Réseau SWL (III): Debian Wheezy et ClearOS. Authentification LDAP

Salut les amis!. Nous allons créer un réseau avec plusieurs ordinateurs de bureau, mais cette fois avec le système d'exploitation Debian 7 "Wheezy". En tant que serveur, il ClearOS. En tant que donnée, observons que le projet Debian-Edu utilisez Debian sur vos serveurs et stations de travail. Et ce projet nous apprend et facilite la création d'une école complète.

Il est indispensable de lire avant:

• Introduction à un réseau avec des logiciels libres (I): Présentation de ClearOS

Nous verrons:

• Exemple de réseau
• Nous configurons le client LDAP
• Fichiers de configuration créés et / ou modifiés
• Le fichier /etc/ldap/ldap.conf

Exemple de réseau

• Contrôleur de domaine, DNS, DHCP, OpenLDAP, NTP: ClearOS Entreprise 5.2sp1.
• Nom du contrôleur: centos
• Nom de domaine: friends.cu
• IP du contrôleur: 10.10.10.60
• ---------------
• Version Debian: Asthmatique.
• Nom de l'équipe: debian7
• Adresse IP: Utilisation de DHCP
  

Nous configurons le client LDAP

Nous devons avoir les données du serveur OpenLDAP à portée de main, que nous obtenons à partir de l'interface Web d'administration ClearOS dans «Annuaire »->« Domaine et LDAP":

DN de base LDAP: dc = amis, dc = cu DN de liaison LDAP: cn = gestionnaire, cn = interne, dc = amis, dc = cu Mot de passe de liaison LDAP: kLGD + Mj + ZTWzkD8W

Nous installons les packages nécessaires. En tant qu'utilisateur racine nous exécutons:

aptitude installer libnss-ldap nscd finger

Notez que la sortie de la commande précédente inclut également le package libpam-ldap. Pendant le processus d'installation, ils nous poseront plusieurs questions auxquelles nous devons répondre correctement. Les réponses seraient dans le cas de cet exemple:

URI du serveur LDAP: ldap: //10.10.10.60
Le nom distinctif (DN) de la base de recherche: dc = amis, dc = cu
Version LDAP à utiliser: 3
Compte LDAP pour root: cn = manager, cn = interne, dc = amis, dc = cu
Mot de passe du compte LDAP racine: kLGD + Mj + ZTWzkD8W

Maintenant, il annonce que le fichier /etc/nsswitch.conf il n'est pas géré automatiquement, et qu'il faut le modifier manuellement. Voulez-vous autoriser le compte d'administrateur LDAP à se comporter en tant qu'administrateur local?: Si
Un utilisateur doit-il accéder à la base de données LDAP?: Non
Compte administrateur LDAP: cn = manager, cn = interne, dc = amis, dc = cu
Mot de passe du compte LDAP racine: kLGD + Mj + ZTWzkD8W

Si nous nous trompons dans les réponses précédentes, nous exécutons en tant qu'utilisateur racine:

dpkg-reconfigurer libnss-ldap
dpkg-reconfigurer libpam-ldap

Et nous répondons adéquatement aux mêmes questions posées précédemment, avec le seul ajout de la question:

Algorithme de chiffrement local à utiliser pour les mots de passe: md5

œil lors de la réponse car la valeur par défaut qui nous est proposée est Crypte, et nous devons déclarer que c'est md5. Il nous montre également un écran en mode console avec la sortie de la commande pam-auth-mise à jour exécuté comme racine, ce que nous devons accepter.

Nous modifions le fichier /etc/nsswitch.conf, et nous le laissons avec le contenu suivant:

# /etc/nsswitch.conf # # Exemple de configuration de la fonctionnalité GNU Name Service Switch. # Si vous avez les packages `glibc-doc-reference 'et` info' installés, essayez: #` info libc "Name Service Switch" 'pour plus d'informations sur ce fichier. passwd:         compatible ldap
groupe:          compatible ldap
ombre:         compatible ldap

hosts: fichiers mdns4_minimal [NOTFOUND = return] dns mdns4 networks: fichiers protocoles: fichiers db services: fichiers db ethers: fichiers db rpc: fichiers db netgroup: nis

Nous modifions le fichier /etc/pam.d/common-session pour créer automatiquement des dossiers utilisateurs lors de la connexion au cas où ils n'existeraient pas:

[----]
session requise pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La ligne ci-dessus doit être incluse AVANT
# voici les modules par paquet (le bloc "Principal") [----]

Nous exécutons dans une console en tant qu'utilisateur racine, Juste pour vérifier, pam-auth-mise à jour:

Nous redémarrons le service nscd, et nous faisons des vérifications:

: ~ # redémarrage du service nscd
[ok] Redémarrage du démon de cache du service de noms: nscd. : ~ # foulées de doigt
Login: strides Nom: Strides El Rey Répertoire: / home / strides Shell: / bin / bash Jamais connecté. Pas de courrier. Pas d'idée. : ~ # getent passwd foulées
Foulées: x: 1006: 63000: Foulées El Rey: / home / foulées: / bin / bash: ~ # obtenir le mot de passe Legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Nous modifions la politique de reconnexion avec le serveur OpenLDAP.

Nous éditons en tant qu'utilisateur racine et très soigneusement, le fichier /etc/libnss-ldap.conf. Nous cherchons le mot «dur«. Nous supprimons le commentaire de la ligne #bind_policy difficile et nous le laissons comme ceci: bind_policy doux.

Le même changement mentionné précédemment, nous le faisons dans le fichier /etc/pam_ldap.conf.

Les modifications ci-dessus éliminent un certain nombre de messages liés à LDAP pendant le démarrage et en même temps le rationalisent (le processus de démarrage).

Nous redémarrons notre Wheezy car les modifications apportées sont essentielles:

: ~ # reboot

Après le redémarrage, nous pouvons nous connecter avec n'importe quel utilisateur enregistré dans ClearOS OpenLDAP.

Nous recommandons puis ce qui suit est fait:

• Faire des utilisateurs externes un membre des mêmes groupes que l'utilisateur local créé lors de l'installation de notre Debian.
• Utilisation de la commande visa, exécuté comme racine, donnez les autorisations d'exécution nécessaires aux utilisateurs externes.
• Créez un signet avec l'adresse https://centos.amigos.cu:81/?user en Belette des glaces, pour avoir accès à la page personnelle de ClearOS, où nous pouvons changer notre mot de passe personnel.
• Installez le serveur OpenSSH -s'il n'est pas sélectionné lors de l'installation du système- pour pouvoir accéder à notre Debian à partir d'un autre ordinateur.

Fichiers de configuration créés et / ou modifiés

Le sujet LDAP demande beaucoup d'étude, de patience et d'expérience. Le dernier que je n'ai pas. Nous recommandons fortement que les packages libnss-ldap y libpam-ldap, en cas de modification manuelle entraînant l'arrêt du fonctionnement de l'authentification, reconfigurer correctement à l'aide de la commande dpkg-reconfigurer, qui est généré par DEBCONF.

Les fichiers de configuration associés sont:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Le fichier /etc/ldap/ldap.conf

Nous n'avons pas encore touché à ce dossier. Cependant, l'authentification fonctionne correctement en raison de la configuration des fichiers listés ci-dessus et de la configuration PAM générée par pam-auth-mise à jour. Cependant, nous devons également le configurer correctement. Cela facilite l'utilisation de commandes telles que ldapsearch, fourni par le colis utilitaires ldap. La configuration minimale serait:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF jamais

Nous pouvons vérifier si le serveur OpenLDAP du ClearOS fonctionne correctement, si nous exécutons dans une console:

ldapsearch -d 5 -L "(objectclass = *)"

La sortie de la commande est copieuse. 🙂

J'adore Debian! Et l'activité est terminée pour aujourd'hui, mes amis !!!