Kuidas konfigureerida LDAP klient välise autentimise ühendamiseks

LDAP (lühend kergekaalulisest juurdepääsuprotokollist) on valdkonnastandard, laialdaselt kasutatav protokollide komplekt kataloogiteenustele juurdepääsu saamiseks.

Kataloogiteenus on lihtsustatult tsentraliseeritud võrgupõhine andmebaas, mis on optimeeritud lugemisjuurdepääsuks. See salvestab ja pakub juurdepääsu teabele, mis peab olema kas rakenduste vahel jagatud või laialt levinud.

Kataloogiteenustel on intraneti ja Interneti-rakenduste väljatöötamisel oluline roll, aidates teil kogu võrgus kasutajate, süsteemide, võrkude, rakenduste ja teenuste kohta teavet jagada.

LDAP tüüpiline kasutusjuht on pakkuda kasutajanimede ja paroolide tsentraliseeritud salvestamist. See võimaldab erinevatel rakendustel (või teenustel) kasutajate valideerimiseks LDAP-serveriga ühendust luua.

Pärast töötava LDAP-serveri seadistamist peate selle ühendamiseks kliendile installima teegid. Selles artiklis me näitame, kuidas LDAP-klient seadistada välise autentimisallikaga ühenduse loomiseks.

Loodan, et teil on juba toimiv LDAP-serveri keskkond, kui mitte seadistada LDAP-serverit LDAP-põhise autentimise jaoks.

LDAP-kliendi installimine ja konfigureerimine Ubuntu ja CentOS-is

Kliendisüsteemides peate installima mõned vajalikud paketid, et autentimismehhanism LDAP-serveriga õigesti toimiks.

Kõigepealt alustage vajalike pakettide installimisega, käivitades järgmise käsu.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Installimise ajal küsitakse teilt LDAP-serveri üksikasju (esitage väärtused vastavalt keskkonnale). Pange tähele, et automaatselt installitud pakett ldap-auth-config teeb teie sisenditest lähtudes enamiku konfiguratsioonidest.

Järgmisena sisestage LDAP-i otsingubaasi nimi, saate selleks kasutada nende domeeninimede komponente, nagu ekraanipildil näidatud.

Valige ka kasutatav LDAP-versioon ja klõpsake nuppu OK.

Nüüd konfigureerige suvand, mis võimaldab teil luua parooliliideseid, mis kasutavad pam-i käitumiseks nagu te vahetaksite kohalikke paroole, ja klõpsake jätkamiseks nuppu Jah

Järgmiseks keelake järgmise suvandi abil LDAP-i andmebaasi sisselogimisnõue.

Samuti määrake juur jaoks LDAP-konto ja klõpsake nuppu OK.

Järgmisena sisestage parool, mida kasutatakse juhul, kui ldap-auth-config üritab juurte jaoks LDAP-kontoga LDAP-kataloogi sisse logida.

Dialoogi tulemused salvestatakse faili /etc/ldap.conf. Kui soovite muudatusi teha, avage see fail ja redigeerige seda oma lemmik käsurea redaktori abil.

Järgmisena konfigureerige käivitades NSS-i LDAP-profiil.

$ sudo auth-client-config -t nss -p lac_ldap

Seejärel konfigureerige süsteem autentimiseks LDAP-i, värskendades PAM-i konfiguratsioone. Valige menüüst LDAP ja kõik muud vajalikud autentimismehhanismid. Nüüd peaksite saama sisse logida LDAP-põhiste mandaatide abil.

$ sudo pam-auth-update

Kui soovite, et kasutaja kodukataloog loodaks automaatselt, peate ühisseansi PAM-failis tegema veel ühe konfiguratsiooni.

$ sudo vim /etc/pam.d/common-session

Lisage see rida sinna.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Salvestage muudatused ja sulgege fail. Seejärel taaskäivitage NCSD (nimeteenuse vahemälu deemon) teenus järgmise käsuga.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Märkus. Kui kasutate replikatsiooni, peavad LDAP-kliendid viitama mitmele serverisse, mis on määratud /etc/ldap.conf. Selles vormis saate määrata kõik serverid:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

See tähendab, et päring aegub ja kui pakkuja (ldap1.example.com) ei reageeri, üritab tarbija (ldap2.example.com) selle töötlemiseks ühendust võtta.

Konkreetse kasutaja LDAP-kirjete kontrollimiseks serverist käivitage näiteks käsk getent.

$ getent passwd tecmint

Kui ülaltoodud käsk kuvab faili/etc/passwd määratud kasutaja üksikasjad, on teie kliendiseade nüüd konfigureeritud LDAP-serveriga autentimiseks, peaksite saama sisse logida LDAP-põhiste mandaatide abil.

LDAP-kliendi konfigureerimine CentOS 7-s

Vajalike pakettide installimiseks käivitage järgmine käsk. Pange tähele, et kui kasutate selles jaotises süsteemi mittejuurelise administraatori kasutajana, kasutage kõigi käskude käitamiseks käsku sudo.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Järgmisena lubage kliendisüsteemil LDAP abil autentimine. Võite kasutada utiliiti authconfig, mis on liides süsteemi autentimisressursside konfigureerimiseks.

Käivitage järgmine käsk ja asendage example.com oma domeeniga ning dc = example, dc = com oma LDAP domeenikontrolleriga.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Ülalolevas käsus loob suvand --enablemkhomedir esimese ühenduse korral kohaliku kasutaja kodukataloogi, kui seda pole.

Järgmisena testige, kas konkreetse kasutaja serverist pärinevad LDAP-kirjed, näiteks kasutaja tecmint.

$ getent passwd tecmint

Ülaltoodud käsk peaks kuvama faili/etc/passwd määratud kasutaja üksikasjad, mis tähendab, et kliendiseade on nüüd konfigureeritud LDAP-serveriga autentimiseks.

Tähtis: kui teie süsteemis on lubatud SELinux, peate lisama reegli, mis võimaldab mkhomediril automaatselt kodukatalooge luua.

Lisateabe saamiseks vaadake asjakohast dokumentatsiooni OpenLDAP tarkvara dokumendikataloogist.

LDAP on laialdaselt kasutatav protokoll kataloogiteenuse päringute esitamiseks ja muutmiseks. Selles juhendis oleme näidanud, kuidas konfigureerida LDAP-klient ühenduse loomiseks välise autentimisallikaga Ubuntu ja CentOS-i klientmasinates. Allpool oleva tagasiside vormi abil saate jätta kõik küsimused või kommentaarid.