Услуга директорија са ЛДАП-ом [5]: ОпенЛДАП (ИИ)

fico

КСНУМКС Минутос

Наставимо, али не пре консултација:

У овом посту ћемо видети:

Локална аутентификација корисника

Након што покренемо ОпенЛДАП сервер, ако желимо да тестирамо или имамо локалну аутентификацију регистрованих корисника - или да ћемо се регистровати - у Директоријуму, морамо да инсталирамо и конфигуришемо потребне пакете.

У Скуеезе-у су укључени пакети:

либнсс-лдап: Пружа услугу размене имена (НСС Наме Сервице Свитцх) који омогућава ЛДАП серверу да делује као сервер имена.

То значи пружање информација о корисничким налозима, ИД-овима група, информација о хосту, псеудонимима, НетГроуп-има и у основи било којих других података који се обично добијају из обичних текстуалних датотека као што су / етц / пассвд/ етц / гроуп, итд., или услуга НИШ.

либпам-лдап: "Прикључни модул за аутентификацију за ЛДАП“, или Модул Пам за ЛДАП. Обезбеђује интерфејс између ЛДАП сервера и система за аутентификацију преко Пам.

нсцд: "Наме Сервице Цацхе Даемон“, или Наме Сервице Цацхе Даемон. Рукује тражењима лозинки, групама и хостовима и кешира резултате претраживања за будућу употребу.

:~# аптитуде инсталл либнсс-лдап фингер

Инсталирање пакета либнсс-лдап, који се такође инсталира као зависности либпам-лдап сада ђаво нсцд, ће нас провести кроз чаробњак за конфигурацију, на чија питања морамо одговорити на одговарајући начин:

либнсс-01

либнсс-02

либнсс-03

либнсс-04

либнсс-05

либнсс-06

либпам-01

либпам-02

либпам-03

либпам-04

Ако желимо да поново конфигуришемо пакете либнсс-лдап и / или либпам-лдап, морамо извршити:

:~# дпкг-рецонфигуре либнсс-лдап
:~# дпкг-рецонфигуре либпам-лдап

Касније ћемо модификовати датотеку /етц/нссвитцх.цонф и остављамо га са следећим садржајем:

:~# нано /етц/нссвитцх.цонф
# /етц/нссвитцх.цонф # # Пример конфигурације ГНУ Наме Сервице Свитцх функционалности. # Ако имате инсталиране пакете `глибц-доц-референце' и `инфо', покушајте: # `инфо либц "Пребацивање услуге имена"' за информације о овој датотеци. пассвд: цомпат лдап група: цомпат лдап схадов: цомпат лдап хостс: датотеке днс мреже: датотеке протоколи: дб датотеке услуге: дб датотеке етери: дб датотеке рпц: дб датотеке мрежна група: нис

Дакле, промене су направљене у фајлу /етц/нссвитцх.цонф ступи на снагу, поново покрећемо услугу нсцд:

:~# рестарт сервиса нсцд

Важан детаљ је измена датотеке /етц/пам.д/цоммон-сессион да се кориснички директоријум креира на локалном серверу када се корисник пријави у Директоријум на њега:

:~# нано /етц/пам.д/цоммон-сессион
[----]
потребна сесија пам_мкхомедир.со скел = / етц / скел / умаск = 0022
### Горња линија мора бити укључена ПРЕ # овде су модули по пакету (блок "Примарни") [----]

Попуните базу података

Да бисмо попунили базу података Директоријума или је покренули, морамо додати главне организационе јединице, регистровати најмање једну корисничку групу и додати корисника. Да бисмо то урадили, креирамо датотеку у ЛДИФ формату, коју ћемо касније додати у Директоријум, са следећим садржајем:

:~# нано цонтент.лдиф
дн: оу=Људи,дц=пријатељи,дц=цу објецтЦласс: организациона јединица оу: Људи дн: оу=Групе,дц=пријатељи,дц=цу објецтЦласс: организациона јединица оу: Групе дн: цн=прстенови,оу=Групе,дц= фриендс,дц=цу објецтЦласс: посикГроуп цн: прстенови гидНумбер: 10000 дн: уид=фродо,оу=Људи,дц=фриендс,дц=цу објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: посикАццоунт објецтЦласс: 10000 дн: уид=фродо,оу=Људи,дц=пријатељи,дц=цу објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: ун: фродосцоунт с : Фродо Багинс дисплаиНаме: Фродо Багинс уидНумбер: 10000 гидНумбер: XNUMX усерПассворд: фродо маил: фродо@амигос.цу гецкос: Фродо Багинс логинСхелл: /бин/басх хомеДирецтори: /хоме/фродо

Додамо садржај датотеке у директоријум:

: ~ # лдападд -к -Д цн=админ,дц=пријатељи,дц=цу -В -ф цонтент.лдиф
Унесите ЛДАП лозинку: додавање новог уноса "оу=Пеопле,дц=фриендс,дц=цу" додавање новог уноса "оу=Гроупс,дц=фриендс,дц=цу" додавање новог уноса "цн=рингс,оу=Гроупс,дц= пријатељи,дц=цу" додаје се нови унос "уид=фродо,оу=Људи,дц=пријатељи,дц=цу"

Вршимо релевантне провере:

:~# ид фродо
уид=10000(фродо) гид=10000(прстенови) групе=10000(прстенови)

:~# гетент пассвд | греп фродо
фродо:к:10000:10000:Фродо Багинс:/хоме/фродо:/бин/бас

:~# прст фродо
Логин: фродо Име: Фродо Багинс Директоријум: /хоме/фродо Схелл: /бин/басх Никада нисте пријављени. Не емаил. Не План.

:~# лдапсеарцх -И ЕКСТЕРНАЛ -Х лдапи:/// -б уид=фродо,оу=Пеопле,дц=фриендс,дц=цу

Сада имамо услугу именика којом морамо управљати!!!. Развићемо два начина: први кроз пакет лдапсцриптс, а други, који ћемо се позабавити у следећем чланку, биће крозЛдап Аццоунт Манагер.

Морамо такође рећи да пакет лдап-утилс, пружа читав низ корисних команди за управљање директоријумом. Да бисмо знали које су те команде, извршавамо:

:~# дпкг -Л лдап-утилс | греп /бин
/уср/бин /уср/бин/лдапмодрдн /уср/бин/лдапурл /уср/бин/лдапделете /уср/бин/лдапвхоами /уср/бин/лдапекоп /уср/бин/лдаппассвд /уср/бин/лдапцомпаре /уср/бин /лдапсеарцх /уср/бин/лдапмодифи /уср/бин/лдапдд

Да бисте сазнали више о свакој команди, препоручујемо да покренете човек. Објашњење сваког од њих учинило би чланак веома дугим.

Управљајте базом података помоћу помоћних програма конзоле

Ми бирамо пакет лдапсцриптс за такав задатак. Процедура инсталације и конфигурације је следећа:

:~# аптитуде инсталл лдапсцриптс

:~# цп /етц/лдапсцриптс/лдапсцриптс.цонф \ /етц/лдапсцриптс/лдапсцриптс.цонф.оригинал

:~# цп /дев/нулл /етц/лдапсцриптс/лдапсцриптс.цонф

:~# нано /етц/лдапсцриптс/лдапсцриптс.цонф
СЕРВЕР=лоцалхост БИНДДН='цн=админ,дц=пријатељи,дц=цу' БИНДПВДФИЛЕ="/етц/лдапсцриптс/лдапсцриптс.пассвд" СУФФИКС='дц=фриендс,дц=цу' ГСУФФИКС='оу=Групе' УСУФФИКС= 'оу=Људи' #МСУФФИКС='оу=Рачунари' ГИДСТАРТ=10001 УИДСТАРТ=10001 #МИДСТАРТ=10000 # ОпенЛДАП клијентске команде ЛДАПСЕАРЦХБИН="/уср/бин/лдапсеарцх" ЛДАПАДДБИН="/уср/бин/лдаЕТЕБИН" ЛД /уср/бин/лдапделете" ЛДАПМОДИФИБИН="/уср/бин/лдапмодифи" ЛДАПМОДРДНБИН="/уср/бин/лдапмодрдн" ЛДАППАССВДБИН="/уср/бин/лдаппассвд" ГЦЛАСС="посикГроуп" # УТЕМПЛАТЕ="/ет /лдападдусер.темплате" ПАССВОРДГЕН="ецхо %у"

### Имајте на уму да скрипте користе команде
### лдап-утилс пакет

:~# сх -ц "ецхо -н 'тупассоврд' > \ /етц/лдапсцриптс/лдапсцриптс.пассвд"

:~# цхмод 400 /етц/лдапсцриптс/лдапсцриптс.пассвд

:~# цп /уср/схаре/доц/лдапсцриптс/екамплес/лдападдусер.темплате.сампле \ /етц/лдапсцриптс/лдапддусер.темплате

:~# нано /етц/лдапсцриптс/лдапддусер.темплате
дн: уид= , , објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт цн: сн: име: Показати име: уид: уидНумбер: гидНумбер: хомеДирецтори: логинСхелл: емаил: гекони: опис: кориснички налог

:~# нано /етц/лдапсцриптс/лдапсцриптс.цонф
## уклони коментар УТЕМПЛАТЕ="/етц/лдапсцриптс/лдападдусер.темплате"

Хајде да покушамо да додамо корисника Сридерс Тхе Кинг у групу корисника прстење и проверимо унете податке:

:~# лдападдусер степенице звони
[дн: уид=транцос,оу=Људи,дц=амигос,дц=цу] Унесите вредност за "сн" : Ел Реи [дн: уид=транцос,оу=Људи,дц=амигос,дц=цу] Унесите вредност за "гивенНаме" : Транцос [дн: уид=транцос,оу=Пеопле,дц=амигос,дц=цу] Унесите вредност за "дисплаиНаме" : Транцос Ел Реи [дн: уид=транцос,оу=Пеопле,дц=амигос,дц =цу] Унесите вредност за "маил" : транцос@амигос.цу Успешно додане корисничке транцос у ЛДАП Успешно постављена лозинка за корисничке транцос

роот@милдап:~# лдапфингер корака
дн: уид=транцос,оу=Људи,дц=амигос,дц=цу објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт цн: транцос сн: Ел Реи датоНаме: Транцос дисплаиНаме: Транцос Ел Реи уидН: Транцос Ел Реи уид: транцос10002 г транцос: хомеДирецтори: /хоме/транцос логинСхелл: /бин/басх маил: транцос@амигос.цу гецос: транцос опис: кориснички налог усерПассворд:: е10000НТСЕФ1УнлмцВкЦем9иУзБуСзКзТкМ5ЗФРФцТУвВ3ВсВнБкРм2

Хајде да декларишемо лозинку кориснику Фродо, хајде да наведемо „DN” регистрованих корисника и избришите новокреираног корисника Стридерс:

:~# лдапсетпассвд фродо
Промена лозинке за корисника уид=фродо,оу=Људи,дц=амигос,дц=цу Нова лозинка: Поново укуцајте нову лозинку: Успешно постављена лозинка за корисника уид=фродо,оу=Људи,дц=амигос,дц=цу

:~# лслдап -у | греп дн
дн: уид=фродо,оу=Људи,дц=пријатељи,дц=цу дн: уид=кораци,оу=Људи,дц=пријатељи,дц=цу

:~# лдапфингер фродо
дн: уид=фродо,оу=Људи,дц=пријатељи,дц=цу објецтЦласс: инетОргПерсон објецтЦласс: посикАццоунт објецтЦласс: схадовАццоунт уид: фродо сн: Багинс гивенНаме: Фродо цн: Фродо Багинс дисплаиНаме: у Фродо10000Н10000у Бамберс: у Фродо1Н9 пошта : фродо@амигос.цу гецкос: Фродо Багинс логинСхелл: /бин/басх хомеДирецтори: /хоме/фродо усерПассворд:: е4НТСЕФ3ТнИ1ЗКСН1ИКСА1ВнплК5ЗИЗКСЗзбФЗКаВФXNUMXСВдВеУXNUMXоВјА=

:~# лдапделетеусер корака
Успешно је обрисан корисник уид=транцос,оу=Пеопле,дц=амигос,дц=цу из ЛДАП-а

:~# лслдап -у | греп дн
дн: уид=фродо,оу=Људи,дц=пријатељи,дц=цу

Хајде да проверимо да ли локална аутентикација ради исправно:

:~# ссх фродо@милдап
фродо@милдап-ова лозинка: Линук милдап 2.6.32-5-686 #1 СМП Пет, 10. мај 08:33:48 УТЦ 2013 и686 [---] Дебиан ГНУ/Линук долази са АПСОЛУТНО НИКАКВОМ ГАРАНЦИЈОМ, у мери у којој је то дозвољено важећим законом . Последње пријављивање: Уто, 18. фебруара 18:54:01 2014. са милдап.амигос.цу
фродо@милдап:~$ пвд
/хоме/фродо
фродо@милдап:~$

Постоји много примера које можемо написати, али нажалост чланак би био веома дугачак. Увек кажемо да дајемо улазна тачка на питања услуга уопште. Немогуће је заменити обимну постојећу документацију у једном посту.

Да бисте сазнали више о пакету лдапсцриптс и његове команде, молимо и консултујте се ман лдапсцриптс.

До сада, наша једноставна услуга именика заснована на ОпенЛДАП-у ради добро.

Резиме до сада ...

Многи људи који су задужени за услуге у пословним мрежама, када преузму једну са услугама заснованим на Мицрософт производима, ако желе да пређу на Линук, разматрају миграцију контролера домена између осталих услуга.

Ако не изаберу производ треће стране као што су ЦлеарОС или Зентиал, или ако из других разлога желе да постану независни, онда преузимају тежак задатак креирања сопственог контролора домена, или, почевши од Самбе 4, свог сопственог Ацтиве Дирецтори.

Тада почињу проблеми и нека друга разочарања. Оперативне грешке. Они не проналазе место проблема да би их могли решити. Поновљени покушаји инсталације. Делимично пословање служби. И дуга листа проблема.

Основа било ког контролера домена или активног директоријума у ​​Линук-у, заснованог на ОпенЛДАП плус Самба, нужно укључује основно знање о Шта је ЛДАП сервер, како се инсталира, како се конфигурише и управља, итд.?. Они који су прочитали обимну Самба документацију добро ће знати на шта мислимо.

Управо да бисмо одговорили на то питање написали смо читав низ чланака до овог, а наставићемо са онима који су неопходни. Надамо се да су вам корисни.


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   видагну дијо
    чини КСНУМКС година

    Ваш пост је одличан Фицо, питање, са ОпенЛДАП-ом, могу ли се креирати политике домена? да их примените на повезане кориснике, као што је активирање чувара екрана након 5 минута без активности, конфигурисање позадине, непокретање одређених апликација, конфигурисање скрипти за покретање итд.

    Поздрав,
    Оскар

    Одговорити на видагну
    1.    Федерицо дијо
      чини КСНУМКС година

      Хвала на коментару !!!. Оскаре, запамти да се ове политике, у Линуку, другачије примењују када су у питању Линук клијенти. ГНОМЕ доноси алат за постизање овог циља којем се сада не сећам имена. Да, знам да можемо да успоставимо смернице за кориснички налог директно у ОпенЛДАП-у. Многи ми постављају исто питање и увек одговарам мање-више слично. 🙂 Те безбедносне политике се примењују само на Мицрософт клијенте, НЕ на Линук клијенте. То су две различите филозофије. Ацтиве Дирецтори је власничка апликација заснована на ОпенЛДАП-у, личном Мицрософт Керберос-у и Нетворк Манагер-у, који не знам како то сада зову. Раније је то било у Лан Манагеру. Не можемо замислити да емулирамо Ацтиве Дирецтори само са ЛДАП-ом. Морали бисмо да интегришемо Самбу или да користимо Самбу 4 да видимо да ли се то може постићи. И пријатељу, нисам још ни једном погледао Самбу 4. 🙂 Такође не знам да ли Зентиал са активним директоријумом може да их примени... али тај софтвер није само ОпенЛДАП. То је ОпенЛДАП + Самба + Керберос + друге ствари које не знам добро. 🙂 У овој серији бавим се само ОпенЛДАП-ом, а ако га пратите видећете да у компендијуму који пишем о целој серији, плус друге основне услуге, све се заснива на аутентификацији према ОпенЛДАП директоријуму.

      поздрави

      Одговорити федерицо