krimaka.net

Tänään on keskiviikko 29.6.2022 ja nimipäiviään viettää: Pietari, Pekka, Petri, Petra, Petteri, Pekko, Peter, Per, Petter, Petra ja Pernilla onnea!

Ldap-asiakas

Tässä dokumentissa tehdään tarvittavat asennukset ja määritykset OpenLDAP:n käyttöön ottoon asiakaskoneessa. Olettaen että olet tehnyt jo OpenLDAP palvelimen jossa palvelu on päällä, ja valmiina yhteyden ottoon.

Ennen kuin lähdet tekemään asetuksia, koita käyttää distrosi mukana tulevia graafisia työkaluja, ja tee niillä asetukset. Sen jälkeen tarkista että kaikki on oikein, kuten esim. salasanojen salaus: pam_password md5 jonka otimme käyttöön palvelimella. Jos et saa autentikointia ldap palvelimelle toimimaan, silloin kannattaa käydä alla oleva dokumentti kohta kohdalta läpi, ehkä se kannattaa muutenkin!

Asennus:

Asenna tarvittavat asennus paketit jakelusi mukana tulleilla pakettien- hallinta ja asennus työkaluilla. Yllä luetellut pakettien nimet voivat vaihdella eri distrojen välillä.

Asetukset:

Konfigurointi tiedostojen rivin alussa oleva # merkki on kommenttimerkki , jolloin merkin perässä oleva määritys tai kirjoitus on kommentoitu pois, eli sitä ei ohjelma lue.

HUOMIO: Älä mene sekaisin /etc/ldap.conf ja /etc/openldap/ldap.con tiedostojen välillä. /etc/openldap/ldap.conf on konfigurointi tiedosto jota käyttää työkalut ldapsearch, ldapadd, me taas emme käytä niitä tässä.

/etc/nsswitch.conf

Lisättiin ldap, huomaa järjestys! Mikä on tässä hyvä koska jos ldap palvelin ei vastaa, etsitään salasanaa myös paikallisista tiedostoista.

/etc/pam.d/system-auth Vain neljä parametriä tarvitaan:

Kun ensimmäisen kerran kirjaudut järjestelmään ldap autentikoinnin avulla, ja jos sinulla ei ole asiakas koneella valmiiksi /home/sinunkoti -kansiota, saat virhe ilmoituksen "/home/sinunkoti: does not exist" On mahdollista laittaa kotikansion luonti automaattiseksi jos sitä ei jo valmiiksi ole, se tapahtuu lisäämällä seuraava rivi: session required pam_mkhomedir.so skel=/etc/skel umask=0077

Nyt /etc/pam.d/system-auth tiedoston pitäisi näyttää tältä:

auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_ldap.so

password required pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient pam_ldap.so usr_authtok
password sufficient pam_unix.so nullok use_authtok md5 shadow
password required pam_deny.so

session required pam_limits.so
session required pam_unix.so
session required pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

/etc/ldap.conf

Tiedostossa ldap.conf määritellään: Mitä ldap -palvelinta käytetään?

Lisäksi järjestelmä on oletusasetuksin määritelty käyttämään "crypt" salausta joka tosiasiallisesti on heikko ja se asetus sinun täytyy muuttaa muotoon "md5". md5 -salaus on eniten käytetty salaus esim. Mandrivalinuxissa. Kuten nyt myös tässä meidän esimerkki palvelin asetuksissa.

Tämän vuoksi muutetaan alla olevat rivit /etc/ldap tiedostosta:
host 192.168.0.100
base dc=esimerkki,dc=com
nss_base_passwd ou=Users,dc=linuxdomain,dc=com?sub
nss_base_shadow ou=Users,dc=linuxdomain,dc=com?sub
nss_base_group ou=Group,dc=linuxdomain,dc=com?sub
pam_password md5

Testaus:

Nyt asetukset on tehty ja voidaan tarkistaa että ne toimivat, käskytä:
getent passwd
getent group
Molempien käskyjen pitäisi näyttää paikalliset tilit, sekä tilit ldap palvelimella.

Huomio: Salasanat oletuksena muutetaan ldap -palvelimella, eikä paikallisissa tiedostoissa. Paikalliset tiedostot ovat kuitenkin edelleen käytössä ja validit, jos käyttäjä esiintyy molemmissa paikoissa (paikallisesti ja ldap -palvelimella) silloin hänellä on kaksi mahdollista salasanaa, toinen /etc/shadow tiedostossa ja toinen ldap palvelimella.

Se siitä...

Valid CSS! Valid html5!


Etusivu Etsi Linux Tietotekniikka Viihde
Put the fun back into computin, use linux!
ylös 2006-2022 © krimaka.net ylös