Dobrý deň, priatelia!. Chystáme sa vytvoriť sieť s niekoľkými stolnými počítačmi, tentokrát však s operačným systémom Debian 7 „Wheezy“. Ako server on ClearOS. Ako údaj sledujme projekt Debian-Edu používať Debian na svojich serveroch a pracovných staniciach. A tento projekt nás učí a uľahčuje založenie kompletnej školy.
Je nevyhnutné si predtým prečítať:
- Úvod do siete so slobodným softvérom (I): Prezentácia systému ClearOS
Uvidíme:
- Ukážka siete
- Konfigurujeme klienta LDAP
- Vytvorené a / alebo upravené konfiguračné súbory
- Súbor /etc/ldap/ldap.conf
Ukážka siete
- Radič domény, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Názov správcu: CentOS
- Doménové meno: friends.cu
- Controller IP: 10.10.10.60
- ---------------
- Verzia Debianu: Sipot.
- Názov tímu: debian7
- IP adresa: Pomocou protokolu DHCP
Konfigurujeme klienta LDAP
Musíme mať po ruke dáta servera OpenLDAP, ktoré získavame z administračného webového rozhrania ClearOS v «Adresár »->« Doména a LDAP,:
LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
Inštalujeme potrebné balíčky. Ako užívateľ koreň popravujeme:
aptitude nainštalovať prst libnss-ldap nscd
Všimnite si, že výstup predchádzajúceho príkazu obsahuje aj balík libpam-ldap. Počas procesu inštalácie nám položia niekoľko otázok, na ktoré musíme správne odpovedať. Odpovede by boli v prípade tohto príkladu:
Identifikátor URI servera LDAP: ldap: //10.10.10.60 Rozlišujúci názov (DN) základne vyhľadávania: dc = priatelia, dc = cu Verzia LDAP, ktorá sa má použiť: 3 Účet LDAP pre root: cn = manažér, cn = interný, dc = priatelia, dc = cu Heslo pre koreňový účet LDAP: kLGD + Mj + ZTWzkD8W Teraz nám hovorí, že ten spis /etc/nsswitch.conf nie je spravovaný automaticky a že ho musíme manuálne upravovať. Chcete povoliť, aby sa účet správcu LDAP správal ako miestny správca?: Si Je od používateľa vyžadovaný prístup k databáze LDAP?: No Účet správcu LDAP: cn = manažér, cn = interný, dc = priatelia, dc = cu Heslo pre koreňový účet LDAP: kLGD + Mj + ZTWzkD8W
Ak sa v predchádzajúcich odpovediach mýlime, vykonáme ich ako užívateľ koreň:
dpkg-prekonfigurovať libnss-ldap dpkg-prekonfigurovať libpam-ldap
A my adekvátne odpovedáme na tie isté otázky, ktoré boli položené predtým, s jediným doplnením otázky:
Miestny šifrovací algoritmus, ktorý sa má použiť pre heslá: md5
Ojo keď odpovedáte, pretože predvolená hodnota, ktorá sa nám ponúka, je krypta, a musíme vyhlásiť, že je md5. Ukazuje nám tiež obrazovku v režime konzoly s výstupom príkazu pam-auth-aktualizácia vykonaný ako koreň, čo musíme akceptovať.
Upravíme súbor /etc/nsswitch.conf, a necháme to s nasledujúcim obsahom:
# /etc/nsswitch.conf # # Príklad konfigurácie funkčnosti prepínača GNU Name Service Switch. # Ak máte nainštalované balíčky `glibc-doc-reference 'a` info', skúste: #` info libc "Názov prepínača služieb" ', kde nájdete informácie o tomto súbore. heslo: kompatibilný ldap skupina: kompatibilný ldap tieň: kompatibilný ldap hostitelia: súbory mdns4_minimal [NOTFOUND = návrat] dns mdns4 siete: súbory protokoly: db súbory služby: db súbory étery: db súbory rpc: db súbory netgroup: nis
Upravíme súbor /etc/pam.d/common-session na automatické vytváranie užívateľských priečinkov pri prihlásení, ak neexistujú:
[----] vyžaduje sa relácia pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Vyššie uvedený riadok musí byť zahrnutý PRED # tu sú moduly na balík (blok „Primárne“) [----]
Vykonávame v konzole ako užívateľ koreň, Len na kontrolu, pam-auth-aktualizácia:
Reštartujeme službu nscda robíme kontroly:
: ~ # služba nscd reštart [ok] Reštartovanie názvu medzipamäte služby Service Daemon: nscd. : ~ # kroky prstov Prihlásenie: strides Názov: Strides El Rey Adresár: / home / strides Shell: / bin / bash Nikdy neprihlásený. Žiadna pošta. Žiadny plán. : ~ # getent passwd kroky Kroky: x: 1006: 63000: Kroky El Rey: / home / kroky: / bin / bash: ~ # Získal som lego legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Upravujeme politiku opätovného pripojenia k serveru OpenLDAP.
Upravujeme ako používateľ koreň a veľmi opatrne spis /etc/libnss-ldap.conf. Hľadáme slovo «tvrdý«. Komentár odstránime z riadku #bind_policy ťažké a necháme to takto: bind_policy soft.
Rovnaká zmena, ktorá už bola spomenutá predtým, sa týka aj súboru /etc/pam_ldap.conf.
Vyššie uvedené úpravy eliminujú množstvo správ súvisiacich s LDAP počas bootovania a zároveň ho urýchľujú (bootovací proces).
Reštartujeme náš Wheezy, pretože vykonané zmeny sú nevyhnutné:
: ~ # reštart
Po reštarte sa môžeme prihlásiť s ktorýmkoľvek používateľom registrovaným v ClearOS OpenLDAP.
Odporúčame že sa potom vykoná toto:
- Urobte z externých používateľov člena rovnakých skupín, do ktorých patrí miestny používateľ vytvorený počas inštalácie nášho Debianu.
- Pomocou príkazu visudo, vykonaný ako koreň, udeliť potrebné povolenia na vykonávanie externým používateľom.
- Vytvorte záložku s adresou https://centos.amigos.cu:81/?user en ľadová lasička, aby sme mali prístup k osobnej stránke v ClearOS, kde môžeme zmeniť svoje osobné heslo.
- Nainštalujte si server OpenSSH, ak nie je vybraný pri inštalácii systému, aby ste mali prístup k nášmu Debianu z iného počítača.
Vytvorené a / alebo upravené konfiguračné súbory
Téma LDAP vyžaduje veľa štúdia, trpezlivosti a skúseností. Posledná, ktorú nemám. Balíky veľmi odporúčame libnss-ldap y libpam-ldap, v prípade manuálnej úpravy, ktorá spôsobí, že autentifikácia prestane fungovať, sa pomocou príkazu prekonfigurujte správne dpkg-prekonfigurovať, ktorý generuje DEBCONF.
Súvisiace konfiguračné súbory sú:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Súbor /etc/ldap/ldap.conf
Zatiaľ sme sa tohto súboru nedotkli. Autentifikácia však funguje správne kvôli konfigurácii vyššie uvedených súborov a konfigurácii PAM generovanej serverom pam-auth-aktualizácia. Musíme to však tiež správne nakonfigurovať. Uľahčuje používanie príkazov ako ldapsearch, poskytované balíkom ldap-utils. Minimálna konfigurácia by bola:
ZÁKLAD dc = priatelia, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF nikdy
Môžeme skontrolovať, či server ClearOS OpenLDAP funguje správne, ak vykonávame v konzole:
ldapsearch -d 5 -L "(objectclass = *)"
Výstup príkazu je hojný. 🙂
Milujem Debian! A aktivita pre dnešok skončila, priatelia !!!
Vynikajúci článok, priamo do zásuvky mojich tipov
Ďakujeme, že ste vyjadrili komentár k Elavovi ... viac paliva 🙂 a počkajte na ďalší, ktorý sa pokúsi overiť pomocou protokolu sssd proti protokolu OpenLDAP.
Veľmi pekne ďakujeme za zdieľanie a tešíme sa na ďalšie doručenie 😀
Ďakujem za komentár !!!. Zdá sa, že mentálna zotrvačnosť autentifikácie proti doméne Microsoft je silná. Preto tých pár komentárov. Preto píšem o skutočných alternatívach zadarmo. Ak sa na to pozriete pozorne, dajú sa ľahšie implementovať. Spočiatku trochu koncepčne. Ale nič.