Δίκτυο SWL (III): Debian Wheezy και ClearOS. Έλεγχος ταυτότητας LDAP

Γεια σας φίλοι!. Θα δημιουργήσουμε ένα δίκτυο με αρκετούς επιτραπέζιους υπολογιστές, αλλά αυτή τη φορά με το λειτουργικό σύστημα Debian 7 "Wheezy". Ως διακομιστής αυτός ClearOS. Ως δεδομένα, ας παρατηρήσουμε ότι το έργο Ντέμπιαν-Έντου χρησιμοποιήστε το Debian στους διακομιστές και τους σταθμούς εργασίας σας. Και αυτό το έργο μάς διδάσκει και διευκολύνει τη δημιουργία ενός πλήρους σχολείου.

Είναι σημαντικό να διαβάσετε πριν:

• Εισαγωγή σε ένα δίκτυο με ελεύθερο λογισμικό (I): Παρουσίαση του ClearOS

Θα δούμε:

• Παράδειγμα δικτύου
• Διαμορφώνουμε τον πελάτη LDAP
• Τα αρχεία διαμόρφωσης δημιουργήθηκαν ή / και τροποποιήθηκαν
• Το αρχείο /etc/ldap/ldap.conf

Παράδειγμα δικτύου

• Domain Controller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Όνομα ελεγκτή: CentOS
• Ονομα τομέα: friends.cu
• IP ελεγκτή: 10.10.10.60
• ---------------
• Έκδοση Debian: Ασθμαίνων.
• Όνομα ομάδας: debian7
• Διεύθυνση IP: Χρήση DHCP
  

Διαμορφώνουμε τον πελάτη LDAP

Πρέπει να έχουμε διαθέσιμα τα δεδομένα του διακομιστή OpenLDAP, τα οποία λαμβάνουμε από τη διεπαφή ιστού διαχείρισης ClearOS στο «Κατάλογος »->« Τομέας και LDAP":

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Εγκαθιστούμε τα απαραίτητα πακέτα. Ως χρήστης ρίζα εκτελούμε:

aptitude install libnss-ldap nscd δάχτυλο

Παρατηρήστε ότι η έξοδος της προηγούμενης εντολής περιλαμβάνει επίσης το πακέτο libpam-ldap. Κατά τη διαδικασία εγκατάστασης θα μας ρωτήσουν πολλές ερωτήσεις, τις οποίες πρέπει να απαντήσουμε σωστά. Οι απαντήσεις θα ήταν στην περίπτωση αυτού του παραδείγματος:

URI διακομιστή LDAP: ldap: //10.10.10.60
Το διακεκριμένο όνομα (DN) της βάσης αναζήτησης: dc = φίλοι, dc = cu
Έκδοση LDAP για χρήση: 3
Λογαριασμός LDAP για root: cn = διαχειριστής, cn = εσωτερικό, dc = φίλοι, dc = cu
Κωδικός πρόσβασης για τον ριζικό λογαριασμό LDAP: kLGD + Mj + ZTWzkD8W

Τώρα ανακοινώνει ότι το αρχείο /etc/nsswitch.conf δεν διαχειρίζεται αυτόματα και ότι πρέπει να το τροποποιήσουμε χειροκίνητα. Θέλετε να επιτρέψετε στον λογαριασμό διαχειριστή LDAP να συμπεριφέρεται ως τοπικός διαχειριστής;: Si
Απαιτείται ένας χρήστης για πρόσβαση στη βάση δεδομένων LDAP;: Οχι
Λογαριασμός διαχειριστή LDAP: cn = διαχειριστής, cn = εσωτερικό, dc = φίλοι, dc = cu
Κωδικός πρόσβασης για τον ριζικό λογαριασμό LDAP: kLGD + Mj + ZTWzkD8W

Εάν κάνουμε λάθος στις προηγούμενες απαντήσεις, εκτελούμε ως χρήστης ρίζα:

dpkg-επαναδιαμόρφωση libnss-ldap
dpkg-επαναδιαμόρφωση libpam-ldap

Και απαντάμε επαρκώς στις ίδιες ερωτήσεις που τέθηκαν πριν, με τη μόνη προσθήκη της ερώτησης:

Τοπικός αλγόριθμος κρυπτογράφησης για χρήση για κωδικούς πρόσβασης: md5

Ojo όταν απαντάτε επειδή η προεπιλεγμένη τιμή που μας προσφέρεται είναι Κρύπτη, και πρέπει να δηλώσουμε ότι είναι md5. Μας δείχνει επίσης μια οθόνη σε λειτουργία κονσόλας με την έξοδο της εντολής pam-auth-ενημέρωση εκτελέστηκε ως ρίζα, το οποίο πρέπει να αποδεχτούμε.

Τροποποιούμε το αρχείο /etc/nsswitch.confκαι το αφήνουμε με το ακόλουθο περιεχόμενο:

# /etc/nsswitch.conf # # Παράδειγμα διαμόρφωσης της λειτουργίας διακόπτη υπηρεσίας ονόματος ονόματος GNU. # Εάν έχετε εγκατεστημένα τα πακέτα `glibc-doc-referensi 'και' info ', δοκιμάστε: #` info libc "Name Service Switch" για πληροφορίες σχετικά με αυτό το αρχείο. passwd:         συμπατριωμένο ldap
ομάδα:          συμπατριωμένο ldap
σκιά:         συμπατριωμένο ldap

κεντρικοί υπολογιστές: αρχεία mdns4_minimal [NOTFOUND = return] dns mdns4 δίκτυα: αρχεία πρωτοκόλλων: υπηρεσίες αρχείων db: db αρχεία αιθέρες: αρχεία db rpc: αρχεία db netgroup: nis

Τροποποιούμε το αρχείο /etc/pam.d/common-session για αυτόματη δημιουργία φακέλων χρήστη κατά τη σύνδεση σε περίπτωση που δεν υπάρχουν:

[----]
απαιτείται συνεδρία pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Η παραπάνω γραμμή πρέπει να συμπεριληφθεί ΠΡΙΝ
# εδώ είναι οι μονάδες ανά πακέτο (το "Κύριο" μπλοκ) [----]

Εκτελούμε σε κονσόλα ως χρήστης ρίζα, Μόνο για έλεγχο, pam-auth-ενημέρωση:

Επανεκκίνηση της υπηρεσίας nscdκαι κάνουμε ελέγχους:

: ~ # επανεκκίνηση υπηρεσίας nscd
[ok] Επανεκκίνηση ονόματος υπηρεσίας Cache Daemon: nscd. : ~ # τα βήματα των δακτύλων
Είσοδος: strides Όνομα: Strides El Rey Κατάλογος: / home / strides Shell: / bin / bash Ποτέ δεν έχετε συνδεθεί. Χωρίς αλληλογραφία. Χωρίς σχέδιο. : ~ # λάβετε τα βήματα passwd
Διαδρομές: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # να πάρει λανθασμένους legolas
legolas: x: 1004: 63000: Legolas The Elf: / σπίτι / legolas: / bin / bash

Τροποποιούμε την πολιτική επανασύνδεσης με το διακομιστή OpenLDAP.

Επεξεργαζόμαστε ως χρήστης ρίζα και πολύ προσεκτικά, το αρχείο /etc/libnss-ldap.conf. Ψάχνουμε για τη λέξη «σκληρά«. Καταργούμε το σχόλιο από τη γραμμή #bind_πολιτική σκληρά και το αφήνουμε έτσι: bind_policy μαλακό.

Η ίδια αλλαγή που αναφέρθηκε προηγουμένως, την κάνουμε στο αρχείο /etc/pam_ldap.conf.

Οι παραπάνω τροποποιήσεις εξαλείφουν έναν αριθμό μηνυμάτων που σχετίζονται με το LDAP κατά την εκκίνηση και ταυτόχρονα το καθιστούν γρηγορότερο (η διαδικασία εκκίνησης).

Επανεκκίνηση του Wheezy, επειδή οι αλλαγές που έγιναν είναι απαραίτητες:

: ~ # επανεκκίνηση

Μετά την επανεκκίνηση, μπορούμε να συνδεθούμε με οποιονδήποτε χρήστη εγγεγραμμένο στο ClearOS OpenLDAP.

Σας συνιστούμε τότε γίνεται το εξής:

• Κάντε εξωτερικούς χρήστες ως μέλη των ίδιων ομάδων στις οποίες ανήκει ο τοπικός χρήστης κατά την εγκατάσταση του Debian μας.
• Χρησιμοποιώντας την εντολή visudo, εκτελέστηκε ως ρίζα, δώστε τα απαραίτητα δικαιώματα εκτέλεσης σε εξωτερικούς χρήστες.
• Δημιουργήστε έναν σελιδοδείκτη με τη διεύθυνση https://centos.amigos.cu:81/?user en Iceweasel, για να έχουμε πρόσβαση στην προσωπική σελίδα του ClearOS, όπου μπορούμε να αλλάξουμε τον προσωπικό μας κωδικό πρόσβασης.
• Εγκαταστήστε τον OpenSSH-Server -εάν δεν έχει επιλεγεί κατά την εγκατάσταση του συστήματος- να έχετε πρόσβαση στο Debian μας από άλλον υπολογιστή.

Τα αρχεία διαμόρφωσης δημιουργήθηκαν ή / και τροποποιήθηκαν

Το θέμα LDAP απαιτεί πολλή μελέτη, υπομονή και εμπειρία. Το τελευταίο δεν έχω. Συνιστούμε ανεπιφύλακτα τα πακέτα libnss-ldap y libpam-ldap, σε περίπτωση χειροκίνητης τροποποίησης που προκαλεί τη διακοπή λειτουργίας του ελέγχου ταυτότητας, ρυθμίστε ξανά σωστά χρησιμοποιώντας την εντολή dpkg-αναδιαμόρφωση, που δημιουργείται από DEBCONF.

Τα σχετικά αρχεία διαμόρφωσης είναι:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Το αρχείο /etc/ldap/ldap.conf

Δεν έχουμε αγγίξει αυτό το αρχείο ακόμα. Ωστόσο, ο έλεγχος ταυτότητας λειτουργεί σωστά λόγω της διαμόρφωσης των αρχείων που αναφέρονται παραπάνω και της διαμόρφωσης PAM που δημιουργήθηκε από pam-auth-ενημέρωση. Ωστόσο, πρέπει επίσης να το διαμορφώσουμε σωστά. Διευκολύνει τη χρήση εντολών όπως ldapsearch, παρέχεται από το πακέτο ldap-utils. Η ελάχιστη διαμόρφωση θα είναι:

ΒΑΣΗ dc = φίλοι, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF ποτέ

Μπορούμε να ελέγξουμε εάν ο διακομιστής ClearOS OpenLDAP λειτουργεί σωστά, εάν εκτελούμε σε μια κονσόλα:

ldapsearch -d 5 -L "(αντικείμενο κλάσης = *)"

Η έξοδος εντολών είναι άφθονη. 🙂

Λατρεύω το Debian! Και η δραστηριότητα τελείωσε για σήμερα, Φίλοι !!!