Привіт, друзі!. Ми збираємось створити мережу з кількома настільними комп’ютерами, але цього разу з операційною системою Debian 7 "Wheezy". Як сервер він ClearOS. Як дані, давайте зауважимо, що проект Дебіан-Еду використовуйте Debian на своїх серверах та робочих станціях. І цей проект вчить нас і полегшує створення повної школи.
Важливо прочитати перед цим:
- Вступ до мережі з вільним програмним забезпеченням (I): Презентація ClearOS
Побачимо:
- Приклад мережі
- Ми налаштовуємо клієнт LDAP
- Файли конфігурації, створені та / або змінені
- Файл /etc/ldap/ldap.conf
Приклад мережі
- Контролер домену, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
- Ім'я контролера: CentOS
- Доменне ім'я: друзі.cu
- IP контролера: 10.10.10.60
- ---------------
- Версія Debian: Свистячий.
- Назва команди: debian7
- IP-адреса: Використання DHCP
Ми налаштовуємо клієнт LDAP
Ми повинні мати під рукою дані сервера OpenLDAP, які ми отримуємо з веб-інтерфейсу адміністрування ClearOS в «Каталог »->« Домен і LDAP":
LDAP базовий DN: dc = друзі, dc = cu LDAP Bind DN: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu LDAP Bind Пароль: kLGD + Mj + ZTWzkD8W
Встановлюємо необхідні пакети. Як користувач корінь виконуємо:
aptitude встановити libnss-ldap nscd finger
Зверніть увагу, що результат попередньої команди також включає пакет libpam-ldap. В процесі встановлення вони зададуть нам кілька питань, на які ми повинні правильно відповісти. Відповіді будуть у випадку цього прикладу:
URI сервера LDAP: ldap: //10.10.10.60 Відмінне ім'я (DN) бази пошуку: dc = друзі, dc = cu Використовувати версію LDAP: 3 Обліковий запис LDAP для root: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu Пароль для кореневого облікового запису LDAP: kLGD + Mj + ZTWzkD8W Тепер він каже нам, що файл /etc/nsswitch.conf це не управляється автоматично, і що ми повинні змінити його вручну. Ви хочете дозволити обліковому запису адміністратора LDAP поводитися як локальний адміністратор?: Si Чи потрібен користувачеві доступ до бази даних LDAP?: Немає Обліковий запис адміністратора LDAP: cn = менеджер, cn = внутрішній, dc = друзі, dc = cu Пароль для кореневого облікового запису LDAP: kLGD + Mj + ZTWzkD8W
Якщо ми помиляємось у попередніх відповідях, ми виконуємо як користувач корінь:
dpkg-реконфігуруйте libnss-ldap dpkg-реконфігуруйте libpam-ldap
І ми адекватно відповідаємо на ті самі запитання, що задавались раніше, з єдиним доповненням запитання:
Локальний алгоритм шифрування для використання паролів: md5
Ojo під час відповіді, оскільки пропонується нам значення за замовчуванням Crypt, і ми повинні заявити, що це так md5. Він також показує нам екран у консольному режимі з виходом команди pam-auth-update виконується як корінь, який ми повинні прийняти.
Ми модифікуємо файл /etc/nsswitch.conf, і ми залишаємо це з наступним змістом:
# /etc/nsswitch.conf # # Приклад конфігурації функціональності комутатора послуг імен GNU. # Якщо у вас встановлені пакети `glibc-doc-reference 'та` info', спробуйте: # `info libc" Switch Service Switch "'для отримання інформації про цей файл. passwd: сумісний ldap група: сумісний ldap тінь: сумісний ldap хости: файли mdns4_minimal [NOTFOUND = return] dns mdns4 мережі: файлові протоколи: db файлові служби: db файли ефіри: db файли rpc: db файли netgroup: nis
Ми модифікуємо файл /etc/pam.d/common-session для автоматичного створення папок користувача під час входу, якщо вони не існують:
[----] необхідна сесія pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Наведений вище рядок повинен бути включений ПЕРЕД # ось модулі за пакетом (блок "Основний") [----]
Ми виконуємо в консолі як користувач корінь, Просто перевірити, pam-auth-update:
Ми перезапускаємо послугу nscd, і ми робимо перевірки:
: ~ # перезапуск служби nscd [ok] Перезапуск демона кешу служби імен: nscd. : ~ # кроки пальців Логін: strides Ім'я: Strides El Rey Каталог: / home / strides Shell: / bin / bash Ніколи не входив. Пошти немає. Немає плану. : ~ # getent passwd кроки Кроки: x: 1006: 63000: Кроки El Rey: / home / strides: / bin / bash: ~ # getent passwd леголи legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash
Ми змінюємо політику повторного підключення до сервера OpenLDAP.
Ми редагуємо як користувач корінь і дуже обережно, файл /etc/libnss-ldap.conf. Шукаємо слово «жорсткий«. Ми видаляємо коментар із рядка #bind_policy жорсткий і ми залишаємо це так: bind_policy м'який.
Ті самі зміни, про які згадувалося раніше, ми робимо це у файлі /etc/pam_ldap.conf.
Вищезазначені модифікації усувають ряд повідомлень, пов’язаних з LDAP, під час завантаження та одночасно впорядковують їх (процес завантаження).
Ми перезапускаємо наш Wheezy, оскільки внесені зміни є суттєвими:
: ~ # перезавантажувати
Після перезавантаження ми можемо увійти з будь-яким користувачем, зареєстрованим у ClearOS OpenLDAP.
Ми рекомендуємо що тоді робиться наступне:
- Зробіть зовнішніх користувачів членами тих самих груп, що і локальний користувач, створений під час встановлення нашого Debian.
- Використання команди видудо, виконаний як корінь, надайте необхідні дозволи на виконання зовнішнім користувачам.
- Створіть закладку з адресою https://centos.amigos.cu:81/?user en Iceweasel, щоб мати доступ до особистої сторінки в ClearOS, де ми можемо змінити свій особистий пароль.
- Встановіть OpenSSH-сервер, якщо ми не вибрали його при встановленні системи, щоб мати доступ до нашого Debian з іншого комп'ютера.
Файли конфігурації, створені та / або змінені
Тема LDAP вимагає багато вивчення, терпіння та досвіду. Останнього у мене немає. Ми настійно рекомендуємо цю упаковку libnss-ldap y libpam-ldap, у разі ручної модифікації, яка призводить до того, що автентифікація перестає працювати, переналаштуйте правильно за допомогою dpkg-переналаштувати, що генерується DEBCONF.
Пов'язані файли конфігурації:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
Файл /etc/ldap/ldap.conf
Ми ще не торкнулися цього файлу. Однак автентифікація працює коректно завдяки конфігурації у файлах, перелічених вище, та конфігурації PAM, сформованій pam-auth-update. Однак ми також повинні його правильно налаштувати. Це полегшує використання таких команд, як ldapsearch, передбачені пакетом ldap-utils. Мінімальна конфігурація:
BASE dc = друзі, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF ніколи
Ми можемо перевірити, чи працює OpenLDAP-сервер ClearOS правильно, якщо виконати в консолі:
ldapsearch -d 5 -L "(objectclass = *)"
Вихід команди рясний. 🙂
Я люблю Debian! І діяльність на сьогодні закінчена, друзі !!!
Відмінна стаття, безпосередньо до моєї шухляди з порадами
Дякуємо за коментар Elav… більше пального 🙂 і зачекайте наступного, який намагатиметься автентифікувати за допомогою sssd проти OpenLDAP.
Щиро дякуємо, що поділилися, з нетерпінням чекаємо іншого доставки 😀
Дякую за коментар !!!. Здається, розумова інерція автентифікації щодо домену Microsoft є сильною. Звідси кілька коментарів. Ось чому я пишу про справжні безкоштовні альтернативи. Якщо уважно поглянути на них, їх легше реалізувати. Спочатку трохи концептуально. Але нічого.