Hvernig á að stilla LDAP viðskiptavin til að tengja ytri auðkenningu

LDAP (stutt fyrir Lightweight Directory Access Protocol) er iðnaðarstaðall, mikið notaður samskiptareglur til að fá aðgang að skráarþjónustu.

Skráaþjónusta í einföldu máli er miðlægur, nettengdur gagnagrunnur sem er fínstilltur fyrir lesaðgang. Það geymir og veitir aðgang að upplýsingum sem annaðhvort verður að deila á milli forrita eða er mjög dreift.

Skráaþjónusta gegnir mikilvægu hlutverki í þróun innra neta og netforrita með því að hjálpa þér að deila upplýsingum um notendur, kerfi, net, forrit og þjónustu um netið.

Dæmigert notkunartilvik fyrir LDAP er að bjóða upp á miðlæga geymslu á notendanöfnum og lykilorðum. Þetta gerir ýmsum forritum (eða þjónustu) kleift að tengjast LDAP þjóninum til að sannprófa notendur.

Eftir að hafa sett upp virkan LDAP netþjón þarftu að setja upp bókasöfn á biðlaranum til að tengjast honum. Í þessari grein munum við sýna hvernig á að stilla LDAP biðlara til að tengjast utanaðkomandi auðkenningargjafa.

Ég vona að þú sért nú þegar með virkt LDAP miðlaraumhverfi, ef ekki settu upp LDAP netþjón fyrir LDAP byggða auðkenningu.

Hvernig á að setja upp og stilla LDAP viðskiptavin í Ubuntu og CentOS

Í biðlarakerfum þarftu að setja upp nokkra nauðsynlega pakka til að auðkenningarkerfi virki rétt með LDAP netþjóni.

Byrjaðu fyrst á því að setja upp nauðsynlega pakka með því að keyra eftirfarandi skipun.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Meðan á uppsetningu stendur verður þú beðinn um upplýsingar um LDAP netþjóninn þinn (gefðu upp gildin í samræmi við umhverfi þitt). Athugaðu að ldap-auth-config pakkinn sem er sjálfvirkur uppsettur gerir mest af stillingunum miðað við inntakið sem þú slærð inn.

Næst skaltu slá inn nafn LDAP leitargrunnsins, þú getur notað íhluti lénanna þeirra í þessum tilgangi eins og sýnt er á skjámyndinni.

Veldu einnig LDAP útgáfuna til að nota og smelltu á Í lagi.

Stilltu nú valkostinn til að leyfa þér að gera lykilorðaforrit sem nota pam til að haga sér eins og þú myndir breyta staðbundnum lykilorðum og smelltu á Já til að halda áfram.

Næst skaltu slökkva á innskráningarkröfu í LDAP gagnagrunninn með því að nota næsta valmöguleika.

Skilgreindu einnig LDAP reikning fyrir rót og smelltu á Í lagi.

Næst skaltu slá inn lykilorðið sem á að nota þegar ldap-auth-config reynir að skrá þig inn í LDAP skrána með því að nota LDAP reikninginn fyrir rót.

Niðurstöður gluggans verða geymdar í skránni /etc/ldap.conf. Ef þú vilt gera einhverjar breytingar skaltu opna og breyta þessari skrá með því að nota uppáhalds skipanalínuritlina þinn.

Næst skaltu stilla LDAP sniðið fyrir NSS með því að keyra.

$ sudo auth-client-config -t nss -p lac_ldap

Stilltu síðan kerfið til að nota LDAP fyrir auðkenningu með því að uppfæra PAM stillingar. Í valmyndinni skaltu velja LDAP og önnur auðkenningarkerfi sem þú þarft. Þú ættir nú að geta skráð þig inn með LDAP-byggðum skilríkjum.

$ sudo pam-auth-update

Ef þú vilt að heimaskrá notandans sé búin til sjálfkrafa, þá þarftu að framkvæma eina stillingu í viðbót í PAM skránni fyrir sameiginlega lotu.

$ sudo vim /etc/pam.d/common-session

Bættu þessari línu inn í það.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Vistaðu breytingarnar og lokaðu skránni. Endurræstu síðan NCSD (Name Service Cache Daemon) þjónustuna með eftirfarandi skipun.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Athugið: Ef þú ert að nota afritun, þurfa LDAP biðlarar að vísa til margra netþjóna sem tilgreindir eru í /etc/ldap.conf. Þú getur tilgreint alla netþjóna á þessu formi:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Þetta þýðir að beiðnin mun renna út og ef veitandinn (ldap1.example.com) bregst ekki mun neytandinn (ldap2.example.com) reyna að ná í hana til að vinna úr henni.

Til að athuga LDAP færslur fyrir tiltekinn notanda frá þjóninum skaltu keyra getent skipunina, til dæmis.

$ getent passwd tecmint

Ef skipunin hér að ofan sýnir upplýsingar um tilgreindan notanda úr /etc/passwd skránni, biðlaravélin þín er nú stillt til að auðkenna með LDAP þjóninum, þú ættir að geta skráð þig inn með LDAP-byggðum skilríkjum.

Stilltu LDAP viðskiptavin í CentOS 7

Til að setja upp nauðsynlega pakka skaltu keyra eftirfarandi skipun. Athugaðu að í þessum hluta, ef þú ert að reka kerfið sem stjórnunarnotandi sem ekki er rót, notaðu sudo skipunina til að keyra allar skipanir.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Næst skaltu gera biðlarakerfinu kleift að auðkenna með LDAP. Þú getur notað authconfig tólið, sem er viðmót til að stilla kerfisvottunartilföng.

Keyrðu eftirfarandi skipun og skiptu út example.com fyrir lénið þitt og dc=example,dc=com fyrir LDAP lénsstýringuna þína.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Í skipuninni hér að ofan býr --enablemkhomedir valmöguleikinn til heimamöppu notenda við fyrstu tengingu ef engin er til staðar.

Næst skaltu prófa hvort LDAP færslurnar fyrir tiltekinn notanda frá þjóninum, til dæmis notanda tecmint.

$ getent passwd tecmint

Ofangreind skipun ætti að sýna upplýsingar um tilgreindan notanda úr /etc/passwd skránni, sem gefur til kynna að biðlaravélin sé nú stillt til að auðkenna með LDAP þjóninum.

Mikilvægt: Ef SELinux er virkt á kerfinu þínu þarftu að bæta við reglu til að leyfa að búa til heimamöppur sjálfkrafa af mkhomedir.

Fyrir frekari upplýsingar, skoðaðu viðeigandi skjöl úr OpenLDAP Software skjalaskrá.

LDAP, er mikið notað samskiptareglur til að spyrjast fyrir um og breyta skráarþjónustu. Í þessari handbók höfum við sýnt hvernig á að stilla LDAP biðlara til að tengjast utanaðkomandi auðkenningargjafa, í Ubuntu og CentOS biðlara vélum. Þú getur skilið eftir allar spurningar eða athugasemdir sem þú gætir haft með því að nota athugasemdareyðublaðið hér að neðan.