Rete SWL (III): Debian Wheezy e ClearOS. Autenticazione LDAP

Ciao amici!. Creeremo una rete con diversi computer desktop, ma questa volta con il sistema operativo Debian 7 "Wheezy". Come server lui ClearOS. Come dato, osserviamo che il progetto Debian-Edu usa Debian sui tuoi server e workstation. E quel progetto ci insegna e rende più facile creare una scuola completa.

È essenziale leggere prima:

• Introduzione a una rete con software libero (I): presentazione di ClearOS

Vedremo:

• Rete di esempio
• Configuriamo il client LDAP
• File di configurazione creati e / o modificati
• Il file /etc/ldap/ldap.conf

Rete di esempio

• Controller di dominio, DNS, DHCP, OpenLDAP, NTP: Clear OS Enterprise 5.2sp1.
• Nome del controller: CentOS
• Nome del dominio: friends.cu
• IP del controller: 10.10.10.60
• ---------------
• Versione Debian: ansimante.
• Nome della squadra: debian7
• indirizzo IP: Utilizzando DHCP
  

Configuriamo il client LDAP

Dobbiamo avere a portata di mano i dati del server OpenLDAP, che otteniamo dall'interfaccia web di amministrazione di ClearOS in «Directory »->« Dominio e LDAP":

DN di base LDAP: dc = amici, dc = cu DN bind LDAP: cn = manager, cn = interno, dc = amici, dc = cu Password di binding LDAP: kLGD + Mj + ZTWzkD8W

Installiamo i pacchetti necessari. Come l'utente radice eseguiamo:

aptitude installa libnss-ldap nscd finger

Si noti che l'output del comando precedente include anche il pacchetto libpam-ldap. Durante il processo di installazione ci faranno diverse domande, a cui dobbiamo rispondere correttamente. Le risposte sarebbero nel caso di questo esempio:

URI del server LDAP: ldap: //10.10.10.60
Il nome distinto (DN) della base di ricerca: dc = amici, dc = cu
Versione LDAP da utilizzare: 3
Account LDAP per root: cn = manager, cn = internal, dc = friends, dc = cu
Password per l'account LDAP di root: kLGD + Mj + ZTWzkD8W

Ora ci dice che il file /etc/nsswitch.conf non è gestito automaticamente e che dobbiamo modificarlo manualmente. Vuoi consentire all'account amministratore LDAP di comportarsi come amministratore locale?: Si
Un utente deve accedere al database LDAP?: Non
Account amministratore LDAP: cn = manager, cn = internal, dc = friends, dc = cu
Password per l'account LDAP di root: kLGD + Mj + ZTWzkD8W

Se abbiamo sbagliato nelle risposte precedenti, eseguiamo come utente radice:

dpkg-riconfigura libnss-ldap
dpkg-riconfigura libpam-ldap

E rispondiamo adeguatamente alle stesse domande poste prima, con la sola aggiunta della domanda:

Algoritmo di crittografia locale da utilizzare per le password: md5

occhio quando rispondi perché il valore predefinito che ci viene offerto è Cripta, e dobbiamo dichiarare che lo è md5. Ci mostra anche una schermata in modalità console con l'output del comando aggiornamento pam-auth eseguito come radice, che dobbiamo accettare.

Modifichiamo il file /etc/nsswitch.confe lo lasciamo con il seguente contenuto:

# /etc/nsswitch.conf # # Configurazione di esempio della funzionalità Switch del servizio nomi GNU. # Se sono installati i pacchetti `glibc-doc-reference 'e` info', provare: #` info libc "Name Service Switch" 'per informazioni su questo file. passwd:         compatire ldap
gruppo:          compatire ldap
ombra:         compatire ldap

hosts: files mdns4_minimal [NOTFOUND = return] dns mdns4 networks: files protocolli: db files services: db files ethers: db files rpc: db files netgroup: nis

Modifichiamo il file /etc/pam.d/sessione-comune per creare automaticamente le cartelle utente quando si accede nel caso in cui non esistano:

[----]
sessione richiesta pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La riga sopra deve essere inclusa PRIMA
# ecco i moduli per pacchetto (il blocco "Primario") [----]

Eseguiamo in una console come utente radice, Solo per controllare, aggiornamento pam-auth:

Riavvia il servizio nsde facciamo controlli:

: ~ # riavviare il servizio nscd
[ok] Riavvio del demone della cache del servizio nomi: nscd. : ~ # passi delle dita
Accesso: strides Nome: Strides El Rey Directory: / home / strides Shell: / bin / bash Non è mai stato effettuato l'accesso. Nessuna posta. Nessun piano. : ~ # getent passwd strides
Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Modifichiamo la politica di riconnessione con il server OpenLDAP.

Modifichiamo come utente radice e con molta attenzione, il file /etc/libnss-ldap.conf. Cerchiamo la parola «difficile«. Rimuoviamo il commento dalla riga #bind_policy difficile e lo lasciamo così: bind_policy morbido.

La stessa modifica menzionata prima, la apportiamo nel file /etc/pam_ldap.conf.

Le modifiche precedenti eliminano un numero di messaggi relativi a LDAP durante l'avvio e allo stesso tempo lo semplificano (il processo di avvio).

Riavvia il nostro Wheezy perché le modifiche apportate sono essenziali:

: ~ # reboot

Dopo il riavvio, possiamo accedere con qualsiasi utente registrato in ClearOS OpenLDAP.

Si consiglia di che poi si fa quanto segue:

• Rendi gli utenti esterni membri degli stessi gruppi dell'utente locale creato durante l'installazione della nostra Debian.
• Utilizzando il comando visto, eseguito come radice, concedere le autorizzazioni di esecuzione necessarie agli utenti esterni.
• Crea un segnalibro con l'indirizzo https://centos.amigos.cu:81/?user en donnola del ghiaccio, per avere accesso alla pagina personale in ClearOS, dove possiamo cambiare la nostra password personale.
• Installare OpenSSH-Server -se non è selezionato durante l'installazione del sistema- per poter accedere alla nostra Debian da un altro computer.

File di configurazione creati e / o modificati

L'argomento LDAP richiede molto studio, pazienza ed esperienza. L'ultimo che non ho. Consigliamo vivamente che i pacchetti libnss-ldap y libpam-ldapIn caso di modifica manuale che fa smettere di funzionare l'autenticazione, vengono riconfigurati correttamente utilizzando il comando dpkg-riconfigurare, generato da DEBCONF.

I relativi file di configurazione sono:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/sessioni-comuni

Il file /etc/ldap/ldap.conf

Non abbiamo ancora toccato questo file. Tuttavia, l'autenticazione funziona correttamente a causa della configurazione nei file sopra elencati e della configurazione PAM generata da aggiornamento pam-auth. Tuttavia, dobbiamo anche configurarlo correttamente. Rende facile usare comandi come ldapsearch, fornito dal pacchetto ldap-utils. La configurazione minima sarebbe:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF mai

Possiamo verificare se il server OpenLDAP di ClearOS funziona correttamente, se eseguiamo in una console:

ldapsearch -d 5 -L "(objectclass = *)"

L'output del comando è abbondante. 🙂

Amo Debian! E l'attività per oggi è finita, Amici !!!