Kaip sukonfigūruoti LDAP klientą prijungti išorinį autentifikavimą

LDAP (sutrumpintas „Lightweight Directory Access Protocol“) yra pramonės standartas, plačiai naudojamas protokolų rinkinys, skirtas prieigai prie katalogo paslaugų.

Katalogų paslauga paprastai tariant, yra centralizuota, tinklo duomenų bazė, optimizuota prieigai prie skaitymo. Joje saugoma ir suteikiama prieiga prie informacijos, kuria turi būti dalijamasi tarp programų arba kuri yra labai paskirstyta.

Katalogų paslaugos vaidina svarbų vaidmenį kuriant intraneto ir interneto programas, padedant jums dalytis informacija apie vartotojus, sistemas, tinklus, programas ir paslaugas visame tinkle.

Tipiškas LDAP naudojimo atvejis yra pasiūlyti centralizuotą vartotojo vardų ir slaptažodžių saugojimą. Tai leidžia įvairioms programoms (ar paslaugoms) prisijungti prie LDAP serverio, kad būtų patvirtinti vartotojai.

Sukūrę veikiantį LDAP serverį, turėsite kliente įdiegti bibliotekas, kad galėtumėte prisijungti. Šiame straipsnyje parodysime, kaip sukonfigūruoti LDAP klientą prisijungti prie išorinio autentifikavimo šaltinio.

Tikiuosi, kad jau turite veikiančią LDAP serverio aplinką, jei ne, nustatykite LDAP serverį LDAP pagrįstam autentifikavimui.

Kaip įdiegti ir konfigūruoti LDAP klientą „Ubuntu“ ir „CentOS“

Klientų sistemose turėsite įdiegti keletą būtinų paketų, kad autentifikavimo mechanizmas veiktų tinkamai su LDAP serveriu.

Pirmiausia pradėkite įdiegdami reikiamus paketus vykdydami šią komandą.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Diegimo metu būsite paraginti pateikti išsamią informaciją apie savo LDAP serverį (nurodykite vertes pagal savo aplinką). Atkreipkite dėmesį, kad automatiškai įdiegtas „ldap-auth-config“ paketas atlieka daugiausia konfigūracijų pagal įvestus įvestis.

Tada įveskite LDAP paieškos bazės pavadinimą, šiam tikslui galite naudoti jų domenų vardų komponentus, kaip parodyta ekrano kopijoje.

Taip pat pasirinkite norimą naudoti LDAP versiją ir spustelėkite Gerai.

Dabar sukonfigūruokite parinktį, leidžiančią sukurti slaptažodžių komunalines paslaugas, kurios naudoja pam, kad elgtųsi taip, lyg pakeistumėte vietinius slaptažodžius, ir spustelėkite Taip, kad tęstumėte ..

Tada išjunkite prisijungimo prie LDAP duomenų bazės reikalavimą naudodami kitą parinktį.

Taip pat apibrėžkite šaknies LDAP abonementą ir spustelėkite Gerai.

Tada įveskite slaptažodį, kurį norite naudoti, kai „ldap-auth-config“ bando prisijungti prie LDAP katalogo naudodama šakninę LDAP paskyrą.

Dialogo rezultatai bus saugomi faile /etc/ldap.conf. Jei norite atlikti pakeitimus, atidarykite ir redaguokite šį failą naudodami mėgstamą komandų eilutės redaktorių.

Tada paleisdami sukonfigūruokite NSS LDAP profilį.

$ sudo auth-client-config -t nss -p lac_ldap

Tada sukonfigūruokite sistemą naudoti LDAP tapatybei atnaujinti PAM konfigūracijas. Meniu pasirinkite LDAP ir kitus reikalingus autentifikavimo mechanizmus. Dabar turėtumėte galėti prisijungti naudodamiesi LDAP kredencialais.

$ sudo pam-auth-update

Jei norite, kad vartotojo namų katalogas būtų sukurtas automatiškai, turite atlikti dar vieną konfigūraciją bendrosios sesijos PAM faile.

$ sudo vim /etc/pam.d/common-session

Pridėkite šią eilutę jame.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Išsaugokite pakeitimus ir uždarykite failą. Tada iš naujo paleiskite NCSD (vardų tarnybos talpyklos deemoną) paslaugą naudodami šią komandą.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Pastaba: Jei naudojate replikaciją, LDAP klientai turės nurodyti kelis serverius, nurodytus /etc/ldap.conf. Visus serverius galite nurodyti šioje formoje:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Tai reiškia, kad užklausa pasibaigs, ir jei teikėjas (ldap1.example.com) nebeatsakys, vartotojas (ldap2.example.com) bandys susisiekti su juo.

Norėdami patikrinti konkretaus vartotojo LDAP įrašus iš serverio, vykdykite, pavyzdžiui, komandą getent.

$ getent passwd tecmint

Jei pirmiau pateiktoje komandoje pateikiama išsami nurodyto vartotojo informacija iš/etc/passwd failo, jūsų kliento mašina dabar sukonfigūruota autentifikuoti per LDAP serverį, turėtumėte galėti prisijungti naudodamiesi LDAP kredencialais.

Konfigūruokite LDAP klientą „CentOS 7“

Norėdami įdiegti reikiamus paketus, vykdykite šią komandą. Atminkite, kad šiame skyriuje, jei sistemą naudojate kaip ne root administravimo vartotoją, naudokite komandą sudo, kad paleistumėte visas komandas.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Tada leiskite kliento sistemai autentifikuoti naudojant LDAP. Galite naudoti „authconfig“ įrankį, kuris yra sąsaja, skirta konfigūruoti sistemos autentifikavimo išteklius.

Paleiskite šią komandą ir pakeiskite example.com savo domenu, o dc = example, dc = com - savo LDAP domeno valdikliu.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Pirmiau pateiktoje komandoje parinktis --enablemkhomedir sukuria vietinį vartotojo namų katalogą per pirmąjį ryšį, jei jo nėra.

Tada patikrinkite, ar tam tikro vartotojo iš serverio LDAP įrašai, pavyzdžiui, vartotojo tecmint.

$ getent passwd tecmint

Pirmiau nurodyta komanda turėtų pateikti išsamią nurodyto vartotojo informaciją iš failo/etc/passwd, o tai reiškia, kad kliento mašina dabar sukonfigūruota autentifikuoti LDAP serveryje.

Svarbu: jei jūsų sistemoje įgalinta „SELinux“, turite pridėti taisyklę, kad „mkhomedir“ leistų automatiškai kurti namų katalogus.

Norėdami gauti daugiau informacijos, ieškokite atitinkamų dokumentų iš „OpenLDAP Software“ dokumentų katalogo.

LDAP yra plačiai naudojamas protokolas, teikiantis užklausas ir modifikuojant katalogų paslaugą. Šiame vadove mes parodėme, kaip sukonfigūruoti LDAP klientą prisijungti prie išorinio autentifikavimo šaltinio Ubuntu ir CentOS kliento mašinose. Klausimus ar komentarus galite palikti naudodami toliau pateiktą atsiliepimų formą.