Kako konfigurirati odjemalca LDAP za povezavo z zunanjim preverjanjem pristnosti


LDAP (okrajšava za Lightweight Directory Access Protocol) je industrijski standard, široko uporabljan niz protokolov za dostop do imeniških storitev.

Enostavno povedano, imeniška storitev je centralizirana, omrežna zbirka podatkov, optimizirana za dostop do branja. Shranjuje in omogoča dostop do informacij, ki jih je treba deliti med aplikacijami ali so zelo razširjene.

Imeniške storitve igrajo pomembno vlogo pri razvoju intranetnih in internetnih aplikacij, saj vam pomagajo pri izmenjavi informacij o uporabnikih, sistemih, omrežjih, aplikacijah in storitvah po vsem omrežju.

Tipičen primer uporabe LDAP je ponuditi centralizirano shranjevanje uporabniških imen in gesel. To omogoča, da se različne aplikacije (ali storitve) povežejo s strežnikom LDAP za preverjanje uporabnikov.

Po nastavitvi delujočega strežnika LDAP boste morali odjemalca namestiti za povezovanje z njim. V tem članku bomo pokazali, kako konfigurirati odjemalca LDAP za povezavo z zunanjim virom preverjanja pristnosti.

Upam, da že imate delujoče strežniško okolje LDAP, če ne nastavite strežnika LDAP za preverjanje pristnosti na osnovi LDAP.

Kako namestiti in konfigurirati odjemalca LDAP v Ubuntu in CentOS

V odjemalskih sistemih boste morali namestiti nekaj potrebnih paketov za pravilno delovanje mehanizma preverjanja pristnosti s strežnikom LDAP.

Najprej začnite z namestitvijo potrebnih paketov tako, da zaženete naslednji ukaz.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Med namestitvijo boste pozvani k podrobnostim o strežniku LDAP (podajte vrednosti glede na vaše okolje). Upoštevajte, da samodejno nameščen paket ldap-auth-config naredi večino konfiguracij glede na vnesene vnose.

Nato vnesite ime iskalne baze LDAP, v ta namen lahko uporabite komponente njihovih imen domen, kot je prikazano na posnetku zaslona.

Izberite tudi različico LDAP, ki jo želite uporabiti, in kliknite V redu.

Zdaj konfigurirajte možnost, ki vam omogoča, da naredite pripomočke za gesla, ki uporabljajo pam, da se obnašajo tako, kot bi spreminjali lokalna gesla, in za nadaljevanje kliknite Da.

Nato z naslednjo možnostjo onemogočite zahtevo za prijavo v bazo LDAP.

Določite tudi račun LDAP za root in kliknite V redu.

Nato vnesite geslo, ki ga želite uporabiti, ko se ldap-auth-config poskuša prijaviti v imenik LDAP z računom LDAP za root.

Rezultati pogovornega okna bodo shranjeni v datoteki /etc/ldap.conf. Če želite narediti kakršne koli spremembe, odprite in uredite to datoteko s svojim priljubljenim urejevalnikom ukazne vrstice.

Nato z zagonom konfigurirajte profil LDAP za NSS.

$ sudo auth-client-config -t nss -p lac_ldap

Nato sistem konfigurirajte tako, da za preverjanje pristnosti uporablja LDAP, tako da posodobite konfiguracije PAM. V meniju izberite LDAP in vse druge mehanizme preverjanja pristnosti, ki jih potrebujete. Zdaj bi se morali prijaviti s poverilnicami, ki temeljijo na LDAP.

$ sudo pam-auth-update

Če želite, da se domači imenik uporabnika samodejno ustvari, morate v datoteki PAM skupne seje izvesti še eno konfiguracijo.

$ sudo vim /etc/pam.d/common-session

Vanjo dodajte to vrstico.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Shranite spremembe in zaprite datoteko. Nato znova zaženite storitev NCSD (Name Service Cache Daemon) z naslednjim ukazom.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Opomba: Če uporabljate podvajanje, se bodo odjemalci LDAP morali sklicevati na več strežnikov, navedenih v /etc/ldap.conf. Vse strežnike lahko podate v tej obliki:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

To pomeni, da bo zahteva potekla in če se ponudnik (ldap1.example.com) ne odzove, bo potrošnik (ldap2.example.com) poskušal doseči njeno obdelavo.

Če želite na strežniku preveriti vnose LDAP za določenega uporabnika, zaženite na primer ukaz getent.

$ getent passwd tecmint

Če zgornji ukaz prikaže podatke o določenem uporabniku iz datoteke /etc /passwd, je vaša odjemalna naprava zdaj konfigurirana za overjanje s strežnikom LDAP, zato se morate prijaviti s poverilnicami, ki temeljijo na LDAP.

Konfigurirajte odjemalca LDAP v CentOS 7

Če želite namestiti potrebne pakete, zaženite naslednji ukaz. Upoštevajte, da v tem razdelku, če sistem uporabljate kot nekorenski skrbniški uporabnik, uporabite ukaz sudo za izvajanje vseh ukazov.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Nato odjemalčevemu sistemu omogočite preverjanje pristnosti z uporabo protokola LDAP. Uporabite lahko pripomoček authconfig, ki je vmesnik za konfiguracijo virov za preverjanje pristnosti sistema.

Zaženite naslednji ukaz in zamenjajte example.com s svojo domeno in dc = example, dc = com z krmilnikom domene LDAP.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

V zgornjem ukazu možnost --enablemkhomedir pri prvi povezavi ustvari domači imenik lokalnega uporabnika, če ta ne obstaja.

Nato preizkusite, ali vnosi LDAP za določenega uporabnika iz strežnika, na primer uporabnika tecmint.

$ getent passwd tecmint

Zgornji ukaz bi moral prikazati podrobnosti o določenem uporabniku iz datoteke /etc /passwd, kar pomeni, da je odjemalski stroj zdaj konfiguriran za overjanje s strežnikom LDAP.

Pomembno: Če je v vašem sistemu omogočeno SELinux, morate dodati pravilo, ki omogoča, da mkhomedir samodejno ustvari domače imenike.

Za več informacij si oglejte ustrezno dokumentacijo iz kataloga dokumentov programske opreme OpenLDAP.

LDAP je protokol, ki se pogosto uporablja za poizvedovanje in spreminjanje imeniške storitve. V tem priročniku smo pokazali, kako konfigurirati odjemalca LDAP za povezavo z zunanjim virom preverjanja pristnosti v odjemalcih Ubuntu in CentOS. S spodnjim obrazcem za povratne informacije lahko pustite kakršna koli vprašanja ali komentarje.