Configurarea autentificării utilizatorilor - openldap și ubuntu în practică

OpenLDAP și Ubuntu în practică> Configurarea autentificării utilizatorilor prin intermediul OpenLDAP pe client

Unde lucrăm: ldap-client

Să continuăm să configuram stația de lucru client. Mai întâi, instalați pachetele necesare:

La instalare ni se vor oferi câteva setări. Apoi, vom continua să efectuăm modificări în configurație, dar acest lucru trebuie făcut în așa fel încât toate pachetele să fie instalate corect:

• URI al serverului LDAP: ldap: //ldap-srv.example.com;
• Baza de date de căutare pentru serverul LDAP: dc = example, dc = com;
• Nume servicii personalizate: grup. netgroup. passwd. umbră.

Înainte de a trimite solicitări către serverul LDAP, vom verifica setările clientului din /etc/ldap/ldap.conf:

Desigur, pentru a face să funcționeze, autoritatea noastră Certificat (rootca.crt) și CRL-fișier (rootca.crl) trebuie să fie în loc.

Să verificăm operația printr-o interogare simplă. Rezultatul este omis (ar trebui să vedeți toate DIT-urile):

Corectați configurația serviciului nostru local de nume LDAP din /etc/nslcd.conf. Modificați valoarea directivei bindpw în parola de intrare cn = nssproxy, ou = users, dc = example, dc = com. pe care l-am întrebat mai devreme:

Scurtă descriere a directivelor utilizate:

• Folosind directiva de bază, îi spunem daemonului nslcd. unde în DIT să caute această sau acea informație;
• bind_timelimit limitează timpul pentru a stabili o conexiune la server în cinci secunde;
• timelimit stabilește timpul maxim de răspuns de la server în 10 secunde;
• idle_timelimit va determina nslcd să se deconecteze de la server dacă nu există nicio activitate pentru un minut în conexiune;
• SSL determină clientul să utilizeze TLS atunci când se conectează la server;
• tls_reqcert și orientări tls_cacertfile similare și TLS_REQCERT TLS_CACERT în configurație /etc/ldap/ldap.conf (pentru a verifica dacă un certificat de server și o cale către un certificat rădăcină pentru efectuarea verificării);
• nss_initgroups_ignoreusers descrie utilizatorii sistemului, de căutare pentru care nu ar trebui să fie în DIT (astfel încât să putem lucra cu mașina în caz de probleme cu acces la serverul director). Valoarea acestei directive ar trebui să fie introdusă prin numele tuturor utilizatorilor la nivel de sistem.

Să schimbăm drepturile de acces la nslcd.conf. deoarece acum stochează informații pentru autentificare:

Verificați conținutul /etc/nsswitch.conf:

Asigurați-vă că daemonul nslcd începe de la pornirea sistemului și îl repornește:

Asigurați-vă că contul sistemului ldap-clientNET cu numele nssproxy. Următoarea comandă ar trebui executată fără rezultat:

Asigurați-vă că daemonul serviciului de nume de cache este încărcat atunci când sistemul pornește și reporniți-l:

Să facem câteva cereri către serverul LDAP utilizând sistemul pe care l-am configurat:

Pentru a verifica disponibilitatea informațiilor despre parolă, este necesară executarea getent ca root:

Nu vă faceți griji, nu este nevoie să vedeți hash-ul parolei.

Foarte bine, funcționează! Comenzile de mai sus înseamnă că sistemul ldap-client poate căuta date despre utilizatori și grupuri în directorul nostru OpenLDAP.

Creați directorul de acasă al utilizatorului nostru de testare și setați permisiunile pentru acesta:

Executați ieșirea din jurnalul de autentificare într-un terminal separat:

În alt terminal, realizăm:

Trebuie să trimitem promptul utilizatorului test.user.

Acum, să încercăm să vă conectăm la mașina ldap-client din rețea folosind ssh în contul test.user.

Demonul ssh din configurația implicită ar trebui să funcționeze cu suportul PAM (și, în consecință, să suporte autentificarea prin LDAP). Dar, doar în caz, aici este configurația de lucru a / etc / ssh / sshd_config:

Parte din fișier la un șir gol - configurația implicită. Data viitoare - adăugat de noi. Rețineți linia cu directiva AllowGroups. Prin aceasta, restricționăm lista grupurilor de utilizatori care pot fi autentificate prin ssh. Pentru informații privind alte directive, consultați documentația.

Vom verifica lucrarea utilizând oa treia mașină. De exemplu, executați pe serverul DNS (dns-srv):

Ieșirea ultimei comenzi este redusă. Dacă apare un prompt de comandă, este OK!

Unde lucrăm: ldap-srv

Să aruncăm o privire la /var/log/slapd.log pe serverul nostru. Putem găsi următoarele linii:

Cu ajutorul următoarei comenzi, ne putem asigura că nu există indici în catalogul nostru:

Aceasta înseamnă că în baza noastră de date trebuie să creăm indexuri pentru atribute din jurnalul /var/log/slapd.log. Prin urmare, creați un alt fișier LDIF 5-posixAccount.indexes.ldif și scrieți-l:

De ce să pierdeți timpul cu mici lucruri? Să specificăm mai multe atribute indexabile. Și încărcați configurația în directorul nostru:

Să verificăm rezultatul modificărilor:

Excelent! Acum nu ar trebui să existe erori în jurnalul /var/log/slapd.log.

OpenLDAP și Ubuntu în practică> Configurarea autentificării utilizatorilor prin intermediul OpenLDAP pe client

Articole similare

• Instalarea și configurarea în funcție de sistemul utilizatorului "buget electronic"

• Instalarea consultantplus în linux ubuntu, grupul de utilizatori linux din Omsk

• Setarea cronometrului în bios

Trimiteți-le prietenilor: