Salut les amis!. Nous allons créer un réseau avec plusieurs ordinateurs de bureau, mais cette fois avec le système d'exploitation Debian 7 "Wheezy". En tant que serveur, il ClearOS. En tant que donnée, observons que le projet Debian-Edu utilisez Debian sur vos serveurs et stations de travail. Et ce projet nous apprend et facilite la création d'une école complète.
Il est indispensable de lire avant:
- Introduction à un réseau avec des logiciels libres (I): Présentation de ClearOS
Nous verrons:
- Exemple de réseau
- Nous configurons le client LDAP
- Fichiers de configuration créés et / ou modifiés
- Le fichier /etc/ldap/ldap.conf
Exemple de réseau
- Contrôleur de domaine, DNS, DHCP, OpenLDAP, NTP: ClearOS Entreprise 5.2sp1.
- Nom du contrôleur: centos
- Nom de domaine: friends.cu
- IP du contrôleur: 10.10.10.60
- ---------------
- Version Debian: Asthmatique.
- Nom de l'équipe: debian7
- Adresse IP: Utilisation de DHCP
Nous configurons le client LDAP
Nous devons avoir les données du serveur OpenLDAP à portée de main, que nous obtenons à partir de l'interface Web d'administration ClearOS dans «Annuaire »->« Domaine et LDAP":
DN de base LDAP: dc = amis, dc = cu DN de liaison LDAP: cn = gestionnaire, cn = interne, dc = amis, dc = cu Mot de passe de liaison LDAP: kLGD + Mj + ZTWzkD8W
Nous installons les packages nécessaires. En tant qu'utilisateur racine nous exécutons:
aptitude installer libnss-ldap nscd finger
Notez que la sortie de la commande précédente inclut également le package libpam-ldap. Pendant le processus d'installation, ils nous poseront plusieurs questions auxquelles nous devons répondre correctement. Les réponses seraient dans le cas de cet exemple:
URI du serveur LDAP: ldap: //10.10.10.60 Le nom distinctif (DN) de la base de recherche: dc = amis, dc = cu Version LDAP à utiliser: 3 Compte LDAP pour root: cn = manager, cn = interne, dc = amis, dc = cu Mot de passe du compte LDAP racine: kLGD + Mj + ZTWzkD8W Maintenant, il annonce que le fichier /etc/nsswitch.conf il n'est pas géré automatiquement, et qu'il faut le modifier manuellement. Voulez-vous autoriser le compte d'administrateur LDAP à se comporter en tant qu'administrateur local?: Si Un utilisateur doit-il accéder à la base de données LDAP?: Non Compte administrateur LDAP: cn = manager, cn = interne, dc = amis, dc = cu Mot de passe du compte LDAP racine: kLGD + Mj + ZTWzkD8W
Si nous nous trompons dans les réponses précédentes, nous exécutons en tant qu'utilisateur racine:
dpkg-reconfigurer libnss-ldap dpkg-reconfigurer libpam-ldap
Et nous répondons adéquatement aux mêmes questions posées précédemment, avec le seul ajout de la question:
Algorithme de chiffrement local à utiliser pour les mots de passe: md5
œil lors de la réponse car la valeur par défaut qui nous est proposée est Crypte, et nous devons déclarer que c'est md5. Il nous montre également un écran en mode console avec la sortie de la commande pam-auth-mise à jour exécuté comme racine, ce que nous devons accepter.
Nous modifions le fichier /etc/nsswitch.conf, et nous le laissons avec le contenu suivant:
# /etc/nsswitch.conf # # Exemple de configuration de la fonctionnalité GNU Name Service Switch. # Si vous avez les packages `glibc-doc-reference 'et` info' installés, essayez: #` info libc "Name Service Switch" 'pour plus d'informations sur ce fichier. passwd: compatible ldap groupe: compatible ldap ombre: compatible ldap hosts: fichiers mdns4_minimal [NOTFOUND = return] dns mdns4 networks: fichiers protocoles: fichiers db services: fichiers db ethers: fichiers db rpc: fichiers db netgroup: nis
Nous modifions le fichier /etc/pam.d/common-session pour créer automatiquement des dossiers utilisateurs lors de la connexion au cas où ils n'existeraient pas:
[----] session requise pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### La ligne ci-dessus doit être incluse AVANT # voici les modules par paquet (le bloc "Principal") [----]
Nous exécutons dans une console en tant qu'utilisateur racine, Juste pour vérifier, pam-auth-mise à jour:
Nous redémarrons le service nscd, et nous faisons des vérifications:
: ~ # redémarrage du service nscd [ok] Redémarrage du démon de cache du service de noms: nscd. : ~ # foulées de doigt Login: strides Nom: Strides El Rey Répertoire: / home / strides Shell: / bin / bash Jamais connecté. Pas de courrier. Pas d'idée. : ~ # getent passwd foulées Foulées: x: 1006: 63000: Foulées El Rey: / home / foulées: / bin / bash: ~ # obtenir le mot de passe Legolas legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Nous modifions la politique de reconnexion avec le serveur OpenLDAP.
Nous éditons en tant qu'utilisateur racine et très soigneusement, le fichier /etc/libnss-ldap.conf. Nous cherchons le mot «dur«. Nous supprimons le commentaire de la ligne #bind_policy difficile et nous le laissons comme ceci: bind_policy doux.
Le même changement mentionné précédemment, nous le faisons dans le fichier /etc/pam_ldap.conf.
Les modifications ci-dessus éliminent un certain nombre de messages liés à LDAP pendant le démarrage et en même temps le rationalisent (le processus de démarrage).
Nous redémarrons notre Wheezy car les modifications apportées sont essentielles:
: ~ # reboot
Après le redémarrage, nous pouvons nous connecter avec n'importe quel utilisateur enregistré dans ClearOS OpenLDAP.
Nous recommandons puis ce qui suit est fait:
- Faire des utilisateurs externes un membre des mêmes groupes que l'utilisateur local créé lors de l'installation de notre Debian.
- Utilisation de la commande visa, exécuté comme racine, donnez les autorisations d'exécution nécessaires aux utilisateurs externes.
- Créez un signet avec l'adresse https://centos.amigos.cu:81/?user en Belette des glaces, pour avoir accès à la page personnelle de ClearOS, où nous pouvons changer notre mot de passe personnel.
- Installez le serveur OpenSSH -s'il n'est pas sélectionné lors de l'installation du système- pour pouvoir accéder à notre Debian à partir d'un autre ordinateur.
Fichiers de configuration créés et / ou modifiés
Le sujet LDAP demande beaucoup d'étude, de patience et d'expérience. Le dernier que je n'ai pas. Nous recommandons fortement que les packages libnss-ldap y libpam-ldap, en cas de modification manuelle entraînant l'arrêt du fonctionnement de l'authentification, reconfigurer correctement à l'aide de la commande dpkg-reconfigurer, qui est généré par DEBCONF.
Les fichiers de configuration associés sont:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Le fichier /etc/ldap/ldap.conf
Nous n'avons pas encore touché à ce dossier. Cependant, l'authentification fonctionne correctement en raison de la configuration des fichiers listés ci-dessus et de la configuration PAM générée par pam-auth-mise à jour. Cependant, nous devons également le configurer correctement. Cela facilite l'utilisation de commandes telles que ldapsearch, fourni par le colis utilitaires ldap. La configuration minimale serait:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF jamais
Nous pouvons vérifier si le serveur OpenLDAP du ClearOS fonctionne correctement, si nous exécutons dans une console:
ldapsearch -d 5 -L "(objectclass = *)"
La sortie de la commande est copieuse. 🙂
J'adore Debian! Et l'activité est terminée pour aujourd'hui, mes amis !!!
Excellent article, directement dans mon tiroir de conseils
Merci d'avoir commenté Elav… plus de carburant 🙂 et attendez le prochain qui essaie de s'authentifier en utilisant sssd contre un OpenLDAP.
Merci beaucoup pour le partage, dans l'attente de l'autre livraison 😀
Merci pour le commentaire !!!. Il semble que l'inertie mentale de l'authentification contre un domaine Microsoft soit forte. D'où les quelques commentaires. C'est pourquoi j'écris sur les vraies alternatives gratuites. Si vous y regardez de près, ils sont plus faciles à mettre en œuvre. Un peu conceptuel au début. Rien de plus.