Rede SWL (III): Debian Wheezy e ClearOS. Autenticação LDAP

Olá amigos!. Vamos fazer uma rede com vários computadores desktop, mas desta vez com o sistema operacional Debian 7 "Wheezy". Como servidor ele ClearOS. Como um dado, vamos observar que o projeto Debian-EduGenericName use o Debian em seus servidores e estações de trabalho. E esse projeto nos ensina e facilita a montagem de uma escola completa.

É essencial ler antes:

• Introdução a uma Rede com Software Livre (I): Apresentação do ClearOS

Vamos ver:

• Rede de exemplo
• Nós configuramos o cliente LDAP
• Arquivos de configuração criados e / ou modificados
• O arquivo /etc/ldap/ldap.conf

Rede de exemplo

• Controlador de domínio, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Nome do controlador: centos
• Nome do domínio: friends.cu
• IP do controlador: 10.10.10.60
• ---------------
• Versão Debian: Chiado.
• Nome da equipe: debian7.
• Direção IP: Usando DHCP
  

Nós configuramos o cliente LDAP

Devemos ter os dados do servidor OpenLDAP em mãos, que obtemos da interface web de administração do ClearOS em «Diretório »->« Domínio e LDAP":

DN de base do LDAP: dc = amigos, dc = cu DN de vínculo LDAP: cn = gerente, cn = interno, dc = amigos, dc = cu Senha de vínculo LDAP: kLGD + Mj + ZTWzkD8W

Instalamos os pacotes necessários. Como o usuário raiz nós executamos:

aptitude instalar libnss-ldap nscd finger

Observe que a saída do comando anterior também inclui o pacote libpam-ldap. Durante o processo de instalação, eles nos farão várias perguntas, que devemos responder corretamente. As respostas seriam no caso deste exemplo:

URI do servidor LDAP: ldap: //10.10.10.60
O nome distinto (DN) da base de pesquisa: dc = amigos, dc = cu
Versão do LDAP a ser usada: 3
Conta LDAP para root: cn = gerente, cn = interno, dc = amigos, dc = cu
Senha para a conta LDAP raiz: kLGD + Mj + ZTWzkD8W

Agora ele anuncia que o arquivo /etc/nsswitch.conf não é gerenciado automaticamente, e devemos modificá-lo manualmente. Você deseja permitir que a conta do administrador LDAP se comporte como o administrador local?: Si
É necessário um usuário para acessar o banco de dados LDAP?: Não
Conta de administrador LDAP: cn = gerente, cn = interno, dc = amigos, dc = cu
Senha para a conta LDAP raiz: kLGD + Mj + ZTWzkD8W

Se estivermos errados nas respostas anteriores, executamos como o usuário raiz:

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

E respondemos adequadamente às mesmas perguntas feitas antes, com a única adição da pergunta:

Algoritmo de criptografia local a ser usado para senhas: md5

olho ao responder porque o valor padrão oferecido a nós é Cripta, e devemos declarar que é md5. Também nos mostra uma tela no modo console com a saída do comando atualização pam-auth executado como raiz, que devemos aceitar.

Nós modificamos o arquivo /etc/nsswitch.conf, e deixamos com o seguinte conteúdo:

# /etc/nsswitch.conf # # Exemplo de configuração da funcionalidade do GNU Name Service Switch. # Se você tiver os pacotes `glibc-doc-reference 'e` info' instalados, tente: #` info libc "Name Service Switch" 'para obter informações sobre este arquivo. passwd:         ldap compatível
grupo:          ldap compatível
sombra:         ldap compatível

hosts: files mdns4_minimal [NOTFOUND = return] dns mdns4 networks: files protocolos: db files services: db files ethers: db files rpc: db files netgroup: nis

Nós modificamos o arquivo /etc/pam.d/common-session para criar pastas de usuário automaticamente ao fazer login, caso não existam:

[----]
sessão necessária pam_mkhomedir.so skel = / etc / skel / umask = 0022

### A linha acima deve ser incluída ANTES
# aqui estão os módulos por pacote (o bloco "Primário") [----]

Executamos em um console como o usuário raiz, Apenas para verificar, atualização pam-auth:

Reiniciamos o serviço nscd, e fazemos verificações:

: ~ # reiniciar serviço nscd
[ok] Reiniciando o Daemon do Cache do Serviço de Nomes: nscd. : ~ # passos dos dedos
Login: strides Nome: Strides El Rey Diretório: / home / strides Shell: / bin / bash Nunca conectado. Sem correio. Sem plano. : ~ # getent passwd strides
Strides: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent senha legolas
legolas: x: 1004: 63000: Legolas, o elfo: / home / legolas: / bin / bash

Modificamos a política de reconexão com o servidor OpenLDAP.

Nós editamos como o usuário raiz e com muito cuidado, o arquivo /etc/libnss-ldap.conf. Procuramos a palavra «difícil«. Nós removemos o comentário da linha #bind_policy difícil e deixamos assim: bind_policy suave.

A mesma mudança mencionada antes, nós a fazemos no arquivo /etc/pam_ldap.conf.

As modificações acima eliminam uma série de mensagens relacionadas ao LDAP durante a inicialização e ao mesmo tempo o tornam mais rápido (o processo de inicialização).

Reiniciamos nosso Wheezy porque as mudanças feitas são essenciais:

: ~ # reinicialização

Após a reinicialização, podemos fazer o login com qualquer usuário registrado no ClearOS OpenLDAP.

Recomendamos que então o seguinte é feito:

• Torne os usuários externos membros dos mesmos grupos que o usuário local criado durante a instalação de nosso Debian.
• Usando o comando visto, executado como raiz, conceda as permissões de execução necessárias aos usuários externos.
• Crie um favorito com o endereço https://centos.amigos.cu:81/?user en Doninha de gelo, para ter acesso à página pessoal do ClearOS, onde podemos alterar a nossa senha pessoal.
• Instale o OpenSSH-Server -se não o selecionamos ao instalar o sistema- para poder acessar nosso Debian de outro computador.

Arquivos de configuração criados e / ou modificados

O tópico LDAP requer muito estudo, paciência e experiência. O último que não tenho. É altamente recomendável que os pacotes libnss-ldap y libpam-ldap, no caso de uma modificação manual que faz com que a autenticação pare de funcionar, ser reconfigurado corretamente usando o comando dpkg-reconfigure, que é gerado por DEBCONF.

Os arquivos de configuração relacionados são:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

O arquivo /etc/ldap/ldap.conf

Ainda não tocamos neste arquivo. No entanto, a autenticação funciona corretamente devido à configuração dos arquivos listados acima e à configuração do PAM gerada pelo atualização pam-auth. No entanto, também devemos configurá-lo corretamente. Facilita o uso de comandos como ldapsearch, fornecido pelo pacote LDAP-utils. A configuração mínima seria:

BASE dc = amigos, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nunca

Podemos verificar se o servidor OpenLDAP do ClearOS funciona corretamente, se executarmos em um console:

ldapsearch -d 5 -L "(objectclass = *)"

A saída do comando é copiosa. 🙂

Eu amo o Debian! E a atividade acabou por hoje, Amigos !!!