Útmutató a felállítása felhasználói hitelesítés révén ldap
Mikhail Zakharov ([email protected])
A nagy szervezetek, növelve a felhasználók száma elkerülhetetlenül vezet az adminisztráció a számlák problémákat. Ebben az esetben van szükség, hogy egységes hitelesítési rendszer. Az egyik megvalósítási mód szerint egy ilyen rendszer lehet alapozni az LDAP kiszolgáló.
Egy ilyen rendszer FreeBSD (FreeBSD-4.4-Release) Én már használta a következő szabad forráskódú szoftverek:
Megkezdése előtt előre szeretnék tenni néhány fontos utasításokat és figyelmeztetéseket. Először is, a javasolt manuális utal, hogy a műfaj a gyors kezdet. és beállítások Az itt felsorolt nem az ideális megoldás hitelesítési problémák, ez csak modell hitelesítési rendszer alapján LDAP. Másodszor, hogy a változások pam.conf, hogy legyen óvatos, mert a helyzet lehetséges, amelyben a felhasználó nem egyszerűen nem lesz képes átadni hitelesítési bármilyen módszerrel. És végül, a harmadik helyen, a telepítés után az LDAP szerver, hogy megbizonyosodjon arról, hogy liblber könyvtár. * És libldap. * Vannak a könyvtárakat az / usr / lib és disptmpl.h fájlok LBER * .h, ldap * .h és srchpref .h található a / usr / include. Ez takarít meg a fordítási hibák és összeköti a kliens szoftvert.
LDAP szerver.
Mivel az LDAP kiszolgáló OpenLDAP-2.0.23. Minden konfigurációs fájlok az OpenLDAP / usr / local / etc / openldap. Itt mindenekelőtt érdekel slapd.conf fájl, ahol a kiszolgáló beállításait. A mi esetünkben, a dokumentációnak tartalmaznia kell legalább a következő 8 sor:
Az első három sor csatlakozik LDAP-sémát. A formáját és szerkezetét tárolt adatok az LDAP meghatározott rendszereknek. Eljárás áramkör kapcsolatot azért fontos, mert az áramkör lehet használni meghatározott másik rendszerbe.
Továbbá meghatározza, hogy milyen típusú adatbázis, amely a jelenlegi és az adatok tárolása, ebben az esetben ldbm.
Utótag határozza alapját a kialakulása egy lekérdezést, a gyökér, amelyre utalunk az adatbázis lekérdezésekor fürdő LDAP. Utótag kerül kiválasztásra, amikor beállítja az LDAP-kiszolgáló és általában a domain nevet a szervezet.
Az utolsó sor a könyvtárat, amely tartalmazni fogja az adatbázis fájlokat LDBM.
A végén, a slapd.conf hasznos a szabályt, amely megszabja hozzáférés LDAP erőforrásokat, mint például ezek:
access to dn = "*, dc = testdomain, dc = ru" attr = userPassword
dn = "cn = admin, dc = testdomain, dc = ru" write
access to dn = "*, dc = testdomain, dc = ru"
dn = "cn = admin, dc = testdomain, dc = ru" write
Kezdés az LDAP kiszolgáló:
Most akkor töltse ki az LDAP kiszolgáló adatbázisában. Ehhez hozzon létre egy szöveges fájlt, például testdomain.ldif tartalmazó nyilvántartást a szervezet, a rendszergazda, a felhasználók egy csoportja, sőt, az egyik tag:
LDAP kliensek.
A működése a hálózati szolgáltatások FreeBSD általában meghatározott szabadon elosztott szoftver lehetőségeket. A legtöbb ilyen program nem tud közvetlenül kölcsönhatásba LDAP, de fenntartotta annak a lehetőségét hitelesítést PAM-modulok. A mi esetünkben, a legtöbb ilyen program velük, és kezdődik.
Először is, a PAM modul, amely azt fogja használni az úgynevezett pam_ldap. A FreeBSD-be, ez a modul nem tartalmazza, így kell telepíteni a kikötőkben vagy fordítsd kézzel, figyelembe www.padl.com szerver.
pam_ldap modul keresések ldap.conf konfigurációs fájl. Általában ezt a fájlt kell elhelyezni az / etc könyvtárban, de néha, attól függően, hogy a megadott lehetőségek fordítási időben, és lehet a / usr / local / etc /.
A /etc/ldap.conf-ban tartalmaz Csak három sor:
Ott BASE adatbázis keresni az LDAP fa;
pam_password azt jelzi, hogy fogják használni a nem titkosított jelszavakat. Ezt úgy végezzük, az egyszerűség kedvéért, hogy bölcsebb, hogy használja a titkosított jelszót a gyakorlatban. Azonban ebben az esetben is szükséges, hogy a tárolt jelszavak az LDAP, szintén titkosítva. Természetesen a felvétel rootpw a /usr/local/etc/slapd.conf fájlt is javasolta, hogy titkosítani. A generál jelszavakat, beleértve titkosított, akkor a segédprogram része ldappasswd OpenLDAP.
Alapvető PAM konfigurációs fájl található a / etc könyvtárba és nevezzük pam.conf. Ez áll a szabályokat, amelyek leírják a hitelesítési módszert a különböző szolgáltatásokat. Szolgáltatásaink a pam.conf bejegyzés lehet:
Az első dolog, amit akarunk, hogy hozzáférést biztosít a bejelentkezés:
bejelentkezés azonosítási elegendő pam_ldap.so
bejelentkezés azonosítási elegendő pam_skey.so
bejelentkezés azonosítási szükséges pam_cleartext_pass_ok.so
bejelentkezés szükséges hitelesíteni pam_unix.so try_first_pass
bejelentkezési fiók szükséges pam_unix.so
bejelentkezési jelszó szükséges pam_permit.so
munkamenetet szükséges pam_permit.so
FTP bejegyzések nézd könnyebb:
ftpd auth elegendő pam_ldap.so
ftpd auth elegendő pam_skey.so
ftpd Auth szükséges pam_cleartext_pass_ok.so
ftpd auth required pam_unix.so try_first_pass
OpenSSH lesz szüksége a következő szabályokat:
sshd auth elegendő pam_ldap.so
sshd auth elegendő pam_skey.so
sshd auth required pam_unix.so try_first_pass
sshd fiók szükséges pam_unix.so
sshd jelszó szükséges pam_permit.so
sshd munkamenet szükséges pam_permit.so
A /etc/pam.conf igényel a következő sorokat:
samba auth required pam_ldap.so
samba ülés szükséges pam_ldap.so
A legegyszerűbb konfiguráció qpopper 4.4. A /etc/pam.conf add:
pop3 auth elegendő pam_ldap.so
Ezen kívül qpopper is kell összeállítani, amely támogatja a PAM:
Az egyetlen termék, amely együttműködik az LDAP szerverrel segítsége nélkül PAM, akkor a Squid. A hitelesítéshez LDAP Squid használja a saját squid_ldap_auth modul egy külső program. Az elosztó tintahal, a forráskódja a auth_modules / LDAP címtár.
Fordítsd le és telepítse squid_ldap_auth, kezdhetjük beállítani Squid.
A squid.conf azt adja meg, hogy szeretnénk használni a hitelesítési modul:
authenticate_program / usr / local / squid / libexec / squid / squid_ldap_auth -b dc = testdomain, dc = ru ldap_server
Továbbá ellenőrizze squid.conf hozzá egy egyszerű ACL:
acl jelszó proxy_auth SZÜKSÉGES
http_access allow jelszó
http_access deny all