Ciao amici!. Creeremo una rete con diversi computer desktop, ma questa volta con il sistema operativo Debian 7 "Wheezy". Come server lui ClearOS. Come dato, osserviamo che il progetto Debian-Edu usa Debian sui tuoi server e workstation. E quel progetto ci insegna e rende più facile creare una scuola completa.
È essenziale leggere prima:
- Introduzione a una rete con software libero (I): presentazione di ClearOS
Vedremo:
- Rete di esempio
- Configuriamo il client LDAP
- File di configurazione creati e / o modificati
- Il file /etc/ldap/ldap.conf
Rete di esempio
- Controller di dominio, DNS, DHCP, OpenLDAP, NTP: Clear OS Enterprise 5.2sp1.
- Nome del controller: CentOS
- Nome del dominio: friends.cu
- IP del controller: 10.10.10.60
- ---------------
- Versione Debian: ansimante.
- Nome della squadra: debian7
- indirizzo IP: Utilizzando DHCP
Configuriamo il client LDAP
Dobbiamo avere a portata di mano i dati del server OpenLDAP, che otteniamo dall'interfaccia web di amministrazione di ClearOS in «Directory »->« Dominio e LDAP":
DN di base LDAP: dc = amici, dc = cu DN bind LDAP: cn = manager, cn = interno, dc = amici, dc = cu Password di binding LDAP: kLGD + Mj + ZTWzkD8W
Installiamo i pacchetti necessari. Come l'utente radice eseguiamo:
aptitude installa libnss-ldap nscd finger
Si noti che l'output del comando precedente include anche il pacchetto libpam-ldap. Durante il processo di installazione ci faranno diverse domande, a cui dobbiamo rispondere correttamente. Le risposte sarebbero nel caso di questo esempio:
URI del server LDAP: ldap: //10.10.10.60 Il nome distinto (DN) della base di ricerca: dc = amici, dc = cu Versione LDAP da utilizzare: 3 Account LDAP per root: cn = manager, cn = internal, dc = friends, dc = cu Password per l'account LDAP di root: kLGD + Mj + ZTWzkD8W Ora ci dice che il file /etc/nsswitch.conf non è gestito automaticamente e che dobbiamo modificarlo manualmente. Vuoi consentire all'account amministratore LDAP di comportarsi come amministratore locale?: Si Un utente deve accedere al database LDAP?: Non Account amministratore LDAP: cn = manager, cn = internal, dc = friends, dc = cu Password per l'account LDAP di root: kLGD + Mj + ZTWzkD8W
Se abbiamo sbagliato nelle risposte precedenti, eseguiamo come utente radice:
dpkg-riconfigura libnss-ldap dpkg-riconfigura libpam-ldap
E rispondiamo adeguatamente alle stesse domande poste prima, con la sola aggiunta della domanda:
Algoritmo di crittografia locale da utilizzare per le password: md5
occhio quando rispondi perché il valore predefinito che ci viene offerto è Cripta, e dobbiamo dichiarare che lo è md5. Ci mostra anche una schermata in modalità console con l'output del comando aggiornamento pam-auth eseguito come radice, che dobbiamo accettare.
Modifichiamo il file /etc/nsswitch.confe lo lasciamo con il seguente contenuto:
# /etc/nsswitch.conf # # Configurazione di esempio della funzionalità Switch del servizio nomi GNU. # Se sono installati i pacchetti `glibc-doc-reference 'e` info', provare: #` info libc "Name Service Switch" 'per informazioni su questo file. passwd: compatire ldap gruppo: compatire ldap ombra: compatire ldap hosts: files mdns4_minimal [NOTFOUND = return] dns mdns4 networks: files protocolli: db files services: db files ethers: db files rpc: db files netgroup: nis
Modifichiamo il file /etc/pam.d/sessione-comune per creare automaticamente le cartelle utente quando si accede nel caso in cui non esistano:
[----] sessione richiesta pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### La riga sopra deve essere inclusa PRIMA # ecco i moduli per pacchetto (il blocco "Primario") [----]
Eseguiamo in una console come utente radice, Solo per controllare, aggiornamento pam-auth:
Riavvia il servizio nsde facciamo controlli:
: ~ # riavviare il servizio nscd [ok] Riavvio del demone della cache del servizio nomi: nscd. : ~ # passi delle dita Accesso: strides Nome: Strides El Rey Directory: / home / strides Shell: / bin / bash Non è mai stato effettuato l'accesso. Nessuna posta. Nessun piano. : ~ # getent passwd strides Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Modifichiamo la politica di riconnessione con il server OpenLDAP.
Modifichiamo come utente radice e con molta attenzione, il file /etc/libnss-ldap.conf. Cerchiamo la parola «difficile«. Rimuoviamo il commento dalla riga #bind_policy difficile e lo lasciamo così: bind_policy morbido.
La stessa modifica menzionata prima, la apportiamo nel file /etc/pam_ldap.conf.
Le modifiche precedenti eliminano un numero di messaggi relativi a LDAP durante l'avvio e allo stesso tempo lo semplificano (il processo di avvio).
Riavvia il nostro Wheezy perché le modifiche apportate sono essenziali:
: ~ # reboot
Dopo il riavvio, possiamo accedere con qualsiasi utente registrato in ClearOS OpenLDAP.
Si consiglia di che poi si fa quanto segue:
- Rendi gli utenti esterni membri degli stessi gruppi dell'utente locale creato durante l'installazione della nostra Debian.
- Utilizzando il comando visto, eseguito come radice, concedere le autorizzazioni di esecuzione necessarie agli utenti esterni.
- Crea un segnalibro con l'indirizzo https://centos.amigos.cu:81/?user en donnola del ghiaccio, per avere accesso alla pagina personale in ClearOS, dove possiamo cambiare la nostra password personale.
- Installare OpenSSH-Server -se non è selezionato durante l'installazione del sistema- per poter accedere alla nostra Debian da un altro computer.
File di configurazione creati e / o modificati
L'argomento LDAP richiede molto studio, pazienza ed esperienza. L'ultimo che non ho. Consigliamo vivamente che i pacchetti libnss-ldap y libpam-ldapIn caso di modifica manuale che fa smettere di funzionare l'autenticazione, vengono riconfigurati correttamente utilizzando il comando dpkg-riconfigurare, generato da DEBCONF.
I relativi file di configurazione sono:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/sessioni-comuni
Il file /etc/ldap/ldap.conf
Non abbiamo ancora toccato questo file. Tuttavia, l'autenticazione funziona correttamente a causa della configurazione nei file sopra elencati e della configurazione PAM generata da aggiornamento pam-auth. Tuttavia, dobbiamo anche configurarlo correttamente. Rende facile usare comandi come ldapsearch, fornito dal pacchetto ldap-utils. La configurazione minima sarebbe:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF mai
Possiamo verificare se il server OpenLDAP di ClearOS funziona correttamente, se eseguiamo in una console:
ldapsearch -d 5 -L "(objectclass = *)"
L'output del comando è abbondante. 🙂
Amo Debian! E l'attività per oggi è finita, Amici !!!
Ottimo articolo, diretto al mio cassetto dei suggerimenti
Grazie per aver commentato Elav… altro carburante 🙂 e attendi il prossimo che tenta di autenticarsi usando sssd contro un OpenLDAP.
Grazie mille per la condivisione, in attesa dell'altra consegna 😀
Grazie per il commento !!!. Sembra che l'inerzia mentale dell'autenticazione rispetto a un dominio Microsoft sia forte. Da qui i pochi commenti. Questo è il motivo per cui scrivo delle vere alternative gratuite. Se guardi attentamente, sono più facili da implementare. Un po 'concettuale all'inizio. Ma niente.