Olá amigos!. Vamos fazer uma rede com vários computadores desktop, mas desta vez com o sistema operacional Debian 7 "Wheezy". Como servidor ele ClearOS. Como um dado, vamos observar que o projeto Debian-EduGenericName use o Debian em seus servidores e estações de trabalho. E esse projeto nos ensina e facilita a montagem de uma escola completa.
É essencial ler antes:
- Introdução a uma Rede com Software Livre (I): Apresentação do ClearOS
Vamos ver:
- Rede de exemplo
- Nós configuramos o cliente LDAP
- Arquivos de configuração criados e / ou modificados
- O arquivo /etc/ldap/ldap.conf
Rede de exemplo
- Controlador de domínio, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Nome do controlador: centos
- Nome do domínio: friends.cu
- IP do controlador: 10.10.10.60
- ---------------
- Versão Debian: Chiado.
- Nome da equipe: debian7.
- Direção IP: Usando DHCP
Nós configuramos o cliente LDAP
Devemos ter os dados do servidor OpenLDAP em mãos, que obtemos da interface web de administração do ClearOS em «Diretório »->« Domínio e LDAP":
DN de base do LDAP: dc = amigos, dc = cu DN de vínculo LDAP: cn = gerente, cn = interno, dc = amigos, dc = cu Senha de vínculo LDAP: kLGD + Mj + ZTWzkD8W
Instalamos os pacotes necessários. Como o usuário raiz nós executamos:
aptitude instalar libnss-ldap nscd finger
Observe que a saída do comando anterior também inclui o pacote libpam-ldap. Durante o processo de instalação, eles nos farão várias perguntas, que devemos responder corretamente. As respostas seriam no caso deste exemplo:
URI do servidor LDAP: ldap: //10.10.10.60 O nome distinto (DN) da base de pesquisa: dc = amigos, dc = cu Versão do LDAP a ser usada: 3 Conta LDAP para root: cn = gerente, cn = interno, dc = amigos, dc = cu Senha para a conta LDAP raiz: kLGD + Mj + ZTWzkD8W Agora ele anuncia que o arquivo /etc/nsswitch.conf não é gerenciado automaticamente, e devemos modificá-lo manualmente. Você deseja permitir que a conta do administrador LDAP se comporte como o administrador local?: Si É necessário um usuário para acessar o banco de dados LDAP?: Não Conta de administrador LDAP: cn = gerente, cn = interno, dc = amigos, dc = cu Senha para a conta LDAP raiz: kLGD + Mj + ZTWzkD8W
Se estivermos errados nas respostas anteriores, executamos como o usuário raiz:
dpkg-reconfigure libnss-ldap dpkg-reconfigure libpam-ldap
E respondemos adequadamente às mesmas perguntas feitas antes, com a única adição da pergunta:
Algoritmo de criptografia local a ser usado para senhas: md5
olho ao responder porque o valor padrão oferecido a nós é Cripta, e devemos declarar que é md5. Também nos mostra uma tela no modo console com a saída do comando atualização pam-auth executado como raiz, que devemos aceitar.
Nós modificamos o arquivo /etc/nsswitch.conf, e deixamos com o seguinte conteúdo:
# /etc/nsswitch.conf # # Exemplo de configuração da funcionalidade do GNU Name Service Switch. # Se você tiver os pacotes `glibc-doc-reference 'e` info' instalados, tente: #` info libc "Name Service Switch" 'para obter informações sobre este arquivo. passwd: ldap compatível grupo: ldap compatível sombra: ldap compatível hosts: files mdns4_minimal [NOTFOUND = return] dns mdns4 networks: files protocolos: db files services: db files ethers: db files rpc: db files netgroup: nis
Nós modificamos o arquivo /etc/pam.d/common-session para criar pastas de usuário automaticamente ao fazer login, caso não existam:
[----] sessão necessária pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### A linha acima deve ser incluída ANTES # aqui estão os módulos por pacote (o bloco "Primário") [----]
Executamos em um console como o usuário raiz, Apenas para verificar, atualização pam-auth:
Reiniciamos o serviço nscd, e fazemos verificações:
: ~ # reiniciar serviço nscd [ok] Reiniciando o Daemon do Cache do Serviço de Nomes: nscd. : ~ # passos dos dedos Login: strides Nome: Strides El Rey Diretório: / home / strides Shell: / bin / bash Nunca conectado. Sem correio. Sem plano. : ~ # getent passwd strides Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent senha legolas legolas: x: 1004: 63000: Legolas, o elfo: / home / legolas: / bin / bash
Modificamos a política de reconexão com o servidor OpenLDAP.
Nós editamos como o usuário raiz e com muito cuidado, o arquivo /etc/libnss-ldap.conf. Procuramos a palavra «difícil«. Nós removemos o comentário da linha #bind_policy difícil e deixamos assim: bind_policy suave.
A mesma mudança mencionada antes, nós a fazemos no arquivo /etc/pam_ldap.conf.
As modificações acima eliminam uma série de mensagens relacionadas ao LDAP durante a inicialização e ao mesmo tempo o tornam mais rápido (o processo de inicialização).
Reiniciamos nosso Wheezy porque as mudanças feitas são essenciais:
: ~ # reinicialização
Após a reinicialização, podemos fazer o login com qualquer usuário registrado no ClearOS OpenLDAP.
Recomendamos que então o seguinte é feito:
- Torne os usuários externos membros dos mesmos grupos que o usuário local criado durante a instalação de nosso Debian.
- Usando o comando visto, executado como raiz, conceda as permissões de execução necessárias aos usuários externos.
- Crie um favorito com o endereço https://centos.amigos.cu:81/?user en Doninha de gelo, para ter acesso à página pessoal do ClearOS, onde podemos alterar a nossa senha pessoal.
- Instale o OpenSSH-Server -se não o selecionamos ao instalar o sistema- para poder acessar nosso Debian de outro computador.
Arquivos de configuração criados e / ou modificados
O tópico LDAP requer muito estudo, paciência e experiência. O último que não tenho. É altamente recomendável que os pacotes libnss-ldap y libpam-ldap, no caso de uma modificação manual que faz com que a autenticação pare de funcionar, ser reconfigurado corretamente usando o comando dpkg-reconfigure, que é gerado por DEBCONF.
Os arquivos de configuração relacionados são:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
O arquivo /etc/ldap/ldap.conf
Ainda não tocamos neste arquivo. No entanto, a autenticação funciona corretamente devido à configuração dos arquivos listados acima e à configuração do PAM gerada pelo atualização pam-auth. No entanto, também devemos configurá-lo corretamente. Facilita o uso de comandos como ldapsearch, fornecido pelo pacote LDAP-utils. A configuração mínima seria:
BASE dc = amigos, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nunca
Podemos verificar se o servidor OpenLDAP do ClearOS funciona corretamente, se executarmos em um console:
ldapsearch -d 5 -L "(objectclass = *)"
A saída do comando é copiosa. 🙂
Eu amo o Debian! E a atividade acabou por hoje, Amigos !!!
Excelente artigo, direto para minha gaveta de dicas
Obrigado por comentar Elav… more fuel 🙂 e aguarde o próximo que tenta autenticar usando sssd contra um OpenLDAP.
Muito obrigado por compartilhar, ansioso para a outra entrega 😀
Obrigado por comentar !!!. Parece que a inércia mental de autenticar em um domínio da Microsoft é forte. Daí os poucos comentários. É por isso que escrevo sobre as verdadeiras alternativas gratuitas. Se você olhar com atenção, eles são mais fáceis de implementar. Um pouco conceitual no começo. Mais nada.