Mạng SWL (III): Debian Wheezy và ClearOS. Xác thực LDAP

Xin chào các bạn!. Chúng tôi sẽ tạo một mạng với một số máy tính để bàn, nhưng lần này là với Hệ điều hành Debian 7 "Wheezy". Là một người phục vụ anh ấy ClearOS. Như một dữ liệu, chúng ta hãy quan sát rằng dự án Debian-Edu sử dụng Debian trên máy chủ và máy trạm của bạn. Và dự án đó dạy chúng ta và giúp việc thành lập một trường học hoàn chỉnh dễ dàng hơn.

Điều cần thiết là phải đọc trước:

• Giới thiệu về mạng có phần mềm miễn phí (I): Trình bày về ClearOS

Chúng ta sẽ thấy:

• Ví dụ về mạng
• Chúng tôi định cấu hình ứng dụng LDAP
• Các tệp cấu hình được tạo và / hoặc sửa đổi
• Tệp /etc/ldap/ldap.conf

Ví dụ về mạng

• Bộ điều khiển miền, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Tên người điều khiển: centos
• Tên miền: bạn bè.cu
• Bộ điều khiển IP: 10.10.10.60
• ---------------
• Phiên bản Debian: Lầy lội.
• Tên đội: debian7
• Địa chỉ IP: Sử dụng DHCP
  

Chúng tôi định cấu hình ứng dụng LDAP

Chúng tôi phải có sẵn dữ liệu máy chủ OpenLDAP mà chúng tôi có được từ giao diện web quản trị ClearOS trong «Thư mục »->« Miền và LDAP":

LDAP Cơ sở DN: dc = bạn bè, dc = cu LDAP Ràng buộc DN: cn = người quản lý, cn = nội bộ, dc = bạn bè, dc = cu LDAP Bind Mật ​​khẩu: kLGD + Mj + ZTWzkD8W

Chúng tôi cài đặt các gói cần thiết. Là người dùng nguồn gốc chúng tôi thực hiện:

aptitude cài đặt ngón tay libnss-ldap nscd

Lưu ý rằng đầu ra của lệnh trước đó cũng bao gồm gói libpam-ldap. Trong quá trình cài đặt, họ sẽ hỏi chúng tôi một số câu hỏi mà chúng tôi phải trả lời chính xác. Câu trả lời sẽ có trong trường hợp của ví dụ này:

URI máy chủ LDAP: ldap: //10.10.10.60
Tên phân biệt (DN) của cơ sở tìm kiếm: dc = bạn bè, dc = cu
Phiên bản LDAP để sử dụng: 3
Tài khoản LDAP cho root: cn = quản lý, cn = nội bộ, dc = bạn bè, dc = cu
Mật khẩu cho tài khoản LDAP gốc: kLGD + Mj + ZTWzkD8W

Bây giờ anh ấy thông báo rằng tệp /etc/nsswitch.conf nó không được quản lý tự động và chúng tôi phải sửa đổi nó theo cách thủ công. Bạn có muốn cho phép tài khoản quản trị viên LDAP hoạt động với tư cách là quản trị viên cục bộ không ?: Si
Người dùng có bắt buộc phải truy cập cơ sở dữ liệu LDAP không ?: Không
Tài khoản quản trị viên LDAP: cn = quản lý, cn = nội bộ, dc = bạn bè, dc = cu
Mật khẩu cho tài khoản LDAP gốc: kLGD + Mj + ZTWzkD8W

Nếu chúng tôi sai trong các câu trả lời trước, chúng tôi thực hiện với tư cách là người dùng nguồn gốc:

dpkg-cấu hình lại libnss-ldap
dpkg-cấu hình lại libpam-ldap

Và chúng tôi trả lời đầy đủ các câu hỏi tương tự được hỏi trước đây, với phần bổ sung duy nhất của câu hỏi:

Thuật toán mã hóa cục bộ để sử dụng cho mật khẩu: md5

Mắt khi trả lời vì giá trị mặc định được cung cấp cho chúng tôi là Tiền điện tửvà chúng ta phải tuyên bố rằng nó là md5. Nó cũng cho chúng ta thấy một màn hình ở chế độ console với đầu ra của lệnh pam-auth-cập nhật thực hiện như nguồn gốc, mà chúng ta phải chấp nhận.

Chúng tôi sửa đổi tệp /etc/nsswitch.confvà chúng tôi để lại nó với nội dung sau:

# /etc/nsswitch.conf # # Cấu hình ví dụ về chức năng Chuyển đổi Dịch vụ Tên GNU. # Nếu bạn đã cài đặt gói `glibc-doc-reference 'và' info ', hãy thử: #` info libc "Name Service Switch" để biết thông tin về tệp này. passwd:         ldap tương thích
nhóm:          ldap tương thích
bóng:         ldap tương thích

hosts: files mdns4_minimal [NOTFOUND = return] dns mdns4 network: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis

Chúng tôi sửa đổi tệp /etc/pam.d/common-session để tự động tạo thư mục người dùng khi đăng nhập trong trường hợp chúng không tồn tại:

[----]
phiên bắt buộc pam_mkhomedir.so skel = / etc / skel / umask = 0022

### Dòng trên phải được bao gồm TRƯỚC
# đây là các mô-đun cho mỗi gói (khối "Chính") [----]

Chúng tôi thực thi trong một bảng điều khiển với tư cách là người dùng nguồn gốc, Chỉ để kiểm tra, pam-auth-cập nhật:

Chúng tôi khởi động lại dịch vụ nscdvà chúng tôi kiểm tra:

: ~ # khởi động lại dịch vụ nscd
[ok] Khởi động lại Name Service Cache Daemon: nscd. : ~ # sải tay
Đăng nhập: strides Tên: Strides El Rey Thư mục: / home / strides Shell: / bin / bash Chưa từng đăng nhập. Không có thư. Không có kế hoạch. : ~ # getent passwd những bước tiến
Sải bước: x: 1006: 63000: Sải bước El Rey: / home / sải bước: / bin / bash: ~ # mật khẩu getent legolas
legolas: x: 1004: 63000: Legolas The Elf: / home / legolas: / bin / bash

Chúng tôi sửa đổi chính sách kết nối lại với máy chủ OpenLDAP.

Chúng tôi chỉnh sửa với tư cách là người dùng nguồn gốc và rất cẩn thận, tệp /etc/libnss-ldap.conf. Chúng tôi tìm kiếm từ «cứng«. Chúng tôi xóa nhận xét khỏi dòng #bind_policy khó và chúng tôi để nó như thế này: bind_policy mềm.

Thay đổi tương tự đã đề cập trước đây, chúng tôi thực hiện nó trong tệp /etc/pam_ldap.conf.

Các sửa đổi trên loại bỏ một số thông báo liên quan đến LDAP trong quá trình khởi động và đồng thời hợp lý hóa nó (quá trình khởi động).

Chúng tôi khởi động lại Wheezy của mình vì những thay đổi được thực hiện là cần thiết:

: ~ # khởi động lại

Sau khi khởi động lại, chúng tôi có thể đăng nhập bằng bất kỳ người dùng nào đã đăng ký trong ClearOS OpenLDAP.

Chúng tôi đề nghị điều đó sau đó được thực hiện:

• Đặt người dùng bên ngoài làm thành viên của cùng một nhóm với người dùng cục bộ đã tạo trong quá trình cài đặt Debian của chúng tôi.
• Sử dụng lệnh thị thực, được thực hiện như nguồn gốc, cung cấp các quyền thực thi cần thiết cho người dùng bên ngoài.
• Tạo dấu trang bằng địa chỉ https://centos.amigos.cu:81/?user en Băng hà, để có quyền truy cập vào trang cá nhân trong ClearOS, nơi chúng tôi có thể thay đổi mật khẩu cá nhân của mình.
• Cài đặt OpenSSH-Server - nếu chúng tôi không chọn nó khi cài đặt hệ thống - để có thể truy cập Debian của chúng tôi từ một máy tính khác.

Các tệp cấu hình được tạo và / hoặc sửa đổi

Chủ đề LDAP đòi hỏi rất nhiều nghiên cứu, kiên nhẫn và kinh nghiệm. Cái cuối cùng tôi không có. Chúng tôi thực sự khuyên bạn nên gói libnss-ldap y libpam-ldapTrong trường hợp sửa đổi thủ công khiến xác thực ngừng hoạt động, chúng được định cấu hình lại một cách chính xác bằng cách sử dụng lệnh dpkg-cấu hình lại, được tạo ra bởi DEBCONF.

Các tệp cấu hình liên quan là:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

Tệp /etc/ldap/ldap.conf

Chúng tôi chưa chạm vào tệp này. Tuy nhiên, xác thực hoạt động chính xác do cấu hình của các tệp được liệt kê ở trên và cấu hình PAM được tạo bởi pam-auth-cập nhật. Tuy nhiên, chúng ta cũng phải cấu hình nó đúng cách. Nó giúp bạn dễ dàng sử dụng các lệnh như ldapsearch, được cung cấp bởi gói ldap-utils. Cấu hình tối thiểu sẽ là:

BASE dc = bạn bè, dc = cu URI ldap: / / 10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF không bao giờ

Chúng tôi có thể kiểm tra xem máy chủ OpenLDAP của ClearOS có hoạt động chính xác hay không, nếu chúng tôi thực thi trong bảng điều khiển:

ldapsearch -d 5 -L "(objectclass = *)"

Đầu ra lệnh rất phong phú. 🙂

Tôi yêu Debian! Và hoạt động đã kết thúc cho ngày hôm nay, các bạn !!!