Привет друзья!. Мы собираемся создать сеть из нескольких настольных компьютеров, но на этот раз с операционной системой Debian 7 «Wheezy». Как сервер он ClearOS. В качестве данных отметим, что проект Debian-Edu используйте Debian на своих серверах и рабочих станциях. И этот проект учит нас и упрощает создание полноценной школы.
Перед этим обязательно прочтите:
- Введение в сеть с бесплатными программами (I): презентация ClearOS
Посмотрим:
- Пример сети
- Настраиваем LDAP клиент
- Файлы конфигурации созданы и / или изменены
- Файл /etc/ldap/ldap.conf
Пример сети
- Контроллер домена, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Имя контроллера: CentOS
- Доменное имя: friends.cu
- Контроллер IP: 10.10.10.60
- ---------------
- Версия Debian: Уизи.
- Название команды: дебиан7
- IP-адрес: Использование DHCP
Настраиваем LDAP клиент
У нас должны быть данные сервера OpenLDAP под рукой, которые мы получаем из веб-интерфейса администрирования ClearOS в «Каталог »->« Домен и LDAP«:
Базовое DN LDAP: dc = friends, dc = cu DN привязки LDAP: cn = manager, cn = internal, dc = friends, dc = cu Пароль привязки LDAP: kLGD + Mj + ZTWzkD8W
Устанавливаем необходимые пакеты. Как пользователь корень мы выполняем:
aptitude установить libnss-ldap nscd finger
Обратите внимание, что вывод предыдущей команды также включает пакет libpam-ldap. В процессе установки нам задают несколько вопросов, на которые мы должны правильно ответить. Ответы будут в случае этого примера:
URI сервера LDAP: ldap: //10.10.10.60 Отличительное имя (DN) базы поиска: dc = друзья, dc = cu Версия LDAP для использования: 3 Учетная запись LDAP для root: cn = менеджер, cn = internal, dc = friends, dc = cu Пароль для корневой учетной записи LDAP: kLGD + Mj + ZTWzkD8W Теперь он сообщает нам, что файл /etc/nsswitch.conf он не управляется автоматически, и мы должны изменить его вручную. Вы хотите разрешить учетной записи администратора LDAP вести себя как локальный администратор?: Si Требуется ли пользователю доступ к базе данных LDAP ?: Нет Учетная запись администратора LDAP: cn = менеджер, cn = internal, dc = friends, dc = cu Пароль для корневой учетной записи LDAP: kLGD + Mj + ZTWzkD8W
Если мы ошибаемся в предыдущих ответах, мы выполняем как пользователь корень:
dpkg-перенастроить libnss-ldap dpkg-перенастроить libpam-ldap
И мы адекватно отвечаем на те же вопросы, которые были заданы ранее, с единственным дополнением вопроса:
Алгоритм локального шифрования для паролей: md5
глаз при ответе, поскольку предлагаемое нам значение по умолчанию - Склеп, и мы должны заявить, что это md5. Он также показывает нам экран в консольном режиме с выводом команды пам-авторизация-обновление выполнен как корень, что мы должны принять.
Модифицируем файл /etc/nsswitch.conf, и мы оставляем его со следующим содержанием:
# /etc/nsswitch.conf # # Пример конфигурации функциональности переключателя службы имен GNU. # Если у вас установлены пакеты `glibc-doc-reference 'и` info', попробуйте: #` info libc "Name Service Switch" 'для получения информации об этом файле. пароль: LDAP-совместимость группа: LDAP-совместимость тень: LDAP-совместимость хосты: файлы mdns4_minimal [NOTFOUND = return] dns mdns4 сети: файлы протоколы: файлы db services: файлы db ethers: файлы db rpc: файлы db netgroup: nis
Модифицируем файл /etc/pam.d/общая сессия для автоматического создания пользовательских папок при входе в систему, если они не существуют:
[----] требуется сеанс pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Вышеуказанная строка должна быть включена ДО # вот модули для каждого пакета ("Основной" блок) [----]
Выполняем в консоли как пользователь корень, Просто чтобы проверить, пам-авторизация-обновление:
Перезапускаем сервис NSCD, и мы делаем чеки:
: ~ # перезапуск службы nscd [ok] Перезапуск демона кэша службы имен: nscd. : ~ # шаги пальца Логин: strides Имя: Strides El Rey Каталог: / home / strides Shell: / bin / bash Не входил в систему. Почты нет. Нет плана. : ~ # getent passwd strides Шаги: x: 1006: 63000: Шаги Эль Рей: / home / strides: / bin / bash: ~ # getent passwd леголас леголас: x: 1004: 63000: Леголас Эльф: / home / legolas: / bin / bash
Модифицируем политику повторного подключения с сервером OpenLDAP.
Редактируем как пользователь корень и очень осторожно, файл /etc/libnss-ldap.conf. Ищем слово «жесткий«. Убираем комментарий со строки #bind_policy сложно и оставляем так: программа bind_policy.
То же изменение, о котором упоминалось ранее, мы вносим в файл /etc/pam_ldap.conf.
Вышеупомянутые изменения устраняют ряд сообщений, связанных с LDAP во время загрузки, и в то же время ускоряют его (процесс загрузки).
Мы перезапускаем Wheezy, потому что внесенные изменения необходимы:
: ~ # перезагружать
После перезагрузки мы можем войти в систему с любым пользователем, зарегистрированным в ClearOS OpenLDAP.
Мы рекомендуем что тогда делается следующее:
- Сделайте внешних пользователей членами тех же групп, к которым принадлежит локальный пользователь, созданный во время установки нашего Debian.
- Используя команду visudo, оформленный как корень, предоставьте необходимые разрешения на выполнение внешним пользователям.
- Создайте закладку с адресом https://centos.amigos.cu:81/?user en Iceweasel, чтобы иметь доступ к личной странице в ClearOS, где мы можем изменить наш личный пароль.
- Установите OpenSSH-Server - если он не выбран при установке системы - чтобы иметь доступ к нашему Debian с другого компьютера.
Файлы конфигурации созданы и / или изменены
Тема LDAP требует много изучения, терпения и опыта. Последний у меня нет. Мы настоятельно рекомендуем пакеты libnss-ldap y libpam-ldap, в случае ручного изменения, которое приводит к прекращению работы аутентификации, необходимо правильно перенастроить его с помощью команды dpkg-переконфигурировать, который порождается ДЕБКОНФ.
Соответствующие файлы конфигурации:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/общие сеансы
Файл /etc/ldap/ldap.conf
Мы еще не трогали этот файл. Однако аутентификация работает правильно из-за конфигурации файлов, перечисленных выше, и конфигурации PAM, сгенерированной пам-авторизация-обновление. Однако мы также должны правильно его настроить. Это упрощает использование таких команд, как ldapsearch, предоставленный пакетом ldap-утилиты. Минимальная конфигурация будет:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF никогда
Мы можем проверить, правильно ли работает OpenLDAP-сервер ClearOS, если выполним в консоли:
ldapsearch -d 5 -L "(объектный класс = *)"
Вывод команды обильный. 🙂
Я люблю Debian! И активность на сегодня окончена, Друзья !!!
Отличная статья, прямо в ящик моих советов
Спасибо за комментарий Elav… больше топлива 🙂 и ждите следующего, который попытается аутентифицироваться с помощью sssd против OpenLDAP.
Большое спасибо за то, что поделились, с нетерпением жду другой доставки 😀
Спасибо за комментарий !!!. Кажется, что ментальная инерция аутентификации в домене Microsoft сильна. Отсюда несколько комментариев. Вот почему я пишу об истинно бесплатных альтернативах. Если присмотреться, их легче реализовать. Сначала немного концептуально. Но ничего.