Cześć przyjaciele!. Zamierzamy stworzyć sieć z kilkoma komputerami stacjonarnymi, ale tym razem z systemem operacyjnym Debian 7 „Wheezy”. Jako serwer on ClearOS. Jako dane przyjrzyjmy się, że projekt Debiana-Edu używaj Debiana na swoich serwerach i stacjach roboczych. Ten projekt uczy nas i ułatwia założenie kompletnej szkoły.
Przedtem koniecznie przeczytaj:
- Wprowadzenie do sieci z wolnym oprogramowaniem (I): Prezentacja ClearOS
Zobaczymy:
- Przykładowa sieć
- Konfigurujemy klienta LDAP
- Utworzone i / lub zmodyfikowane pliki konfiguracyjne
- Plik /etc/ldap/ldap.conf
Przykładowa sieć
- Kontroler domeny, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Nazwa kontrolera: CentOS
- Nazwa domeny: friends.cu
- IP kontrolera: 10.10.10.60
- ---------------
- Wersja Debiana: Astmatyczny.
- Nazwa zespołu: Debian7.
- Adres IP: Korzystanie z DHCP
Konfigurujemy klienta LDAP
Musimy mieć pod ręką dane serwera OpenLDAP, które uzyskujemy z internetowego interfejsu administracyjnego ClearOS w «Katalog »->« Domena i LDAP":
LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
Instalujemy niezbędne pakiety. Jako użytkownik korzeń wykonujemy:
aptitude zainstaluj libnss-ldap nscd finger
Zwróć uwagę, że dane wyjściowe poprzedniego polecenia obejmują również pakiet libpam- ldap. Podczas instalacji zadadzą nam kilka pytań, na które musimy poprawnie odpowiedzieć. Odpowiedzi byłyby w przypadku tego przykładu:
Identyfikator URI serwera LDAP: ldap: //10.10.10.60 Nazwa wyróżniająca (DN) bazy wyszukiwania: dc = przyjaciele, dc = cu Wersja LDAP do użycia: 3 Konto LDAP dla użytkownika root: cn = menedżer, cn = wewnętrzny, dc = przyjaciele, dc = cu Hasło do głównego konta LDAP: kLGD + Mj + ZTWzkD8W Teraz ogłasza, że plik /etc/nsswitch.conf nie jest zarządzany automatycznie i musimy go ręcznie zmodyfikować. Czy chcesz, aby konto administratora LDAP zachowywało się jak administrator lokalny?: Si Czy do uzyskania dostępu do bazy danych LDAP wymagany jest użytkownik?: Nie Konto administratora LDAP: cn = menedżer, cn = wewnętrzny, dc = przyjaciele, dc = cu Hasło do głównego konta LDAP: kLGD + Mj + ZTWzkD8W
Jeśli mylimy się w poprzednich odpowiedziach, wykonujemy jako użytkownik korzeń:
dpkg-rekonfiguruj libnss-ldap dpkg-rekonfiguruj libpam-ldap
Odpowiednio odpowiadamy na te same pytania, które zostały zadane wcześniej, z dodatkowym tylko pytaniem:
Lokalny algorytm szyfrowania używany do haseł: md5
oko podczas odpowiadania, ponieważ oferowana nam wartość domyślna to Kryptai musimy zadeklarować, że tak md5. Pokazuje nam również ekran w trybie konsoli z wyjściem polecenia aktualizacja pam-auth wykonane jako korzeń, które musimy zaakceptować.
Modyfikujemy plik /etc/nsswitch.confi zostawiamy to z następującą treścią:
# /etc/nsswitch.conf # # Przykładowa konfiguracja funkcji GNU Name Service Switch. # Jeśli masz zainstalowane pakiety `glibc-doc-reference 'i` info', spróbuj: #` info libc "Name Service Switch" 'po informacje o tym pliku. passwd: kompatybilny ldap Grupa: kompatybilny ldap cień: kompatybilny ldap hosty: pliki mdns4_minimal [NOTFOUND = powrót] dns sieci mdns4: protokoły plików: usługi plików db: pliki db ethers: pliki db rpc: pliki db grupa sieciowa: nis
Modyfikujemy plik /etc/pam.d/wspólna sesja aby automatycznie tworzyć foldery użytkowników podczas logowania, jeśli nie istnieją:
[----] wymagana sesja pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Powyższa linia musi być zawarta PRZED # tutaj są moduły na pakiet (blok „Podstawowy”) [----]
Wykonujemy w konsoli jako użytkownik korzeń, Tylko do sprawdzenia, aktualizacja pam-auth:
Ponownie uruchamiamy usługę nscdi robimy czeki:
: ~ # usługa nscd restart [ok] Ponowne uruchamianie demona pamięci podręcznej usługi nazw: nscd. : ~ # ruchy palca Login: strides Nazwa: Strides El Rey Katalog: / home / strides Shell: / bin / bash Nigdy nie zalogowany. Bez poczty. Brak planu. : ~ # getent passwd strides Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas legolas: x: 1004: 63000: Legolas Elf: / home / legolas: / bin / bash
Modyfikujemy politykę ponownego łączenia się z serwerem OpenLDAP.
Edytujemy jako użytkownik korzeń i bardzo ostrożnie, plik /etc/libnss-ldap.conf. Szukamy słowa «ciężko«. Usuwamy komentarz z linii #bind_policy trudne i zostawiamy to tak: polityka_wiązania miękka.
Ta sama zmiana, o której była mowa wcześniej, wprowadzamy do pliku /etc/pam_ldap.conf.
Powyższe modyfikacje eliminują szereg komunikatów związanych z LDAP podczas bootowania i jednocześnie przyspieszają (proces bootowania).
Ponownie uruchamiamy naszego Wheezy, ponieważ wprowadzone zmiany są niezbędne:
: ~ # restart
Po ponownym uruchomieniu możemy zalogować się dowolnym użytkownikiem zarejestrowanym w ClearOS OpenLDAP.
Polecamy że wtedy wykonuje się następujące czynności:
- Uczyń użytkowników zewnętrznych członkami tych samych grup, co użytkownik lokalny utworzony podczas instalacji naszego Debiana.
- Korzystanie z polecenia visudo, wykonany jako korzeń, nadaj niezbędne uprawnienia do wykonywania użytkownikom zewnętrznym.
- Utwórz zakładkę z adresem https://centos.amigos.cu:81/?user en Lodowa łasica, aby mieć dostęp do osobistej strony w ClearOS, na której możemy zmienić swoje osobiste hasło.
- Zainstaluj serwer OpenSSH - jeśli nie wybraliśmy go podczas instalacji systemu - aby mieć dostęp do naszego Debiana z innego komputera.
Utworzone i / lub zmodyfikowane pliki konfiguracyjne
Temat LDAP wymaga dużo nauki, cierpliwości i doświadczenia. Ostatni, którego nie mam. Gorąco polecamy te pakiety libnss-ldap y libpam- ldapW przypadku ręcznej modyfikacji, która powoduje, że uwierzytelnianie przestaje działać, są one ponownie konfigurowane poprawnie za pomocą polecenia rekonfiguracja dpkg, który jest generowany przez DEBCONF.
Powiązane pliki konfiguracyjne to:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Plik /etc/ldap/ldap.conf
Nie poruszyliśmy jeszcze tego pliku. Jednak uwierzytelnianie działa poprawnie ze względu na konfigurację plików wymienionych powyżej i konfigurację PAM wygenerowaną przez aktualizacja pam-auth. Musimy jednak również odpowiednio go skonfigurować. Ułatwia korzystanie z poleceń, takich jak ldapsearch, dostarczone w pakiecie narzędzia ldap. Minimalna konfiguracja to:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nigdy
Możemy sprawdzić, czy serwer ClearOS OpenLDAP działa poprawnie, jeśli wykonamy w konsoli:
ldapsearch -d 5 -L "(objectclass = *)"
Wynik polecenia jest obfity. 🙂
Uwielbiam Debiana! A dzisiejsza aktywność dobiegła końca, Przyjaciele !!!
Świetny artykuł, prosto do mojej szuflady ze wskazówkami
Dzięki za komentarz Elav… więcej paliwa 🙂 i czekaj na następny, który spróbuje uwierzytelnić się przy użyciu sssd na OpenLDAP.
Dziękuję bardzo za udostępnienie, czekam na drugą dostawę 😀
Dziękuję za komentarz !!!. Wygląda na to, że mentalna bezwładność uwierzytelniania w domenie Microsoft jest silna. Stąd kilka komentarzy. Dlatego piszę o prawdziwych darmowych alternatywach. Jeśli przyjrzysz się temu uważnie, łatwiej je wdrożyć. Na początku trochę konceptualne. Ale nic.