SWL网络（III）：Debian Wheezy和ClearOS。 LDAP验证

你好朋友！。 我们将使用多台台式计算机建立网络，但是这次使用Debian 7“ Wheezy”操作系统。 作为服务器，他 ClearOS。 作为数据，让我们观察一下该项目 Debian 教育 在服务器和工作站上使用Debian。 这个项目教会了我们，使建立一所完整的学校变得更加容易。

请务必先阅读以下内容：

• 带有免费软件的网络简介（I）：ClearOS的介绍

我们会看到：

• 示例网络
• 我们配置LDAP客户端
• 创建和/或修改配置文件
• /etc/ldap/ldap.conf文件

示例网络

• 域控制器，DNS，DHCP，OpenLDAP，NTP: ClearOS企业版5.2sp1.
• 控制器名称: CentOS的
• 域名: 老友记
• 控制器IP: 10.10.10.60
• ---------------
• Debian版本: 喘息。
• 队名: Debian7
• IP地址: 使用DHCP
  

我们配置LDAP客户端

我们必须手头有OpenLDAP服务器数据，该数据是从ClearOS管理Web界面的«目录»->«域和LDAP“：

LDAP基本DN：dc =朋友，dc = cu LDAP绑定DN：cn =管理者，cn =内部，dc =朋友，dc = cu LDAP绑定密码：kLGD + Mj + ZTWzkD8W

我们安装必要的软件包。 作为用户 根 我们执行:

aptitude安装libnss-ldap nscd finger

请注意，上一条命令的输出还包括该软件包 libpam LDAP。 在安装过程中，他们会问我们几个问题，我们必须正确回答。 答案将在此示例的情况下:

LDAP服务器URI： ldap：//10.10.10.60
搜索库的专有名称（DN）： dc =朋友，dc = cu
使用的LDAP版本： 3
根的LDAP帐户： cn =管理员，cn =内部，dc =朋友，dc = cu
根LDAP帐户的密码： kLGD + Mj + ZTWzkD8W

现在他告诉我们文件 /etc/nsswitch.conf 它不是自动管理的，因此我们必须手动对其进行修改。 是否要允许LDAP管理员帐户充当本地管理员？： Si
是否需要用户访问LDAP数据库？： 没有
LDAP管理员帐户： cn =管理员，cn =内部，dc =朋友，dc = cu
根LDAP帐户的密码： kLGD + Mj + ZTWzkD8W

如果我们在前面的答案中错了，我们将以用户身份执行 根:

dpkg-重新配置 libnss-ldap
dpkg-重新配置libpam-ldap

而且，我们仅回答了以下问题即可充分回答之前提出的相同问题：

用于密码的本地加密算法： md5

大椎 回复时，因为提供给我们的默认值为 地穴，我们必须声明它是 md5。 它还向我们显示了控制台模式下的屏幕，其中包含命令的输出 pam-auth-更新 执行为 根，我们必须接受。

我们修改文件 /etc/nsswitch.conf，并保留以下内容:

＃/etc/nsswitch.conf＃＃GNU名称服务开关功能的示例配置。 ＃如果您安装了`glibc-doc-reference'和`info'软件包，请尝试：＃`info libc“ Name Service Switch”'有关此文件的信息。 密码：         兼容
组：          兼容
阴影：         兼容

主机：文件mdns4_minimal [NOTFOUND = return] dns mdns4网络：文件协议：db文件服务：db文件ethers：db文件rpc：db文件netgroup：nis

我们修改文件 /etc/pam.d/共同会话 登录时自动创建用户文件夹（如果不存在）:

[----]
所需的会话pam_mkhomedir.so skel = / etc / skel / umask = 0022

###以上行必须包含在之前
＃这是每个软件包的模块（“主”块）[----]

我们以用户身份在控制台中执行 根, 只是检查, pam-auth-更新:

我们重新启动服务 光盘，我们会进行检查:

：〜＃ 服务nscd重新启动
[ok]重新启动名称服务缓存守护程序：nscd。 ：〜＃ 手指大步
登录名：strides名称：Strides El Rey目录：/ home / strides Shell：/ bin / bash从未登录。 没有邮件。 没有计划。 ：〜＃ Getent passwd大步向前
步幅：x：1006：63000：步幅El Rey：/主页/步幅：/ bin / bash：〜＃ 盖顿·帕瓦德·莱戈拉斯
legolas：x：1004：63000：Legolas The Elf：/ home / legolas：/ bin / bash

我们修改与OpenLDAP服务器的重新连接策略.

我们以用户身份进行编辑 根 非常小心，文件 /etc/libnss-ldap.conf。 我们寻找“硬«。 我们从该行删除评论 #bind_policy努力 我们这样保留它： bind_policy软.

前面提到的相同更改，我们在文件中进行了更改 /etc/pam_ldap.conf.

上述修改消除了启动过程中与LDAP相关的许多消息，同时使其速度更快（启动过程）。

我们重新启动Wheezy，因为所做的更改至关重要:

：〜＃ 重新启动

重新引导后，我们可以使用在ClearOS OpenLDAP中注册的任何用户登录。

我们建议 然后执行以下操作：

• 使外部用户与在我们的Debian安装过程中创建的本地用户属于同一组。
• 使用命令 维苏多，执行为 根，将必要的执行权限授予外部用户。
• 用地址创建书签 https://centos.amigos.cu:81/?user en Iceweasel，以访问ClearOS中的个人页面，我们可以在其中更改我们的个人密码。
• 安装OpenSSH-Server（如果我们在安装系统时未选择它），以便能够从另一台计算机访问我们的Debian。

创建和/或修改配置文件

LDAP主题需要大量的研究，耐心和经验。 我没有的最后一个。 我们强烈建议该套餐 libnss-ldap y libpam LDAP如果进行手动修改导致身份验证停止工作，请使用以下命令正确地重新配置它们： dpkg重新配置，是由 配置文件.

相关的配置文件是：

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

/etc/ldap/ldap.conf文件

我们尚未触摸此文件。 但是，由于上面列出的文件中的配置以及由生成的PAM配置，因此身份验证可以正常工作 pam-auth-更新。 但是，我们还必须正确配置它。 使用起来很容易 搜索引擎，由包装提供 ldap 实用程序。 最低配置为：

BASE dc =朋友，dc = cu URI ldap：//10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

如果我们在控制台中执行，我们可以检查ClearOS的OpenLDAP服务器是否正常工作：

ldapsearch -d 5 -L“（objectclass = *）”

命令输出丰富。 🙂

我爱Debian！ 今天的活动结束了，朋友们！