Könyvtárszolgáltatás LDAP-val [5]: OpenLDAP (II)

Folytassuk, nem előzetes egyeztetés nélkül:

• Könyvtárszolgáltatás LDAP-val. Bevezetés.
• Könyvtárszolgáltatás LDAP-val [2]: NTP és dnsmasq.
• Könyvtárszolgáltatás LDAP-val [3]: Isc-DHCP-Server és Bind9.
• Könyvtárszolgáltatás LDAP-val [4]: ​​OpenLDAP (I)

Ebben a bejegyzésben látni fogjuk:

• Helyi felhasználói hitelesítés
• Töltse fel az adatbázist
• Kezelje az adatbázist a konzol segédprogramjaival
• Eddigi összefoglalás ...

Helyi felhasználói hitelesítés

Miután elindítottuk az OpenLDAP kiszolgálót, ha tesztelni akarjuk vagy regisztrált felhasználók helyi hitelesítését szeretnénk elvégezni - vagy be fogjuk regisztrálni - a Címtárba, telepítenünk és konfigurálnunk kell a szükséges csomagokat.

A Squeeze-ben az érintett csomagok a következők:

libnss-ldap: Névcsere szolgáltatást nyújt (NSS név szolgáltatáskapcsoló), amely lehetővé teszi az LDAP-kiszolgáló névkiszolgálóként való működését.

Ez azt jelenti, hogy meg kell adni a felhasználói fiókokról, a csoporthoz tartozó azonosítókról, a gazdagépről, az aliasokról, a NetGroupsról és alapvetően minden egyéb adatról, amelyet általában egyszerű szöveges fájlokból nyernek, például / Etc / passwd, / etc / groupstb., vagy egy szolgáltatás NIS.

libpam-ldap: "Dugaszolható hitelesítési modul az LDAP számára", Vagy modul PAM az LDAP számára. Interfészt biztosít az LDAP szerver és a hitelesítési rendszer között PAM.

nscd: "Név szolgáltatás gyorsítótár démonVagy a Daemon a névszolgáltatás gyorsítótárához. Kezeli a jelszavak, csoportok és gazdagépek keresését, és a keresési eredményeket a gyorsítótárban tárolja későbbi felhasználás céljából.

: ~ # aptitude install libnss-ldap finger

A csomag telepítése libnss-ldap, amely szintén függőségként települ libpam-ldap már az ördög nscd, egy konfigurációs varázslón keresztül vezet minket, amelynek kérdéseire megfelelő választ kell adnunk:

Ha át akarjuk állítani a csomagokat libnss-ldap és / vagy a libpam-ldap, végre kell hajtanunk:

: ~ # dpkg -konfigurálja újra a libnss-ldap fájlt
: ~ # dpkg-konfigurálja újra a libpam-ldap fájlt

Később módosítjuk a fájlt /etc/nsswitch.conf és a következő tartalommal hagyjuk:

: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Példa a GNU névszolgáltatás kapcsoló funkcióinak konfigurálására. # Ha telepítve van a `glibc-doc-reference 'és az` info' csomagok, próbálkozzon: # `info libc" Névszolgáltatás kapcsoló "'információval a fájlról. passwd: compat ldap csoport: compat ldap árnyék: compat ldap hosztok: fájlok dns hálózatok: fájlprotokollok: db fájlszolgáltatások: db fájlok éterei: db fájlok rpc: db fájlok netgroup: nis

A fájlban végrehajtott változtatásokért /etc/nsswitch.conf életbe lépnek, újraindítjuk a szolgáltatást nscd:

: ~ # service nscd újraindítás

Fontos részlet a fájl módosítása /etc/pam.d/common-session ahhoz, hogy a felhasználói mappát a helyi szerveren hozzák létre, amikor bejelentkezik, a Directoryba regisztrált felhasználó:

: ~ # nano /etc/pam.d/common-session
[----]
munkamenet szükséges pam_mkhomedir.so skel = / etc / skel / umask = 0022
### A fenti sort be kell tenni, mielőtt # itt vannak a csomagonkénti modulok (az "Elsődleges" blokk) [----]

Töltse fel az adatbázist

A Directory adatbázis feltöltéséhez vagy elindításához hozzá kell adnunk a fő szervezeti egységeket, regisztrálnunk kell legalább egy felhasználói csoportot, és hozzá kell adnunk egy felhasználót. Ehhez létrehozunk egy LDIF formátumú fájlt, amelyet később hozzáadunk a Directory-hoz, a következő tartalommal:

: ~ # nano content.ldif
dn: ou = emberek, dc = barátok, dc = cu objectClass: szervezeti egység ou: People dn: ou = csoportok, dc = friends, dc = cu objectClass: szervezeti egység ou: dn csoportok: cn = gyűrűk, ou = csoportok, dc = friends, dc = cu objectClass: posixGroup cn: rings gidNumber: 10000 dn: uid = frodo, ou = People, dc = friends, dc = cu objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: frodo sn: Bagins megadottNév: Frodo cn : Frodo Bagins displayNév: Frodo Bagins uidNumber: 10000 gidNumber: 10000 userPassword: frodo mail: frodo@amigos.cu gecos: Frodo Bagins loginShell: / bin / bash homeDirectory: / home / frodo

Hozzáadjuk a fájl tartalmát a Könyvtárhoz:

: ~ # ldapadd -x -D cn = admin, dc = barátok, dc = cu -W -f content.ldif
Írja be az LDAP jelszót: új bejegyzés hozzáadása "ou = Emberek, dc = barátok, dc = cu" új bejegyzés hozzáadása "ou = Csoportok, dc = barátok, dc = cu" új bejegyzés hozzáadása "cn = cseng, ou = Csoportok, dc = barátok, dc = cu "új bejegyzés hozzáadása" uid = frodo, ou = People, dc = barátok, dc = cu "

Elvégezzük a megfelelő ellenőrzéseket:

: ~ # id frodo
uid = 10000 (frodo) gid = 10000 (gyűrűk) csoportok = 10000 (gyűrűk)

: ~ # getent passwd | grep frodo
frodo: x: 10000: 10000: Frodo Bagins: / home / frodo: / bin / bas

: ~ # ujj frodó
Bejelentkezés: frodo Név: Frodo Bagins Directory: / home / frodo Shell: / bin / bash Soha nem lépett be. Nincs levél. Nincs terv.

: ~ # ldapsearch -Y KÜLSŐ -H ldapi: /// -b uid = frodo, ou = emberek, dc = barátok, dc = cu

Most van egy Directory szolgáltatás, amelyet kezelnünk kell !!! Kétféle módon fogunk dolgozni: az első a csomagon keresztül ldapriptek, és a második, amellyel a következő cikkben foglalkozunk, aLdap számlavezető.

Azt is el kell mondanunk, hogy a csomag ldap-utils, számos hasznos parancsot tartalmaz a Directory kezeléséhez. Hogy tudjuk, melyek ezek a parancsok, végrehajtjuk:

: ~ # dpkg -L ldap-utils | grep / bin
/ usr / bin / usr / bin / ldapmodrdn / usr / bin / ldapurl / usr / bin / ldapdelete / usr / bin / ldapwhoami / usr / bin / ldapexop / usr / bin / ldappasswd / usr / bin / ldapcompare / usr / bin / ldapsearch / usr / bin / ldapmodify / usr / bin / ldapadd

Ha többet szeretne megtudni az egyes parancsokról, javasoljuk a futtatást Férfi. Mindegyik magyarázatával nagyon hosszú lenne a cikk.

Kezelje az adatbázist a konzol segédprogramjaival

Kiválasztjuk a csomagot ldapriptek egy ilyen feladatra. A telepítési és konfigurációs eljárás a következő:

: ~ # aptitude install ldapscripts

: ~ # cp /etc/ldapscripts/ldapscripts.conf \ /etc/ldapscripts/ldapscripts.conf.original

: ~ # cp / dev / null /etc/ldapscripts/ldapscripts.conf

: ~ # nano /etc/ldapscripts/ldapscripts.conf
SZERVER = localhost BINDDN = 'cn = admin, dc = friends, dc = cu' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc = friends, dc = cu' GSUFFIX = 'ou = Groups' USUFFIX = 'ou = People' # MSUFFIX = 'ou = Computers' GIDSTART = 10001 UIDSTART = 10001 # MIDSTART = 10000 # OpenLDAP kliens parancsai LDAPSEARCHBIN = "/ usr / bin / ldapsearch" LDAPADDBIN = "/ usr / bin / ldapadd" LDAPDELETEB = / usr / bin / ldapdelete "LDAPMODIFYBIN =" / usr / bin / ldapmodify "LDAPMODRDNBIN =" / usr / bin / ldapmodrdn "LDAPPASSWDBIN =" / usr / bin / ldappasswd "GCLASS =" posixGrATE "# UT stb . /ldapadduser.template "PASSWORDGEN =" echo% u "

### Figyelje meg, hogy a parancsfájlok a
### ldap-utils csomag

: ~ # sh -c "echo -n 'tupassowrd'> \ /etc/ldapscripts/ldapscripts.passwd"

: ~ # chmod 400 /etc/ldapscripts/ldapscripts.passwd

: ~ # cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \ /etc/ldapscripts/ldapadduser.template

: ~ # nano /etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount cn: sn: keresztnév: megjelenítendő név: uid: uidNumber: gidNumber: homeDirectory: loginShell: posta: gekkók: leírás: Felhasználói fiók

: ~ # nano /etc/ldapscripts/ldapscripts.conf
## eltávolítjuk a megjegyzést UTEMPLATE = "/ etc / ldapscripts / ldapadduser.template"

Próbáljuk meg hozzáadni a felhasználót Strider A király felhasználói csoportba gyűrűk és ellenőrizzük a beírt adatokat:

: ~ # ldapadduser lépeget gyűrűkkel
[dn: uid = lépések, ou = emberek, dc = barátok, dc = cu] Írja be az "sn" értékét: A király [dn: uid = lépések, ou = emberek, dc = barátok, dc = cu] Írja be az értéket a következőre: "adottNév": lépések [dn: uid = lépések, ou = emberek, dc = barátok, dc = cu] Írja be a "displayName" értékét: lépések El Rey [dn: uid = lépések, ou = emberek, dc = barátok, dc = cu] Írja be a "mail" értékét: trancos@amigos.cu Sikeresen hozzáadta a felhasználói trancókat az LDAP-hoz Sikeresen beállította a felhasználói trancók jelszavát

gyökér @ mildap: ~ # ldapfinger lépés
dn: uid = lépések, ou = Emberek, dc = barátok, dc = cu objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount cn: strides sn: El Rey megadottNév: Strides displayNév: Strides El Rey uid: strides uidNumber: 10002 gidNumber: 10000 homeDirectory: / home / trancos loginShell: / bin / bash mail: trancos@amigos.cu gecos: trancos leírás: User Account userPassword :: e1NTSEF9UnlmcWxCem5iUzBuSzQzTkM3ZFRFcTUwV2VsVnBqRm8

Nyújtsunk be egy jelszót a felhasználónak Frodó, soroljuk fel a "DN”A regisztrált felhasználók közül törölje az újonnan létrehozott felhasználót Striderek:

: ~ # ldapsetpasswd frodo
Jelszó megváltoztatása a felhasználóhoz: uid = frodo, ou = People, dc = friends, dc = cu Új jelszó: Új jelszó újbóli megadása: A felhasználó jelszavának sikeres megadása

: ~ # lsldap -u | grep dn
dn: uid = frodo, ou = emberek, dc = barátok, dc = cu dn: uid = lépések, ou = emberek, dc = barátok, dc = cu

: ~ # ldapfinger frodo
dn: uid = frodo, ou = People, dc = friends, dc = cu objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: frodo sn: Bagins megadottNév: Frodo cn: Frodo Bagins displayNév: Frodo Bagins uidNumber: 10000 gidNumber: 10000 mailNumber: 1 mailNumber: 9 mail : 4 mail: frodo@amigos.cu gecos: Frodo Bagins loginShell: / bin / bash homeDirectory: / home / frodo userPassword :: e3NTSEF1TnI1ZXN1YXA5VnplKXNUMXZIZXZzbFZKaWFXNUMXSVdWeUXNUMXoVjA =

: ~ # ldapdeleteuser lépeget
Uid = strides, ou = People, dc = friends, dc = cu felhasználó sikeresen törölve az LDAP-ból

: ~ # lsldap -u | grep dn
dn: uid = frodó, ou = emberek, dc = barátok, dc = cu

Ellenőrizzük, hogy a helyi hitelesítés megfelelően működik-e:

: ~ # ssh frodo @ mildap
frodo @ mildap jelszava: Linux mildap 2.6.32-5-686 # 1 SMP Fri May 10 08:33:48 UTC 2013 i686 [---] A Debian GNU / Linux abszolút semmilyen garanciát nem tartalmaz, az alkalmazandó törvény által megengedett mértékben . Utolsó bejelentkezés: 18. február 18., kedd, 54:01:2014 a mildap.amigos.cu oldalról
frodo @ mildap: ~ $ pwd
/ home / frodo
frodo @ mildap: ~ $ 

Sok példa van, amit megírhatunk, de sajnos a cikk nagyon hosszú lenne. Mindig azt mondjuk, hogy adunk belépési pont a szolgáltatások kérdéseire általában. Lehetetlen, hogy a kiterjedt dokumentációt egyetlen posztban helyettesítsék.

Ha többet szeretne megtudni a csomagról ldapriptek és parancsai, kérjük, és konzultáljon ember ldapscripts.

Eddig az OpenLDAP-ra épülő Simple Directory szolgáltatásunk jól működik.

Eddigi összefoglalás ...

Amikor az üzleti hálózatok szolgáltatásaiért felelős személyek vesznek felelősséget a Microsoft termékein alapuló szolgáltatásokkal, ha át akarnak állni Linuxra, akkor a tartományvezérlők migrációját fontolgatják más szolgáltatások között.

Ha nem egy harmadik féltől származó terméket választanak, mint például a ClearOS vagy a Zentyal, vagy ha más okokból függetlenné akarnak válni, akkor gondot fordítanak arra, hogy saját tartományvezérlővé váljanak, vagy a Samba 4-től saját Active Directoryvá váljanak.

Ezután kezdődnek a problémák és néhány más csalódás. Működési hibák. Nem találják meg a problémák helyét, hogy képesek legyenek megoldani őket. Ismételt telepítési kísérletek. A szolgáltatások részleges működtetése. És a problémák hosszú listája.

Bármely Linux tartományvezérlő vagy Active Directory bázisa, amely az OpenLDAP-n és a Sambán alapul, szükségszerűen átmegy a Mi az az LDAP-kiszolgáló, hogyan telepítik, hogyan konfigurálják és kezelik stb.?. Azok, akik elolvasták a Samba átfogó dokumentációját, jól tudják, mire gondolunk.

Pontosan e kérdés megválaszolására írtuk a teljes cikksorozatot erre a kérdésre, és folytatjuk a szükségeseket. Reméljük, hogy hasznosak lesznek az Ön számára.