Сеть SWL (III): Debian Wheezy и ClearOS. LDAP аутентификация

Привет друзья!. Мы собираемся создать сеть из нескольких настольных компьютеров, но на этот раз с операционной системой Debian 7 «Wheezy». Как сервер он ClearOS. В качестве данных отметим, что проект Debian-Edu используйте Debian на своих серверах и рабочих станциях. И этот проект учит нас и упрощает создание полноценной школы.

Перед этим обязательно прочтите:

• Введение в сеть с бесплатными программами (I): презентация ClearOS

Посмотрим:

• Пример сети
• Настраиваем LDAP клиент
• Файлы конфигурации созданы и / или изменены
• Файл /etc/ldap/ldap.conf

Пример сети

• Контроллер домена, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Имя контроллера: CentOS
• Доменное имя: friends.cu
• Контроллер IP: 10.10.10.60
• ---------------
• Версия Debian: Уизи.
• Название команды: дебиан7
• IP-адрес: Использование DHCP
  

Настраиваем LDAP клиент

У нас должны быть данные сервера OpenLDAP под рукой, которые мы получаем из веб-интерфейса администрирования ClearOS в «Каталог »->« Домен и LDAP«:

Базовое DN LDAP: dc = friends, dc = cu DN привязки LDAP: cn = manager, cn = internal, dc = friends, dc = cu Пароль привязки LDAP: kLGD + Mj + ZTWzkD8W

Устанавливаем необходимые пакеты. Как пользователь корень мы выполняем:

aptitude установить libnss-ldap nscd finger

Обратите внимание, что вывод предыдущей команды также включает пакет libpam-ldap. В процессе установки нам задают несколько вопросов, на которые мы должны правильно ответить. Ответы будут в случае этого примера:

URI сервера LDAP: ldap: //10.10.10.60
Отличительное имя (DN) базы поиска: dc = друзья, dc = cu
Версия LDAP для использования: 3
Учетная запись LDAP для root: cn = менеджер, cn = internal, dc = friends, dc = cu
Пароль для корневой учетной записи LDAP: kLGD + Mj + ZTWzkD8W

Теперь он сообщает нам, что файл /etc/nsswitch.conf он не управляется автоматически, и мы должны изменить его вручную. Вы хотите разрешить учетной записи администратора LDAP вести себя как локальный администратор?: Si
Требуется ли пользователю доступ к базе данных LDAP ?: Нет
Учетная запись администратора LDAP: cn = менеджер, cn = internal, dc = friends, dc = cu
Пароль для корневой учетной записи LDAP: kLGD + Mj + ZTWzkD8W

Если мы ошибаемся в предыдущих ответах, мы выполняем как пользователь корень:

dpkg-перенастроить libnss-ldap
dpkg-перенастроить libpam-ldap

И мы адекватно отвечаем на те же вопросы, которые были заданы ранее, с единственным дополнением вопроса:

Алгоритм локального шифрования для паролей: md5

глаз при ответе, поскольку предлагаемое нам значение по умолчанию - Склеп, и мы должны заявить, что это md5. Он также показывает нам экран в консольном режиме с выводом команды пам-авторизация-обновление выполнен как корень, что мы должны принять.

Модифицируем файл /etc/nsswitch.conf, и мы оставляем его со следующим содержанием:

# /etc/nsswitch.conf # # Пример конфигурации функциональности переключателя службы имен GNU. # Если у вас установлены пакеты `glibc-doc-reference 'и` info', попробуйте: #` info libc "Name Service Switch" 'для получения информации об этом файле. пароль:         LDAP-совместимость
группа:          LDAP-совместимость
тень:         LDAP-совместимость

хосты: файлы mdns4_minimal [NOTFOUND = return] dns mdns4 сети: файлы протоколы: файлы db services: файлы db ethers: файлы db rpc: файлы db netgroup: nis

Модифицируем файл /etc/pam.d/общая сессия для автоматического создания пользовательских папок при входе в систему, если они не существуют:

[----]
требуется сеанс pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Вышеуказанная строка должна быть включена ДО
# вот модули для каждого пакета ("Основной" блок) [----]

Выполняем в консоли как пользователь корень, Просто чтобы проверить, пам-авторизация-обновление:

Перезапускаем сервис NSCD, и мы делаем чеки:

: ~ # перезапуск службы nscd
[ok] Перезапуск демона кэша службы имен: nscd. : ~ # шаги пальца
Логин: strides Имя: Strides El Rey Каталог: / home / strides Shell: / bin / bash Не входил в систему. Почты нет. Нет плана. : ~ # getent passwd strides
Шаги: x: 1006: 63000: Шаги Эль Рей: / home / strides: / bin / bash: ~ # getent passwd леголас
леголас: x: 1004: 63000: Леголас Эльф: / home / legolas: / bin / bash

Модифицируем политику повторного подключения с сервером OpenLDAP.

Редактируем как пользователь корень и очень осторожно, файл /etc/libnss-ldap.conf. Ищем слово «жесткий«. Убираем комментарий со строки #bind_policy сложно и оставляем так: программа bind_policy.

То же изменение, о котором упоминалось ранее, мы вносим в файл /etc/pam_ldap.conf.

Вышеупомянутые изменения устраняют ряд сообщений, связанных с LDAP во время загрузки, и в то же время ускоряют его (процесс загрузки).

Мы перезапускаем Wheezy, потому что внесенные изменения необходимы:

: ~ # перезагружать

После перезагрузки мы можем войти в систему с любым пользователем, зарегистрированным в ClearOS OpenLDAP.

Мы рекомендуем что тогда делается следующее:

• Сделайте внешних пользователей членами тех же групп, к которым принадлежит локальный пользователь, созданный во время установки нашего Debian.
• Используя команду visudo, оформленный как корень, предоставьте необходимые разрешения на выполнение внешним пользователям.
• Создайте закладку с адресом https://centos.amigos.cu:81/?user en Iceweasel, чтобы иметь доступ к личной странице в ClearOS, где мы можем изменить наш личный пароль.
• Установите OpenSSH-Server - если он не выбран при установке системы - чтобы иметь доступ к нашему Debian с другого компьютера.

Файлы конфигурации созданы и / или изменены

Тема LDAP требует много изучения, терпения и опыта. Последний у меня нет. Мы настоятельно рекомендуем пакеты libnss-ldap y libpam-ldap, в случае ручного изменения, которое приводит к прекращению работы аутентификации, необходимо правильно перенастроить его с помощью команды dpkg-переконфигурировать, который порождается ДЕБКОНФ.

Соответствующие файлы конфигурации:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/общие сеансы

Файл /etc/ldap/ldap.conf

Мы еще не трогали этот файл. Однако аутентификация работает правильно из-за конфигурации файлов, перечисленных выше, и конфигурации PAM, сгенерированной пам-авторизация-обновление. Однако мы также должны правильно его настроить. Это упрощает использование таких команд, как ldapsearch, предоставленный пакетом ldap-утилиты. Минимальная конфигурация будет:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF никогда

Мы можем проверить, правильно ли работает OpenLDAP-сервер ClearOS, если выполним в консоли:

ldapsearch -d 5 -L "(объектный класс = *)"

Вывод команды обильный. 🙂

Я люблю Debian! И активность на сегодня окончена, Друзья !!!