Михаил Захаров ([email protected])
В големите организации, увеличаване на броя на потребителите, неминуемо ще доведе до администрацията на проблемите им сметки. В този случай, е необходимо да се въведе единна система за удостоверяване. Едно изпълнение на такава система може да се основава на използването на LDAP сървъра.
За такава система за FreeBSD (FreeBSD-4.4-Release) съм бил използван следния софтуер свободен източник:
Преди началото на предварително бих искал да направя няколко важни забележки и предупреждения. На първо място, предложеното ръководство се отнася до жанра на бърз старт. и опции за конфигуриране, изброени тук не са идеални въпроси за установяване на истинността решение, то е само модел на система за идентификация на базата на LDAP. На второ място, да се направят промени в pam.conf да бъдат внимателни, тъй като ситуацията е възможно, в които нито един потребител не просто няма да бъде в състояние да премине удостоверяване чрез всеки метод. И накрая, на трето място, след инсталацията на сървъра за LDAP за да сте сигурни, че liblber библиотека. * И libldap. * Дали в директории / ЮЕсАр / ИЪ и disptmpl.h файлове, lber * .h, LDAP * .h и srchpref .h се намират в директорията / ЮЕсАр / включват. Това ви спестява от съставяне на грешки и свързване клиентския софтуер.
Конфигуриране на LDAP сървър.
Тъй като сървърът за LDAP ще конфигурира OpenLDAP-2.0.23. Всички конфигурационни файлове са в директорията OpenLDAP / ЮЕсАр / местни / и т.н. / OpenLDAP. Тук преди всичко се интересуват от slapd.conf файл, в който се посочва на настройките на сървъра. В нашия случай, файлът трябва да съдържа най-малко следните 8 редове:
Първите три линии са свързани LDAP схемата. Форматът и структурата на данните, съхранявани в LDAP, дефинирани схеми. Процедура верига връзка е важно, защото веригата може да се използва, както е определено в друга схема.
По-нататък се уточнява вида на база данни, която е настоящето и информацията се съхранява, в този случай ldbm.
Разширението се посочва основата за формиране на заявка, коренът, към които ние се позоваваме, когато пита за LDAP база данни баня. Разширението е избран при конфигуриране на LDAP сървър и обикновено е името на домейна на организацията.
Последният ред посочва директорията, която ще съдържа LDBM на файлове с бази данни.
В крайна сметка, на slapd.conf полезно да се добави правила, които очертават достъп до LDAP ресурси като тези:
достъп до DN = ". *, DC = testdomain, DC = РУ" ATTR = userPassword
от DN = "CN = Admin, DC = testdomain, DC = РУ" пиши
достъп до DN = ". *, DC = testdomain, DC = РУ"
от DN = "CN = Admin, DC = testdomain, DC = РУ" пиши
Започнете LDAP сървър:
Сега можете да попълните в базата данни на LDAP сървър. За да направите това, да създадете текстов файл, например, testdomain.ldif, съдържащ записите на нашата организация, администраторът, група от потребители и, всъщност, един от членовете:
LDAP клиенти.
За работата на мрежови услуги на FreeBSD обикновено се определя свободно разпространени софтуерни опции. Повечето от тези програми не могат да взаимодействат директно с LDAP, но запазва възможността за удостоверяване чрез PAM модули. В нашия случай, повечето от тези програми с тях и да започне.
На първо място, от PAM модул, който ще използваме, се нарича pam_ldap. В FreeBSD дистрибуция, този модул не е включен, така че трябва да се монтират с помощта на пристанищата или съставяне ръчно, като www.padl.com сървър.
pam_ldap търсения модул ldap.conf конфигурационен файл. Обикновено, този файл трябва да се намира в директорията / и т.н., но понякога, в зависимост от опциите, посочени по време на компилация, и може да се намира в / ЮЕсАр / местни / и т.н. /.
Нашата /etc/ldap.conf ще съдържа само три реда:
база данни има база, за да търсите в LDAP дървото;
pam_password показва, че ще се използва не кодирани пароли. Това се прави за по-голяма простота, тя е по-мъдро да се използва криптирана парола на практика. Въпреки това, в този случай, е необходимо паролите съхранявани в LDAP, също са криптирани. Разбира се, запис rootpw в /usr/local/etc/slapd.conf файл също препоръчва да криптирате. За да генерирате пароли, включително кодирани, можете да използвате една програма, която идва с ldappasswd OpenLDAP.
Основна конфигурация PAM файл, намиращ се в директорията / и т.н. и се нарича pam.conf. Тя се състои от правила, описващи методите на удостоверяване за различни услуги. За нашите услуги в записа на pam.conf могат да бъдат:
Първото нещо, което искам, е да се осигури достъп за влизане:
в акаунта удостоверяване достатъчно pam_ldap.so
в акаунта удостоверяване достатъчно pam_skey.so
в акаунта удостоверяване необходимата pam_cleartext_pass_ok.so
вход за упълномощаване изисква pam_unix.so try_first_pass
вход в сметката се изисква pam_unix.so
паролата за влизане изисква pam_permit.so
сесията изисква pam_permit.so
За FTP записи изглеждат по-лесно:
FTPD удостоверяване достатъчно pam_ldap.so
FTPD удостоверяване достатъчно pam_skey.so
FTPD удостоверяване необходимата pam_cleartext_pass_ok.so
FTPD удостоверяване изисква pam_unix.so try_first_pass
OpenSSH се нуждаете от следните правила:
SSHD удостоверяване достатъчно pam_ldap.so
SSHD удостоверяване достатъчно pam_skey.so
SSHD удостоверяване изисква pam_unix.so try_first_pass
SSHD сметка изисква pam_unix.so
изисква SSHD парола pam_permit.so
SSHD сесия изисква pam_permit.so
В /etc/pam.conf изисква в следните направления:
самба упълномощаване необходимата pam_ldap.so
самба сесия изисква pam_ldap.so
Най-простият конфигурация при Qpopper 4.4. Добавете /etc/pam.conf:
POP3 удостоверяване достатъчно pam_ldap.so
В допълнение, Qpopper също трябва да бъде компилиран с поддръжка на PAM:
Единственият продукт, който работи с LDAP сървъри без помощта на ПАМ, е SQUID. За удостоверяване чрез LDAP калмари използва собствен squid_ldap_auth модул е външна програма. Сепия разпространението му, изходния код е в auth_modules / LDAP директория.
Събиране и инсталиране squid_ldap_auth, можете да започнете да конфигурирате калмари.
В squid.conf, ние се уточни, че искате да използвате нашия удостоверяване модул:
authenticate_program / ЮЕсАр / местни / калмари / libexec / калмари / squid_ldap_auth -b DC = testdomain, DC = RU ldap_server
Следваща, за да проверите в squid.conf добавите прост ACL:
ACL парола proxy_auth ИЗИСКВА
http_access позволи парола
http_access отрече всички
Свързани статии