Sieť SWL (III): Debian Wheezy a ClearOS. Autentifikácia LDAP

Dobrý deň, priatelia!. Chystáme sa vytvoriť sieť s niekoľkými stolnými počítačmi, tentokrát však s operačným systémom Debian 7 „Wheezy“. Ako server on ClearOS. Ako údaj sledujme projekt Debian-Edu používať Debian na svojich serveroch a pracovných staniciach. A tento projekt nás učí a uľahčuje založenie kompletnej školy.

Je nevyhnutné si predtým prečítať:

• Úvod do siete so slobodným softvérom (I): Prezentácia systému ClearOS

Uvidíme:

• Ukážka siete
• Konfigurujeme klienta LDAP
• Vytvorené a / alebo upravené konfiguračné súbory
• Súbor /etc/ldap/ldap.conf

Ukážka siete

• Radič domény, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Názov správcu: CentOS
• Doménové meno: friends.cu
• Controller IP: 10.10.10.60
• ---------------
• Verzia Debianu: Sipot.
• Názov tímu: debian7
• IP adresa: Pomocou protokolu DHCP
  

Konfigurujeme klienta LDAP

Musíme mať po ruke dáta servera OpenLDAP, ktoré získavame z administračného webového rozhrania ClearOS v «Adresár »->« Doména a LDAP,:

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Inštalujeme potrebné balíčky. Ako užívateľ koreň popravujeme:

aptitude nainštalovať prst libnss-ldap nscd

Všimnite si, že výstup predchádzajúceho príkazu obsahuje aj balík libpam-ldap. Počas procesu inštalácie nám položia niekoľko otázok, na ktoré musíme správne odpovedať. Odpovede by boli v prípade tohto príkladu:

Identifikátor URI servera LDAP: ldap: //10.10.10.60
Rozlišujúci názov (DN) základne vyhľadávania: dc = priatelia, dc = cu
Verzia LDAP, ktorá sa má použiť: 3
Účet LDAP pre root: cn = manažér, cn = interný, dc = priatelia, dc = cu
Heslo pre koreňový účet LDAP: kLGD + Mj + ZTWzkD8W

Teraz nám hovorí, že ten spis /etc/nsswitch.conf nie je spravovaný automaticky a že ho musíme manuálne upravovať. Chcete povoliť, aby sa účet správcu LDAP správal ako miestny správca?: Si
Je od používateľa vyžadovaný prístup k databáze LDAP?: No
Účet správcu LDAP: cn = manažér, cn = interný, dc = priatelia, dc = cu
Heslo pre koreňový účet LDAP: kLGD + Mj + ZTWzkD8W

Ak sa v predchádzajúcich odpovediach mýlime, vykonáme ich ako užívateľ koreň:

dpkg-prekonfigurovať libnss-ldap
dpkg-prekonfigurovať libpam-ldap

A my adekvátne odpovedáme na tie isté otázky, ktoré boli položené predtým, s jediným doplnením otázky:

Miestny šifrovací algoritmus, ktorý sa má použiť pre heslá: md5

Ojo keď odpovedáte, pretože predvolená hodnota, ktorá sa nám ponúka, je krypta, a musíme vyhlásiť, že je md5. Ukazuje nám tiež obrazovku v režime konzoly s výstupom príkazu pam-auth-aktualizácia vykonaný ako koreň, čo musíme akceptovať.

Upravíme súbor /etc/nsswitch.conf, a necháme to s nasledujúcim obsahom:

# /etc/nsswitch.conf # # Príklad konfigurácie funkčnosti prepínača GNU Name Service Switch. # Ak máte nainštalované balíčky `glibc-doc-reference 'a` info', skúste: #` info libc "Názov prepínača služieb" ', kde nájdete informácie o tomto súbore. heslo:         kompatibilný ldap
skupina:          kompatibilný ldap
tieň:         kompatibilný ldap

hostitelia: súbory mdns4_minimal [NOTFOUND = návrat] dns mdns4 siete: súbory protokoly: db súbory služby: db súbory étery: db súbory rpc: db súbory netgroup: nis

Upravíme súbor /etc/pam.d/common-session na automatické vytváranie užívateľských priečinkov pri prihlásení, ak neexistujú:

[----]
vyžaduje sa relácia pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Vyššie uvedený riadok musí byť zahrnutý PRED
# tu sú moduly na balík (blok „Primárne“) [----]

Vykonávame v konzole ako užívateľ koreň, Len na kontrolu, pam-auth-aktualizácia:

Reštartujeme službu nscda robíme kontroly:

: ~ # služba nscd reštart
[ok] Reštartovanie názvu medzipamäte služby Service Daemon: nscd. : ~ # kroky prstov
Prihlásenie: strides Názov: Strides El Rey Adresár: / home / strides Shell: / bin / bash Nikdy neprihlásený. Žiadna pošta. Žiadny plán. : ~ # getent passwd kroky
Kroky: x: 1006: 63000: Kroky El Rey: / home / kroky: / bin / bash: ~ # Získal som lego
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Upravujeme politiku opätovného pripojenia k serveru OpenLDAP.

Upravujeme ako používateľ koreň a veľmi opatrne spis /etc/libnss-ldap.conf. Hľadáme slovo «tvrdý«. Komentár odstránime z riadku #bind_policy ťažké a necháme to takto: bind_policy soft.

Rovnaká zmena, ktorá už bola spomenutá predtým, sa týka aj súboru /etc/pam_ldap.conf.

Vyššie uvedené úpravy eliminujú množstvo správ súvisiacich s LDAP počas bootovania a zároveň ho urýchľujú (bootovací proces).

Reštartujeme náš Wheezy, pretože vykonané zmeny sú nevyhnutné:

: ~ # reštart

Po reštarte sa môžeme prihlásiť s ktorýmkoľvek používateľom registrovaným v ClearOS OpenLDAP.

Odporúčame že sa potom vykoná toto:

• Urobte z externých používateľov člena rovnakých skupín, do ktorých patrí miestny používateľ vytvorený počas inštalácie nášho Debianu.
• Pomocou príkazu visudo, vykonaný ako koreň, udeliť potrebné povolenia na vykonávanie externým používateľom.
• Vytvorte záložku s adresou https://centos.amigos.cu:81/?user en ľadová lasička, aby sme mali prístup k osobnej stránke v ClearOS, kde môžeme zmeniť svoje osobné heslo.
• Nainštalujte si server OpenSSH, ak nie je vybraný pri inštalácii systému, aby ste mali prístup k nášmu Debianu z iného počítača.

Vytvorené a / alebo upravené konfiguračné súbory

Téma LDAP vyžaduje veľa štúdia, trpezlivosti a skúseností. Posledná, ktorú nemám. Balíky veľmi odporúčame libnss-ldap y libpam-ldap, v prípade manuálnej úpravy, ktorá spôsobí, že autentifikácia prestane fungovať, sa pomocou príkazu prekonfigurujte správne dpkg-prekonfigurovať, ktorý generuje DEBCONF.

Súvisiace konfiguračné súbory sú:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Súbor /etc/ldap/ldap.conf

Zatiaľ sme sa tohto súboru nedotkli. Autentifikácia však funguje správne kvôli konfigurácii vyššie uvedených súborov a konfigurácii PAM generovanej serverom pam-auth-aktualizácia. Musíme to však tiež správne nakonfigurovať. Uľahčuje používanie príkazov ako ldapsearch, poskytované balíkom ldap-utils. Minimálna konfigurácia by bola:

ZÁKLAD dc = priatelia, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikdy

Môžeme skontrolovať, či server ClearOS OpenLDAP funguje správne, ak vykonávame v konzole:

ldapsearch -d 5 -L "(objectclass = *)"

Výstup príkazu je hojný. 🙂

Milujem Debian! A aktivita pre dnešok skončila, priatelia !!!