Reto SWL (II): Ubuntu 12.04 kaj ClearOS. LDAP-aŭtentikigo

Saluton, amikoj!. Temas pri krei reton kun pluraj labortabloj kun Ubuntu 12.04 Precise Pangolin, kaj la multflanka servilo ClearOS. Alivorte, reto kun ekskluzive Libera Programaro.

Estas nepre legi antaŭe:

  • Enkonduko al Reto kun Libera Programaro (I): Prezento de ClearOS

Ni vidos:

Ekzempla reto

  • Regula Regilo, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Regila Nomo: centoj
  • Domajna nomo: amikoj.cu
  • Regilo IP: 10.10.10.60
  • ---------------
  • Versio de Ubuntu: Ubuntu-labortablo 12.04.2 Preciza.
  • Teamnomo: precizaj
  • IP-adreso: Uzante DHCP

preciza-dhcp-ip

Ni preparas nian Ubuntu

Ni modifas la dosieron /etc/lightdm/lightdm.conf akcepti manan ensaluton, kaj ni lasas vin kun la sekva enhavo:

[SeatDefaults] greeter-session = unueco-saluto user-session = Ubuntu greeter-show-manual-login = vera saluto-kaŝi-uzantoj = vera allow-guest = falsa

Post konservado de la ŝanĝoj, ni rekomencas la lumodm en konzolo alvokita de Stir + Alt + F1 kaj en ĝi ni ekzekutas, post ensaluto, sudo-servo lightdm rekomencu.

Ni agordas la LDAP-klienton

Ni devas havi la OpenLDAP-servilajn datumojn, kiujn ni akiras de la administra interfaco en «Adresaro »->« Domajno kaj LDAP":

LDAP-Baza DN: dc = amikoj, dc = cu LDAP Bind DN: cn = administranto, cn = interna, dc = amikoj, dc = cu LDAP Bind Pasvorto: kLGD + Mj + ZTWzkD8W

Ni instalas necesajn pakaĵojn:

sudo apt-get install ldap-auth-client fingro

Dum la instalado ili faros al ni plurajn demandojn, kiujn ni devas respondi ĝuste. La respondoj estus en ĉi tiu ekzemplo:

LDAP-servilo Uniforma Rimedo-Identigilo: ldap: //10.10.10.60 Distingita nomo de la serĉbazo: dc = amikoj, dc = cu LDAP-versio uzota: 3 Faru lokan radikan Administranton de Datumbazo: Jes Ĉu la LDAP-datumbazo postulas ensaluton? Neniu LDAP-konto por radiko: cn = administranto, cn = interna, dc = amikoj, dc = cu LDAP-pasvorta konto: kLGD + Mj + ZTWzkD8W

Se ni eraras en la antaŭaj respondoj, ni ekzekutas:

dpkg-reconfigure ldap-auth-config
## Respondoj
LDAP-servilo Uniforma Rimedo-Identigilo: ldap: //10.10.10.60 Distingita nomo de la serĉbazo: dc = amikoj, dc = cu LDAP-versio uzota: 3 Faru lokan radikan Administranton de Datumbazo: Jes Ĉu la LDAP-datumbazo postulas ensaluton? Neniu LDAP-konto por radiko: cn = administranto, cn = interna, dc = amikoj, dc = cu LDAP-radika konto pasvorto: kLGD + Mj + ZTWzkD8W Loka kripto uzebla dum ŝanĝo de pasvortoj: md5

Ni modifas la dosieron /etc/nsswitch.conf, kaj ni lasas ĝin kun la sekva enhavo:

# /etc/nsswitch.conf # # Ekzempla agordo de la funkcio GNU Name Service Switch. # Se vi havas la pakojn `glibc-doc-reference 'kaj` info' instalitaj, provu: # `info libc" Noma Servoŝaltilo "'por informoj pri ĉi tiu dosiero. passwd:         kompat ldap
grupo:          kompat ldap
ombro:         compat

gastigantoj: dosieroj mdns4_minimal [NOTFOUND = return] dns mdns4 retoj: protokoloj de dosieroj: db dosieroj servoj: db dosieroj eteroj: db dosieroj rpc: db dosieroj netgroup: nis

Ni modifas la dosieron /etc/pam.d/common-session tiel ke ĝi aŭtomate kreas la uzantajn dosierujojn dum ensaluto, se ili ne ekzistas:

[----]
kunsido necesas pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La supra linio devas esti inkluzivita ANTAE
# jen la po-pakaj moduloj (la "Ĉefa" bloko) [----]

Ni funkcias per konzolo, Nur por Kontroli, pam-auth-update:

preciza-pam-aŭto-ĝisdatigo

Ni faras ĉekojn:

: ~ $ fingropaŝoj
Ensaluto: strides Nomo: Strides El Rey Adresaro: / home / strides Ŝelo: / bin / bash Neniam ensalutinta. Neniu poŝto. Neniu Plano. : ~ $ sudo getent passwd paŝas
Paŝoj: x: 1006: 63000: Paŝoj El Rey: / hejmo / paŝoj: / bin / bash: ~ $ sudo getent passwd legolas
legolas: x: 1004: 63000: Legolas La Elfo: / home / legolas: / bin / bash

Ni rekomencas nian Ubuntu, ĉar la ŝanĝoj faritaj estas esencaj:

suda reboot

Post rekomencado, ni povas ensaluti kun iu ajn uzanto registrita en ClearOS OpenLDAP. Eble necesos tempo por elsaluti kiam ni finos ĝin por la unua fojo.

Ni rekomendas ke tiam la sekva estas farita:

  • Faru eksterajn uzantojn membron de la samaj grupoj, al kiuj apartenas la loka uzanto kreita dum la instalado de nia Ubuntu.
  • Uzante la komandon visudo, ekzekutita kiel radikon, doni la necesajn ekzekutajn permesojn al eksteraj uzantoj.
  • Kreu legosignon kun la adreso https://centos.amigos.cu:81/?user en Fajrovulpo, por havi aliron al la persona paĝo en ClearOS, kaj povi, krom ŝanĝi nian pasvorton, modifi aŭ aldoni datumojn al nia uzantoprofilo.
  • Instalu la OpenSSH-Servilon por povi aliri nian Ubuntu de alia komputilo.

Kelkaj finaj demandoj al Ubuntu-uzantoj:

  • Kial ĝi estas instalita defaŭlte kun la root-uzanto sen pasvorto?
  • Kial en via Servila versio, defaŭlte, mi povas uzi aptitude aŭ apt-get, dum defaŭlte en via Labortabla versio, mi povas uzi nur apt-get, kaj se mi volas uzi aptitude, mi devas instali ĝin?
  • Kial AppArmor instalita estas aktivigita defaŭlte? Red Hat kaj derivaĵoj permesas al vi elekti Selinux ebligita aŭ ne.
  • Kial vi ne uzas la dosieron / etc / inittab, kiu estas vaste akceptita de aliaj distribuoj GNU / Linukso kaj tre oportuna, kiam ni bezonas efektivigi Foriran Aliran Servilon?

Kaj la agado finiĝis por hodiaŭ, Amikoj !!!

pipin

 


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

16 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   O_Piksoto_O diris

    Vi kuraĝigis min provi ĝin, ĝis nun mi provis nur Zentyal.

    PS: La ligiloj "ni vidos:" ne funkcias aŭ ili ne funkcias por mi.

  2.   Federico Antonio Valdes Toujague diris

    Ŝajne, ĉi tiu blogo ne estas tre vizitata de uzantoj de Ubuntu. 🙂

    1.    eliotime3000 diris

      Nu, Ubuntu-uzantoj estas plejparte Windows-uzantoj. sekve la terura foresto.

      Kaj cetere, bona artikolo.

      1.    Federico Antonio Valdes Toujague diris

        Dankon pro la kompanio, Elio !!!. La vero estas, ke kun ĉi tiu nivelo de legado, mi pensas, ke mi ne provos ripeti la sperton denove. Kaj rimarku, ke mi ripetas, ke mi konsideras Ubuntu valida. Ni vidos.

  3.   mario diris

    Mi respondos kiel uzanto de Debian kaj Ubuntu, ĉar ili ambaŭ havas certan similecon multe sube:
    1. root estas malŝaltita (se vi ne havas pasvorton), vi povas aktivigi ĝin per passwd, aŭ skribi sudo bash, kio estas io simila. Eble ĝi estas malebligita pro oportunaj kialoj. Kiam radiko ekzistas, sekureco pliboniĝas, kun la malavantaĝo (kaj pro samtempe) ke ĝiaj generitaj dosieroj apartenas al ĝi. Iru klarigi al novulo chmod (kaj la nombroj), chgrp kaj chown por ke normalaj uzantoj povu dividi dosierojn kun root. Tial sudo estas uzata por malebligi frustriĝon de uzanto kaj streĉon de administranto.
    Malgraŭ tio en la retinstalaj instalaĵoj de Debian kiel Ubuntu vi povas elekti, ĉu vi volas krei root-uzanton? kun identaj rezultoj (sudo ne estas aktivigita, redaktu / etc / sudoers).
    2. pro la sama kialo, ke sinapta aŭ traka vojo ne plu estas inkluzivita. Iuj diras, ke pro manko de spaco (tiutempe ĝi estis distribuita en 700mb cd), aliaj, ke malmultaj homoj (labortablo) uzas ilin. Mi ĉiam memoras instali ĉiujn tri.
    3. SElinux kaj Apparmor estas ŝaltitaj aŭ instalitaj defaŭlte ĉe distribuoj kiel fedora, centos kaj ubuntu. Revenante al punkto 1, aktivigi ilin povas esti kapdoloro por la uzanto aŭ la administranto, sed ĝi akiras sekurecon. En Ubuntu Apparmor estas sufiĉe cedema. Sed kiam mi provis SElinux ĉe Centos, fariĝis tre malfacile por aliaj uzantoj eniri kaj administri dosierojn per sambo.
    4. Sysvinit jam estas anstataŭigita en pluraj distribuoj, kaj dum sufiĉe multaj jaroj. Debian kaj Gentoo konservas ilin, sed RHEL, Fedora (systemd) aŭ ubuntu (upstart) ne. En http://0pointer.de/blog/projects/why.html Vi povas vidi aliajn alternativojn kaj kial la ŝanĝo. Ĝuste systemd kune kun udev respondecas pri tio, ke eth0 estas nun nomata io simila al enp2s1 (mi ne ŝatas ĝin), malnovaj konceptoj estas forlasitaj.

    1.    Federico Antonio Valdes Toujague diris

      Mario: Rimarkoj kiel la viaj estas kion ni atendas kaj necesas por klarigi multajn. Vi persone klarigis iujn detalojn por mi. Kiam mi uzis Ubuntu -multe, krom 8.04- mi ĉiam metas la pasvorton al root; Mi instalas aptitude kaj tiel plu, same kiel Synaptic en la plej novaj versioj. Kaj estas vere, ke malnovaj konceptoj estas forlasitaj. La moderneco. Koran dankon pro komento !!!

      1.    mario diris

        neniu problemo, ili estas tiuj inteligentaj demandoj, kiuj igas vin multe serĉi memore konceptojn, kiujn mi preskaŭ forgesis (gentoo), salutojn!

        1.    eliotime3000 diris

          Nu, mi amas uzi kaj Debianon kaj Slackware kaj Arch. Kvankam mi devas agnoski, ke la SystemD estas mirindaĵo pri noventreprenoj.

  4.   eŭforio diris

    Koran dankon pro la artikoloj, mi kutime ne komentas kvankam mi legis preskaŭ ĉiujn artikolojn kaj ĉi tio ŝajnas tre interesa, se mi startas tian agordon hejme :)

    Saluton kaj dankon denove.

    1.    Federico A. Valdes Toujague diris

      Dankon pro komento !!!.

  5.   manuelperez diris

    sendube, la programoj funkcias sur la kliento aŭ sur la LDAP-servilo. Mi supozas, ke ĉe la kliento, se ne, mi devus superdimensii la servilon ... Estas iom da dubo

    1.    Federico A. Valdes Toujague diris

      Legu la ĉefajn ecojn de ClearOS en la antaŭa artikolo. Ĝi ne celas esti klasika aplika servilo. Prefere, Infrastrukturo kaj Bazaj Retaj Servoj. Kompreneble vi povas disvolvi retejan programon bazitan sur Apache, kiun vi povas instali. Kaj mi persone ne rekomendas tian solvon. Mi preferas havi unu aŭ plurajn apartajn aplikaĵajn servilojn.

      Tipe programoj funkcias ĉe la kliento.

      Mi ne scias, ĉu la plej novaj versioj de ClearOS havas Thin Client-servilon. Ŝajnas al mi, ke ĝi ne estas lia filozofio.

      1.    manuelperez diris

        Bone, mi provis ĝin antaŭ multaj jaroj, kiam ĝi estis Clarkconnect ... kaj mi pensas, ke kiel vi diras, ĝi estas pli ol reto kaj infrastruktura servilo. Mi daŭrigos momente kun mia Zentyal ... kaj mi daŭre serĉos la aplikaĵan servilon.

      2.    martin diris

        Via artikolo estas tre interesa, mi estas uzanto de Ubuntu, sed lastatempe mi komencas vidi ion pli teknikan, nun mi havas iom malnovan maŝinon kaj mi pensis pri io tia por akiri realan profiton de ĝi. Dankon, vi helpis min pri tio, kion mi serĉu.

        1.    Federico A. Valdes Toujague diris

          Nia ĉefa celo estas helpi en la uzo de la SWL. Mi esperas kaj trovos iun utilecon por la malnova maŝino de ĉi tiu afiŝo.

  6.   eŭforio diris

    Demando, ĉu vi havas lernilon pri kiel uzi aĉetitan domajnon (ĉi-kaze en bluehost) kun dinamika IP por igi ĝin munti ion similan kun via propra servilo?

    salutoj