SWL-мережа (III): Debian Wheezy та ClearOS. Аутентифікація LDAP

Привіт, друзі!. Ми збираємось створити мережу з кількома настільними комп’ютерами, але цього разу з операційною системою Debian 7 "Wheezy". Як сервер він ClearOS. Як дані, давайте зауважимо, що проект Дебіан-Еду використовуйте Debian на своїх серверах та робочих станціях. І цей проект вчить нас і полегшує створення повної школи.

Важливо прочитати перед цим:

• Вступ до мережі з вільним програмним забезпеченням (I): Презентація ClearOS

Побачимо:

• Приклад мережі
• Ми налаштовуємо клієнт LDAP
• Файли конфігурації, створені та / або змінені
• Файл /etc/ldap/ldap.conf

Приклад мережі

• Контролер домену, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Ім'я контролера: CentOS
• Доменне ім'я: друзі.cu
• IP контролера: 10.10.10.60
• ---------------
• Версія Debian: Свистячий.
• Назва команди: debian7
• IP-адреса: Використання DHCP
  

Ми налаштовуємо клієнт LDAP

Ми повинні мати під рукою дані сервера OpenLDAP, які ми отримуємо з веб-інтерфейсу адміністрування ClearOS в «Каталог »->« Домен і LDAP":

LDAP базовий DN: dc = друзі, dc = cu LDAP Bind DN: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu LDAP Bind Пароль: kLGD + Mj + ZTWzkD8W

Встановлюємо необхідні пакети. Як користувач корінь виконуємо:

aptitude встановити libnss-ldap nscd finger

Зверніть увагу, що результат попередньої команди також включає пакет libpam-ldap. В процесі встановлення вони зададуть нам кілька питань, на які ми повинні правильно відповісти. Відповіді будуть у випадку цього прикладу:

URI сервера LDAP: ldap: //10.10.10.60
Відмінне ім'я (DN) бази пошуку: dc = друзі, dc = cu
Використовувати версію LDAP: 3
Обліковий запис LDAP для root: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu
Пароль для кореневого облікового запису LDAP: kLGD + Mj + ZTWzkD8W

Тепер він каже нам, що файл /etc/nsswitch.conf це не управляється автоматично, і що ми повинні змінити його вручну. Ви хочете дозволити обліковому запису адміністратора LDAP поводитися як локальний адміністратор?: Si
Чи потрібен користувачеві доступ до бази даних LDAP?: Немає
Обліковий запис адміністратора LDAP: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu
Пароль для кореневого облікового запису LDAP: kLGD + Mj + ZTWzkD8W

Якщо ми помиляємось у попередніх відповідях, ми виконуємо як користувач корінь:

dpkg-реконфігуруйте libnss-ldap
dpkg-реконфігуруйте libpam-ldap

І ми адекватно відповідаємо на ті самі запитання, що задавались раніше, з єдиним доповненням запитання:

Локальний алгоритм шифрування для використання паролів: md5

Ojo під час відповіді, оскільки пропонується нам значення за замовчуванням Crypt, і ми повинні заявити, що це так md5. Він також показує нам екран у консольному режимі з виходом команди pam-auth-update виконується як корінь, який ми повинні прийняти.

Ми модифікуємо файл /etc/nsswitch.conf, і ми залишаємо це з наступним змістом:

# /etc/nsswitch.conf # # Приклад конфігурації функціональності комутатора послуг імен GNU. # Якщо у вас встановлені пакети `glibc-doc-reference 'та` info', спробуйте: # `info libc" Switch Service Switch "'для отримання інформації про цей файл. passwd:         сумісний ldap
група:          сумісний ldap
тінь:         сумісний ldap

хости: файли mdns4_minimal [NOTFOUND = return] dns mdns4 мережі: файлові протоколи: db файлові служби: db файли ефіри: db файли rpc: db файли netgroup: nis

Ми модифікуємо файл /etc/pam.d/common-session для автоматичного створення папок користувача під час входу, якщо вони не існують:

[----]
необхідна сесія pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Наведений вище рядок повинен бути включений ПЕРЕД
# ось модулі за пакетом (блок "Основний") [----]

Ми виконуємо в консолі як користувач корінь, Просто перевірити, pam-auth-update:

Ми перезапускаємо послугу nscd, і ми робимо перевірки:

: ~ # перезапуск служби nscd
[ok] Перезапуск демона кешу служби імен: nscd. : ~ # кроки пальців
Логін: strides Ім'я: Strides El Rey Каталог: / home / strides Shell: / bin / bash Ніколи не входив. Пошти немає. Немає плану. : ~ # getent passwd кроки
Кроки: x: 1006: 63000: Кроки El Rey: / home / strides: / bin / bash: ~ # getent passwd леголи
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Ми змінюємо політику повторного підключення до сервера OpenLDAP.

Ми редагуємо як користувач корінь і дуже обережно, файл /etc/libnss-ldap.conf. Шукаємо слово «жорсткий«. Ми видаляємо коментар із рядка #bind_policy жорсткий і ми залишаємо це так: bind_policy м'який.

Ті самі зміни, про які згадувалося раніше, ми робимо це у файлі /etc/pam_ldap.conf.

Вищезазначені модифікації усувають ряд повідомлень, пов’язаних з LDAP, під час завантаження та одночасно впорядковують їх (процес завантаження).

Ми перезапускаємо наш Wheezy, оскільки внесені зміни є суттєвими:

: ~ # перезавантажувати

Після перезавантаження ми можемо увійти з будь-яким користувачем, зареєстрованим у ClearOS OpenLDAP.

Ми рекомендуємо що тоді робиться наступне:

• Зробіть зовнішніх користувачів членами тих самих груп, що і локальний користувач, створений під час встановлення нашого Debian.
• Використання команди видудо, виконаний як корінь, надайте необхідні дозволи на виконання зовнішнім користувачам.
• Створіть закладку з адресою https://centos.amigos.cu:81/?user en Iceweasel, щоб мати доступ до особистої сторінки в ClearOS, де ми можемо змінити свій особистий пароль.
• Встановіть OpenSSH-сервер, якщо ми не вибрали його при встановленні системи, щоб мати доступ до нашого Debian з іншого комп'ютера.

Файли конфігурації, створені та / або змінені

Тема LDAP вимагає багато вивчення, терпіння та досвіду. Останнього у мене немає. Ми настійно рекомендуємо цю упаковку libnss-ldap y libpam-ldap, у разі ручної модифікації, яка призводить до того, що автентифікація перестає працювати, переналаштуйте правильно за допомогою dpkg-переналаштувати, що генерується DEBCONF.

Пов'язані файли конфігурації:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Файл /etc/ldap/ldap.conf

Ми ще не торкнулися цього файлу. Однак автентифікація працює коректно завдяки конфігурації у файлах, перелічених вище, та конфігурації PAM, сформованій pam-auth-update. Однак ми також повинні його правильно налаштувати. Це полегшує використання таких команд, як ldapsearch, передбачені пакетом ldap-utils. Мінімальна конфігурація:

BASE dc = друзі, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF ніколи

Ми можемо перевірити, чи працює OpenLDAP-сервер ClearOS правильно, якщо виконати в консолі:

ldapsearch -d 5 -L "(objectclass = *)"

Вихід команди рясний. 🙂

Я люблю Debian! І діяльність на сьогодні закінчена, друзі !!!