你好朋友!。 我們將使用多台台式計算機建立網絡,但是這次使用Debian 7“ Wheezy”操作系統。 作為服務器,他 ClearOS。 作為數據,讓我們觀察一下該項目 Debian 教育 在服務器和工作站上使用Debian。 這個項目教會了我們,並使得建立一所完整的學校變得更加容易。
請務必先閱讀以下內容:
- 帶有免費軟件的網絡簡介(I):ClearOS的介紹
我們會看到:
- 示例網絡
- 我們配置LDAP客戶端
- 創建和/或修改配置文件
- /etc/ldap/ldap.conf文件
示例網絡
- 域控制器,DNS,DHCP,OpenLDAP,NTP: ClearOS企業版5.2sp1.
- 控制器名稱: CentOS的
- 域名: 老友記
- 控制器IP: 10.10.10.60
- ---------------
- Debian版本: 喘息。
- 隊名: Debian7
- IP地址: 使用DHCP
我們配置LDAP客戶端
我們必須手頭上有OpenLDAP服務器數據,該數據是從ClearOS管理Web界面的«目錄»->«域和LDAP“:
LDAP基本DN:dc =朋友,dc = cu LDAP綁定DN:cn =管理者,cn =內部,dc =朋友,dc = cu LDAP綁定密碼:kLGD + Mj + ZTWzkD8W
我們安裝必要的軟件包。 作為用戶 根 我們執行:
aptitude安裝libnss-ldap nscd finger
請注意,上一條命令的輸出還包括該軟件包 libpam LDAP。 在安裝過程中,他們會問我們幾個問題,我們必須正確回答。 答案將在此示例的情況下:
LDAP服務器URI: ldap://10.10.10.60 搜索庫的專有名稱(DN): dc =朋友,dc = cu 使用的LDAP版本: 3 根的LDAP帳戶: cn =管理員,cn =內部,dc =朋友,dc = cu 根LDAP帳戶的密碼: kLGD + Mj + ZTWzkD8W 現在他宣布該文件 /etc/nsswitch.conf 它不是自動管理的,因此我們必須手動對其進行修改。 您是否要允許LDAP管理員帳戶充當本地管理員?: Si 是否需要用戶訪問LDAP數據庫?: 沒有 LDAP管理員帳戶: cn =管理員,cn =內部,dc =朋友,dc = cu 根LDAP帳戶的密碼: kLGD + Mj + ZTWzkD8W
如果我們在前面的答案中錯了,我們將以用戶身份執行 根:
dpkg-重新配置 libnss-ldap dpkg-重新配置libpam-ldap
而且,我們僅回答了以下問題即可充分回答之前提出的相同問題:
用於密碼的本地加密算法: md5
眼 回复時,因為提供給我們的默認值為 地穴,我們必須聲明它是 md5。 它還向我們顯示了控制台模式下的屏幕,其中包含命令的輸出 pam-auth-更新 執行為 根,我們必須接受。
我們修改文件 /etc/nsswitch.conf,並保留以下內容:
#/etc/nsswitch.conf##GNU名稱服務開關功能的示例配置。 #如果您安裝了`glibc-doc-reference'和`info'軟件包,請嘗試:#`info libc“ Name Service Switch”'有關此文件的信息。 密碼: 兼容 組: 兼容 陰影: 兼容 主機:文件mdns4_minimal [NOTFOUND = return] dns mdns4網絡:文件協議:db文件服務:db文件ethers:db文件rpc:db文件netgroup:nis
我們修改文件 /etc/pam.d/共同會話 登錄時自動創建用戶文件夾(如果不存在):
[----] 所需的會話pam_mkhomedir.so skel = / etc / skel / umask = 0022 ###必須在上述行之前 #這是每個軟件包的模塊(“主”塊)[----]
我們以用戶身份在控制台中執行 根, 只是檢查, pam-auth-更新:
我們重新啟動服務 光盤,我們會進行檢查:
:〜# 服務nscd重新啟動 [ok]重新啟動名稱服務緩存守護程序:nscd。 :〜# 手指大步 登錄名:strides名稱:Strides El Rey目錄:/ home / strides Shell:/ bin / bash從未登錄。 沒有郵件。 沒有計劃。 :〜# Getent passwd大步向前 步幅:x:1006:63000:步幅El Rey:/主頁/步幅:/ bin / bash:〜# 蓋頓·帕瓦德·萊戈拉斯 legolas:x:1004:63000:Legolas The Elf:/ home / legolas:/ bin / bash
我們修改與OpenLDAP服務器的重新連接策略.
我們以用戶身份進行編輯 根 非常小心,文件 /etc/libnss-ldap.conf。 我們尋找“硬«。 我們從該行刪除評論 #bind_policy努力 我們這樣保留它: bind_policy軟.
前面提到的相同更改,我們在文件中進行了更改 /etc/pam_ldap.conf.
上述修改消除了啟動過程中與LDAP相關的許多消息,同時使其速度更快(啟動過程)。
我們重新啟動Wheezy,因為所做的更改至關重要:
:〜# 重啟
重新引導後,我們可以使用在ClearOS OpenLDAP中註冊的任何用戶登錄。
我們建議 然後執行以下操作:
- 使外部用戶與在我們的Debian安裝過程中創建的本地用戶屬於同一組。
- 使用命令 visudo命令,執行為 根,將必要的執行權限授予外部用戶。
- 用地址創建書籤 https://centos.amigos.cu:81/?user en Iceweasel,以訪問ClearOS中的個人頁面,我們可以在其中更改我們的個人密碼。
- 安裝OpenSSH-Server(如果我們在安裝系統時未選擇它),以便能夠從另一台計算機訪問我們的Debian。
創建和/或修改配置文件
LDAP主題需要大量的研究,耐心和經驗。 我沒有的最後一個。 我們強烈建議該套餐 libnss-ldap y libpam LDAP,如果是手動修改導致身份驗證停止工作,請使用以下命令正確重新配置 dpkg重新配置,是由 配置文件.
相關的配置文件是:
- /etc/libnss-ldap.conf
- /etc/libnss-ldap.secret
- /etc/pam_ldap.conf
- /etc/pam_ldap.secret
- /etc/nsswitch.conf
- /etc/pam.d/common-sessions
/etc/ldap/ldap.conf文件
我們尚未觸及此文件。 但是,由於上面列出的文件的配置以及由生成的PAM配置,因此身份驗證可以正常工作 pam-auth-更新。 但是,我們還必須正確配置它。 使用起來很容易 搜索引擎,由包裝提供 LDAP-utils的。 最低配置為:
BASE dc =朋友,dc = cu URI ldap://10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never
如果我們在控制台中執行,我們可以檢查ClearOS的OpenLDAP服務器是否正常工作:
ldapsearch -d 5 -L“(objectclass = *)”
命令輸出豐富。 🙂
我愛Debian! 朋友們,今天活動結束了!
優秀的文章,直接到我的小費抽屜
感謝您對Elav的評論。
非常感謝您的分享,期待其他交貨😀
感謝您的評論! 看來,針對Microsoft域進行身份驗證的思維慣性很強。 因此,一些評論。 這就是為什麼我寫真正的免費替代品的原因。 如果仔細觀察,它們將更易於實現。 首先有點概念性。 但是什麼都沒有。