Jaringan SWL (III): Debian Wheezy dan ClearOS. Otentikasi LDAP

Halo teman teman!. Kita akan membuat jaringan dengan beberapa komputer desktop, tapi kali ini dengan Sistem Operasi Debian 7 "Wheezy". Sebagai server dia ClearOS. Sebagai data, mari kita amati proyek itu Debian-Edu gunakan Debian di server dan workstation Anda. Dan proyek itu mengajari kita dan mempermudah untuk mendirikan sekolah yang lengkap.

Penting untuk dibaca sebelumnya:

• Pengenalan ke Jaringan dengan Perangkat Lunak Gratis (I): Presentasi ClearOS

Kita lihat:

• Contoh jaringan
• Kami mengkonfigurasi klien LDAP
• File konfigurasi dibuat dan / atau dimodifikasi
• File /etc/ldap/ldap.conf

Contoh jaringan

• Pengontrol Domain, DNS, DHCP, OpenLDAP, NTP: ClearOS Perusahaan 5.2sp1.
• Nama Pengontrol: CentOS
• Nama domain: friends.cu
• IP Pengontrol: 10.10.10.60
• ---------------
• Versi Debian: Mengi.
• Nama tim: debian7
• Alamat IP: Menggunakan DHCP
  

Kami mengkonfigurasi klien LDAP

Kita harus memiliki data server OpenLDAP, yang kita peroleh dari antarmuka web administrasi ClearOS di «Direktori »->« Domain dan LDAP":

DN Basis LDAP: dc = teman, dc = cu DN Pengikat LDAP: cn = manajer, cn = internal, dc = teman, dc = cu Kata Sandi Pengikat LDAP: kLGD + Mj + ZTWzkD8W

Kami menginstal paket yang diperlukan. Sebagai pengguna akar kami mengeksekusi:

aptitude menginstal jari libnss-ldap nscd

Perhatikan bahwa output dari perintah sebelumnya juga menyertakan paket libpam-ldap. Selama proses instalasi mereka akan menanyakan beberapa pertanyaan kepada kami, yang harus kami jawab dengan benar. Jawabannya ada dalam kasus contoh ini:

URI server LDAP: ldap: //10.10.10.60
Nama yang dibedakan (DN) dari basis pencarian: dc = teman, dc = cu
Versi LDAP yang akan digunakan: 3
Akun LDAP untuk root: cn = manajer, cn = internal, dc = teman, dc = cu
Kata sandi untuk akun root LDAP: kLGD + Mj + ZTWzkD8W

Sekarang dia memberitahu kita bahwa file tersebut /etc/nsswitch.conf itu tidak dikelola secara otomatis, dan kita harus memodifikasinya secara manual. Apakah Anda ingin mengizinkan akun administrator LDAP berperilaku sebagai administrator lokal?: Si
Apakah pengguna diharuskan untuk mengakses database LDAP?: Tidak
Akun administrator LDAP: cn = manajer, cn = internal, dc = teman, dc = cu
Kata sandi untuk akun root LDAP: kLGD + Mj + ZTWzkD8W

Jika kami salah dalam jawaban sebelumnya, kami mengeksekusi sebagai pengguna akar:

dpkg-konfigurasi ulang libnss-ldap
dpkg-konfigurasi ulang libpam-ldap

Dan kami cukup menjawab pertanyaan yang sama yang ditanyakan sebelumnya, dengan satu-satunya tambahan pertanyaan:

Algoritme enkripsi lokal yang digunakan untuk kata sandi: md5

Ojo saat membalas karena nilai default yang ditawarkan kepada kami adalah Ruang bawah tanah, dan kita harus menyatakannya md5. Ini juga menunjukkan kepada kita layar dalam mode konsol dengan output dari perintah pembaruan pam-auth dieksekusi sebagai akar, yang harus kita terima.

Kami memodifikasi file /etc/nsswitch.conf, dan kami meninggalkannya dengan konten berikut:

# /etc/nsswitch.conf # # Contoh konfigurasi fungsionalitas GNU Name Service Switch. # Jika Anda telah menginstal paket `glibc-doc-reference 'dan` info', coba: #` info libc "Name Service Switch" 'untuk informasi tentang file ini. passwd:         kompat ldap
Kelompok:          kompat ldap
bayangan:         kompat ldap

host: file mdns4_minimal [NOTFOUND = return] jaringan dns mdns4: protokol file: layanan file db: file db ethers: file db rpc: file db netgroup: nis

Kami memodifikasi file /etc/pam.d/common-session untuk secara otomatis membuat folder pengguna saat masuk jika tidak ada:

[----]
sesi diperlukan pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Baris di atas harus disertakan SEBELUM
# berikut adalah modul per paket (blok "Utama") [----]

Kami mengeksekusi di konsol sebagai pengguna akar, Hanya untuk Memeriksa, pembaruan pam-auth:

Kami memulai ulang layanan nscd, dan kami melakukan pemeriksaan:

: ~ # layanan nscd restart
[ok] Memulai Ulang Daemon Cache Layanan Nama: nscd. : ~ # langkah jari
Login: strides Nama: Direktori Strides El Rey: / home / strides Shell: / bin / bash Tidak pernah login. Tidak ada surat. Tidak ada rencana. : ~ # getent passwd langkah
Langkah: x: 1006: 63000: Langkah El Rey: / home / strides: / bin / bash: ~ # dapatkan passwd legola
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Kami mengubah kebijakan koneksi ulang dengan server OpenLDAP.

Kami mengedit sebagai pengguna akar dan dengan sangat hati-hati, file tersebut /etc/libnss-ldap.conf. Kami mencari kata «keras«. Kami menghapus komentar dari baris #bind_policy keras dan kami membiarkannya seperti ini: bind_policy lembut.

Perubahan yang sama yang disebutkan sebelumnya, kami membuatnya di file /etc/pam_ldap.conf.

Modifikasi di atas menghilangkan sejumlah pesan yang terkait dengan LDAP saat booting dan sekaligus membuatnya lebih cepat (proses booting).

Kami memulai kembali Wheezy kami karena perubahan yang dilakukan sangat penting:

: ~ # restart

Setelah reboot, kita dapat masuk dengan pengguna mana pun yang terdaftar di ClearOS OpenLDAP.

Kami merekomendasikan sehingga hal berikut dilakukan:

• Jadikan pengguna eksternal sebagai anggota grup yang sama dengan pengguna lokal yang dibuat selama instalasi Debian kami.
• Menggunakan perintah visudo, dieksekusi sebagai akar, berikan izin eksekusi yang diperlukan untuk pengguna eksternal.
• Buat bookmark dengan alamat tersebut https://centos.amigos.cu:81/?user en Iceweasel, untuk memiliki akses ke halaman pribadi di ClearOS, di mana kita dapat mengubah kata sandi pribadi kita.
• Instal OpenSSH-Server -jika tidak dipilih saat menginstal sistem- untuk dapat mengakses Debian kita dari komputer lain.

File konfigurasi dibuat dan / atau dimodifikasi

Topik LDAP membutuhkan banyak studi, kesabaran dan pengalaman. Yang terakhir saya tidak punya. Kami sangat merekomendasikan paket itu libnss-ldap y libpam-ldapJika terjadi modifikasi manual yang menyebabkan otentikasi berhenti bekerja, mereka akan dikonfigurasi ulang dengan benar menggunakan perintah dpkg-konfigurasi ulang, yang dihasilkan oleh DEBCONF.

File konfigurasi terkait adalah:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.rahasia
• /etc/pam_ldap.conf
• /etc/pam_ldap.rahasia
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

File /etc/ldap/ldap.conf

Kami belum menyentuh file ini. Namun, otentikasi bekerja dengan benar karena konfigurasi file yang tercantum di atas dan konfigurasi PAM yang dihasilkan oleh pembaruan pam-auth. Namun, kita juga harus mengkonfigurasinya dengan benar. Itu membuatnya mudah untuk menggunakan perintah seperti pencarian ldap, disediakan oleh paket ldap-utils. Konfigurasi minimumnya adalah:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF tidak pernah

Kami dapat memeriksa apakah server OpenLDAP dari ClearOS berfungsi dengan benar, jika kami mengeksekusi di konsol:

ldapsearch -d 5 -L "(objectclass = *)"

Output perintah berlebihan. 🙂

Saya suka Debian! Dan kegiatan hari ini sudah selesai, Teman !!!