Tere, sõbrad!. Teeme võrgu mitme lauaarvutiga, kuid seekord Debian 7 "Wheezy" operatsioonisüsteemiga. Serverina ta Tühjenda OS. Andmetena jälgime, et projekt Debian-Edu kasutage Debiani oma serverites ja tööjaamades. Ja see projekt õpetab meid ja muudab tervikliku kooli asutamise lihtsamaks.
Enne on oluline lugeda:
- Sissejuhatus tasuta tarkvaraga võrku (I): ClearOS-i esitlus
Eks me näe:
- Näidisvõrk
- Konfigureerime LDAP-kliendi
- Loodud ja / või muudetud konfiguratsioonifailid
- Fail /etc/ldap/ldap.conf
Näidisvõrk
- Domeenikontroller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Kontrolleri nimi: CentOS
- Domeeninimi: sõbrad.cu
- Kontrolleri IP: 10.10.10.60
- ---------------
- Debiani versioon: Vilistav hingamine.
- Võistkonna nimi: debian7
- IP-aadress: DHCP kasutamine
Konfigureerime LDAP-kliendi
Meil peab olema käepärast OpenLDAP-serveri andmed, mille hankime ClearOS-i administreerimise veebiliidesestKataloog »->« Domeen ja LDAP":
LDAP baasi DN: dc = sõbrad, dc = cu LDAP siduv DN: cn = haldur, cn = sisemine, dc = sõbrad, dc = cu LDAP siduv parool: kLGD + Mj + ZTWzkD8W
Paigaldame vajalikud paketid. Kasutajana juur me täidame:
aptitude install libnss-ldap nscd sõrm
Pange tähele, et eelmise käsu väljund sisaldab ka paketti libpam-ldap. Paigaldamise käigus esitavad nad meile mitu küsimust, millele peame õigesti vastama. Vastused oleksid antud näite puhul:
LDAP-serveri URI: ldap: //10.10.10.60 Otsingubaasi eristatav nimi (DN): dc = sõbrad, dc = cu Kasutatav LDAP-versioon: 3 LDAP-konto juur: cn = juht, cn = sisemine, dc = sõbrad, dc = cu LDAP-juurkonto parool: kLGD + Mj + ZTWzkD8W Nüüd ütleb ta meile, et toimik /etc/nsswitch.conf seda ei hallata automaatselt ja me peame seda käsitsi muutma. Kas soovite lubada LDAP-i administraatorikontol käituda kohaliku administraatorina? Si Kas kasutajal on juurdepääs LDAP-i andmebaasile? Ei LDAP-i administraatori konto: cn = juht, cn = sisemine, dc = sõbrad, dc = cu LDAP-juurkonto parool: kLGD + Mj + ZTWzkD8W
Kui eelmistes vastustes eksime, täidame kasutajana juur:
dpkg-configure libnss-ldap dpkg-konfigureerige libpam-ldap
Ja me vastame adekvaatselt samadele küsimustele, mida varem küsiti, lisades sellele ainult küsimuse:
Paroolide jaoks kasutatav kohalik krüpteerimisalgoritm: md5
Ojo vastamisel, kuna meile pakutav vaikeväärtus on Krüptja peame deklareerima, et see on nii md5. See näitab meile ka konsoolirežiimis ekraani koos käsu väljundiga pam-auth-update hukati kui juur, millega peame nõustuma.
Muudame faili /etc/nsswitch.confja jätame selle järgmise sisuga:
# /etc/nsswitch.conf # # GNU nimeteenuse lüliti funktsionaalsuse konfiguratsiooninäide. # Kui teil on installitud paketid `glibc-doc-reference 'ja` info', proovige selle faili kohta lisateavet: # `info libc" Name Service Switch ". passwd: kaaslane ldap Grupp: kaaslane ldap vari: kaaslane ldap hostid: failid mdns4_minimal [NOTFOUND = return] dns mdns4 võrgud: failiprotokollid: db-failiteenused: db-failide eetrid: db-failid rpc: db-failid netirühm: nis
Muudame faili /etc/pam.d/common-session kasutajakaustade loomiseks sisselogimisel automaatselt, kui neid pole:
[----] seanss on vajalik pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Ülaltoodud rida tuleb lisada ENNE # siin on paketi kohta moodulid (plokk "Esmane") [----]
Teostame kasutajana konsoolis juur, Lihtsalt kontrollimiseks, pam-auth-update:
Taaskäivitame teenuse nscdja me kontrollime:
: ~ # teenuse nscd taaskäivitamine [ok] Nimeteenuse vahemälu deemoni taaskäivitamine: nscd. : ~ # sõrme sammud Sisselogimine: strides Nimi: Strides El Rey kataloog: / home / strides Shell: / bin / bash Pole kunagi sisse loginud. Posti pole. Plaani pole. : ~ # getent passwd sammud Sammud: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas päkapikk: / home / legolas: / bin / bash
Muudame uuestiühendamise poliitikat OpenLDAP-serveriga.
Muudame kasutajana juur ja väga hoolikalt toimik /etc/libnss-ldap.conf. Otsime sõna «raske«. Eemaldame kommentaari realt #bind_policy raske ja jätame selle nii: bind_policy pehme.
Sama muudatus, mida mainiti juba varem, teeme selle failis /etc/pam_ldap.conf.
Ülaltoodud muudatused välistavad alglaadimise ajal mitmed LDAP-ga seotud sõnumid ja muudavad selle samal ajal kiiremaks (alglaadimisprotsess).
Taaskäivitame oma Wheezy, sest tehtud muudatused on hädavajalikud:
: ~ # reboot
Pärast taaskäivitamist saame sisse logida kõigi ClearOS OpenLDAP-is registreeritud kasutajatega.
Soovitame et siis tehakse järgmine:
- Tehke välised kasutajad samade rühmade liikmeks, kuhu kuulub meie Debiani installimisel loodud kohalik kasutaja.
- Kasutades käsku visado, hukati kui juur, andke välistele kasutajatele vajalikud täitmisõigused.
- Looge aadressiga järjehoidja https://centos.amigos.cu:81/?user en Jäämer, et pääseda juurde ClearOS-i isiklikule lehele, kus saame oma isiklikku parooli muuta.
- Installige OpenSSH-Server - kui seda pole süsteemi installimisel valitud -, et pääseda meie Debianile juurde teisest arvutist.
Loodud ja / või muudetud konfiguratsioonifailid
LDAP-teema nõuab palju õppimist, kannatlikkust ja kogemusi. Viimast mul pole. Soovitame tungivalt pakette libnss-ldap y libpam-ldap, käsitsi tehtud muudatuste korral, mis põhjustavad autentimise lakkamise, konfigureerige käsu abil õigesti dpkg-ümberseadistamine, mille genereerib DEBCONF.
Seotud konfiguratsioonifailid on:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Fail /etc/ldap/ldap.conf
Me pole seda faili veel puudutanud. Autentimine töötab siiski õigesti, kuna ülal loetletud failid on konfigureeritud ja PAM-i loodud pam-auth-update. Kuid peame ka selle korralikult konfigureerima. See muudab selliste käskude kasutamise lihtsaks ldapsearch, pakendi pakutav ldap-utils. Minimaalne konfiguratsioon oleks:
ALUS dc = sõbrad, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never
Kui käivitame konsoolis, saame kontrollida, kas ClearOS-i OpenLDAP-server töötab õigesti.
ldapsearch -d 5 -L "(objektiklass = *)"
Käskude väljund on rikkalik. 🙂
Ma armastan Debiani! Ja tänane tegevus on läbi, sõbrad !!!
Suurepärane artikkel, otse minu näpunäidete sahtlisse
Täname, et kommenteerisite Elavit ... rohkem kütust 🙂 ja oodake järgmist, mis proovib autentida sssd-ga OpenLDAP-i vastu.
Suur aitäh jagamast, ootan teist saatmist 😀
Täname kommentaari eest !!!. Näib, et Microsofti domeeni vastu autentimise vaimne inerts on tugev. Siit ka mõned kommentaarid. Seetõttu kirjutan tõelistest tasuta alternatiividest. Lähemalt vaadates on neid lihtsam rakendada. Alguses natuke kontseptuaalne. Aga ei midagi.