SWL Network (III): Debian Wheezy และ ClearOS การพิสูจน์ตัวตน LDAP

สวัสดีเพื่อน!. เรากำลังจะสร้างเครือข่ายด้วยคอมพิวเตอร์เดสก์ท็อปหลายเครื่อง แต่คราวนี้ใช้ระบบปฏิบัติการ Debian 7 "Wheezy" ในฐานะเซิร์ฟเวอร์เขา ClearOS. เป็นข้อมูลให้เราสังเกตว่าโครงการ เดเบียน - เอดู ใช้ Debian บนเซิร์ฟเวอร์และเวิร์กสเตชันของคุณ และโครงการนั้นสอนเราและช่วยให้จัดตั้งโรงเรียนที่สมบูรณ์ได้ง่ายขึ้น

สิ่งสำคัญคือต้องอ่านก่อน:

• ความรู้เบื้องต้นเกี่ยวกับเครือข่ายพร้อมซอฟต์แวร์เสรี (I): การนำเสนอ ClearOS

เราจะเห็น:

• ตัวอย่างเครือข่าย
• เรากำหนดค่าไคลเอ็นต์ LDAP
• ไฟล์การกำหนดค่าที่สร้างและ / หรือแก้ไข
• ไฟล์ /etc/ldap/ldap.conf

ตัวอย่างเครือข่าย

• ตัวควบคุมโดเมน, DNS, DHCP, OpenLDAP, NTP: ClearOS องค์กร 5.2sp1.
• ชื่อผู้ควบคุม: CentOS
• ชื่อโดเมน: friends.cu
• IP ตัวควบคุม: 10.10.10.60
• ---------------
• เวอร์ชัน Debian: หายใจไม่ออก
• ชื่อทีม: เดเบียน 7
• ที่อยู่ IP: ใช้ DHCP
  

เรากำหนดค่าไคลเอ็นต์ LDAP

เราต้องมีข้อมูลเซิร์ฟเวอร์ OpenLDAP อยู่ในมือซึ่งเราได้รับจากเว็บอินเตอร์เฟสการดูแลระบบ ClearOS ใน«ไดเรกทอรี» -> «โดเมนและ LDAP":

LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

เราติดตั้งแพ็คเกจที่จำเป็น ในฐานะผู้ใช้ ราก เราดำเนินการ:

ความถนัดในการติดตั้ง libnss-ldap นิ้ว nscd

สังเกตว่าเอาต์พุตของคำสั่งก่อนหน้านี้รวมแพ็คเกจด้วย libpam-ldap. ในระหว่างขั้นตอนการติดตั้งพวกเขาจะถามเราหลายคำถามซึ่งเราต้องตอบให้ถูกต้อง คำตอบจะอยู่ในกรณีของตัวอย่างนี้:

URI เซิร์ฟเวอร์ LDAP: ldap: //10.10.10.60
ชื่อเฉพาะ (DN) ของฐานการค้นหา: dc = เพื่อน, dc = cu
เวอร์ชัน LDAP ที่จะใช้: 3
บัญชี LDAP สำหรับ root: cn = manager, cn = internal, dc = friends, dc = cu
รหัสผ่านสำหรับบัญชี root LDAP: kLGD + Mj + ZTWzkD8W

ตอนนี้เขาประกาศว่าไฟล์ /etc/nsswitch.conf ไม่มีการจัดการโดยอัตโนมัติและเราต้องแก้ไขด้วยตนเอง. คุณต้องการอนุญาตให้บัญชีผู้ดูแลระบบ LDAP ทำงานเป็นผู้ดูแลระบบภายในหรือไม่: Si
ผู้ใช้จำเป็นต้องเข้าถึงฐานข้อมูล LDAP หรือไม่: ไม่
บัญชีผู้ดูแลระบบ LDAP: cn = manager, cn = internal, dc = friends, dc = cu
รหัสผ่านสำหรับบัญชี root LDAP: kLGD + Mj + ZTWzkD8W

หากเราผิดในคำตอบก่อนหน้าเราจะดำเนินการในฐานะผู้ใช้ ราก:

dpkg- กำหนดค่า libnss-ldap ใหม่
dpkg- กำหนดค่า libpam-ldap ใหม่

และเราตอบคำถามเดียวกันกับที่ถามก่อนหน้านี้อย่างเพียงพอโดยเพิ่มคำถามเพียงอย่างเดียว:

อัลกอริทึมการเข้ารหัสภายในที่จะใช้สำหรับรหัสผ่าน: md5

Ojo เมื่อตอบกลับเนื่องจากค่าเริ่มต้นที่เสนอให้เราคือ ฝังศพใต้ถุนโบสถ์และเราต้องประกาศว่ามันเป็น md5. นอกจากนี้ยังแสดงให้เราเห็นหน้าจอในโหมดคอนโซลพร้อมเอาต์พุตของคำสั่ง pam-auth-อัปเดต ดำเนินการเป็น รากซึ่งเราต้องยอมรับ

เราแก้ไขไฟล์ /etc/nsswitch.confและเราปล่อยให้มันมีเนื้อหาต่อไปนี้:

# /etc/nsswitch.conf # # ตัวอย่างการกำหนดค่าฟังก์ชัน GNU Name Service Switch # หากคุณติดตั้งแพ็คเกจ "glibc-doc-reference" และ "info" แล้วให้ลอง: # "info libc" Name Service Switch "สำหรับข้อมูลเกี่ยวกับไฟล์นี้ passwd:         เข้ากันได้กับ ldap
กลุ่ม:          เข้ากันได้กับ ldap
เงา:         เข้ากันได้กับ ldap

โฮสต์: ไฟล์ mdns4_minimal [NOTFOUND = return] dns เครือข่าย mdns4: ไฟล์โปรโตคอล: บริการไฟล์ db: ไฟล์ db อีเธอร์: ไฟล์ db rpc: ไฟล์ db netgroup: nis

เราแก้ไขไฟล์ /etc/pam.d/common-session เพื่อสร้างโฟลเดอร์ผู้ใช้โดยอัตโนมัติเมื่อเข้าสู่ระบบในกรณีที่ไม่มีอยู่:

-
ต้องใช้เซสชั่น pam_mkhomedir.so skel = / etc / skel / umask = 0022

### ต้องระบุบรรทัดด้านบนก่อน
# นี่คือโมดูลต่อแพ็คเกจ (บล็อก "หลัก") [----]

เราดำเนินการในคอนโซลในฐานะผู้ใช้ ราก, เพื่อตรวจสอบ, pam-auth-อัปเดต:

เราเริ่มบริการใหม่ เอ็นซีดีและเราทำการตรวจสอบ:

: ~ # บริการ nscd เริ่มต้นใหม่
[ok] การรีสตาร์ท Name Service Cache Daemon: nscd : ~ # ก้าวนิ้ว
เข้าสู่ระบบ: ก้าวชื่อ: Strides El Rey Directory: / home / strides Shell: / bin / bash ไม่เคยเข้าสู่ระบบ ไม่มีจดหมาย ไม่มีแผน : ~ # getent passwd ก้าว
ก้าวย่าง: x: 1006: 63000: ก้าวย่าง El Rey: / home / strides: / bin / bash: ~ # getent passwd เลโกลัส
เลโกลัส: x: 1004: 63000: เลโกลัสดิเอลฟ์: / home / เลโกลัส: / bin / bash

เราแก้ไขนโยบายการเชื่อมต่อซ้ำกับเซิร์ฟเวอร์ OpenLDAP.

เราแก้ไขในฐานะผู้ใช้ ราก และระมัดระวังไฟล์ /etc/libnss-ldap.conf. เรามองหาคำว่า«ยาก«. เราลบความคิดเห็นออกจากบรรทัด #bind_policy ยาก และเราปล่อยไว้แบบนี้: bind_policy นุ่ม.

การเปลี่ยนแปลงเดียวกันกับที่กล่าวถึงก่อนหน้านี้เราทำการเปลี่ยนแปลงในไฟล์ /etc/pam_ldap.conf.

การปรับเปลี่ยนข้างต้นจะกำจัดข้อความจำนวนหนึ่งที่เกี่ยวข้องกับ LDAP ระหว่างการบูตและในขณะเดียวกันก็ทำให้เร็วขึ้น (กระบวนการบูต)

เราเริ่มต้น Wheezy ของเราใหม่เนื่องจากการเปลี่ยนแปลงที่เกิดขึ้นมีความสำคัญ:

: ~ # รีบูต

หลังจากรีบูตเราสามารถเข้าสู่ระบบด้วยผู้ใช้ที่ลงทะเบียนใน ClearOS OpenLDAP

เราขอแนะนำ จากนั้นดำเนินการต่อไปนี้:

• กำหนดให้ผู้ใช้ภายนอกเป็นสมาชิกของกลุ่มเดียวกับผู้ใช้ภายในที่สร้างขึ้นระหว่างการติดตั้ง Debian ของเรา
• โดยใช้คำสั่ง visudo, ดำเนินการเป็น รากให้สิทธิ์การดำเนินการที่จำเป็นแก่ผู้ใช้ภายนอก
• สร้างบุ๊กมาร์กด้วยที่อยู่ https://centos.amigos.cu:81/?user en ไอซ์ไวเซิลเพื่อเข้าถึงหน้าส่วนตัวใน ClearOS ซึ่งเราสามารถเปลี่ยนรหัสผ่านส่วนตัวของเราได้
• ติดตั้ง OpenSSH-Server - หากเราไม่ได้เลือกเมื่อติดตั้งระบบเพื่อให้สามารถเข้าถึง Debian ของเราจากคอมพิวเตอร์เครื่องอื่นได้

ไฟล์การกำหนดค่าที่สร้างและ / หรือแก้ไข

หัวข้อ LDAP ต้องการการศึกษาความอดทนและประสบการณ์มากมาย คนสุดท้ายที่ฉันไม่มี เราขอแนะนำเป็นอย่างยิ่งว่าแพ็คเกจต่างๆ libnss-ldap y libpam-ldapในกรณีที่มีการแก้ไขด้วยตนเองที่ทำให้การพิสูจน์ตัวตนหยุดทำงานให้กำหนดค่าใหม่อย่างถูกต้องโดยใช้คำสั่ง dpkg- กำหนดค่าใหม่ซึ่งสร้างขึ้นโดย เดบคอนฟ.

ไฟล์คอนฟิกูเรชันที่เกี่ยวข้อง ได้แก่ :

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

ไฟล์ /etc/ldap/ldap.conf

เรายังไม่ได้แตะไฟล์นี้ อย่างไรก็ตามการตรวจสอบสิทธิ์ทำงานได้อย่างถูกต้องเนื่องจากการกำหนดค่าไฟล์ที่ระบุไว้ด้านบนและการกำหนดค่า PAM ที่สร้างโดย pam-auth-อัปเดต. อย่างไรก็ตามเราต้องกำหนดค่าให้เหมาะสมด้วย ทำให้ง่ายต่อการใช้คำสั่งเช่น ldapsearchจัดทำโดยแพ็คเกจ ldap-utils. การกำหนดค่าขั้นต่ำคือ:

BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF ไม่เคย

เราสามารถตรวจสอบได้ว่าเซิร์ฟเวอร์ OpenLDAP ของ ClearOS ทำงานอย่างถูกต้องหรือไม่หากเราดำเนินการในคอนโซล:

ldapsearch -d 5 -L "(objectclass = *)"

เอาต์พุตคำสั่งมีมากมาย 🙂

ฉันรัก Debian! และกิจกรรมจบลงแล้วสำหรับวันนี้เพื่อน ๆ !!!