SWL tīkls (III): Debian Wheezy un ClearOS. LDAP autentifikācija

Sveiki draugi!. Mēs gatavojamies izveidot tīklu ar vairākiem galddatoriem, bet šoreiz ar Debian 7 "Wheezy" operētājsistēmu. Kā serveris viņš ClearOS. Kā datus novērosim, ka projekts Debians-Edu izmantojiet Debian savos serveros un darbstacijās. Un šis projekts mūs māca un atvieglo pilnīgas skolas izveidošanu.

Ir svarīgi izlasīt pirms:

• Ievads tīklā ar bezmaksas programmatūru (I): ClearOS prezentācija

Mēs redzēsim:

• Tīkla piemērs
• Mēs konfigurējam LDAP klientu
• Izveidoti un / vai pārveidoti konfigurācijas faili
• /Etc/ldap/ldap.conf fails

Tīkla piemērs

• Domēna kontrolleris, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Kontroliera nosaukums: CentOS
• Domēna vārds: draugi.cu
• Kontroliera IP: 10.10.10.60
• ---------------
• Debian versija: Sēkšana.
• Komandas nosaukums: 7. debian
• IP adrese: DHCP izmantošana
  

Mēs konfigurējam LDAP klientu

Mums ir jābūt pieejamiem OpenLDAP servera datiem, kurus iegūstam no ClearOS administrēšanas tīmekļa saskarnes «Katalogs »->« Domēns un LDAP":

LDAP bāzes DN: dc = draugi, dc = cu LDAP saistošie DN: cn = pārvaldnieks, cn = iekšējie, dc = draugi, dc = cu LDAP saistošie paroli: kLGD + Mj + ZTWzkD8W

Mēs instalējam nepieciešamās paketes. Kā lietotājs sakne mēs izpildām:

aptitude instalēt libnss-ldap nscd pirkstu

Ievērojiet, ka iepriekšējās komandas izvade satur arī pakotni libpam-ldap. Instalēšanas procesā viņi uzdos mums vairākus jautājumus, uz kuriem mums jāatbild pareizi. Atbildes būtu uz šo piemēru:

LDAP servera URI: ldap: //10.10.10.60
Meklēšanas bāzes atšķirīgais nosaukums (DN): dc = draugi, dc = cu
Izmantojamā LDAP versija: 3
LDAP konts saknei: cn = vadītājs, cn = iekšējs, dc = draugi, dc = cu
LDAP saknes konta parole: kLGD + Mj + ZTWzkD8W

Tagad viņš paziņo, ka lieta /etc/nsswitch.conf tas netiek pārvaldīts automātiski, un tas mums ir jāmaina manuāli. Vai vēlaties ļaut LDAP administratora kontam darboties kā vietējam administratoram? Si
Vai lietotājam ir jāpiekļūst LDAP datu bāzei? Nē
LDAP administratora konts: cn = vadītājs, cn = iekšējs, dc = draugi, dc = cu
LDAP saknes konta parole: kLGD + Mj + ZTWzkD8W

Ja iepriekšējās atbildēs mēs kļūdāmies, mēs izpildām kā lietotājs sakne:

dpkg-pārkonfigurēt libnss-ldap
dpkg-pārkonfigurēt libpam-ldap

Un mēs adekvāti atbildam uz tiem pašiem jautājumiem, kas tika uzdoti iepriekš, vienīgo jautājumu papildinot:

Parolēm izmantojamais vietējās šifrēšanas algoritms: md5

Ojo atbildot, jo mums piedāvātā noklusējuma vērtība ir Kripts, un mums jāpaziņo, ka tā ir md5. Tas arī parāda mums ekrānu konsoles režīmā ar komandas izvadi pam-auth-update izpildīts kā sakne, kas mums jāpieņem.

Mēs pārveidojam failu /etc/nsswitch.conf, un mēs to atstājam ar šādu saturu:

# /etc/nsswitch.conf # # GNU nosaukuma pakalpojuma slēdža funkcionalitātes konfigurācijas piemērs. # Ja jums ir instalētas pakotnes `glibc-doc-reference 'un` info', mēģiniet: # `info libc" Name Service Switch ", lai iegūtu informāciju par šo failu. parole:         compat ldap
grupa:          compat ldap
ēna:         compat ldap

resursdatori: faili mdns4_minimal [NOTFOUND = return] dns mdns4 tīkli: failu protokoli: db failu pakalpojumi: db failu ēteri: db faili rpc: db faili netgrupa: nis

Mēs pārveidojam failu /etc/pam.d/common-session lai automātiski izveidotu lietotāju mapes, piesakoties, ja tādu nav:

[----]
nepieciešama sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Iepriekš minētā rinda jāiekļauj PIRMS
# šeit ir paketes moduļi (bloks "Primārais") [----]

Mēs izpildām konsolē kā lietotājs sakne, Tikai, lai pārbaudītu, pam-auth-update:

Mēs restartējam pakalpojumu nscd, un mēs veicam pārbaudes:

: ~ # pakalpojuma nscd restartēšana
[ok] Vārda pakalpojuma kešatmiņas dēmona restartēšana: nscd. : ~ # pirkstu soļi
Pieteikšanās: strides Nosaukums: Strides El Rey Directory: / home / strides Shell: / bin / bash Nekad nav pieteicies. Nav pasta. Nav plāna. : ~ # getent passwd soļi
Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas Elfs: / home / legolas: / bin / bash

Mēs modificējam atkārtotas savienošanas ar OpenLDAP serveri politiku.

Mēs rediģējam kā lietotājs sakne un ļoti uzmanīgi, failu /etc/libnss-ldap.conf. Mēs meklējam vārdu «grūti«. Mēs noņemam komentāru no rindas #bind_policy grūti un mēs to atstājam šādi: bind_policy mīksts.

Tās pašas izmaiņas, kas minētas iepriekš, mēs to izdarām failā /etc/pam_ldap.conf.

Iepriekš minētās modifikācijas sāknēšanas laikā novērš vairākus ar LDAP saistītus ziņojumus un vienlaikus to racionalizē (sāknēšanas process).

Mēs atsākam savu sēkšanu, jo veiktās izmaiņas ir būtiskas:

: ~ # atsāknēšana

Pēc pārstartēšanas mēs varam pieteikties ar jebkuru lietotāju, kas reģistrēts ClearOS OpenLDAP.

Mēs rekomendējam ka tad tiek darīts:

• Padariet ārējos lietotājus par to pašu grupu locekli, kas ir vietējais lietotājs, kas izveidots mūsu Debian instalēšanas laikā.
• Izmantojot komandu Visudo, izpildīts kā sakne, piešķiriet nepieciešamās izpildes atļaujas ārējiem lietotājiem.
• Izveidojiet grāmatzīmi ar adresi https://centos.amigos.cu:81/?user en Iceweasel, lai piekļūtu ClearOS personālajai lapai, kur mēs varam mainīt savu personīgo paroli.
• Instalējiet OpenSSH-Server - ja tas nav izvēlēts, instalējot sistēmu -, lai piekļūtu mūsu Debian no cita datora.

Izveidoti un / vai pārveidoti konfigurācijas faili

LDAP tēma prasa daudz pētījumu, pacietības un pieredzes. Pēdējā man nav. Mēs ļoti iesakām tos iepakojumus libnss-ldap y libpam-ldapJa tiek veikta manuāla modifikācija, kuras dēļ autentifikācija vairs nedarbojas, tās tiek pareizi pārkonfigurētas, izmantojot komandu dpkg-pārkonfigurēt, ko ģenerē DEBCONF.

Saistītie konfigurācijas faili ir:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

/Etc/ldap/ldap.conf fails

Mēs vēl neesam pieskāries šim failam. Tomēr autentifikācija darbojas pareizi iepriekš uzskaitīto failu konfigurācijas un PAM konfigurācijas dēļ pam-auth-update. Tomēr mums tas arī pareizi jākonfigurē. Tas ļauj ērti izmantot tādas komandas kā ldapsearch, ko nodrošina iepakojums ldap-utils. Minimālā konfigurācija būtu:

PAMATOT dc = draugi, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nekad

Mēs varam pārbaudīt, vai ClearOS OpenLDAP serveris darbojas pareizi, ja izpildām konsolē:

ldapsearch -d 5 -L "(objectclass = *)"

Komandas izvade ir bagātīga. 🙂

Es mīlu Debianu! Un aktivitāte šodienai ir beigusies, Draugi !!!