SWL-võrk (III): Debian Wheezy ja ClearOS. LDAP-autentimine

Tere, sõbrad!. Teeme võrgu mitme lauaarvutiga, kuid seekord Debian 7 "Wheezy" operatsioonisüsteemiga. Serverina ta Tühjenda OS. Andmetena jälgime, et projekt Debian-Edu kasutage Debiani oma serverites ja tööjaamades. Ja see projekt õpetab meid ja muudab tervikliku kooli asutamise lihtsamaks.

Enne on oluline lugeda:

• Sissejuhatus tasuta tarkvaraga võrku (I): ClearOS-i esitlus

Eks me näe:

• Näidisvõrk
• Konfigureerime LDAP-kliendi
• Loodud ja / või muudetud konfiguratsioonifailid
• Fail /etc/ldap/ldap.conf

Näidisvõrk

• Domeenikontroller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Kontrolleri nimi: CentOS
• Domeeninimi: sõbrad.cu
• Kontrolleri IP: 10.10.10.60
• ---------------
• Debiani versioon: Vilistav hingamine.
• Võistkonna nimi: debian7
• IP-aadress: DHCP kasutamine
  

Konfigureerime LDAP-kliendi

Meil peab olema käepärast OpenLDAP-serveri andmed, mille hankime ClearOS-i administreerimise veebiliidesestKataloog »->« Domeen ja LDAP":

LDAP baasi DN: dc = sõbrad, dc = cu LDAP siduv DN: cn = haldur, cn = sisemine, dc = sõbrad, dc = cu LDAP siduv parool: kLGD + Mj + ZTWzkD8W

Paigaldame vajalikud paketid. Kasutajana juur me täidame:

aptitude install libnss-ldap nscd sõrm

Pange tähele, et eelmise käsu väljund sisaldab ka paketti libpam-ldap. Paigaldamise käigus esitavad nad meile mitu küsimust, millele peame õigesti vastama. Vastused oleksid antud näite puhul:

LDAP-serveri URI: ldap: //10.10.10.60
Otsingubaasi eristatav nimi (DN): dc = sõbrad, dc = cu
Kasutatav LDAP-versioon: 3
LDAP-konto juur: cn = juht, cn = sisemine, dc = sõbrad, dc = cu
LDAP-juurkonto parool: kLGD + Mj + ZTWzkD8W

Nüüd ütleb ta meile, et toimik /etc/nsswitch.conf seda ei hallata automaatselt ja me peame seda käsitsi muutma. Kas soovite lubada LDAP-i administraatorikontol käituda kohaliku administraatorina? Si
Kas kasutajal on juurdepääs LDAP-i andmebaasile? Ei
LDAP-i administraatori konto: cn = juht, cn = sisemine, dc = sõbrad, dc = cu
LDAP-juurkonto parool: kLGD + Mj + ZTWzkD8W

Kui eelmistes vastustes eksime, täidame kasutajana juur:

dpkg-configure libnss-ldap
dpkg-konfigureerige libpam-ldap

Ja me vastame adekvaatselt samadele küsimustele, mida varem küsiti, lisades sellele ainult küsimuse:

Paroolide jaoks kasutatav kohalik krüpteerimisalgoritm: md5

Ojo vastamisel, kuna meile pakutav vaikeväärtus on Krüptja peame deklareerima, et see on nii md5. See näitab meile ka konsoolirežiimis ekraani koos käsu väljundiga pam-auth-update hukati kui juur, millega peame nõustuma.

Muudame faili /etc/nsswitch.confja jätame selle järgmise sisuga:

# /etc/nsswitch.conf # # GNU nimeteenuse lüliti funktsionaalsuse konfiguratsiooninäide. # Kui teil on installitud paketid `glibc-doc-reference 'ja` info', proovige selle faili kohta lisateavet: # `info libc" Name Service Switch ". passwd:         kaaslane ldap
Grupp:          kaaslane ldap
vari:         kaaslane ldap

hostid: failid mdns4_minimal [NOTFOUND = return] dns mdns4 võrgud: failiprotokollid: db-failiteenused: db-failide eetrid: db-failid rpc: db-failid netirühm: nis

Muudame faili /etc/pam.d/common-session kasutajakaustade loomiseks sisselogimisel automaatselt, kui neid pole:

[----]
seanss on vajalik pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Ülaltoodud rida tuleb lisada ENNE
# siin on paketi kohta moodulid (plokk "Esmane") [----]

Teostame kasutajana konsoolis juur, Lihtsalt kontrollimiseks, pam-auth-update:

Taaskäivitame teenuse nscdja me kontrollime:

: ~ # teenuse nscd taaskäivitamine
[ok] Nimeteenuse vahemälu deemoni taaskäivitamine: nscd. : ~ # sõrme sammud
Sisselogimine: strides Nimi: Strides El Rey kataloog: / home / strides Shell: / bin / bash Pole kunagi sisse loginud. Posti pole. Plaani pole. : ~ # getent passwd sammud
Sammud: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas päkapikk: / home / legolas: / bin / bash

Muudame uuestiühendamise poliitikat OpenLDAP-serveriga.

Muudame kasutajana juur ja väga hoolikalt toimik /etc/libnss-ldap.conf. Otsime sõna «raske«. Eemaldame kommentaari realt #bind_policy raske ja jätame selle nii: bind_policy pehme.

Sama muudatus, mida mainiti juba varem, teeme selle failis /etc/pam_ldap.conf.

Ülaltoodud muudatused välistavad alglaadimise ajal mitmed LDAP-ga seotud sõnumid ja muudavad selle samal ajal kiiremaks (alglaadimisprotsess).

Taaskäivitame oma Wheezy, sest tehtud muudatused on hädavajalikud:

: ~ # reboot

Pärast taaskäivitamist saame sisse logida kõigi ClearOS OpenLDAP-is registreeritud kasutajatega.

Soovitame et siis tehakse järgmine:

• Tehke välised kasutajad samade rühmade liikmeks, kuhu kuulub meie Debiani installimisel loodud kohalik kasutaja.
• Kasutades käsku visado, hukati kui juur, andke välistele kasutajatele vajalikud täitmisõigused.
• Looge aadressiga järjehoidja https://centos.amigos.cu:81/?user en Jäämer, et pääseda juurde ClearOS-i isiklikule lehele, kus saame oma isiklikku parooli muuta.
• Installige OpenSSH-Server - kui seda pole süsteemi installimisel valitud -, et pääseda meie Debianile juurde teisest arvutist.

Loodud ja / või muudetud konfiguratsioonifailid

LDAP-teema nõuab palju õppimist, kannatlikkust ja kogemusi. Viimast mul pole. Soovitame tungivalt pakette libnss-ldap y libpam-ldap, käsitsi tehtud muudatuste korral, mis põhjustavad autentimise lakkamise, konfigureerige käsu abil õigesti dpkg-ümberseadistamine, mille genereerib DEBCONF.

Seotud konfiguratsioonifailid on:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Fail /etc/ldap/ldap.conf

Me pole seda faili veel puudutanud. Autentimine töötab siiski õigesti, kuna ülal loetletud failid on konfigureeritud ja PAM-i loodud pam-auth-update. Kuid peame ka selle korralikult konfigureerima. See muudab selliste käskude kasutamise lihtsaks ldapsearch, pakendi pakutav ldap-utils. Minimaalne konfiguratsioon oleks:

ALUS dc = sõbrad, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

Kui käivitame konsoolis, saame kontrollida, kas ClearOS-i OpenLDAP-server töötab õigesti.

ldapsearch -d 5 -L "(objektiklass = *)"

Käskude väljund on rikkalik. 🙂

Ma armastan Debiani! Ja tänane tegevus on läbi, sõbrad !!!