Hej venner!. Vi skal oprette et netværk med flere stationære computere, men denne gang med Debian 7 "Wheezy" operativsystem. Som server han ClearOS. Lad os som data bemærke, at projektet Debian-Edu Brug Debian på dine servere og arbejdsstationer. Og det projekt lærer os og gør det lettere at oprette en komplet skole.
Det er vigtigt at læse før:
- Introduktion til et netværk med fri software (I): Præsentation af ClearOS
Vi vil se:
- Eksempel på netværk
- Vi konfigurerer LDAP-klienten
- Konfigurationsfiler oprettet og / eller ændret
- Filen /etc/ldap/ldap.conf
Eksempel på netværk
- Domain Controller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Controller navn: CentOS
- Domænenavn: venner.cu
- Controller IP: 10.10.10.60
- ---------------
- Debian-version: Hvæsen.
- Holdnavn: debian7
- IP-adresse: Brug af DHCP
Vi konfigurerer LDAP-klienten
Vi skal have OpenLDAP-serverdataene ved hånden, som vi får fra ClearOS-administrationswebgrænsefladen i «Vejviser »->« Domæne og LDAP":
LDAP Base DN: dc = venner, dc = cu LDAP Bind DN: cn = manager, cn = intern, dc = venner, dc = cu LDAP Bind adgangskode: kLGD + Mj + ZTWzkD8W
Vi installerer nødvendige pakker. Som bruger rod vi udfører:
aptitude installer libnss-ldap nscd finger
Bemærk, at output fra den forrige kommando også inkluderer pakken libpam-ldap. Under installationsprocessen vil de stille os flere spørgsmål, som vi skal besvare korrekt. Svarene ville være i tilfældet med dette eksempel:
LDAP-server URI: ldap: //10.10.10.60 Det fornemme navn (DN) på søgebasen: dc = venner, dc = cu LDAP-version, der skal bruges: 3 LDAP-konto til root: cn = manager, cn = intern, dc = venner, dc = cu Adgangskode til rod-LDAP-kontoen: kLGD + Mj + ZTWzkD8W Nu meddeler han, at sagen /etc/nsswitch.conf det administreres ikke automatisk, og at vi skal ændre det manuelt. Vil du tillade, at LDAP-administratorkontoen opfører sig som den lokale administrator?: Si Er en bruger forpligtet til at få adgang til LDAP-databasen?: Ingen LDAP-administratorkonto: cn = manager, cn = intern, dc = venner, dc = cu Adgangskode til rod-LDAP-kontoen: kLGD + Mj + ZTWzkD8W
Hvis vi tager fejl i de foregående svar, udfører vi som bruger rod:
dpkg-omkonfigurer libnss-ldap dpkg-omkonfigurer libpam-ldap
Og vi besvarer tilstrækkeligt de samme spørgsmål, der er stillet før, med den eneste tilføjelse af spørgsmålet:
Lokal krypteringsalgoritme, der skal bruges til adgangskoder: md5
Ojo når du svarer, fordi standardværdien, der tilbydes os, er Crypt, og vi må erklære, at det er tilfældet md5. Det viser os også en skærm i konsoltilstand med output fra kommandoen pam-auth-opdatering udført som rod, som vi skal acceptere.
Vi ændrer filen /etc/nsswitch.conf, og vi efterlader det med følgende indhold:
# /etc/nsswitch.conf # # Eksempel på konfiguration af GNU Name Service Switch-funktionalitet. # Hvis du har pakkerne 'glibc-doc-reference' og 'info' installeret, så prøv: # `info libc" Navneservicekontakt "'for at få oplysninger om denne fil. passwd: kompatibel ldap gruppe: kompatibel ldap skygge: kompatibel ldap værter: filer mdns4_minimal [NOTFOUND = retur] dns mdns4 netværk: filer protokoller: db filer tjenester: db filer ethers: db filer rpc: db filer netgruppe: nis
Vi ændrer filen /etc/pam.d/common-session for automatisk at oprette brugermapper, når du logger ind, hvis de ikke findes:
[----] session krævet pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Ovenstående linje skal medtages FØR # her er de pr. pakke moduler ("Primær" blokken) [----]
Vi udfører i en konsol som bruger rod, Bare for at kontrollere, pam-auth-opdatering:
Vi genstarter tjenesten nscd, og vi foretager kontrol:
: ~ # service nscd genstart [ok] Genstart af navnet Service Cache-dæmon: nscd. : ~ # finger skridt Login: strides Navn: Strides El Rey Directory: / home / strides Shell: / bin / bash Aldrig logget ind. Ingen mail. Ingen plan. : ~ # få passwd skridt Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Vi ændrer genforbindelsespolitikken med OpenLDAP-serveren.
Vi redigerer som bruger rod og meget omhyggeligt filen /etc/libnss-ldap.conf. Vi ser efter ordet «hårdt«. Vi fjerner kommentaren fra linjen #bind_policy hårdt og vi lader det være sådan her: bind_policy blød.
Den samme ændring nævnt før, vi gør det i filen /etc/pam_ldap.conf.
Ovenstående ændringer eliminerer et antal beskeder relateret til LDAP under opstart og gør det samtidig hurtigere (opstartsprocessen).
Vi genstarter vores Wheezy, fordi de foretagne ændringer er vigtige:
: ~ # genstarte
Efter genstart kan vi logge ind med enhver bruger, der er registreret i ClearOS OpenLDAP.
Vi anbefaler at derefter gøres følgende:
- Gør eksterne brugere til et medlem af de samme grupper som den lokale bruger oprettet under installationen af vores Debian.
- Brug af kommandoen visudo, udført som rod, giver de nødvendige eksekveringstilladelser til eksterne brugere.
- Opret et bogmærke med adressen https://centos.amigos.cu:81/?user en iceweasel, for at få adgang til den personlige side i ClearOS, hvor vi kan ændre vores personlige adgangskode.
- Installer OpenSSH-serveren - hvis vi ikke valgte den, når vi installerede systemet - for at få adgang til vores Debian fra en anden computer.
Konfigurationsfiler oprettet og / eller ændret
LDAP-emnet kræver meget undersøgelse, tålmodighed og erfaring. Den sidste har jeg ikke. Vi anbefaler stærkt, at pakker libnss-ldap y libpam-ldapI tilfælde af en manuel ændring, der får autentificeringen til at stoppe med at fungere, omkonfigureres de korrekt ved hjælp af kommandoen dpkg-omkonfigurere, der genereres af DEBCONF.
De relaterede konfigurationsfiler er:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Filen /etc/ldap/ldap.conf
Vi har ikke rørt denne fil endnu. Godkendelsen fungerer dog korrekt på grund af konfigurationen i de ovennævnte filer og PAM-konfigurationen genereret af pam-auth-opdatering. Vi skal dog også konfigurere det korrekt. Det gør det nemt at bruge kommandoer som ldapsearch, leveret af pakken ldap-værktøjer. Den mindste konfiguration vil være:
BASE dc = venner, dc = cu URI ldap: //10.10.10.60 STØRRELSE 12 TIMELIMIT 15 DEREF aldrig
Vi kan kontrollere, om ClearLDs OpenLDAP-server fungerer korrekt, hvis vi udfører i en konsol:
ldapsearch -d 5 -L "(objectclass = *)"
Kommandooutputtet er rigeligt. 🙂
Jeg elsker Debian! Og aktiviteten er forbi i dag, venner !!!
Fremragende artikel, direkte til min tipskuffe
Tak for kommentar Elav ... mere brændstof 🙂 og vent på den næste, der prøver at godkende ved hjælp af sssd mod en OpenLDAP.
Mange tak for delingen, ser frem til den anden levering 😀
Tak for kommentaren !!!. Det ser ud til, at den mentale inerti ved autentificering mod et Microsoft-domæne er stærk. Derfor de få kommentarer. Derfor skriver jeg om de sande gratis alternativer. Hvis du ser det nøje, er de lettere at implementere. Lidt begrebsmæssigt i starten. Men intet.