SWL網絡（III）：Debian Wheezy和ClearOS。 LDAP驗證

你好朋友！。 我們將使用多台台式計算機建立網絡，但是這次使用Debian 7“ Wheezy”操作系統。 作為服務器，他 ClearOS。 作為數據，讓我們觀察一下該項目 Debian 教育 在服務器和工作站上使用Debian。 這個項目教會了我們，並使得建立一所完整的學校變得更加容易。

請務必先閱讀以下內容：

• 帶有免費軟件的網絡簡介（I）：ClearOS的介紹

我們會看到：

• 示例網絡
• 我們配置LDAP客戶端
• 創建和/或修改配置文件
• /etc/ldap/ldap.conf文件

示例網絡

• 域控制器，DNS，DHCP，OpenLDAP，NTP: ClearOS企業版5.2sp1.
• 控制器名稱: CentOS的
• 域名: 老友記
• 控制器IP: 10.10.10.60
• ---------------
• Debian版本: 喘息。
• 隊名: Debian7
• IP地址: 使用DHCP
  

我們配置LDAP客戶端

我們必須手頭上有OpenLDAP服務器數據，該數據是從ClearOS管理Web界面的«目錄»->«域和LDAP“：

LDAP基本DN：dc =朋友，dc = cu LDAP綁定DN：cn =管理者，cn =內部，dc =朋友，dc = cu LDAP綁定密碼：kLGD + Mj + ZTWzkD8W

我們安裝必要的軟件包。 作為用戶 根 我們執行:

aptitude安裝libnss-ldap nscd finger

請注意，上一條命令的輸出還包括該軟件包 libpam LDAP。 在安裝過程中，他們會問我們幾個問題，我們必須正確回答。 答案將在此示例的情況下:

LDAP服務器URI： ldap：//10.10.10.60
搜索庫的專有名稱（DN）： dc =朋友，dc = cu
使用的LDAP版本： 3
根的LDAP帳戶： cn =管理員，cn =內部，dc =朋友，dc = cu
根LDAP帳戶的密碼： kLGD + Mj + ZTWzkD8W

現在他宣布該文件 /etc/nsswitch.conf 它不是自動管理的，因此我們必須手動對其進行修改。 您是否要允許LDAP管理員帳戶充當本地管理員？： Si
是否需要用戶訪問LDAP數據庫？： 沒有
LDAP管理員帳戶： cn =管理員，cn =內部，dc =朋友，dc = cu
根LDAP帳戶的密碼： kLGD + Mj + ZTWzkD8W

如果我們在前面的答案中錯了，我們將以用戶身份執行 根:

dpkg-重新配置 libnss-ldap
dpkg-重新配置libpam-ldap

而且，我們僅回答了以下問題即可充分回答之前提出的相同問題：

用於密碼的本地加密算法： md5

眼 回复時，因為提供給我們的默認值為 地穴，我們必須聲明它是 md5。 它還向我們顯示了控制台模式下的屏幕，其中包含命令的輸出 pam-auth-更新 執行為 根，我們必須接受。

我們修改文件 /etc/nsswitch.conf，並保留以下內容:

＃/etc/nsswitch.conf＃＃GNU名稱服務開關功能的示例配置。 ＃如果您安裝了`glibc-doc-reference'和`info'軟件包，請嘗試：＃`info libc“ Name Service Switch”'有關此文件的信息。 密碼：         兼容
組：          兼容
陰影：         兼容

主機：文件mdns4_minimal [NOTFOUND = return] dns mdns4網絡：文件協議：db文件服務：db文件ethers：db文件rpc：db文件netgroup：nis

我們修改文件 /etc/pam.d/共同會話 登錄時自動創建用戶文件夾（如果不存在）:

[----]
所需的會話pam_mkhomedir.so skel = / etc / skel / umask = 0022

###必須在上述行之前
＃這是每個軟件包的模塊（“主”塊）[----]

我們以用戶身份在控制台中執行 根, 只是檢查, pam-auth-更新:

我們重新啟動服務 光盤，我們會進行檢查:

：〜＃ 服務nscd重新啟動
[ok]重新啟動名稱服務緩存守護程序：nscd。 ：〜＃ 手指大步
登錄名：strides名稱：Strides El Rey目錄：/ home / strides Shell：/ bin / bash從未登錄。 沒有郵件。 沒有計劃。 ：〜＃ Getent passwd大步向前
步幅：x：1006：63000：步幅El Rey：/主頁/步幅：/ bin / bash：〜＃ 蓋頓·帕瓦德·萊戈拉斯
legolas：x：1004：63000：Legolas The Elf：/ home / legolas：/ bin / bash

我們修改與OpenLDAP服務器的重新連接策略.

我們以用戶身份進行編輯 根 非常小心，文件 /etc/libnss-ldap.conf。 我們尋找“硬«。 我們從該行刪除評論 #bind_policy努力 我們這樣保留它： bind_policy軟.

前面提到的相同更改，我們在文件中進行了更改 /etc/pam_ldap.conf.

上述修改消除了啟動過程中與LDAP相關的許多消息，同時使其速度更快（啟動過程）。

我們重新啟動Wheezy，因為所做的更改至關重要:

：〜＃ 重啟

重新引導後，我們可以使用在ClearOS OpenLDAP中註冊的任何用戶登錄。

我們建議 然後執行以下操作：

• 使外部用戶與在我們的Debian安裝過程中創建的本地用戶屬於同一組。
• 使用命令 visudo命令，執行為 根，將必要的執行權限授予外部用戶。
• 用地址創建書籤 https://centos.amigos.cu:81/?user en Iceweasel，以訪問ClearOS中的個人頁面，我們可以在其中更改我們的個人密碼。
• 安裝OpenSSH-Server（如果我們在安裝系統時未選擇它），以便能夠從另一台計算機訪問我們的Debian。

創建和/或修改配置文件

LDAP主題需要大量的研究，耐心和經驗。 我沒有的最後一個。 我們強烈建議該套餐 libnss-ldap y libpam LDAP，如果是手動修改導致身份驗證停止工作，請使用以下命令正確重新配置 dpkg重新配置，是由 配置文件.

相關的配置文件是：

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

/etc/ldap/ldap.conf文件

我們尚未觸及此文件。 但是，由於上面列出的文件的配置以及由生成的PAM配置，因此身份驗證可以正常工作 pam-auth-更新。 但是，我們還必須正確配置它。 使用起來很容易 搜索引擎，由包裝提供 LDAP-utils的。 最低配置為：

BASE dc =朋友，dc = cu URI ldap：//10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

如果我們在控制台中執行，我們可以檢查ClearOS的OpenLDAP服務器是否正常工作：

ldapsearch -d 5 -L“（objectclass = *）”

命令輸出豐富。 🙂

我愛Debian！ 朋友們，今天活動結束了！