你好朋友!。 我们将使用多台台式计算机建立网络,但是这次使用Debian 7“ Wheezy”操作系统。 作为服务器,他 ClearOS。 作为数据,让我们观察一下该项目 Debian 教育 在服务器和工作站上使用Debian。 这个项目教会了我们,使建立一所完整的学校变得更加容易。
请务必先阅读以下内容:
- 带有免费软件的网络简介(I):ClearOS的介绍
我们会看到:
- 示例网络
- 我们配置LDAP客户端
- 创建和/或修改配置文件
- /etc/ldap/ldap.conf文件
示例网络
- 域控制器,DNS,DHCP,OpenLDAP,NTP: ClearOS企业版5.2sp1.
- 控制器名称: CentOS的
- 域名: 老友记
- 控制器IP: 10.10.10.60
- ---------------
- Debian版本: 喘息。
- 队名: Debian7
- IP地址: 使用DHCP
我们配置LDAP客户端
我们必须手头有OpenLDAP服务器数据,该数据是从ClearOS管理Web界面的«目录»->«域和LDAP“:
LDAP基本DN:dc =朋友,dc = cu LDAP绑定DN:cn =管理者,cn =内部,dc =朋友,dc = cu LDAP绑定密码:kLGD + Mj + ZTWzkD8W
我们安装必要的软件包。 作为用户 根 我们执行:
aptitude安装libnss-ldap nscd finger
请注意,上一条命令的输出还包括该软件包 libpam LDAP。 在安装过程中,他们会问我们几个问题,我们必须正确回答。 答案将在此示例的情况下:
LDAP服务器URI: ldap://10.10.10.60 搜索库的专有名称(DN): dc =朋友,dc = cu 使用的LDAP版本: 3 根的LDAP帐户: cn =管理员,cn =内部,dc =朋友,dc = cu 根LDAP帐户的密码: kLGD + Mj + ZTWzkD8W 现在他告诉我们文件 /etc/nsswitch.conf 它不是自动管理的,因此我们必须手动对其进行修改。 是否要允许LDAP管理员帐户充当本地管理员?: Si 是否需要用户访问LDAP数据库?: 没有 LDAP管理员帐户: cn =管理员,cn =内部,dc =朋友,dc = cu 根LDAP帐户的密码: kLGD + Mj + ZTWzkD8W
如果我们在前面的答案中错了,我们将以用户身份执行 根:
dpkg-重新配置 libnss-ldap dpkg-重新配置libpam-ldap
而且,我们仅回答了以下问题即可充分回答之前提出的相同问题:
用于密码的本地加密算法: md5
大椎 回复时,因为提供给我们的默认值为 地穴,我们必须声明它是 md5。 它还向我们显示了控制台模式下的屏幕,其中包含命令的输出 pam-auth-更新 执行为 根,我们必须接受。
我们修改文件 /etc/nsswitch.conf,并保留以下内容:
#/etc/nsswitch.conf##GNU名称服务开关功能的示例配置。 #如果您安装了`glibc-doc-reference'和`info'软件包,请尝试:#`info libc“ Name Service Switch”'有关此文件的信息。 密码: 兼容 组: 兼容 阴影: 兼容 主机:文件mdns4_minimal [NOTFOUND = return] dns mdns4网络:文件协议:db文件服务:db文件ethers:db文件rpc:db文件netgroup:nis
我们修改文件 /etc/pam.d/共同会话 登录时自动创建用户文件夹(如果不存在):
[----] 所需的会话pam_mkhomedir.so skel = / etc / skel / umask = 0022 ###以上行必须包含在之前 #这是每个软件包的模块(“主”块)[----]
我们以用户身份在控制台中执行 根, 只是检查, pam-auth-更新:
我们重新启动服务 光盘,我们会进行检查:
:〜# 服务nscd重新启动 [ok]重新启动名称服务缓存守护程序:nscd。 :〜# 手指大步 登录名:strides名称:Strides El Rey目录:/ home / strides Shell:/ bin / bash从未登录。 没有邮件。 没有计划。 :〜# Getent passwd大步向前 步幅:x:1006:63000:步幅El Rey:/主页/步幅:/ bin / bash:〜# 盖顿·帕瓦德·莱戈拉斯 legolas:x:1004:63000:Legolas The Elf:/ home / legolas:/ bin / bash
我们修改与OpenLDAP服务器的重新连接策略.
我们以用户身份进行编辑 根 非常小心,文件 /etc/libnss-ldap.conf。 我们寻找“硬«。 我们从该行删除评论 #bind_policy努力 我们这样保留它: bind_policy软.
前面提到的相同更改,我们在文件中进行了更改 /etc/pam_ldap.conf.
上述修改消除了启动过程中与LDAP相关的许多消息,同时使其速度更快(启动过程)。
我们重新启动Wheezy,因为所做的更改至关重要:
:〜# 重新启动
重新引导后,我们可以使用在ClearOS OpenLDAP中注册的任何用户登录。
我们建议 然后执行以下操作:
- 使外部用户与在我们的Debian安装过程中创建的本地用户属于同一组。
- 使用命令 维苏多,执行为 根,将必要的执行权限授予外部用户。
- 用地址创建书签 https://centos.amigos.cu:81/?user en Iceweasel,以访问ClearOS中的个人页面,我们可以在其中更改我们的个人密码。
- 安装OpenSSH-Server(如果我们在安装系统时未选择它),以便能够从另一台计算机访问我们的Debian。
创建和/或修改配置文件
LDAP主题需要大量的研究,耐心和经验。 我没有的最后一个。 我们强烈建议该套餐 libnss-ldap y libpam LDAP如果进行手动修改导致身份验证停止工作,请使用以下命令正确地重新配置它们: dpkg重新配置,是由 配置文件.
相关的配置文件是:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
/etc/ldap/ldap.conf文件
我们尚未触摸此文件。 但是,由于上面列出的文件中的配置以及由生成的PAM配置,因此身份验证可以正常工作 pam-auth-更新。 但是,我们还必须正确配置它。 使用起来很容易 搜索引擎,由包装提供 ldap 实用程序。 最低配置为:
BASE dc =朋友,dc = cu URI ldap://10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never
如果我们在控制台中执行,我们可以检查ClearOS的OpenLDAP服务器是否正常工作:
ldapsearch -d 5 -L“(objectclass = *)”
命令输出丰富。 🙂
我爱Debian! 今天的活动结束了,朋友们!
优秀的文章,直接到我的小费抽屉
感谢您对Elav的评论…更多的帮助,并等待下一个尝试使用sssd针对OpenLDAP进行身份验证的对象。
非常感谢您的分享,期待其他交货😀
感谢您的评论! 看来,针对Microsoft域进行身份验证的思维惯性很强。 因此,一些评论。 这就是为什么我写真正的免费替代品的原因。 如果仔细看,它们将更易于实现。 首先有点概念性。 但是什么都没有。