SWL Network (III): Debian Wheezy och ClearOS. LDAP-autentisering

Hej kompisar!. Vi ska skapa ett nätverk med flera stationära datorer, men den här gången med operativsystemet Debian 7 "Wheezy". Som server han ClearOS. Som en data, låt oss observera att projektet Debian-Edu använda Debian på dina servrar och arbetsstationer. Och det projektet lär oss och gör det lättare att skapa en komplett skola.

Det är viktigt att läsa innan:

  • Introduktion till ett nätverk med fri programvara (I): presentation av ClearOS

Vi får se:

  • Exempel på nätverk
  • Vi konfigurerar LDAP-klienten
  • Konfigurationsfiler som skapats och / eller modifierats
  • Filen /etc/ldap/ldap.conf

Exempel på nätverk

  • Domänkontrollant, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
  • Kontrollantens namn: centos
  • Domän namn: vänner.cu
  • Styrenhetens IP: 10.10.10.60
  • ---------------
  • Debian-version: Väsande.
  • Lagets namn: debian7
  • IP-adress: Använda DHCP

debian7-dhcp-ip

Vi konfigurerar LDAP-klienten

Vi måste ha OpenLDAP-serverdata till hands, som vi får från ClearOS-administrationswebgränssnittet i «Katalog »->« Domän och LDAP':

LDAP Base DN: dc = vänner, dc = cu LDAP Bind DN: cn = manager, cn = intern, dc = vänner, dc = cu LDAP Bind Lösenord: kLGD + Mj + ZTWzkD8W

Vi installerar nödvändiga paket. Som användare rot vi utför:

aptitude installera libnss-ldap nscd finger

Observera att utgången från föregående kommando också innehåller paketet libpam-ldap. Under installationsprocessen kommer de att ställa oss flera frågor som vi måste svara korrekt. Svaren skulle vara i fallet med detta exempel:

LDAP-serverns URI: ldap: //10.10.10.60
Sökarbasens framstående namn (DN): dc = vänner, dc = cu
LDAP-version att använda: 3
LDAP-konto för root: cn = manager, cn = intern, dc = vänner, dc = cu
Lösenord för rot-LDAP-kontot: kLGD + Mj + ZTWzkD8W

Nu meddelar han att filen /etc/nsswitch.conf det hanteras inte automatiskt och att vi måste ändra det manuellt. Vill du tillåta att LDAP-administratörskontot fungerar som den lokala administratören?: Si
Måste en användare komma åt LDAP-databasen?: Nej
LDAP-administratörskonto: cn = manager, cn = intern, dc = vänner, dc = cu
Lösenord för rot-LDAP-kontot: kLGD + Mj + ZTWzkD8W

Om vi ​​har fel i de tidigare svaren kör vi som användare rot:

dpkg-omkonfigurera libnss-ldap
dpkg-omkonfigurera libpam-ldap

Och vi svarar tillräckligt på samma frågor som ställts tidigare, med det enda tillägget av frågan:

Lokal krypteringsalgoritm att använda för lösenord: md5

Ojo när du svarar eftersom standardvärdet som erbjuds oss är Crypt, och vi måste förklara att det är det md5. Det visar oss också en skärm i konsolläge med kommandot pam-auth-uppdatering utförs som rot, som vi måste acceptera.

Vi ändrar filen /etc/nsswitch.conf, och vi lämnar det med följande innehåll:

# /etc/nsswitch.conf # # Exempel på konfiguration av GNU Name Service Switch-funktionalitet. # Om du har paketen 'glibc-doc-reference' och 'info' installerade, försök: # `info libc" Name Service Switch "'för information om den här filen. passwd:         kompatibel ldap
grupp:          kompatibel ldap
skugga:         kompatibel ldap

värdar: filer mdns4_minimal [NOTFOUND = retur] dns mdns4 nätverk: filer protokoll: db-filer tjänster: db-filer etrar: db-filer rpc: db-filer netgrupp: nis

Vi ändrar filen /etc/pam.d/common-session för att automatiskt skapa användarmappar när du loggar in om de inte finns:

[----]
session krävs pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Ovanstående rad måste inkluderas INNAN
# här är modulerna per paket ("Primär" -blocket) [----]

Vi kör i en konsol som användare rot, Bara för att kontrollera, pam-auth-uppdatering:

debian7-pam-auth-update

Vi startar om tjänsten nscd, och vi gör kontroller:

: ~ # service nscd starta om
[ok] Starta om namn Service Cache Daemon: nscd. : ~ # fingersteg
Login: strides Namn: Strides El Rey Directory: / home / strides Shell: / bin / bash Inloggad aldrig. Ingen post. Ingen plan. : ~ # getent passwd steg
Strider: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # getent passwd legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Vi ändrar policyn för återanslutning med OpenLDAP-servern.

Vi redigerar som användare rot och mycket noggrant, filen /etc/libnss-ldap.conf. Vi letar efter ordet «hård«. Vi tar bort kommentaren från raden #bind_policy hårt och vi lämnar det så här: bind_policy mjuk.

Samma ändring som nämnts tidigare, vi gör det i filen /etc/pam_ldap.conf.

Ovanstående ändringar eliminerar ett antal LDAP-relaterade meddelanden under start och samtidigt effektiviserar det (startprocessen).

Vi startar om vår Wheezy eftersom de ändringar som görs är väsentliga:

: ~ # omstart

Efter omstart kan vi logga in med alla användare som är registrerade i ClearOS OpenLDAP.

Vi rekommenderar att sedan görs följande:

  • Gör externa användare till en medlem av samma grupper som den lokala användaren skapade under installationen av vår Debian.
  • Med kommandot visudo, utförd som rot, ge nödvändiga körbehörigheter till externa användare.
  • Skapa ett bokmärke med adressen https://centos.amigos.cu:81/?user en iceweasel, för att få tillgång till den personliga sidan i ClearOS, där vi kan ändra vårt personliga lösenord.
  • Installera OpenSSH-servern - om vi inte valde den när vi installerade systemet - för att kunna komma åt vår Debian från en annan dator.

Konfigurationsfiler som skapats och / eller modifierats

LDAP-ämnet kräver mycket studier, tålamod och erfarenhet. Den sista jag inte har. Vi rekommenderar starkt att paket libnss-ldap y libpam-ldap, om en manuell modifiering gör att autentiseringen slutar fungera, konfigureras om korrekt med kommandot dpkg-omkonfigurera, som genereras av DEBCONF.

De relaterade konfigurationsfilerna är:

  • /etc/libnss-ldap.conf
  • /etc/libnss-ldap.secret
  • /etc/pam_ldap.conf
  • /etc/pam_ldap.secret
  • /etc/nsswitch.conf
  • /etc/pam.d/common-sessions

Filen /etc/ldap/ldap.conf

Vi har inte rört den här filen än. Autentiseringen fungerar dock korrekt på grund av konfigurationen av filerna som anges ovan och PAM-konfigurationen som genereras av pam-auth-uppdatering. Men vi måste också konfigurera det ordentligt. Det gör det enkelt att använda kommandon som ldapsearch, som tillhandahålls av paketet ldap-verktyg. Minsta konfiguration skulle vara:

BAS dc = vänner, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF aldrig

Vi kan kontrollera om OpenLDAP-servern i ClearOS fungerar korrekt, om vi kör i en konsol:

ldapsearch -d 5 -L "(objectclass = *)"

Kommandoutgången är riklig. 🙂

Jag älskar Debian! Och aktiviteten är över för idag, vänner !!!

debian7.amigos.cu


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

4 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   elav sade

    Utmärkt artikel, direkt till min tipslåda

    1.    Federico Antonio Valdes Toujague sade

      Tack för att du kommenterade Elav ... mer bränsle 🙂 och vänta på nästa som försöker verifiera att använda sssd mot en OpenLDAP.

  2.   Eufori sade

    Tack så mycket för att du delar, ser fram emot den andra leveransen 😀

    1.    Federico Antonio Valdes Toujague sade

      Tack för kommentaren !!!. Det verkar som om den mentala trögheten vid autentisering mot en Microsoft-domän är stark. Därav några kommentarer. Det är därför jag skriver om de sanna gratisalternativen. Om du tittar noga på det är de lättare att implementera. Lite konceptuellt först. Men inget.