SWL 네트워크 (III) : Debian Wheezy 및 ClearOS. LDAP 인증

안녕하세요 친구!. 우리는 여러 대의 데스크탑 컴퓨터로 네트워크를 만들 것입니다. 이번에는 Debian 7 "Wheezy"운영 체제를 사용합니다. 서버로서 그는 ClearOS. 데이터로서 프로젝트가 데비안-에듀 서버와 워크 스테이션에서 데비안을 사용하십시오. 그리고 그 프로젝트는 우리를 가르치고 완전한 학교를 세우는 것을 더 쉽게 만듭니다.

다음을 먼저 읽어야합니다.

• 자유 소프트웨어가있는 네트워크 (I) 소개 : ClearOS 프레젠테이션

우리는 다음을 보게 될 것입니다.

• 네트워크 예
• LDAP 클라이언트를 구성합니다.
• 생성 및 / 또는 수정 된 구성 파일
• /etc/ldap/ldap.conf 파일

네트워크 예

• 도메인 컨트롤러, DNS, DHCP, OpenLDAP, NTP: 클리어OS 엔터프라이즈 5.2sp1.
• 컨트롤러 이름: CentOS
• 도메인 이름: friends.cu
• 컨트롤러 IP: 10.10.10.60
• ---------------
• 데비안 버전: 헉헉
• 팀 이름: 데비안 7
• IP 주소: DHCP 사용
  

LDAP 클라이언트를 구성합니다.

OpenLDAP 서버 데이터가 있어야합니다.이 데이터는«의 ClearOS 관리 웹 인터페이스에서 가져옵니다.디렉토리»->«도메인 및 LDAP":

LDAP 기본 DN : dc = friends, dc = cu LDAP Bind DN : cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password : kLGD + Mj + ZTWzkD8W

필요한 패키지를 설치합니다. 사용자로서 뿌리 우리는 실행한다:

적성 설치 libnss-ldap nscd 손가락

이전 명령의 출력에는 패키지도 포함되어 있습니다. libpam-ldap. 설치 과정에서 그들은 우리에게 몇 가지 질문을 할 것이며 우리가 올바르게 대답해야합니다. 이 예의 경우 답변이 될 것입니다.:

LDAP 서버 URI : ldap : //10.10.10.60
검색 기반의 고유 이름 (DN) : dc = 친구, dc = cu
사용할 LDAP 버전 : 3
루트 용 LDAP 계정 : cn = 관리자, cn = 내부, dc = 친구, dc = cu
루트 LDAP 계정의 비밀번호 : kLGD + Mj + ZTWzkD8W

이제 그는 파일이 /etc/nsswitch.conf 자동으로 관리되지 않으며 수동으로 수정해야합니다.. LDAP 관리자 계정이 로컬 관리자로 작동하도록 허용 하시겠습니까? : Si
사용자가 LDAP 데이터베이스에 액세스해야합니까? : 아니
LDAP 관리자 계정 : cn = 관리자, cn = 내부, dc = 친구, dc = cu
루트 LDAP 계정의 비밀번호 : kLGD + Mj + ZTWzkD8W

이전 답변에서 잘못된 경우 사용자로 실행합니다. 뿌리:

dpkg-libnss-ldap 재구성
dpkg-libpam-ldap 재구성

그리고 우리는 이전에 질문 한 것과 동일한 질문에 적절하게 대답합니다.

암호에 사용할 로컬 암호화 알고리즘 : md5

눈 저희에게 제공되는 기본값이 토굴, 그리고 우리는 그것이 md5. 또한 명령 출력과 함께 콘솔 모드의 화면을 보여줍니다. pam 인증 업데이트 다음과 같이 실행 뿌리, 우리가 받아 들여야합니다.

파일을 수정합니다. /etc/nsswitch.conf, 다음 내용으로 남겨 둡니다.:

# /etc/nsswitch.conf # # GNU 이름 서비스 스위치 기능 구성의 예. #`glibc-doc-reference 'and` info'패키지가 설치되어 있다면 다음을 시도하십시오 : #`info libc "Name Service Switch" '에서이 파일에 대한 정보를 얻으십시오. 암호 :         호환 LDAP
그룹:          호환 LDAP
그림자:         호환 LDAP

호스트 : 파일 mdns4_minimal [NOTFOUND = return] dns mdns4 네트워크 : 파일 프로토콜 : db 파일 서비스 : db 파일 ethers : db 파일 rpc : db 파일 netgroup : nis

파일을 수정합니다. /etc/pam.d/common-session 사용자 폴더가없는 경우 로그인 할 때 자동으로 생성:

[----]
세션 필수 pam_mkhomedir.so skel = / etc / skel / umask = 0022

### 위의 줄이 먼저 포함되어야합니다.
# 여기에 패키지 별 모듈 ( "Primary"블록)이 있습니다. [----]

콘솔에서 사용자로 실행합니다. 뿌리, 확인하기 위해, pam 인증 업데이트:

서비스를 다시 시작합니다 nscd, 그리고 우리는 수표를:

~ ~ # 서비스 nscd 재시작
[ok] 이름 서비스 캐시 데몬 다시 시작 : nscd. : ~ # 손가락 보폭
로그인 : strides 이름 : Strides El Rey 디렉토리 : / home / strides Shell : / bin / bash 로그인하지 않았습니다. 메일이 없습니다. 계획이 없습니다. : ~ # getent passwd 보폭
스트라이드 : x : 1006 : 63000 : 스트라이드 엘 레이 : / 홈 / 스트라이드 : / 빈 / bash : ~ # getent passwd 레골라스
레골라스 : x : 1004 : 63000 : 레골라스 The Elf : / 홈 / 레골라스 : / bin / bash

OpenLDAP 서버로 재 연결 정책을 수정합니다..

우리는 사용자로 편집합니다. 뿌리 그리고 매우 신중하게, 파일 /etc/libnss-ldap.conf. «라는 단어를 찾습니다.하드«. 줄에서 주석을 제거합니다. #bind_policy 하드 다음과 같이 남겨 둡니다. bind_policy 소프트.

이전에 언급 한 것과 동일한 변경 사항을 파일에서 만듭니다. /etc/pam_ldap.conf.

위의 수정 사항은 부팅 중에 많은 LDAP 관련 메시지를 제거하는 동시에이를 간소화합니다 (부팅 프로세스).

변경 사항이 필수적이기 때문에 Wheezy를 다시 시작합니다.:

~ ~ # 재부팅

재부팅 후 ClearOS OpenLDAP에 등록 된 모든 사용자로 로그인 할 수 있습니다.

우리는 것이 좋습니다 그러면 다음이 완료됩니다.

• 외부 사용자를 데비안 설치 중에 만든 로컬 사용자와 동일한 그룹의 구성원으로 만듭니다.
• 명령 사용 시각 장애인, 다음으로 실행 뿌리, 필요한 실행 권한을 외부 사용자에게 부여합니다.
• 주소로 북마크 만들기 https://centos.amigos.cu:81/?user en 아이스 와셀, ClearOS의 개인 페이지에 액세스하여 개인 비밀번호를 변경할 수 있습니다.
• 시스템을 설치할 때 선택하지 않은 경우 OpenSSH-Server를 설치하면 다른 컴퓨터에서 데비안에 액세스 할 수 있습니다.

생성 및 / 또는 수정 된 구성 파일

LDAP 주제에는 많은 연구, 인내 및 경험이 필요합니다. 내가 가지고 있지 않은 마지막 것. 우리는 패키지 libnss-ldap y libpam-ldap, 인증 작동을 중지하는 수동 수정의 경우 명령을 사용하여 올바르게 재구성하십시오. dpkg- 재구성, 생성 된 데브콘프.

관련 구성 파일은 다음과 같습니다.

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

/etc/ldap/ldap.conf 파일

아직이 파일을 건드리지 않았습니다. 그러나 위에 나열된 파일의 구성과 다음에서 생성 된 PAM 구성으로 인해 인증이 올바르게 작동합니다. pam 인증 업데이트. 그러나 적절하게 구성해야합니다. 다음과 같은 명령을 쉽게 사용할 수 있습니다. LDAP검색, 패키지에서 제공 LDAP 유틸리티. 최소 구성은 다음과 같습니다.

BASE dc = friends, dc = cu URI ldap : //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

콘솔에서 실행하면 ClearOS의 OpenLDAP 서버가 올바르게 작동하는지 확인할 수 있습니다.

ldapsearch -d 5 -L "(objectclass = *)"

명령 출력은 방대합니다. 🙂

나는 데비안을 좋아합니다! 그리고 오늘은 활동이 끝났습니다, 프렌즈 !!!