Nẹtiwọọki SWL (V): Debian Wheezy ati ClearOS. Ijẹrisi SSSD lodi si abinibi LDAP.

Kaabo awọn ọrẹ !. Jọwọ, Mo tun sọ, ka ṣaaju «Ifihan si Nẹtiwọọki pẹlu Sọfitiwia ọfẹ (I): Ifihan ti ClearOS»Ati ṣe igbasilẹ package awọn fifi sori ẹrọ Igbese-nipasẹ-Igbese ClearOS (1,1 mega), lati ni akiyesi ohun ti a n sọrọ nipa. Laisi kika yẹn o yoo nira lati tẹle wa.

Iṣẹ Aabo Eto Daemon

Eto naa SSD o Daemon fun Iṣẹ Aabo Eto, jẹ iṣẹ akanṣe ti Fedora, eyiti a bi lati inu iṣẹ akanṣe miiran-tun lati Fedora- ti a pe Ọfẹ IPA. Gẹgẹbi awọn ẹlẹda tirẹ, itumọ kukuru ati larọwọto itumọ yoo jẹ:

SSSD jẹ iṣẹ ti o pese iraye si oriṣiriṣi idanimọ ati awọn olupese Ijeri. O le tunto fun ibugbe LDAP abinibi (olupese idanimọ orisun LDAP pẹlu ijẹrisi LDAP), tabi fun olupese idanimọ LDAP pẹlu ijẹrisi Kerberos. SSSD n pese wiwo si eto nipasẹ SSN y Pam, ati Afikun Afẹhinti ifibọ lati sopọ si ọpọ ati awọn orisun iroyin oriṣiriṣi.

A gbagbọ pe a nkọju si okeerẹ diẹ sii ati ojutu to lagbara fun idanimọ ati idaniloju ti awọn olumulo ti a forukọsilẹ ni OpenLDAP, ju awọn ti a ṣalaye ninu awọn nkan ti o ṣaju, abala kan ti o fi silẹ fun lakaye ti gbogbo eniyan ati awọn iriri tiwọn..

Ojutu ti a dabaa ninu nkan yii ni a ṣe iṣeduro julọ fun awọn kọnputa alagbeka ati kọǹpútà alágbèéká, nitori o gba wa laaye lati ṣiṣẹ asopọ, niwon SSSD tọju awọn iwe-ẹri lori kọnputa agbegbe.

Nẹtiwọọki apẹẹrẹ

• Oludari Aṣẹ, DNS, DHCP: Idawọlẹ ClearOS 5.2sp1.
• Orukọ Adarí: senti
• Orukọ ase: ọrẹ.cu
• Adarí IP: 10.10.10.60
• ---------------
• Ẹya Debian: Whezy.
• Egbe egbe: Debian7
• Adirẹsi IP: Lilo DHCP

A ṣayẹwo pe olupin LDAP n ṣiṣẹ

A ṣe atunṣe faili naa /etc/ldap/ldap.conf ki o si fi package sii Awọn ohun elo ldap:

: ~ # nano /etc/ldap/ldap.conf
[----] BASE dc = awọn ọrẹ, dc = cu URI ldap: //centos.amigos.cu [----]

: ~ # aptitude fi sori ẹrọ awọn ohun elo ldap: ~ $ ldapsearch -x -b 'dc = awọn ọrẹ, dc = cu' '(objectclass = *)': ~ $ ldapsearch -x -b dc = awọn ọrẹ, dc = cu 'uid = awọn igbesẹ '
: ~ $ ldapsearch -x -b dc = awọn ọrẹ, dc = cu 'uid = legolas' cn gidNumber

Pẹlu awọn ofin meji to kẹhin, a ṣayẹwo wiwa ti olupin OpenLDAP ti ClearOS wa. Jẹ ki a wo awọn abajade ti awọn ofin ti tẹlẹ.

Pataki: a tun ti rii daju pe Iṣẹ Idanimọ ninu olupin OpenLDAP wa n ṣiṣẹ ni deede.

A fi sori ẹrọ package sssd

O tun ṣe iṣeduro lati fi sori ẹrọ package ika lati ṣe awọn sọwedowo diẹ mimu ju awọn ldapsearch:

: ~ # aptitude fi ika sssd sii

Lẹhin ipari ti fifi sori ẹrọ, iṣẹ naa ssd ko bẹrẹ nitori faili ti o padanu /etc/sssd/sssd.conf. Iṣajade ti fifi sori ẹrọ ṣe afihan eyi. Nitorinaa, a gbọdọ ṣẹda faili yẹn ki o fi silẹ pẹlu tókàn kere akoonu:

: ~ # nano /etc/sssd/sssd.conf
[sssd] config_file_version = Awọn iṣẹ 2 = nss, pam # SSSD kii yoo bẹrẹ ti o ko ba tunto awọn ibugbe kankan. # Ṣafikun awọn atunto agbegbe tuntun bi [ašẹ / ] awọn apakan, ati # lẹhinna ṣafikun atokọ ti awọn ibugbe (ni aṣẹ ti o fẹ ki wọn beere # ni ibeere) si ikawe "awọn ibugbe" ni isalẹ ati ṣoki rẹ. awọn ibugbe = amigos.cu [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 # LDAP ìkápá [domain / amigos.cu] id_provider = ldap
auth_provider = ldap
chpass_provider = ldap # ldap_schema ni a le ṣeto si "rfc2307", eyiti o tọju awọn orukọ ọmọ ẹgbẹ ninu ẹya # "memberuid", tabi si "rfc2307bis", eyiti o tọju awọn ẹgbẹ ẹgbẹ DNs ni ẹbun # ẹgbẹ "." Ti o ko ba mọ iye yii, beere olutọju LDAP # rẹ. # n ṣiṣẹ pẹlu ClearOS ldap_schema = rfc2307
ldap_uri = ldap: //centos.amigos.cu
ldap_search_base = dc = awọn ọrẹ, dc = cu # Akiyesi pe ṣiṣe kika yoo ni ipa iṣẹ ṣiṣe alabọde. # Nitori naa, iye aiyipada fun kika ni IKU. # Tọkasi oju-iwe eniyan sssd.conf fun awọn alaye ni kikun. enumerate = eke # Gba awọn ibuwolu wọle ni aisinipo laaye nipasẹ titoju awọn eli igbaniwọle ti agbegbe (aiyipada: eke) cache_credentials = otitọ
ldap_tls_reqcert = gba laaye
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

Lọgan ti a ti ṣẹda faili, a fi awọn igbanilaaye ti o baamu silẹ ki o tun bẹrẹ iṣẹ naa:

: ~ # chmod 0600 /etc/sssd/sssd.conf
: ~ # iṣẹ sssd tun bẹrẹ

Ti a ba fẹ lati bùkún akoonu ti faili ti tẹlẹ, a ṣeduro ṣiṣe eniyan sssd.conf ati / tabi kan si awọn iwe aṣẹ ti o wa lori Intanẹẹti, bẹrẹ pẹlu awọn ọna asopọ ni ibẹrẹ ifiweranṣẹ. Tun kan si alagbawo ọkunrin sssd-ldap. Apoti naa ssd pẹlu apẹẹrẹ ninu /usr/share/doc/sssd/emples/sssd-example.conf, eyiti a le lo lati jẹrisi lodi si Ilana Iroyin Microsoft.

Bayi a le lo awọn ofin mimu julọ ika y gba wọle:

: ~ $ ika ẹsẹ
Wọle: awọn strides Orukọ: Strides El Rey Directory: / ile / awọn atẹgun Ikarahun: / bin / bash Ko wọle. Ko si meeli. Ko si Eto.

: ~ $ sudo getent passwd legolas
legolas: *: 1004: 63000: Legolas The Elf: / ile / legolas: / bin / bash

A ko tun le jẹri bi olumulo ti olupin LDAP. Ṣaaju ki a to ṣe atunṣe faili naa /etc/pam.d/ipo-igba, ki folda olumulo ni a ṣẹda laifọwọyi nigbati o ba bẹrẹ igba rẹ, ti ko ba si, ati lẹhinna atunbere eto naa:

[---]
igba ti a nilo pam_mkhomedir.so skel = / ati be be lo / skel / umask = 0022

### Laini ti o wa loke gbọdọ wa ni Ṣaaju
# nibi ni awọn modulu fun-package (bulọọki “Akọbẹrẹ”) [----]

A tun bẹrẹ Wheezy wa:

: ~ # atunbere

Lẹhin ti o wọle, ge asopọ nẹtiwọọki nipa lilo Oluṣakoso Asopọ ki o jade ki o pada sẹhin. Yiyara ohunkohun. Ṣiṣe ni ebute kan ifconfig nwọn o si ri pe awọn eth0 ko ṣe atunto rara.

Mu nẹtiwọọki ṣiṣẹ. Jọwọ jade ki o wọle lẹẹkansi. Ṣayẹwo lẹẹkansi pẹlu ifconfig.

Nitoribẹẹ, lati ṣiṣẹ ni aisinipo, o jẹ dandan lati wọle ni o kere ju lẹẹkan nigba ti OpenLDAP wa lori ayelujara, ki awọn iwe eri naa wa ni fipamọ lori kọnputa wa.

Jẹ ki a maṣe gbagbe lati jẹ ki olumulo ita ti a forukọsilẹ ni OpenLDAP ọmọ ẹgbẹ ti awọn ẹgbẹ pataki, nigbagbogbo ṣe akiyesi si olumulo ti o ṣẹda lakoko fifi sori ẹrọ.

Akọsilẹ:

Sọ aṣayan ldap_tls_reqcert = rara, ninu Faili naa /etc/sssd/sssd.conf, jẹ eewu aabo bi a ti sọ lori oju-iwe naa SSSD - Awọn ibeere. Iye aiyipada ni «eletan«. Wo ọkunrin sssd-ldap. Sibẹsibẹ, ninu ori iwe 8.2.5 Awọn atunto Awọn ibugbe Lati iwe Fedora, atẹle yii ni a sọ:

SSSD ko ṣe atilẹyin ìfàṣẹsí lori ikanni ti ko ni aṣiri. Nitorinaa, ti o ba fẹ lati jeri si olupin LDAP kan, boya TLS/SSL or LDAPS o ni lati fi si.

SSD ko ṣe atilẹyin ìfàṣẹsí lori ikanni ti ko ni aṣiri. Nitorinaa, ti o ba fẹ jẹrisi lodi si olupin LDAP, yoo jẹ dandan TLS / SLL o LDAP.

A tikalararẹ ro pe ojutu naa koju o to fun LAN Idawọlẹ, lati oju wiwo aabo. Nipasẹ abule WWW, a ṣe iṣeduro imuse ikanni ti paroko ni lilo TLS tabi «Ipele Aabo Irinna, laarin kọmputa alabara ati olupin.

A gbiyanju lati ṣaṣeyọri rẹ lati iran ti o tọ ti awọn iwe-ẹri Sowo ara ẹni tabi «Ara Fowo ara ẹni “Lori olupin ClearOS, ṣugbọn a ko le ṣe. O jẹ ni otitọ ọrọ isunmọtosi kan. Ti eyikeyi oluka ba mọ bi o ṣe le ṣe, ṣe itẹwọgba lati ṣalaye rẹ!