Rețea SWL (III): Debian Wheezy și ClearOS. Autentificare LDAP

Bună prieteni!. Vom crea o rețea cu mai multe computere desktop, dar de data aceasta cu sistemul de operare Debian 7 „Wheezy”. Ca server el Ștergeți sistemul de operare. Ca date, să observăm că proiectul Debian-Edu utilizați Debian pe serverele și stațiile de lucru. Și acel proiect ne învață și face mai ușoară înființarea unei școli complete.

Este esențial să citiți înainte:

• Introducere într-o rețea cu software liber (I): Prezentare ClearOS

Vom vedea:

• Exemplu de rețea
• Configurăm clientul LDAP
• Fișiere de configurare create și / sau modificate
• Fișierul /etc/ldap/ldap.conf

Exemplu de rețea

• Controler de domeniu, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Numele controlerului: cenți
• Numele domeniului: prieteni.cu
• IP controler: 10.10.10.60
• ---------------
• Versiunea Debian: şuierătoare.
• Numele echipei: debian7
• Adresa IP: Folosind DHCP
  

Configurăm clientul LDAP

Trebuie să avem la îndemână datele serverului OpenLDAP, pe care le obținem din interfața web de administrare ClearOS din «Director »->« Domeniu și LDAP„:

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = intern, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Instalăm pachetele necesare. Ca utilizator rădăcină executăm:

aptitude instalează degetul libnss-ldap nscd

Rețineți că rezultatul comenzii anterioare include și pachetul libpam-ldap. În timpul procesului de instalare, ei ne vor pune mai multe întrebări, la care trebuie să răspundem corect. Răspunsurile ar fi în cazul acestui exemplu:

URI server LDAP: ldap: //10.10.10.60
Numele distinctiv (DN) al bazei de căutare: dc = prieteni, dc = cu
Versiune LDAP de utilizat: 3
Cont LDAP pentru root: cn = manager, cn = intern, dc = prieteni, dc = cu
Parola pentru contul LDAP rădăcină: kLGD + Mj + ZTWzkD8W

Acum anunță că dosarul /etc/nsswitch.conf nu este gestionat automat și trebuie să îl modificăm manual. Doriți să permiteți contului de administrator LDAP să se comporte ca administrator local?: Si
Este necesar un utilizator să acceseze baza de date LDAP?: Nu
Cont de administrator LDAP: cn = manager, cn = intern, dc = prieteni, dc = cu
Parola pentru contul LDAP rădăcină: kLGD + Mj + ZTWzkD8W

Dacă greșim în răspunsurile anterioare, executăm ca utilizator rădăcină:

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

Și răspundem în mod adecvat la aceleași întrebări puse anterior, cu singura adăugare a întrebării:

Algoritm de criptare local de utilizat pentru parole: md5

Ojo atunci când răspundeți deoarece valoarea implicită oferită nouă este Criptă, și trebuie să declarăm că este md5. De asemenea, ne arată un ecran în modul consolă cu ieșirea comenzii pam-auth-update executat ca rădăcină, pe care trebuie să-l acceptăm.

Modificăm fișierul /etc/nsswitch.conf, și îl lăsăm cu următorul conținut:

# /etc/nsswitch.conf # # Exemplu de configurare a funcționalității GNU Name Service Switch. # Dacă aveți pachetele `glibc-doc-reference 'și„ info ”instalate, încercați: #` info libc „Nume serviciu comutator”' pentru informații despre acest fișier. passwd:         compat ldap
grup:          compat ldap
umbră:         compat ldap

gazde: fișiere mdns4_minimal [NOTFOUND = return] dns mdns4 rețele: fișiere protocoale: fișiere db servicii: fișiere db etere: fișiere db rpc: fișiere db netgroup: nis

Modificăm fișierul /etc/pam.d/common-session pentru a crea automat dosare de utilizator la conectare în cazul în care acestea nu există:

[----]
sesiunea necesară pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Rândul de mai sus trebuie să fie inclus ÎNAINTE
# aici sunt modulele per pachet (blocul „Primar”) [----]

Executăm într-o consolă ca utilizator rădăcină, Doar pentru a verifica, pam-auth-update:

Repornim serviciul nscd, și facem verificări:

: ~ # repornirea serviciului nscd
[ok] Repornirea Daemon-ului cache al serviciului de nume: nscd. : ~ # pași cu degetul
Autentificare: strides Nume: Strides El Rey Director: / home / strides Shell: / bin / bash Nu v-ați conectat niciodată. Fără mail. Niciun plan. : ~ # pasi getw passwd
Pași: x: 1006: 63000: Pași El Rey: / acasă / pași: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas Elf: / home / legolas: / bin / bash

Modificăm politica de reconectare cu serverul OpenLDAP.

Edităm ca utilizator rădăcină și foarte atent, dosarul /etc/libnss-ldap.conf. Căutăm cuvântul «greu«. Eliminăm comentariul de pe rând #bind_policy greu și o lăsăm așa: bind_policy soft.

Aceeași modificare menționată anterior, o facem în fișier /etc/pam_ldap.conf.

Modificările de mai sus elimină o serie de mesaje legate de LDAP în timpul boot-ului și, în același timp, îl fac mai rapid (procesul de boot).

Ne repornim Wheezy-ul deoarece modificările aduse sunt esențiale:

: ~ # reporniți

După repornire, ne putem conecta cu orice utilizator înregistrat în ClearOS OpenLDAP.

Vă recomandăm că atunci se face următoarele:

• Faceți din utilizatorii externi un membru al acelorași grupuri ca și utilizatorul local creat în timpul instalării Debian-ului nostru.
• Folosind comanda visado, executat ca rădăcină, acordați permisiunile de execuție necesare utilizatorilor externi.
• Creați un marcaj cu adresa https://centos.amigos.cu:81/?user en nevăstuică de gheață, pentru a avea acces la pagina personală din ClearOS, unde ne putem schimba parola personală.
• Instalați OpenSSH-Server -dacă nu l-am selectat la instalarea sistemului- pentru a putea accesa Debian-ul nostru de pe alt computer.

Fișiere de configurare create și / sau modificate

Subiectul LDAP necesită mult studiu, răbdare și experiență. Ultima pe care nu o am. Vă recomandăm cu tărie ca pachetele libnss-ldap y libpam-ldap, în cazul unei modificări manuale care face ca autentificarea să nu mai funcționeze, să fie reconfigurat corect folosind comanda dpkg-reconfigure, care este generat de DEBCONF.

Fișierele de configurare aferente sunt:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Fișierul /etc/ldap/ldap.conf

Nu am atins încă acest fișier. Cu toate acestea, autentificarea funcționează corect datorită configurației din fișierele enumerate mai sus și a configurației PAM generate de pam-auth-update. Cu toate acestea, trebuie să-l configurăm corect. Este ușor de utilizat comenzi precum ldapsearch, furnizat de pachet ldap-utils. Configurația minimă ar fi:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

Putem verifica dacă serverul OpenLDAP al ClearOS funcționează corect, dacă executăm într-o consolă:

ldapsearch -d 5 -L "(objectclass = *)"

Ieșirea comenzii este abundentă. 🙂

Îmi place Debian! Și activitatea s-a încheiat pentru astăzi, Prieteni !!!