Sieć SWL (III): Debian Wheezy i ClearOS. Uwierzytelnianie LDAP

Cześć przyjaciele!. Zamierzamy stworzyć sieć z kilkoma komputerami stacjonarnymi, ale tym razem z systemem operacyjnym Debian 7 „Wheezy”. Jako serwer on ClearOS. Jako dane przyjrzyjmy się, że projekt Debiana-Edu używaj Debiana na swoich serwerach i stacjach roboczych. Ten projekt uczy nas i ułatwia założenie kompletnej szkoły.

Przedtem koniecznie przeczytaj:

• Wprowadzenie do sieci z wolnym oprogramowaniem (I): Prezentacja ClearOS

Zobaczymy:

• Przykładowa sieć
• Konfigurujemy klienta LDAP
• Utworzone i / lub zmodyfikowane pliki konfiguracyjne
• Plik /etc/ldap/ldap.conf

Przykładowa sieć

• Kontroler domeny, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Nazwa kontrolera: CentOS
• Nazwa domeny: friends.cu
• IP kontrolera: 10.10.10.60
• ---------------
• Wersja Debiana: Astmatyczny.
• Nazwa zespołu: Debian7.
• Adres IP: Korzystanie z DHCP
  

Konfigurujemy klienta LDAP

Musimy mieć pod ręką dane serwera OpenLDAP, które uzyskujemy z internetowego interfejsu administracyjnego ClearOS w «Katalog »->« Domena i LDAP":

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Instalujemy niezbędne pakiety. Jako użytkownik korzeń wykonujemy:

aptitude zainstaluj libnss-ldap nscd finger

Zwróć uwagę, że dane wyjściowe poprzedniego polecenia obejmują również pakiet libpam- ldap. Podczas instalacji zadadzą nam kilka pytań, na które musimy poprawnie odpowiedzieć. Odpowiedzi byłyby w przypadku tego przykładu:

Identyfikator URI serwera LDAP: ldap: //10.10.10.60
Nazwa wyróżniająca (DN) bazy wyszukiwania: dc = przyjaciele, dc = cu
Wersja LDAP do użycia: 3
Konto LDAP dla użytkownika root: cn = menedżer, cn = wewnętrzny, dc = przyjaciele, dc = cu
Hasło do głównego konta LDAP: kLGD + Mj + ZTWzkD8W

Teraz ogłasza, że ​​plik /etc/nsswitch.conf nie jest zarządzany automatycznie i musimy go ręcznie zmodyfikować. Czy chcesz, aby konto administratora LDAP zachowywało się jak administrator lokalny?: Si
Czy do uzyskania dostępu do bazy danych LDAP wymagany jest użytkownik?: Nie
Konto administratora LDAP: cn = menedżer, cn = wewnętrzny, dc = przyjaciele, dc = cu
Hasło do głównego konta LDAP: kLGD + Mj + ZTWzkD8W

Jeśli mylimy się w poprzednich odpowiedziach, wykonujemy jako użytkownik korzeń:

dpkg-rekonfiguruj libnss-ldap
dpkg-rekonfiguruj libpam-ldap

Odpowiednio odpowiadamy na te same pytania, które zostały zadane wcześniej, z dodatkowym tylko pytaniem:

Lokalny algorytm szyfrowania używany do haseł: md5

oko podczas odpowiadania, ponieważ oferowana nam wartość domyślna to Kryptai musimy zadeklarować, że tak md5. Pokazuje nam również ekran w trybie konsoli z wyjściem polecenia aktualizacja pam-auth wykonane jako korzeń, które musimy zaakceptować.

Modyfikujemy plik /etc/nsswitch.confi zostawiamy to z następującą treścią:

# /etc/nsswitch.conf # # Przykładowa konfiguracja funkcji GNU Name Service Switch. # Jeśli masz zainstalowane pakiety `glibc-doc-reference 'i` info', spróbuj: #` info libc "Name Service Switch" 'po informacje o tym pliku. passwd:         kompatybilny ldap
Grupa:          kompatybilny ldap
cień:         kompatybilny ldap

hosty: pliki mdns4_minimal [NOTFOUND = powrót] dns sieci mdns4: protokoły plików: usługi plików db: pliki db ethers: pliki db rpc: pliki db grupa sieciowa: nis

Modyfikujemy plik /etc/pam.d/wspólna sesja aby automatycznie tworzyć foldery użytkowników podczas logowania, jeśli nie istnieją:

[----]
wymagana sesja pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Powyższa linia musi być zawarta PRZED
# tutaj są moduły na pakiet (blok „Podstawowy”) [----]

Wykonujemy w konsoli jako użytkownik korzeń, Tylko do sprawdzenia, aktualizacja pam-auth:

Ponownie uruchamiamy usługę nscdi robimy czeki:

: ~ # usługa nscd restart
[ok] Ponowne uruchamianie demona pamięci podręcznej usługi nazw: nscd. : ~ # ruchy palca
Login: strides Nazwa: Strides El Rey Katalog: / home / strides Shell: / bin / bash Nigdy nie zalogowany. Bez poczty. Brak planu. : ~ # getent passwd strides
Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas Elf: / home / legolas: / bin / bash

Modyfikujemy politykę ponownego łączenia się z serwerem OpenLDAP.

Edytujemy jako użytkownik korzeń i bardzo ostrożnie, plik /etc/libnss-ldap.conf. Szukamy słowa «ciężko«. Usuwamy komentarz z linii #bind_policy trudne i zostawiamy to tak: polityka_wiązania miękka.

Ta sama zmiana, o której była mowa wcześniej, wprowadzamy do pliku /etc/pam_ldap.conf.

Powyższe modyfikacje eliminują szereg komunikatów związanych z LDAP podczas bootowania i jednocześnie przyspieszają (proces bootowania).

Ponownie uruchamiamy naszego Wheezy, ponieważ wprowadzone zmiany są niezbędne:

: ~ # restart

Po ponownym uruchomieniu możemy zalogować się dowolnym użytkownikiem zarejestrowanym w ClearOS OpenLDAP.

Polecamy że wtedy wykonuje się następujące czynności:

• Uczyń użytkowników zewnętrznych członkami tych samych grup, co użytkownik lokalny utworzony podczas instalacji naszego Debiana.
• Korzystanie z polecenia visudo, wykonany jako korzeń, nadaj niezbędne uprawnienia do wykonywania użytkownikom zewnętrznym.
• Utwórz zakładkę z adresem https://centos.amigos.cu:81/?user en Lodowa łasica, aby mieć dostęp do osobistej strony w ClearOS, na której możemy zmienić swoje osobiste hasło.
• Zainstaluj serwer OpenSSH - jeśli nie wybraliśmy go podczas instalacji systemu - aby mieć dostęp do naszego Debiana z innego komputera.

Utworzone i / lub zmodyfikowane pliki konfiguracyjne

Temat LDAP wymaga dużo nauki, cierpliwości i doświadczenia. Ostatni, którego nie mam. Gorąco polecamy te pakiety libnss-ldap y libpam- ldapW przypadku ręcznej modyfikacji, która powoduje, że uwierzytelnianie przestaje działać, są one ponownie konfigurowane poprawnie za pomocą polecenia rekonfiguracja dpkg, który jest generowany przez DEBCONF.

Powiązane pliki konfiguracyjne to:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Plik /etc/ldap/ldap.conf

Nie poruszyliśmy jeszcze tego pliku. Jednak uwierzytelnianie działa poprawnie ze względu na konfigurację plików wymienionych powyżej i konfigurację PAM wygenerowaną przez aktualizacja pam-auth. Musimy jednak również odpowiednio go skonfigurować. Ułatwia korzystanie z poleceń, takich jak ldapsearch, dostarczone w pakiecie narzędzia ldap. Minimalna konfiguracja to:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nigdy

Możemy sprawdzić, czy serwer ClearOS OpenLDAP działa poprawnie, jeśli wykonamy w konsoli:

ldapsearch -d 5 -L "(objectclass = *)"

Wynik polecenia jest obfity. 🙂

Uwielbiam Debiana! A dzisiejsza aktywność dobiegła końca, Przyjaciele !!!