Konfigurálása felhasználói hitelesítés - OpenLDAP és ubuntu gyakorlatban

OpenLDAP és Ubuntu a gyakorlatban> Beállítás felhasználói hitelesítés révén OpenLDAP kliens

Hol dolgozunk: ldap-client

Térjünk át a beállítani a kliens munkaállomáson. Első lépésként telepítse a szükséges csomagokat:

Amikor telepíti egyes beállítások felajánlotta nekünk. Aztán még vnesom konfigurációs változásokat, de meg kell tenni annak érdekében, hogy az összes csomag megfelelően alakult:

• URI LDAP server: ldap: //ldap-srv.example.com;
• kiszolgáló keresési bázis LDAP: dc = példa, dc = com;
• A nevét egyéni szolgáltatások: csoport. netgroup. passwd. árnyék.

Mielőtt a kérelmeket az LDAP-szerver ellenőrizze ügyfélbeállításokat /etc/ldap/ldap.conf:

Természetesen annak érdekében, hogy ez a munka, a Tanúsítvány Hatóság (rootca.crt) és CRL-fájl (rootca.crl) a helyén kell lennie.

Ellenőrizze a művelet egy egyszerű kéréssel. Eredmény csepp (látnia kell minden DIT):

Mi állítjuk a konfiguráció a helyi szolgáltató LDAP nevek /etc/nslcd.conf fájlt. Az érték módosításához bindpw irányelv jelszó megadására cn = nssproxy, ou = felhasználók, dc = example, dc = com. kértük korábban:

Az ábrák rövid ismertetése használt irányelvek:

• Az irányelv beszámolunk a démon bázis nslcd. ahol a DIT keresni bizonyos információkat;
• bind_timelimit korlátozza azt az időt a kapcsolatot a szerverrel öt másodperc;
• timelimit beállítja a maximális várakozási idő a válasz a szervertől minden 10 másodpercben;
• idle_timelimit teszik nslcd bontása a kiszolgáló, ha egy percre a találmány szerinti vegyület nem aktivitást;
• ssl okoz az ügyfél használja TLS, amikor csatlakozik a szerverhez;
• tls_reqcert és tls_cacertfile hasonló irányelvek és TLS_REQCERT TLS_CACERT a /etc/ldap/ldap.conf konfiguráció (ellenőrizni a szerver tanúsítványt és egy utat, hogy a gyökér tanúsítvány hitelesítési);
• nss_initgroups_ignoreusers leírja a rendszer felhasználói, keressen rá, ne legyen a DIT (úgy, hogy tudunk dolgozni a géppel problémák esetén a hozzáférést a könyvtár szerver). Az érték ezt az irányelvet kell, hogy a nevét minden rendszerre kiterjedő felhasználók.

Változás a hozzáférési jogok nslcd.conf. mert most van tárolva hitelesítési adatok:

Ellenőrizze a tartalmát /etc/nsswitch.conf:

Tegyük meg arról, hogy nslcd démon a rendszer indításakor elindul, és indítsa újra:

Győződjön meg arról, hogy a rendszer clientNET ldap-fiók neve nssproxy. A következő parancs kell elvégezni eredmény nélkül:

Tegyük meg arról is, hogy a név szolgáltatás cache daemon van betöltve a rendszer indításakor, és indítsa újra:

Csináljunk egy pár kéri, hogy az LDAP-kiszolgáló, testreszabott kapcsolati rendszer:

Ahhoz, hogy ellenőrizze a rendelkezésre álló információt a jelszó elvégzéséhez szükséges getent root:

Ne aggódj, a jelszó hash, nem látunk.

Kiváló, működik! A fenti eredmények a parancs azt jelenti, hogy az LDAP-kliens rendszer lehet keresni szerint a felhasználók és csoportok a mi OpenLDAP könyvtárban.

Készítsen kezdõkönyvtára tesztfelhasználóinktól és engedélyeinek beállítása érte:

Fuss egy külön kimenete hitelesítés log:

A másik terminál parancsot:

Meg kell, hogy meghívást test.user felhasználói parancs.

Most megpróbálunk menni a ldap kliens gép hálózaton keresztül ssh test.user alatt a regisztrációs rekordot.

SSH démon alapértelmezésben úgy van beállítva, hogy működjenek együtt támogatása PAM (és így támogatja a hitelesítést keresztül LDAP). De csak abban az esetben adunk egy működő konfiguráció / etc / ssh / sshd_config:

része a fájlt egy üres karakterlánc - Az alapértelmezett beállítás. további - adunk minket. Megjegyzés: A összhangban az irányelv AllowGroups. Vele, mi korlátozza a felhasználók listáját, akik lehet hitelesíteni ssh-n keresztül. Az egyéb irányelvek olvassa el a dokumentációt.

Tesztüzemeltetés segítségével bármely harmadik gépen. Például, visszük a mi DNS-kiszolgáló (DNS-srv):

Kimenete az utolsó parancs rövidíteni. Amikor a parancssor jelenik meg, minden rendben!

Hol dolgozunk: ldap-srv

Nézzük /var/log/slapd.log a kiszolgálón. Mi lehet a következő sorokat találtam ott:

Ezzel a paranccsal, kiderül, hogy a katalógusban eddig nincsenek indexek:

Ez azt jelenti, hogy az adatbázisunkban, akkor létre kell hozni az indexeket az attribútumok /var/log/slapd.log magazin. Ezért létrehozhat egy másik LDIF-fájl 5-posixAccount.indexes.ldif és írd bele:

Miért vesztegeti az idejét apróságok? Nézzük rámutatnak nagyobb indexelt attribútumok. És töltse le a konfigurációt a katalógusban:

Ellenőrizze az eredményeket a változásokat:

Kiváló! Most a lapban /var/log/slapd.log nem lehet hibákat.

OpenLDAP és Ubuntu a gyakorlatban> Beállítás felhasználói hitelesítés révén OpenLDAP kliens

Kapcsolódó cikkek

• Telepítését és konfigurálását a felhasználó karját „Electronic költségvetés” rendszer

• Telepítés tanácsadója ubuntu linux, linux felhasználói csoport Omszk

• Az időzítő beállítása a BIOS-ban