OpenLDAP и Ubuntu на практика> Configure удостоверяване на потребителя чрез OpenLDAP клиент

Къде работим: LDAP клиент

Нека да преминем към конфигуриране на работната станция на клиента. На първо място, инсталиране на необходимите пакети:

Когато инсталирате някои от настройките ще се предлагат при нас. След това ние все още vnesom промени в конфигурацията, но това трябва да се направи така, че всички пакети правилно установени:

• URI LDAP сървър: LDAP: //ldap-srv.example.com;
• сървъра търсене база LDAP: DC = например, DC = COM;
• Имената на персонализираните услуги: група. netgroup. ако съществува. сянка.

Преди да направите искания към LDAP-сървър, проверете настройките на клиента в /etc/ldap/ldap.conf:

Разбира се, за да я накара да работи, Удостоверение ни Certificate Authority (rootca.crt) и CRL-файл (rootca.crl) трябва да бъде на мястото си.

Проверка на функционирането на обикновена молба. капка Резултат (Трябва да видите всички ДИТ):

Ние регулира конфигурацията на нашите местни имена услуга LDAP в /etc/nslcd.conf файл. Променете директива стойността bindpw за въвеждане на парола CN = nssproxy, ОУ = потребители, DC = например, DC = МС. попитахме по-рано:

КРАТКО ОПИСАНИЕ използва директиви:

• С директивата, ние докладва демон база nslcd. където в DIT за търсене на определена информация;
• bind_timelimit ограничава времето на връзка със сървъра пет секунди;
• преклузивни срокове определя максимума време в очакване на отговор от сървъра на всеки 10 секунди;
• idle_timelimit направи nslcd прекъсване на връзката от сървъра, ако в продължение на една минута в съединението не е имал дейност;
• SSL кара клиента да използва TLS при свързване към сървъра;
• tls_reqcert и tls_cacertfile подобни насоки и TLS_REQCERT TLS_CACERT в конфигурация /etc/ldap/ldap.conf (за проверка на сертификат сървър и пътя на сертификат корен за извършване на проверка);
• nss_initgroups_ignoreusers описва потребителите на системата, да търсите, че не трябва да бъде в DIT (така че да можем да работим с машината в случай на проблеми с достъпа до сървъра на директория). Стойността на тази директива трябва да бъде да се направи имената на всички потребители в цялата система.

Променете правата за достъп до nslcd.conf. защото сега там се съхранява информация за удостоверяване:

Проверете съдържанието на /etc/nsswitch.conf:

Нека да се уверите, че nslcd демон се стартира при стартиране на системата и да го рестартирате:

Уверете се, че системата clientNET LDAP-сметката, посочена nssproxy. Следващата команда трябва да се извършва без резултат:

Нека да се уверите, също така, че демонът за името на услугата кеш се зарежда при стартиране на системата и да го рестартирате:

Да направим няколко искания към LDAP-сървър, с помощта на персонализирани система за връзка:

За да проверите наличността на информация за паролата, необходима за извършване на getent като корен:

Не се притеснявайте, хеша парола, ние не виждаме.

Отличен, тя работи! Посочените по-горе резултати от командата означава, че системата за LDAP клиент може да се търси според потребителите и групите в директорията ни OpenLDAP.

Създаване на домашна директория на тестовите ни потребители и задаване на разрешения за него:

Пусни в отделен регистър изход проверка на терминала:

Другият терминал изпълнява:

Ние трябва да получите покана test.user команда на потребителя.

Сега ние ще се опитаме да отиде в LDAP клиент машина в мрежа, използвайки SSH test.user под рекорда за регистрация.

Ssh демон е конфигуриран по подразбиране да се работи с поддръжка на PAM (и по този начин поддържа идентификация чрез LDAP). Но само в случай, че се получи работна конфигурация / и т.н. / SSH / sshd_config:

част от досието на празен низ - Стандартната конфигурация. още - добавен от нас. Обърнете внимание на линията с AllowGroups директивата. С него сме се ограничи списъка на потребителите, които могат да бъдат удостоверени чрез SSH. За информация относно други директиви, вижте документацията.

Проверете операция с помощта на трета машина. Например, ние продължаваме нашето DNS-сървъра (DNS-SRV):

Продукция на последната команда съкратен. Когато се появи командния ред, че всичко е наред!

Къде работим: LDAP-SRV

Нека да разгледаме /var/log/slapd.log на нашия сървър. Ние можем да намерим следните редове там:

С тази команда, можем да видим, че в нашия каталог досега не съществуват индекси:

Това означава, че в нашата база данни, е необходимо да се създаде индекси за атрибутите на /var/log/slapd.log списание. Ето защо, да създадете друг LDIF файл 5-posixAccount.indexes.ldif и пише в него:

Защо да губите време за дреболии? Нека да подчертая, в по-големи индексирани атрибути. И изтегляне на конфигурацията в нашия каталог:

Проверка на резултатите от промените:

Отличен! Сега в /var/log/slapd.log на списанието не трябва да бъде грешки.

OpenLDAP и Ubuntu на практика> Configure удостоверяване на потребителя чрез OpenLDAP клиент

Свързани статии

• Инсталиране и конфигуриране на рамо за ползване система "Електронни бюджет"

• Монтаж консултант в Ubuntu Linux, Linux потребителска група Омск

• Задаване на таймер в BIOS