "'for at få oplysninger om denne fil. passwd:         kompatibel ldap
gruppe:          kompatibel ldap
skygge:         kompatibel ldap

værter: filer mdns4_minimal [NOTFOUND = retur] dns mdns4 netværk: filer protokoller: db filer tjenester: db filer ethers: db filer rpc: db filer netgruppe: nis

Vi ændrer filen /etc/pam.d/common-session for automatisk at oprette brugermapper, når du logger ind, hvis de ikke findes:

[----]
session krævet pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Ovenstående linje skal medtages FØR
# her er de pr. pakke moduler ("Primær" blokken) [----]

Vi udfører i en konsol som bruger rod, Bare for at kontrollere, pam-auth-opdatering:

Vi genstarter tjenesten nscd, og vi foretager kontrol:

: ~ # service nscd genstart
[ok] Genstart af navnet Service Cache-dæmon: nscd. : ~ # finger skridt
Login: strides Navn: Strides El Rey Directory: / home / strides Shell: / bin / bash Aldrig logget ind. Ingen mail. Ingen plan. : ~ # få passwd skridt
Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Vi ændrer genforbindelsespolitikken med OpenLDAP-serveren.

Vi redigerer som bruger rod og meget omhyggeligt filen /etc/libnss-ldap.conf. Vi ser efter ordet «hårdt«. Vi fjerner kommentaren fra linjen #bind_policy hårdt og vi lader det være sådan her: bind_policy blød.

Den samme ændring nævnt før, vi gør det i filen /etc/pam_ldap.conf.

Ovenstående ændringer eliminerer et antal beskeder relateret til LDAP under opstart og gør det samtidig hurtigere (opstartsprocessen).

Vi genstarter vores Wheezy, fordi de foretagne ændringer er vigtige:

: ~ # genstarte

Efter genstart kan vi logge ind med enhver bruger, der er registreret i ClearOS OpenLDAP.

Vi anbefaler at derefter gøres følgende:

• Gør eksterne brugere til et medlem af de samme grupper som den lokale bruger oprettet under installationen af ​​vores Debian.
• Brug af kommandoen visudo, udført som rod, giver de nødvendige eksekveringstilladelser til eksterne brugere.
• Opret et bogmærke med adressen https://centos.amigos.cu:81/?user en iceweasel, for at få adgang til den personlige side i ClearOS, hvor vi kan ændre vores personlige adgangskode.
• Installer OpenSSH-serveren - hvis vi ikke valgte den, når vi installerede systemet - for at få adgang til vores Debian fra en anden computer.

Konfigurationsfiler oprettet og / eller ændret

LDAP-emnet kræver meget undersøgelse, tålmodighed og erfaring. Den sidste har jeg ikke. Vi anbefaler stærkt, at pakker libnss-ldap y libpam-ldapI tilfælde af en manuel ændring, der får autentificeringen til at stoppe med at fungere, omkonfigureres de korrekt ved hjælp af kommandoen dpkg-omkonfigurere, der genereres af DEBCONF.

De relaterede konfigurationsfiler er:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Filen /etc/ldap/ldap.conf

Vi har ikke rørt denne fil endnu. Godkendelsen fungerer dog korrekt på grund af konfigurationen i de ovennævnte filer og PAM-konfigurationen genereret af pam-auth-opdatering. Vi skal dog også konfigurere det korrekt. Det gør det nemt at bruge kommandoer som ldapsearch, leveret af pakken ldap-værktøjer. Den mindste konfiguration vil være:

BASE dc = venner, dc = cu URI ldap: //10.10.10.60 STØRRELSE 12 TIMELIMIT 15 DEREF aldrig

Vi kan kontrollere, om ClearLDs OpenLDAP-server fungerer korrekt, hvis vi udfører i en konsol:

ldapsearch -d 5 -L "(objectclass = *)"

Kommandooutputtet er rigeligt. 🙂

Jeg elsker Debian! Og aktiviteten er forbi i dag, venner !!!