สวัสดีเพื่อน!. เรากำลังจะสร้างเครือข่ายด้วยคอมพิวเตอร์เดสก์ท็อปหลายเครื่อง แต่คราวนี้ใช้ระบบปฏิบัติการ Debian 7 "Wheezy" ในฐานะเซิร์ฟเวอร์เขา ClearOS. เป็นข้อมูลให้เราสังเกตว่าโครงการ เดเบียน - เอดู ใช้ Debian บนเซิร์ฟเวอร์และเวิร์กสเตชันของคุณ และโครงการนั้นสอนเราและช่วยให้จัดตั้งโรงเรียนที่สมบูรณ์ได้ง่ายขึ้น
สิ่งสำคัญคือต้องอ่านก่อน:
- ความรู้เบื้องต้นเกี่ยวกับเครือข่ายพร้อมซอฟต์แวร์เสรี (I): การนำเสนอ ClearOS
เราจะเห็น:
- ตัวอย่างเครือข่าย
- เรากำหนดค่าไคลเอ็นต์ LDAP
- ไฟล์การกำหนดค่าที่สร้างและ / หรือแก้ไข
- ไฟล์ /etc/ldap/ldap.conf
ตัวอย่างเครือข่าย
- ตัวควบคุมโดเมน, DNS, DHCP, OpenLDAP, NTP: ClearOS องค์กร 5.2sp1.
- ชื่อผู้ควบคุม: CentOS
- ชื่อโดเมน: friends.cu
- IP ตัวควบคุม: 10.10.10.60
- ---------------
- เวอร์ชัน Debian: หายใจไม่ออก
- ชื่อทีม: เดเบียน 7
- ที่อยู่ IP: ใช้ DHCP
เรากำหนดค่าไคลเอ็นต์ LDAP
เราต้องมีข้อมูลเซิร์ฟเวอร์ OpenLDAP อยู่ในมือซึ่งเราได้รับจากเว็บอินเตอร์เฟสการดูแลระบบ ClearOS ใน«ไดเรกทอรี» -> «โดเมนและ LDAP":
LDAP Base DN: dc = friends, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = friends, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W
เราติดตั้งแพ็คเกจที่จำเป็น ในฐานะผู้ใช้ ราก เราดำเนินการ:
ความถนัดในการติดตั้ง libnss-ldap นิ้ว nscd
สังเกตว่าเอาต์พุตของคำสั่งก่อนหน้านี้รวมแพ็คเกจด้วย libpam-ldap. ในระหว่างขั้นตอนการติดตั้งพวกเขาจะถามเราหลายคำถามซึ่งเราต้องตอบให้ถูกต้อง คำตอบจะอยู่ในกรณีของตัวอย่างนี้:
URI เซิร์ฟเวอร์ LDAP: ldap: //10.10.10.60 ชื่อเฉพาะ (DN) ของฐานการค้นหา: dc = เพื่อน, dc = cu เวอร์ชัน LDAP ที่จะใช้: 3 บัญชี LDAP สำหรับ root: cn = manager, cn = internal, dc = friends, dc = cu รหัสผ่านสำหรับบัญชี root LDAP: kLGD + Mj + ZTWzkD8W ตอนนี้เขาประกาศว่าไฟล์ /etc/nsswitch.conf ไม่มีการจัดการโดยอัตโนมัติและเราต้องแก้ไขด้วยตนเอง. คุณต้องการอนุญาตให้บัญชีผู้ดูแลระบบ LDAP ทำงานเป็นผู้ดูแลระบบภายในหรือไม่: Si ผู้ใช้จำเป็นต้องเข้าถึงฐานข้อมูล LDAP หรือไม่: ไม่ บัญชีผู้ดูแลระบบ LDAP: cn = manager, cn = internal, dc = friends, dc = cu รหัสผ่านสำหรับบัญชี root LDAP: kLGD + Mj + ZTWzkD8W
หากเราผิดในคำตอบก่อนหน้าเราจะดำเนินการในฐานะผู้ใช้ ราก:
dpkg- กำหนดค่า libnss-ldap ใหม่ dpkg- กำหนดค่า libpam-ldap ใหม่
และเราตอบคำถามเดียวกันกับที่ถามก่อนหน้านี้อย่างเพียงพอโดยเพิ่มคำถามเพียงอย่างเดียว:
อัลกอริทึมการเข้ารหัสภายในที่จะใช้สำหรับรหัสผ่าน: md5
Ojo เมื่อตอบกลับเนื่องจากค่าเริ่มต้นที่เสนอให้เราคือ ฝังศพใต้ถุนโบสถ์และเราต้องประกาศว่ามันเป็น md5. นอกจากนี้ยังแสดงให้เราเห็นหน้าจอในโหมดคอนโซลพร้อมเอาต์พุตของคำสั่ง pam-auth-อัปเดต ดำเนินการเป็น รากซึ่งเราต้องยอมรับ
เราแก้ไขไฟล์ /etc/nsswitch.confและเราปล่อยให้มันมีเนื้อหาต่อไปนี้:
# /etc/nsswitch.conf # # ตัวอย่างการกำหนดค่าฟังก์ชัน GNU Name Service Switch # หากคุณติดตั้งแพ็คเกจ "glibc-doc-reference" และ "info" แล้วให้ลอง: # "info libc" Name Service Switch "สำหรับข้อมูลเกี่ยวกับไฟล์นี้ passwd: เข้ากันได้กับ ldap กลุ่ม: เข้ากันได้กับ ldap เงา: เข้ากันได้กับ ldap โฮสต์: ไฟล์ mdns4_minimal [NOTFOUND = return] dns เครือข่าย mdns4: ไฟล์โปรโตคอล: บริการไฟล์ db: ไฟล์ db อีเธอร์: ไฟล์ db rpc: ไฟล์ db netgroup: nis
เราแก้ไขไฟล์ /etc/pam.d/common-session เพื่อสร้างโฟลเดอร์ผู้ใช้โดยอัตโนมัติเมื่อเข้าสู่ระบบในกรณีที่ไม่มีอยู่:
- ต้องใช้เซสชั่น pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### ต้องระบุบรรทัดด้านบนก่อน # นี่คือโมดูลต่อแพ็คเกจ (บล็อก "หลัก") [----]
เราดำเนินการในคอนโซลในฐานะผู้ใช้ ราก, เพื่อตรวจสอบ, pam-auth-อัปเดต:
เราเริ่มบริการใหม่ เอ็นซีดีและเราทำการตรวจสอบ:
: ~ # บริการ nscd เริ่มต้นใหม่ [ok] การรีสตาร์ท Name Service Cache Daemon: nscd : ~ # ก้าวนิ้ว เข้าสู่ระบบ: ก้าวชื่อ: Strides El Rey Directory: / home / strides Shell: / bin / bash ไม่เคยเข้าสู่ระบบ ไม่มีจดหมาย ไม่มีแผน : ~ # getent passwd ก้าว ก้าวย่าง: x: 1006: 63000: ก้าวย่าง El Rey: / home / strides: / bin / bash: ~ # getent passwd เลโกลัส เลโกลัส: x: 1004: 63000: เลโกลัสดิเอลฟ์: / home / เลโกลัส: / bin / bash
เราแก้ไขนโยบายการเชื่อมต่อซ้ำกับเซิร์ฟเวอร์ OpenLDAP.
เราแก้ไขในฐานะผู้ใช้ ราก และระมัดระวังไฟล์ /etc/libnss-ldap.conf. เรามองหาคำว่า«ยาก«. เราลบความคิดเห็นออกจากบรรทัด #bind_policy ยาก และเราปล่อยไว้แบบนี้: bind_policy นุ่ม.
การเปลี่ยนแปลงเดียวกันกับที่กล่าวถึงก่อนหน้านี้เราทำการเปลี่ยนแปลงในไฟล์ /etc/pam_ldap.conf.
การปรับเปลี่ยนข้างต้นจะกำจัดข้อความจำนวนหนึ่งที่เกี่ยวข้องกับ LDAP ระหว่างการบูตและในขณะเดียวกันก็ทำให้เร็วขึ้น (กระบวนการบูต)
เราเริ่มต้น Wheezy ของเราใหม่เนื่องจากการเปลี่ยนแปลงที่เกิดขึ้นมีความสำคัญ:
: ~ # รีบูต
หลังจากรีบูตเราสามารถเข้าสู่ระบบด้วยผู้ใช้ที่ลงทะเบียนใน ClearOS OpenLDAP
เราขอแนะนำ จากนั้นดำเนินการต่อไปนี้:
- กำหนดให้ผู้ใช้ภายนอกเป็นสมาชิกของกลุ่มเดียวกับผู้ใช้ภายในที่สร้างขึ้นระหว่างการติดตั้ง Debian ของเรา
- โดยใช้คำสั่ง visudo, ดำเนินการเป็น รากให้สิทธิ์การดำเนินการที่จำเป็นแก่ผู้ใช้ภายนอก
- สร้างบุ๊กมาร์กด้วยที่อยู่ https://centos.amigos.cu:81/?user en ไอซ์ไวเซิลเพื่อเข้าถึงหน้าส่วนตัวใน ClearOS ซึ่งเราสามารถเปลี่ยนรหัสผ่านส่วนตัวของเราได้
- ติดตั้ง OpenSSH-Server - หากเราไม่ได้เลือกเมื่อติดตั้งระบบเพื่อให้สามารถเข้าถึง Debian ของเราจากคอมพิวเตอร์เครื่องอื่นได้
ไฟล์การกำหนดค่าที่สร้างและ / หรือแก้ไข
หัวข้อ LDAP ต้องการการศึกษาความอดทนและประสบการณ์มากมาย คนสุดท้ายที่ฉันไม่มี เราขอแนะนำเป็นอย่างยิ่งว่าแพ็คเกจต่างๆ libnss-ldap y libpam-ldapในกรณีที่มีการแก้ไขด้วยตนเองที่ทำให้การพิสูจน์ตัวตนหยุดทำงานให้กำหนดค่าใหม่อย่างถูกต้องโดยใช้คำสั่ง dpkg- กำหนดค่าใหม่ซึ่งสร้างขึ้นโดย เดบคอนฟ.
ไฟล์คอนฟิกูเรชันที่เกี่ยวข้อง ได้แก่ :
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
ไฟล์ /etc/ldap/ldap.conf
เรายังไม่ได้แตะไฟล์นี้ อย่างไรก็ตามการตรวจสอบสิทธิ์ทำงานได้อย่างถูกต้องเนื่องจากการกำหนดค่าไฟล์ที่ระบุไว้ด้านบนและการกำหนดค่า PAM ที่สร้างโดย pam-auth-อัปเดต. อย่างไรก็ตามเราต้องกำหนดค่าให้เหมาะสมด้วย ทำให้ง่ายต่อการใช้คำสั่งเช่น ldapsearchจัดทำโดยแพ็คเกจ ldap-utils. การกำหนดค่าขั้นต่ำคือ:
BASE dc = friends, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF ไม่เคย
เราสามารถตรวจสอบได้ว่าเซิร์ฟเวอร์ OpenLDAP ของ ClearOS ทำงานอย่างถูกต้องหรือไม่หากเราดำเนินการในคอนโซล:
ldapsearch -d 5 -L "(objectclass = *)"
เอาต์พุตคำสั่งมีมากมาย 🙂
ฉันรัก Debian! และกิจกรรมจบลงแล้วสำหรับวันนี้เพื่อน ๆ !!!
บทความที่ยอดเยี่ยมส่งตรงไปที่ลิ้นชักเคล็ดลับของฉัน
ขอบคุณสำหรับการแสดงความคิดเห็น Elav …เชื้อเพลิงมากขึ้น🙂และรออันถัดไปที่พยายามพิสูจน์ตัวตนโดยใช้ sssd กับ OpenLDAP
ขอบคุณมากสำหรับการแบ่งปันรอคอยการจัดส่งอื่น ๆ 😀
ขอบคุณสำหรับความคิดเห็น !!!. ดูเหมือนว่าความเฉื่อยทางจิตใจของการรับรองความถูกต้องกับโดเมน Microsoft นั้นแข็งแกร่ง ดังนั้นความคิดเห็นไม่กี่ นั่นคือเหตุผลที่ฉันเขียนเกี่ยวกับทางเลือกฟรีที่แท้จริง หากคุณพิจารณาอย่างรอบคอบพวกเขาจะนำไปใช้ได้ง่ายกว่า แนวคิดเล็กน้อยในตอนแรก แต่ไม่มีอะไร.