Rrjeti SWL (III): Debian Wheezy dhe ClearOS. Vërtetimi i LDAP

Përshëndetje miq!. Ne do të bëjmë një rrjet me disa kompjuterë desktop, por këtë herë me sistemin operativ Debian 7 "Wheezy". Si server ai Pastro OS. Si të dhënë, le të vërejmë që projekti Debian-Edu përdorni Debian në serverat dhe stacionet tuaja të punës. Dhe ai projekt na mëson dhe e bën më të lehtë krijimin e një shkolle të plotë.

Essentialshtë thelbësore të lexoni më parë:

• Hyrje në një Rrjet me Softuer të Lirë (I): Prezantimi i ClearOS

Do të shohim:

• Rrjeti Shembull
• Ne konfigurojmë klientin LDAP
• Skedarët e konfigurimit të krijuar dhe / ose modifikuar
• Skedari /etc/ldap/ldap.conf

Rrjeti Shembull

• Domain Controller, DNS, DHCP, OpenLDAP, NTP: Ndërmarrja ClearOS 5.2sp1.
• Emri i kontrolluesit: cent
• Emri i domenit: miqtë.cu
• IP-ja e kontrolluesit: 10.10.10.60
• ---------------
• Versioni Debian: Gulçimë
• Emri i ekipit: debian7
• Adresa IP: Përdorimi i DHCP
  

Ne konfigurojmë klientin LDAP

Ne duhet të kemi në dorë të dhënat e serverit OpenLDAP, të cilat i marrim nga ndërfaqja e administrimit ClearOS në «Drejtoria »->« Domeni dhe LDAP':

LDAP Base DN: dc = miq, dc = cu LDAP Bind DN: cn = menaxher, cn = i brendshëm, dc = miq, dc = cu LDAP Lidh fjalëkalimin: kLGD + Mj + ZTWzkD8W

Ne instalojmë paketat e nevojshme. Si përdorues rrënjë ne ekzekutojmë:

aftësia instaloni gishtin libnss-ldap nscd

Vini re se rezultati i komandës së mëparshme gjithashtu përfshin paketën libpam-ldap. Gjatë procesit të instalimit ata do të na bëjnë disa pyetje, të cilave duhet t'u përgjigjemi saktë. Përgjigjet do të ishin në rastin e këtij shembulli:

URI i serverit LDAP: ldap: //10.10.10.60
Emri i dalluar (DN) i bazës së kërkimit: dc = miq, dc = cu
Versioni LDAP për t'u përdorur: 3
Llogaria LDAP për root: cn = menaxher, cn = i brendshëm, dc = miq, dc = cu
Fjalëkalimi për llogarinë rrënjësore LDAP: kLGD + Mj + ZTWzkD8W

Tani ai na tregon se dosja /etj/nsswitch.conf nuk menaxhohet automatikisht dhe se duhet ta modifikojmë manualisht. Dëshironi të lejoni që llogaria e administratorit LDAP të sillet si administratori lokal?: Si
A kërkohet një përdorues për të hyrë në bazën e të dhënave LDAP?: jo
Llogaria e administratorit LDAP: cn = menaxher, cn = i brendshëm, dc = miq, dc = cu
Fjalëkalimi për llogarinë rrënjësore LDAP: kLGD + Mj + ZTWzkD8W

Nëse gabojmë në përgjigjet e mëparshme, ne ekzekutojmë si përdorues rrënjë:

dpkg-rikonfiguro libnss-ldap
dpkg-rikonfiguro libpam-ldap

Dhe ne i përgjigjemi në mënyrë adekuate të njëjtave pyetje të bëra më parë, me shtesën e vetme të pyetjes:

Algoritmi lokal i kriptimit për t'u përdorur për fjalëkalimet: md5

Ojo kur të përgjigjeni sepse vlera e paracaktuar që na ofrohet është dhomë e nëndheshme, dhe ne duhet të deklarojmë se është md5. Ai gjithashtu na tregon një ekran në modalitetin e konsolës me daljen e komandës pam-auth-azhurnim ekzekutuar si rrënjë, të cilën duhet ta pranojmë.

Ne modifikojmë skedarin /etj/nsswitch.conf, dhe ne e lëmë atë me përmbajtjen e mëposhtme:

# /etc/nsswitch.conf # # Shembull konfigurimi i funksionalitetit të ndërrimit të shërbimit të emrit GNU. # Nëse keni të instaluara paketat "glibc-doc-reference" dhe "info", provoni: # "info libc" Name Service Switch "për informacion në lidhje me këtë skedar. passwd:         kompatibil ldap
grupi:          kompatibil ldap
hije:         kompatibil ldap

hostet: skedarët mdns4_minimal [NOTFOUND = kthim] dns rrjetet mdns4: protokollet e skedarëve: shërbimet e skedarëve db: eteret e skedarëve db: skedarët db rpc: skedarët db netgroup: nis

Ne modifikojmë skedarin /etc/pam.d/comance-session për të krijuar automatikisht dosjet e përdoruesve kur hyni në rast se ato nuk ekzistojnë:

[----]
seanca e nevojshme pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Rreshti i mësipërm duhet të përfshihet PARA
# këtu janë modulet për paketë (blloku "Primar") [----]

Ne ekzekutojmë në një tastierë si përdorues rrënjë, Vetëm për të kontrolluar, pam-auth-azhurnim:

Ne rifillojmë shërbimin nscd, dhe ne bëjmë kontrolle:

: # shërbimi nscd rinisni
[ok] Rinisni Daemon Cache të Shërbimit të Emrit: nscd. : # hapat e gishtave
Identifikimi: hapat Emri: Drejtimet e Strides El Rey: / home / hapat Shell: / bin / bash Asnjëherë nuk je i regjistruar Nuk ka postë. Asnjë plan. : # hapa të rëndësishëm
Shëtitjet: x: 1006: 63000: Shëtitjet El Rey: / shtëpi / hapa: / shporta / bash: ~ # merrni legodë
legolas: x: 1004: 63000: Legolas Elf: / shtëpi / legolas: / bin / bash

Ne modifikojmë politikën e ri-lidhjes me serverin OpenLDAP.

Ne redaktojmë si përdorues rrënjë dhe me shumë kujdes, dosjen /etc/libnss-ldap.conf. Ne kërkojmë fjalën «rëndë« Ne e heqim komentin nga rreshti #lidhje_politika e vështirë dhe e lëmë kështu: bind_policy butë.

Të njëjtin ndryshim të përmendur më parë, ne e bëjmë atë në skedar /etc/pam_ldap.conf.

Modifikimet e mësipërme eliminojnë një numër mesazhesh të lidhura me LDAP gjatë nisjes dhe në të njëjtën kohë e modernizoni atë (procesi i nisjes).

Ne rifillojmë Wheezy tonë sepse ndryshimet e bëra janë thelbësore:

: # reboot

Pas rindezjes, ne mund të hyjmë me çdo përdorues të regjistruar në ClearOS OpenLDAP.

Ne rekomandojmë se atëherë bëhet si më poshtë:

• Bëni përdoruesit e jashtëm një anëtar të të njëjtave grupe si përdoruesi lokal i krijuar gjatë instalimit të Debian-it tonë.
• Përdorimi i komandës vizë, ekzekutuar si rrënjë, Jepni lejet e nevojshme të ekzekutimit përdoruesve të jashtëm.
• Krijoni një faqeshënues me adresën https://centos.amigos.cu:81/?user en Akullore, për të pasur qasje në faqen personale në ClearOS, ku mund të ndryshojmë fjalëkalimin tonë personal.
• Instaloni OpenSSH-Server - nëse nuk është zgjedhur kur instaloni sistemin - që të keni mundësi të përdorni Debian tonë nga një kompjuter tjetër.

Skedarët e konfigurimit të krijuar dhe / ose modifikuar

Tema LDAP kërkon shumë studim, durim dhe përvojë. Të fundit nuk e kam. Ne rekomandojmë shumë që paketat libnss-ldap y libpam-ldapNë rast të një modifikimi manual që bën që autentikimi të ndalojë së funksionuari, ato rikonfigurohen në mënyrë korrekte duke përdorur komandën dpkg-rikonfiguro, që gjenerohet nga DEBCONF.

Skedarët e lidhur të konfigurimit janë:

• /etc/libnss-ldap.conf
• /etj/libnss-ldap.sekret
• /etc/pam_ldap.conf
• /etc/pam_ldap.sekret
• /etj/nsswitch.conf
• /etc/pam.d/ seksionet e zakonshme

Skedari /etc/ldap/ldap.conf

Ende nuk e kemi prekur këtë skedar. Sidoqoftë, vërtetimi funksionon si duhet për shkak të konfigurimit në skedarët e renditur më sipër dhe konfigurimit PAM të gjeneruar nga pam-auth-azhurnim. Sidoqoftë, ne gjithashtu duhet ta konfigurojmë atë siç duhet. Kjo e bën të lehtë përdorimin e komandave si ldapsearch, të siguruara nga paketa ldap-utils. Konfigurimi minimal do të ishte:

BAZA dc = miq, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF asnjëherë

Ne mund të kontrollojmë nëse serveri OpenLDAP i ClearOS funksionon si duhet, nëse ekzekutojmë në një tastierë:

ldapsearch -d 5 -L "(klasa e objektit = *)"

Dalja e komandës është e bollshme. 🙂

Unë e dua Debian! Dhe aktiviteti ka mbaruar për sot, Miq !!!