SWL Network (III): Debian Wheezy at ClearOS. Pagpapatotoo ng LDAP

Kumusta Mga Kaibigan!. Gagawa kami ng isang network na may maraming mga computer sa desktop, ngunit sa oras na ito sa Debian 7 "Wheezy" Operating System. Bilang isang server siya ClearOS. Bilang isang data, obserbahan natin na ang proyekto Debian-Edu gamitin ang Debian sa iyong mga server at workstation. At ang proyekto na iyon ay nagtuturo sa amin at ginagawang mas madali ang pag-set up ng isang kumpletong paaralan.

Mahalagang basahin dati:

• Panimula sa isang Network na may Libreng Software (I): Paglalahad ng ClearOS

Makikita natin:

• Halimbawa ng network
• I-configure namin ang LDAP client
• Nilikha at / o nabago ang mga file ng pagsasaayos
• Ang /etc/ldap/ldap.conf file

Halimbawa ng network

• Domain Controller, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Pangalan ng Controller: centos
• Pangalan ng Domain: mga kaibigan.cu
• Controller IP: 10.10.10.60
• ---------------
• Bersyon ng Debian: humihingal.
• Pangalan ng koponan: debian7
• IP address: Paggamit ng DHCP
  

I-configure namin ang LDAP client

Dapat ay nasa kamay namin ang data ng server ng OpenLDAP, na nakukuha namin mula sa ClearOS na web interface ng administrasyon sa «Direktoryo »->« Domain at LDAP":

Base sa LDAP DN: dc = mga kaibigan, dc = cu LDAP Bind DN: cn = manager, cn = panloob, dc = mga kaibigan, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Nag-i-install kami ng mga kinakailangang package. Bilang gumagamit ugat isinasagawa namin:

kakayahan i-install ang libnss-ldap nscd daliri

Pansinin na ang output ng nakaraang utos ay nagsasama rin ng package libpam-ldap. Sa panahon ng proseso ng pag-install tatanungin nila kami ng maraming mga katanungan, na dapat naming sagutin nang tama. Ang mga sagot ay magiging sa kaso ng halimbawang ito:

LDAP server URI: ldap: //10.10.10.60
Ang kilalang pangalan (DN) ng base ng paghahanap: dc = mga kaibigan, dc = cu
Gagamitin ang bersyon ng LDAP: 3
LDAP account para sa root: cn = manager, cn = panloob, dc = mga kaibigan, dc = cu
Ang password para sa root na LDAP account: kLGD + Mj + ZTWzkD8W

Ngayon sinabi niya sa amin na ang file /etc/nsswitch.conf hindi ito awtomatikong pinamamahalaan, at kailangan naming baguhin ito nang manu-mano. Nais mo bang payagan ang LDAP administrator account na kumilos bilang lokal na administrator?: Si
Kinakailangan ba ang isang gumagamit upang ma-access ang database ng LDAP?: Hindi
Administrator ng LDAP account: cn = manager, cn = panloob, dc = mga kaibigan, dc = cu
Ang password para sa root na LDAP account: kLGD + Mj + ZTWzkD8W

Kung mali kami sa mga nakaraang sagot, nagpapatupad kami bilang gumagamit ugat:

dpkg-reconfigure ang libnss-ldap
dpkg-reconfigure ang libpam-ldap

At sapat na sinasagot namin ang parehong mga katanungan na tinanong dati, na may karagdagan lamang na tanong:

Ang lokal na algorithm ng pag-encrypt na gagamitin para sa mga password: md5

Ojo kapag tumutugon dahil ang default na halagang inalok sa amin ay Sigaw, at dapat nating ideklara na ito ay md5. Ipinapakita rin nito sa amin ang isang screen sa console mode na may output ng utos pam-auth-update pinaandar bilang ugat, na dapat nating tanggapin.

Binabago namin ang file /etc/nsswitch.conf, at iniiwan namin ito sa sumusunod na nilalaman:

# /etc/nsswitch.conf # # Halimbawa ng pagsasaayos ng pagpapaandar ng Pangalan ng Serbisyo ng GNU. # Kung mayroon kang naka-install na mga pakete na `glibc-doc-reference 'at` info', subukan: #` info libc "Pangalan ng Serbisyo sa Paglipat" 'para sa impormasyon tungkol sa file na ito. passwd:         compat ldap
pangkat:          compat ldap
anino:         compat ldap

host: files mdns4_minimal [NOTFOUND = return] dns mdns4 network: files protocol: db files services: db files ethers: db files rpc: db files netgroup: nis

Binabago namin ang file /etc/pam.d/common-session upang awtomatikong lumikha ng mga folder ng gumagamit kapag nag-log in kung sakaling wala ang mga ito:

[----]
session kinakailangan pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Dapat isama ang linya sa itaas BAGO
# narito ang mga module na per-package (ang "Pangunahin" na bloke) [----]

Isinasagawa namin sa isang console bilang gumagamit ugat, Upang Suriin lamang, pam-auth-update:

I-restart namin ang serbisyo nscd, at nagsusuri kami:

: ~ # serbisyo nscd restart
[ok] Restarting Pangalan ng Serbisyo Cache Daemon: nscd. : ~ # mga hakbang sa daliri
Pag-login: pangalan ng strides: Direktoryo ng Strides El Rey: / home / strides Shell: / bin / bash Never login. Walang mail. Walang plano. : ~ # getent passwd strides
Mga hakbang: x: 1006: 63000: Strides El Rey: / home / strides: / bin / bash: ~ # makakuha ng passwd legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Binago namin ang patakaran sa muling koneksyon sa OpenLDAP server.

Nag-e-edit kami bilang gumagamit ugat at maingat, ang file /etc/libnss-ldap.conf. Hahanapin namin ang salitang «mahirap«. Inaalis namin ang komento mula sa linya #bind_policy mahirap at iniiwan namin ito tulad nito: bind_policy malambot.

Ang parehong pagbabago na nabanggit dati, ginagawa namin ito sa file /etc/pam_ldap.conf.

Ang mga pagbabago sa itaas ay tinanggal ang isang bilang ng mga mensahe na nauugnay sa LDAP sa panahon ng boot at sa parehong oras gawin itong mas mabilis (ang proseso ng boot).

I-restart namin ang aming Wheezy dahil ang mga pagbabagong ginawa ay mahalaga:

: ~ # i-reboot

Pagkatapos ng pag-reboot, maaari kaming mag-log in sa anumang gumagamit na nakarehistro sa ClearOS OpenLDAP.

Inirerekomenda namin na pagkatapos ang sumusunod ay tapos na:

• Gawing kasapi ang mga panlabas na gumagamit ng parehong mga pangkat tulad ng nilikha ng lokal na gumagamit sa panahon ng pag-install ng aming Debian.
• Gamit ang utos visudo, pinaandar bilang ugat, ibigay ang kinakailangang mga pahintulot sa pagpapatupad sa mga panlabas na gumagamit.
• Lumikha ng isang bookmark na may address https://centos.amigos.cu:81/?user en Iceweasel, upang magkaroon ng access sa personal na pahina sa ClearOS, kung saan maaari naming baguhin ang aming personal na password.
• I-install ang OpenSSH-Server -kung hindi namin ito napili kapag na-install ang system- upang ma-access ang aming Debian mula sa ibang computer.

Nilikha at / o nabago ang mga file ng pagsasaayos

Ang paksang LDAP ay nangangailangan ng maraming pag-aaral, pasensya at karanasan. Ang huli wala ako. Masidhi naming inirerekumenda ang mga package libnss-ldap y libpam-ldap, sa kaso ng isang manu-manong pagbabago na nagdudulot sa paghinto ng pagpapatotoo, mai-configure nang tama gamit ang utos dpkg-reconfigure, na nabuo ng DEBCONF.

Ang mga kaugnay na mga file ng pagsasaayos ay:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-session

Ang /etc/ldap/ldap.conf file

Hindi pa namin nahawakan ang file na ito. Gayunpaman, gumagana ang pagpapatotoo nang tama dahil sa pagsasaayos ng mga file na nakalista sa itaas at ang pagsasaayos ng PAM na nilikha ng pam-auth-update. Gayunpaman, dapat din namin itong i-configure nang maayos. Ginagawa nitong madali ang paggamit ng mga utos tulad ng ldapsearch, na ibinigay ng package ldap-utils. Ang pinakamaliit na pagsasaayos ay:

BASE dc = mga kaibigan, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

Maaari naming suriin kung ang server ng OpenLDAP ng ClearOS ay gumagana nang tama, kung nagpapatupad kami sa isang console:

ldapsearch -d 5 -L "(objectclass = *)"

Ang output output ay masagana. 🙂

Mahal ko si Debian! At ang aktibidad ay tapos na para sa ngayon, Mga Kaibigan !!!