Reto SWL (III): Debian Wheezy kaj ClearOS. LDAP-aŭtentikigo

Saluton, amikoj!. Ni kreos reton kun pluraj labortablaj komputiloj, sed ĉi-foje kun la Debian 7 "Wheezy" Operaciumo. Kiel servilo li ClearOS. Kiel datumo, ni observu, ke la projekto Debian-Edu uzu Debian en viaj serviloj kaj laborstacioj. Kaj tiu projekto instruas nin kaj faciligas starigi kompletan lernejon.

Estas nepre legi antaŭe:

  • Enkonduko al Reto kun Libera Programaro (I): Prezento de ClearOS

Ni vidos:

  • Ekzempla reto
  • Ni agordas la LDAP-klienton
  • Agordaj dosieroj kreitaj kaj / aŭ modifitaj
  • La dosiero /etc/ldap/ldap.conf

Ekzempla reto

  • Regula Regilo, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
  • Regila Nomo: centoj
  • Domajna nomo: amikoj.cu
  • Regilo IP: 10.10.10.60
  • ---------------
  • Debiana versio: Wheezy.
  • Teamnomo: debian7
  • IP-adreso: Uzante DHCP

debian7-dhcp-ip

Ni agordas la LDAP-klienton

Ni devas havi la OpenLDAP-servilajn datumojn mane, kiujn ni akiras de la administra interfaco de ClearOS en «Adresaro »->« Domajno kaj LDAP":

LDAP-Baza DN: dc = amikoj, dc = cu LDAP Bind DN: cn = administranto, cn = interna, dc = amikoj, dc = cu LDAP Bind Pasvorto: kLGD + Mj + ZTWzkD8W

Ni instalas necesajn pakaĵojn. Kiel la uzanto radikon ni ekzekutas:

aptitude install libnss-ldap nscd fingro

Rimarku, ke la eligo de la antaŭa komando ankaŭ inkluzivas la pakon libpam-ldap. Dum la instalado ili faros al ni plurajn demandojn, kiujn ni devas respondi ĝuste. La respondoj estus en ĉi tiu ekzemplo:

URI-servilo LDAP: ldap: //10.10.10.60
La distingita nomo (DN) de la serĉbazo: dc = amikoj, dc = cu
LDAP-versio uzota: 3
LDAP-konto por radiko: cn = administranto, cn = interna, dc = amikoj, dc = cu
Pasvorto por la radika LDAP-konto: kLGD + Mj + ZTWzkD8W

Nun li anoncas, ke la dosiero /etc/nsswitch.conf ĝi ne estas administrata aŭtomate, kaj ke ni devas modifi ĝin permane. Ĉu vi volas permesi al la LDAP-administranta konto konduti kiel la loka administranto?: Si
Ĉu uzanto devas aliri la LDAP-datumbazon?: Ne
Administranta konto LDAP: cn = administranto, cn = interna, dc = amikoj, dc = cu
Pasvorto por la radika LDAP-konto: kLGD + Mj + ZTWzkD8W

Se ni eraras pri la antaŭaj respondoj, ni ekzekutas kiel uzanto radikon:

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

Kaj ni taŭge respondas la samajn demandojn antaŭe faritajn, kun la sola aldono de la demando:

Loka ĉifra algoritmo uzota por pasvortoj: Md5

Oĵo respondante ĉar la apriora valoro ofertita al ni estas Kripto, kaj ni devas deklari, ke ĝi estas Md5. Ĝi ankaŭ montras al ni ekranon en konzola reĝimo kun la eliro de la komando pam-auth-update ekzekutita kiel radikon, kiun ni devas akcepti.

Ni modifas la dosieron /etc/nsswitch.conf, kaj ni lasas ĝin kun la sekva enhavo:

# /etc/nsswitch.conf # # Ekzempla agordo de la funkcio GNU Name Service Switch. # Se vi havas la pakojn `glibc-doc-reference 'kaj` info' instalitaj, provu: # `info libc" Noma Servoŝaltilo "'por informoj pri ĉi tiu dosiero. passwd:         kompat ldap
grupo:          kompat ldap
ombro:         kompat ldap

gastigantoj: dosieroj mdns4_minimal [NOTFOUND = return] dns mdns4 retoj: protokoloj de dosieroj: db dosieroj servoj: db dosieroj eteroj: db dosieroj rpc: db dosieroj netgroup: nis

Ni modifas la dosieron /etc/pam.d/common-session aŭtomate krei uzantajn dosierujojn kiam vi ensalutas se ili ne ekzistas:

[----]
kunsido necesas pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La supra linio devas esti inkluzivita ANTAE
# jen la po-pakaj moduloj (la "Ĉefa" bloko) [----]

Ni plenumas en konzolo kiel uzanto radikon, Nur por Kontroli, pam-auth-update:

debian7-pam-auth-update

Ni rekomencas la servon nscd, kaj ni faras ĉekojn:

: ~ # servo nscd rekomencu
[bone] Rekomenci Nomservan Kaŝan Demonon: nscd. : ~ # fingropaŝoj
Ensaluto: strides Nomo: Strides El Rey Adresaro: / home / strides Ŝelo: / bin / bash Neniam ensalutinta. Neniu poŝto. Neniu Plano. : ~ # getent pasvortaj paŝoj
Paŝoj: x: 1006: 63000: Paŝoj El Rey: / hejmo / paŝoj: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas La Elfo: / home / legolas: / bin / bash

Ni modifas la re-ligan politikon kun la servilo OpenLDAP.

Ni redaktas kiel uzanto radikon kaj tre zorge, la dosiero /etc/libnss-ldap.conf. Ni serĉas la vorton «malfacila«. Ni forigas la komenton de la linio #bind_policy malfacile kaj ni lasas ĝin tiel: bind_policy mola.

La saman ŝanĝon menciitan antaŭe, ni faras en la dosiero /etc/pam_ldap.conf.

La supraj modifoj forigas kelkajn LDAP-rilatajn mesaĝojn dum startado kaj samtempe plifirmigas ĝin (la startprocezo).

Ni rekomencas nian Wheezy ĉar la ŝanĝoj faritaj estas esencaj:

: ~ # reboot

Post rekomencado, ni povas ensaluti kun iu ajn uzanto registrita en ClearOS OpenLDAP.

Ni rekomendas ke tiam la sekva estas farita:

  • Igu eksterajn uzantojn membro de la samaj grupoj kiel la loka uzanto kreita dum la instalado de nia Debian.
  • Uzante la komandon visudo, ekzekutita kiel radikon, doni la necesajn ekzekutajn permesojn al eksteraj uzantoj.
  • Kreu legosignon kun la adreso https://centos.amigos.cu:81/?user en Glacia mustelo, por havi aliron al la persona paĝo en ClearOS, kie ni povas ŝanĝi nian personan pasvorton.
  • Instalu la OpenSSH-Servilon -se ni ne elektis ĝin instalinte la sistemon- por povi aliri nian Debian de alia komputilo.

Agordaj dosieroj kreitaj kaj / aŭ modifitaj

La LDAP-temo postulas multan studon, paciencon kaj sperton. La lastan mi ne havas. Ni tre rekomendas tiujn pakaĵojn libnss-ldap y libpam-ldap, en la okazo de mana modifo, kiu kaŭzas la aŭtentikigon ĉesi funkcii, estu reagordita ĝuste per la komando dpkg-reagordi, kiu estas generita de DEBCONF.

La rilataj agordaj dosieroj estas:

  • /etc/libnss-ldap.conf
  • /etc/libnss-ldap.secret
  • /etc/pam_ldap.conf
  • /etc/pam_ldap.secret
  • /etc/nsswitch.conf
  • /etc/pam.d/common-sessions

La dosiero /etc/ldap/ldap.conf

Ni ankoraŭ ne tuŝis ĉi tiun dosieron. Tamen la aŭtentokontrolo funkcias ĝuste pro la agordo de la supre listigitaj dosieroj kaj la PAM-agordo generita de pam-auth-update. Tamen ni devas ankaŭ agordi ĝin ĝuste. Ĝi faciligas uzi komandojn kiel ldapsearch, provizita de la pakaĵo ldap-utils. La minimuma agordo estus:

BAZO dc = amikoj, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF neniam

Ni povas kontroli ĉu la OpenLDAP-servilo de ClearOS funkcias ĝuste, se ni ekzekutas en konzolo:

ldapsearch -d 5 -L "(objectclass = *)"

La komanda eligo estas abunda. 🙂

Mi amas Debianon! Kaj la agado finiĝis por hodiaŭ, Amikoj !!!

debian7.amigos.cu


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

4 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   elav diris

    Bonega artikolo, rekta al mia tirkesto

    1.    Federico Antonio Valdes Toujague diris

      Dankon pro komento pri Elav ... pli da brulaĵo 🙂 kaj atendu la sekvan, kiu provas aŭtentikigi per sssd kontraŭ OpenLDAP.

  2.   eŭforio diris

    Koran dankon pro dividado, antaŭĝojanta pri la alia liverado 😀

    1.    Federico Antonio Valdes Toujague diris

      Dankon pro komento !!!. Ŝajnas, ke la mensa inercio aŭtentikigi kontraŭ Microsoft-domajno estas forta. Sekve la malmultaj komentoj. Tial mi skribas pri la veraj senpagaj alternativoj. Se vi rigardas ĝin atente, ili estas pli facile efektivigeblaj. Iom koncepte unue. Sed nenio.