SWL-verkko (III): Debian Wheezy ja ClearOS. LDAP-todennus

Hei ystävät!. Teemme verkon, jossa on useita pöytätietokoneita, mutta tällä kertaa Debian 7 "Wheezy" -käyttöjärjestelmällä. Palvelimena hän ClearOS. Tarkkailemme datana, että projekti Debian-Edu käytä Debiania palvelimillasi ja työasemillasi. Ja tuo projekti opettaa meille ja helpottaa kokonaisen koulun perustamista.

On tärkeää lukea ennen:

• Johdanto verkkoon, jossa on ilmaisia ​​ohjelmistoja (I): ClearOSin esittely

Nähdään:

• Esimerkkiverkko
• Määritämme LDAP-asiakkaan
• Luotut ja / tai muokatut määritystiedostot
• /Etc/ldap/ldap.conf-tiedosto

Esimerkkiverkko

• Toimialueen ohjain, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Ohjaimen nimi: CentOS
• Verkkotunnus: friends.cu
• Ohjaimen IP: 10.10.10.60
• ---------------
• Debian-versio: Hengenahdistus.
• Joukkueen nimi: debian 7
• IP-osoite: DHCP: n käyttö
  

Määritämme LDAP-asiakkaan

Meillä on oltava käsillä OpenLDAP-palvelintiedot, jotka hankimme ClearOS-hallinnon verkkoliittymästä osoitteessa «Hakemisto »->« Toimialue ja LDAP":

LDAP Base DN: dc = ystävät, dc = cu LDAP Bind DN: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu LDAP sitova salasana: kLGD + Mj + ZTWzkD8W

Asennamme tarvittavat paketit. Käyttäjänä juuri me toteutamme:

aptitude install libnss-ldap nscd-sormi

Huomaa, että edellisen komennon lähtö sisältää myös paketin libpam-ldap. Asennusprosessin aikana he esittävät meille useita kysymyksiä, joihin meidän on vastattava oikein. Vastaukset olisivat tämän esimerkin tapauksessa:

LDAP-palvelimen URI: ldap: //10.10.10.60
Hakupohjan erottuva nimi (DN): dc = ystävät, dc = cu
Käytettävä LDAP-versio: 3
Juuren LDAP-tili: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu
LDAP-juuritilin salasana: kLGD + Mj + ZTWzkD8W

Nyt hän ilmoittaa, että tiedosto /etc/nsswitch.conf sitä ei hallita automaattisesti, ja että meidän on muokattava sitä manuaalisesti. Haluatko antaa LDAP-järjestelmänvalvojan tilin toimia paikallisena järjestelmänvalvojana?: Si
Onko käyttäjän vaadittava pääsyä LDAP-tietokantaan?: Ei
LDAP-järjestelmänvalvojan tili: cn = johtaja, cn = sisäinen, dc = ystävät, dc = cu
LDAP-juuritilin salasana: kLGD + Mj + ZTWzkD8W

Jos olemme väärässä edellisissä vastauksissa, suoritamme käyttäjän juuri:

dpkg-configure libnss-ldap
dpkg-konfiguroi libpam-ldap uudelleen

Ja vastaamme riittävästi samoihin kysymyksiin, jotka on esitetty aiemmin, lisäämällä kysymykseen vain:

Salasanoille käytettävä paikallinen salausalgoritmi: md5

Ojo kun vastaat, koska meille tarjottu oletusarvo on Krypta, ja meidän on julistettava, että se on md5. Se näyttää myös näytön konsolimoodissa komennon kanssa pam-auth-päivitys teloitettiin nimellä juuri, joka meidän on hyväksyttävä.

Me muokkaamme tiedostoa /etc/nsswitch.confja jätämme siihen seuraavan sisällön:

# /etc/nsswitch.conf # # Esimerkki GNU-nimipalvelukytkimen toiminnallisuudesta. # Jos sinulla on asennettuna paketit `glibc-doc-reference 'ja` info', yritä: # `info libc" Name Service Switch "'saadaksesi lisätietoja tästä tiedostosta. passwd:         vastaava ldap
ryhmä:          vastaava ldap
varjo:         vastaava ldap

hosts: tiedostot mdns4_minimal [NOTFOUND = return] dns mdns4 verkot: tiedostoprotokollat: db tiedostopalvelut: db tiedostojen eetterit: db tiedostot rpc: db tiedostot netgroup: nis

Me muokkaamme tiedostoa /etc/pam.d/common-session luoda automaattisesti käyttäjäkansioita sisäänkirjautumisen yhteydessä, jos niitä ei ole:

[----]
istunto vaaditaan pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Yllä olevan rivin on oltava mukana ENNEN
# tässä ovat pakettikohtaiset moduulit ("Ensisijainen" -lohko) [----]

Suoritamme konsolissa käyttäjänä juuri, Vain tarkistaa, pam-auth-päivitys:

Käynnistämme palvelun uudelleen nscdja teemme tarkastuksia:

: ~ # service nscd käynnistä uudelleen
[ok] Käynnistetään nimipalvelun välimuistidemon: nscd. : ~ # sormen askeleet
Kirjautuminen: strides Nimi: Strides El Rey Hakemisto: / home / strides Kuori: / bin / bash Ei koskaan kirjautunut sisään. Ei postia. Ei suunnitelmaa. : ~ # getent passwd harppauksia
Askeleet: x: 1006: 63000: Askeleet El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas tonttu: / home / legolas: / bin / bash

Muutamme uudelleenkytkentäkäytäntöä OpenLDAP-palvelimen kanssa.

Muokkaamme käyttäjänä juuri ja erittäin huolellisesti tiedosto /etc/libnss-ldap.conf. Etsimme sanaa «kova«. Poistamme kommentin riviltä #bind_policy kovaa ja jätämme sen näin: sitova_politiikka pehmeä.

Sama muutos, joka mainittiin aiemmin, teemme sen tiedostossa /etc/pam_ldap.conf.

Edellä mainitut muutokset eliminoivat useita LDAP: hen liittyviä viestejä käynnistyksen aikana ja samalla nopeuttavat sitä (käynnistysprosessi).

Käynnistämme Wheezyn uudelleen, koska tehdyt muutokset ovat välttämättömiä:

: ~ # uudelleenkäynnistys

Uudelleenkäynnistyksen jälkeen voimme kirjautua sisään kaikilla ClearOS OpenLDAP -palveluun rekisteröidyillä käyttäjillä.

Suosittelemme että sitten tehdään seuraava:

• Tee ulkoisista käyttäjistä samojen ryhmien jäsen kuin paikallisen käyttäjän, joka luotiin Debianin asennuksen aikana.
• Komennon avulla visudo, teloitettiin nimellä juuri, anna tarvittavat suoritusoikeudet ulkoisille käyttäjille.
• Luo kirjanmerkki osoitteella https://centos.amigos.cu:81/?user en iceweasel, päästäksesi ClearOSin henkilökohtaiseen sivuun, jossa voimme vaihtaa henkilökohtaisen salasanamme.
• Asenna OpenSSH-Server - jos emme ole valinneet sitä asennettaessa järjestelmää - voidaksemme käyttää Debiania toisesta tietokoneesta.

Luotut ja / tai muokatut määritystiedostot

LDAP-aihe vaatii paljon tutkimusta, kärsivällisyyttä ja kokemusta. Viimeinen, jota minulla ei ole. Suosittelemme, että paketit libnss-ldap y libpam-ldap, jos manuaalinen muokkaus aiheuttaa todentamisen lakkaavan toimimasta, määritä uudelleen oikein komennolla dpkg-konfiguroi uudelleen, jonka tuottaa DEBCONF.

Aiheeseen liittyvät määritystiedostot ovat:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

/Etc/ldap/ldap.conf-tiedosto

Emme ole vielä koskettaneet tätä tiedostoa. Todennus toimii kuitenkin oikein yllä lueteltujen tiedostojen kokoonpanon ja PEM-määrityksen takia pam-auth-päivitys. Meidän on kuitenkin myös määritettävä se oikein. Sen avulla on helppo käyttää komentoja, kuten ldapsearch, tarjoaa paketti ldap-utils. Pienin kokoonpano olisi:

PERUS dc = ystävät, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

Voimme tarkistaa, toimiiko ClearOS: n OpenLDAP-palvelin oikein, jos suoritamme konsolissa:

ldapsearch -d 5 -L "(objektiluokka = *)"

Komennon ulostulo on runsas. 🙂

Rakastan Debiania! Ja toiminta on ohi tänään, ystävät !!!