Hei ystävät!. Teemme verkon, jossa on useita pöytätietokoneita, mutta tällä kertaa Debian 7 "Wheezy" -käyttöjärjestelmällä. Palvelimena hän ClearOS. Tarkkailemme datana, että projekti Debian-Edu käytä Debiania palvelimillasi ja työasemillasi. Ja tuo projekti opettaa meille ja helpottaa kokonaisen koulun perustamista.
On tärkeää lukea ennen:
- Johdanto verkkoon, jossa on ilmaisia ohjelmistoja (I): ClearOSin esittely
Nähdään:
- Esimerkkiverkko
- Määritämme LDAP-asiakkaan
- Luotut ja / tai muokatut määritystiedostot
- /Etc/ldap/ldap.conf-tiedosto
Esimerkkiverkko
- Toimialueen ohjain, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Ohjaimen nimi: CentOS
- Verkkotunnus: friends.cu
- Ohjaimen IP: 10.10.10.60
- ---------------
- Debian-versio: Hengenahdistus.
- Joukkueen nimi: debian 7
- IP-osoite: DHCP: n käyttö
Määritämme LDAP-asiakkaan
Meillä on oltava käsillä OpenLDAP-palvelintiedot, jotka hankimme ClearOS-hallinnon verkkoliittymästä osoitteessa «Hakemisto »->« Toimialue ja LDAP":
LDAP Base DN: dc = ystävät, dc = cu LDAP Bind DN: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu LDAP sitova salasana: kLGD + Mj + ZTWzkD8W
Asennamme tarvittavat paketit. Käyttäjänä juuri me toteutamme:
aptitude install libnss-ldap nscd-sormi
Huomaa, että edellisen komennon lähtö sisältää myös paketin libpam-ldap. Asennusprosessin aikana he esittävät meille useita kysymyksiä, joihin meidän on vastattava oikein. Vastaukset olisivat tämän esimerkin tapauksessa:
LDAP-palvelimen URI: ldap: //10.10.10.60 Hakupohjan erottuva nimi (DN): dc = ystävät, dc = cu Käytettävä LDAP-versio: 3 Juuren LDAP-tili: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu LDAP-juuritilin salasana: kLGD + Mj + ZTWzkD8W Nyt hän ilmoittaa, että tiedosto /etc/nsswitch.conf sitä ei hallita automaattisesti, ja että meidän on muokattava sitä manuaalisesti. Haluatko antaa LDAP-järjestelmänvalvojan tilin toimia paikallisena järjestelmänvalvojana?: Si Onko käyttäjän vaadittava pääsyä LDAP-tietokantaan?: Ei LDAP-järjestelmänvalvojan tili: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu LDAP-juuritilin salasana: kLGD + Mj + ZTWzkD8W
Jos olemme väärässä edellisissä vastauksissa, suoritamme käyttäjän juuri:
dpkg-configure libnss-ldap dpkg-konfiguroi libpam-ldap uudelleen
Ja vastaamme riittävästi samoihin kysymyksiin, jotka on esitetty aiemmin, lisäämällä kysymykseen vain:
Salasanoille käytettävä paikallinen salausalgoritmi: md5
Ojo kun vastaat, koska meille tarjottu oletusarvo on Krypta, ja meidän on julistettava, että se on md5. Se näyttää myös näytön konsolimoodissa komennon kanssa pam-auth-päivitys teloitettiin nimellä juuri, joka meidän on hyväksyttävä.
Me muokkaamme tiedostoa /etc/nsswitch.confja jätämme siihen seuraavan sisällön:
# /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', yritä: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd: vastaava ldap ryhmä: vastaava ldap varjo: vastaava ldap hosts: tiedostot mdns4_minimal [NOTFOUND = return] dns mdns4 verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot netgroup: nis
Me muokkaamme tiedostoa /etc/pam.d/common-session luoda automaattisesti käyttäjäkansioita sisäänkirjautumisen yhteydessä, jos niitä ei ole:
[----] istunto vaaditaan pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Yllä olevan rivin on oltava mukana ENNEN # tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko) [----]
Suoritamme konsolissa käyttäjänä juuri, Vain tarkistaa, pam-auth-päivitys:
Käynnistämme palvelun uudelleen nscdja teemme tarkastuksia:
: ~ # service nscd käynnistä uudelleen [ok] Käynnistetään nimipalvelun välimuistidemon: nscd. : ~ # sormen askeleet Kirjautuminen: strides Nimi: Strides El Rey Hakemisto: / home / strides Kuori: / bin / bash Ei koskaan kirjautunut sisään. Ei postia. Ei suunnitelmaa. : ~ # getent passwd harppauksia Askeleet: x: 1006: 63000: Askeleet El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas tonttu: / home / legolas: / bin / bash
Muutamme uudelleenkytkentäkäytäntöä OpenLDAP-palvelimen kanssa.
Muokkaamme käyttäjänä juuri ja erittäin huolellisesti tiedosto /etc/libnss-ldap.conf. Etsimme sanaa «kova«. Poistamme kommentin riviltä #bind_policy kovaa ja jätämme sen näin: sitova_politiikka pehmeä.
Sama muutos, joka mainittiin aiemmin, teemme sen tiedostossa /etc/pam_ldap.conf.
Edellä mainitut muutokset eliminoivat useita LDAP: hen liittyviä viestejä käynnistyksen aikana ja samalla nopeuttavat sitä (käynnistysprosessi).
Käynnistämme Wheezyn uudelleen, koska tehdyt muutokset ovat välttämättömiä:
: ~ # uudelleenkäynnistys
Uudelleenkäynnistyksen jälkeen voimme kirjautua sisään kaikilla ClearOS OpenLDAP -palveluun rekisteröidyillä käyttäjillä.
Suosittelemme että sitten tehdään seuraava:
- Tee ulkoisista käyttäjistä samojen ryhmien jäsen kuin paikallisen käyttäjän, joka luotiin Debianin asennuksen aikana.
- Komennon avulla visudo, teloitettiin nimellä juuri, anna tarvittavat suoritusoikeudet ulkoisille käyttäjille.
- Luo kirjanmerkki osoitteella https://centos.amigos.cu:81/?user en iceweasel, päästäksesi ClearOSin henkilökohtaiseen sivuun, jossa voimme vaihtaa henkilökohtaisen salasanamme.
- Asenna OpenSSH-Server - jos emme ole valinneet sitä asennettaessa järjestelmää - voidaksemme käyttää Debiania toisesta tietokoneesta.
Luotut ja / tai muokatut määritystiedostot
LDAP-aihe vaatii paljon tutkimusta, kärsivällisyyttä ja kokemusta. Viimeinen, jota minulla ei ole. Suosittelemme, että paketit libnss-ldap y libpam-ldap, jos manuaalinen muokkaus aiheuttaa todentamisen lakkaavan toimimasta, määritä uudelleen oikein komennolla dpkg-konfiguroi uudelleen, jonka tuottaa DEBCONF.
Aiheeseen liittyvät määritystiedostot ovat:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
/Etc/ldap/ldap.conf-tiedosto
Emme ole vielä koskettaneet tätä tiedostoa. Todennus toimii kuitenkin oikein yllä lueteltujen tiedostojen kokoonpanon ja PEM-määrityksen takia pam-auth-päivitys. Meidän on kuitenkin myös määritettävä se oikein. Sen avulla on helppo käyttää komentoja, kuten ldapsearch, tarjoaa paketti ldap-utils. Pienin kokoonpano olisi:
PERUS dc = ystävät, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never
Voimme tarkistaa, toimiiko ClearOS: n OpenLDAP-palvelin oikein, jos suoritamme konsolissa:
ldapsearch -d 5 -L "(objektiluokka = *)"
Komennon ulostulo on runsas. 🙂
Rakastan Debiania! Ja toiminta on ohi tänään, ystävät !!!
Erinomainen artikkeli, suoraan vihjeiden laatikkoon
Kiitos, että kommentoit Elavia ... lisää polttoainetta 🙂 ja odota seuraavaa, joka yrittää todentaa sssd: llä OpenLDAP: ää vastaan.
Paljon kiitoksia jakamisesta, odotan innolla toista toimitusta 😀
Kiitos kommentista !!!. Näyttää siltä, että henkinen inertia todentamisesta Microsoft-verkkotunnusta vastaan on vahva. Tästä johtuen muutama kommentti. Siksi kirjoitan todellisista ilmaisista vaihtoehdoista. Jos katsot sitä huolellisesti, ne on helpompi toteuttaa. Aluksi hieman käsitteellinen. Mutta ei mitään.