Halo teman teman!. Kita akan membuat jaringan dengan beberapa komputer desktop, tapi kali ini dengan Sistem Operasi Debian 7 "Wheezy". Sebagai server dia ClearOS. Sebagai data, mari kita amati proyek itu Debian-Edu gunakan Debian di server dan workstation Anda. Dan proyek itu mengajari kita dan mempermudah untuk mendirikan sekolah yang lengkap.
Penting untuk dibaca sebelumnya:
- Pengenalan ke Jaringan dengan Perangkat Lunak Gratis (I): Presentasi ClearOS
Kita lihat:
- Contoh jaringan
- Kami mengkonfigurasi klien LDAP
- File konfigurasi dibuat dan / atau dimodifikasi
- File /etc/ldap/ldap.conf
Contoh jaringan
- Pengontrol Domain, DNS, DHCP, OpenLDAP, NTP: ClearOS Perusahaan 5.2sp1.
- Nama Pengontrol: CentOS
- Nama domain: friends.cu
- IP Pengontrol: 10.10.10.60
- ---------------
- Versi Debian: Mengi.
- Nama tim: debian7
- Alamat IP: Menggunakan DHCP
Kami mengkonfigurasi klien LDAP
Kita harus memiliki data server OpenLDAP, yang kita peroleh dari antarmuka web administrasi ClearOS di «Direktori »->« Domain dan LDAP":
DN Basis LDAP: dc = teman, dc = cu DN Pengikat LDAP: cn = manajer, cn = internal, dc = teman, dc = cu Kata Sandi Pengikat LDAP: kLGD + Mj + ZTWzkD8W
Kami menginstal paket yang diperlukan. Sebagai pengguna akar kami mengeksekusi:
aptitude menginstal jari libnss-ldap nscd
Perhatikan bahwa output dari perintah sebelumnya juga menyertakan paket libpam-ldap. Selama proses instalasi mereka akan menanyakan beberapa pertanyaan kepada kami, yang harus kami jawab dengan benar. Jawabannya ada dalam kasus contoh ini:
URI server LDAP: ldap: //10.10.10.60 Nama yang dibedakan (DN) dari basis pencarian: dc = teman, dc = cu Versi LDAP yang akan digunakan: 3 Akun LDAP untuk root: cn = manajer, cn = internal, dc = teman, dc = cu Kata sandi untuk akun root LDAP: kLGD + Mj + ZTWzkD8W Sekarang dia memberitahu kita bahwa file tersebut /etc/nsswitch.conf itu tidak dikelola secara otomatis, dan kita harus memodifikasinya secara manual. Apakah Anda ingin mengizinkan akun administrator LDAP berperilaku sebagai administrator lokal?: Si Apakah pengguna diharuskan untuk mengakses database LDAP?: Tidak Akun administrator LDAP: cn = manajer, cn = internal, dc = teman, dc = cu Kata sandi untuk akun root LDAP: kLGD + Mj + ZTWzkD8W
Jika kami salah dalam jawaban sebelumnya, kami mengeksekusi sebagai pengguna akar:
dpkg-konfigurasi ulang libnss-ldap dpkg-konfigurasi ulang libpam-ldap
Dan kami cukup menjawab pertanyaan yang sama yang ditanyakan sebelumnya, dengan satu-satunya tambahan pertanyaan:
Algoritme enkripsi lokal yang digunakan untuk kata sandi: md5
Ojo saat membalas karena nilai default yang ditawarkan kepada kami adalah Ruang bawah tanah, dan kita harus menyatakannya md5. Ini juga menunjukkan kepada kita layar dalam mode konsol dengan output dari perintah pembaruan pam-auth dieksekusi sebagai akar, yang harus kita terima.
Kami memodifikasi file /etc/nsswitch.conf, dan kami meninggalkannya dengan konten berikut:
# /etc/nsswitch.conf # # Contoh konfigurasi fungsionalitas GNU Name Service Switch. # Jika Anda telah menginstal paket `glibc-doc-reference 'dan` info', coba: #` info libc "Name Service Switch" 'untuk informasi tentang file ini. passwd: kompat ldap Kelompok: kompat ldap bayangan: kompat ldap host: file mdns4_minimal [NOTFOUND = return] jaringan dns mdns4: protokol file: layanan file db: file db ethers: file db rpc: file db netgroup: nis
Kami memodifikasi file /etc/pam.d/common-session untuk secara otomatis membuat folder pengguna saat masuk jika tidak ada:
[----] sesi diperlukan pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Baris di atas harus disertakan SEBELUM # berikut adalah modul per paket (blok "Utama") [----]
Kami mengeksekusi di konsol sebagai pengguna akar, Hanya untuk Memeriksa, pembaruan pam-auth:
Kami memulai ulang layanan nscd, dan kami melakukan pemeriksaan:
: ~ # layanan nscd restart [ok] Memulai Ulang Daemon Cache Layanan Nama: nscd. : ~ # langkah jari Login: strides Nama: Direktori Strides El Rey: / home / strides Shell: / bin / bash Tidak pernah login. Tidak ada surat. Tidak ada rencana. : ~ # getent passwd langkah Langkah: x: 1006: 63000: Langkah El Rey: / home / strides: / bin / bash: ~ # dapatkan passwd legola legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Kami mengubah kebijakan koneksi ulang dengan server OpenLDAP.
Kami mengedit sebagai pengguna akar dan dengan sangat hati-hati, file tersebut /etc/libnss-ldap.conf. Kami mencari kata «keras«. Kami menghapus komentar dari baris #bind_policy keras dan kami membiarkannya seperti ini: bind_policy lembut.
Perubahan yang sama yang disebutkan sebelumnya, kami membuatnya di file /etc/pam_ldap.conf.
Modifikasi di atas menghilangkan sejumlah pesan yang terkait dengan LDAP saat booting dan sekaligus membuatnya lebih cepat (proses booting).
Kami memulai kembali Wheezy kami karena perubahan yang dilakukan sangat penting:
: ~ # restart
Setelah reboot, kita dapat masuk dengan pengguna mana pun yang terdaftar di ClearOS OpenLDAP.
Kami merekomendasikan sehingga hal berikut dilakukan:
- Jadikan pengguna eksternal sebagai anggota grup yang sama dengan pengguna lokal yang dibuat selama instalasi Debian kami.
- Menggunakan perintah visudo, dieksekusi sebagai akar, berikan izin eksekusi yang diperlukan untuk pengguna eksternal.
- Buat bookmark dengan alamat tersebut https://centos.amigos.cu:81/?user en Iceweasel, untuk memiliki akses ke halaman pribadi di ClearOS, di mana kita dapat mengubah kata sandi pribadi kita.
- Instal OpenSSH-Server -jika tidak dipilih saat menginstal sistem- untuk dapat mengakses Debian kita dari komputer lain.
File konfigurasi dibuat dan / atau dimodifikasi
Topik LDAP membutuhkan banyak studi, kesabaran dan pengalaman. Yang terakhir saya tidak punya. Kami sangat merekomendasikan paket itu libnss-ldap y libpam-ldapJika terjadi modifikasi manual yang menyebabkan otentikasi berhenti bekerja, mereka akan dikonfigurasi ulang dengan benar menggunakan perintah dpkg-konfigurasi ulang, yang dihasilkan oleh DEBCONF.
File konfigurasi terkait adalah:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.rahasia
- /etc/pam_ldap.conf
- /etc/pam_ldap.rahasia
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
File /etc/ldap/ldap.conf
Kami belum menyentuh file ini. Namun, otentikasi bekerja dengan benar karena konfigurasi file yang tercantum di atas dan konfigurasi PAM yang dihasilkan oleh pembaruan pam-auth. Namun, kita juga harus mengkonfigurasinya dengan benar. Itu membuatnya mudah untuk menggunakan perintah seperti pencarian ldap, disediakan oleh paket ldap-utils. Konfigurasi minimumnya adalah:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF tidak pernah
Kami dapat memeriksa apakah server OpenLDAP dari ClearOS berfungsi dengan benar, jika kami mengeksekusi di konsol:
ldapsearch -d 5 -L "(objectclass = *)"
Output perintah berlebihan. 🙂
Saya suka Debian! Dan kegiatan hari ini sudah selesai, Teman !!!
Artikel yang bagus, langsung ke laci tip saya
Terima kasih telah berkomentar Elav… more fuel 🙂 dan tunggu komentar berikutnya yang mencoba mengotentikasi menggunakan sssd terhadap OpenLDAP.
Terima kasih banyak sudah sharing, nantikan kiriman lainnya 😀
Terima kasih atas komentarnya !!!. Tampaknya kelembaman mental dalam mengautentikasi terhadap domain Microsoft kuat. Karenanya sedikit komentar. Itulah mengapa saya menulis tentang alternatif gratis yang sebenarnya. Jika Anda melihatnya lebih dekat, mereka lebih mudah diimplementasikan. Sedikit konseptual pada awalnya. Tapi tidak ada.