Настройка ldap debian 10
Обновлено: 06.07.2024
Развертывание LDAP в CentOS в качестве агента сервера каталогов, агента системы каталогов или DSA (все эти сокращения одинаковы) аналогично более ранним установкам Novell Netware с использованием структуры дерева каталогов с NDS.
Краткая история LDAP
LDAP был в основном создан как эффективный способ доступа к каталогам X.500 с помощью корпоративных ресурсов. И X.500, и LDAP имеют одинаковые характеристики и настолько похожи, что клиенты LDAP могут обращаться к каталогам X.500 с некоторыми помощниками. Хотя LDAP также имеет свой собственный сервер каталогов под названием slapd . Основное различие между LDAP и DAP состоит в том, что облегченная версия предназначена для работы через TCP.
В то время как DAP использует полную модель OSI. С появлением Интернета, TCP / IP и Ethernet в современных сетях редко можно встретить имплантацию служб каталогов, использующую как DAP, так и собственные корпоративные каталоги X.500, выходящие за рамки конкретных моделей устаревших вычислений.
Основные компоненты, используемые с openldap для CentOS Linux:
| OpenLDAP | Библиотеки поддержки LDAP |
|---|---|
| OpenLDAP-сервер | Сервер LDAP |
| OpenLDAP-клиенты | Клиентские возможности LDAP |
| OpenLDAP-разви | Библиотеки разработки для OpenLDAP |
| Компай-OpenLDAP | Общие библиотеки OpenLDAP |
| Slapd | Сервер каталогов демон OpenLDAP |
| Slurpd | Используется для репликации LDAP через домен предприятия |
Установите Open LDAP на CentOS
Установите openldap, openldap-серверы, openldap-клиенты и миграционные инструменты из YUM .
Теперь давайте убедимся, что у нас есть структура openldap в / etc / openldap .
Затем убедитесь, что наш сервис slapd запущен.
Далее, давайте настроим нашу установку Open LDAP .
Убедитесь, что наш системный пользователь ldap создан.
Создайте наши учетные данные LDAP.
Нам нужно сохранить вывод из slappasswd.
Настроить Open LDAP
Во-первых, мы хотим настроить нашу среду openLDAP. Ниже приведен шаблон для использования с командой ldapmodify .
Блог про Linux, Bash и другие информационные технологии
LDAP расшифровывается как Lightweight Directory Access Protocol, облегченный протокол доступа к каталогам. Это достаточно простой протокол, который позволяет производить операции аутентификации, поиска данных, сравнения, добавления, изменения и удаления записей. Сами каталоги используются для хранения структурированной информации. К сожалению, настройка LDAP для неподготовленного человека может быть сложна без предварительной подготовки. Поэтому давайте разберемся, что это такое и как это работает.
Установка OpenLDAP
Для всех современных дистрибутивов в официальных репозиториях есть уже готовые пакеты, поэтому установка обычно сводится к установке соответствующих пакетов:
По зависимостям будет установлено еще несколько пакетов. При установке будет запрошен пароль пользователя admin. Задавайте любой, мы все равно будем после установки задавать собственную конфигурацию.
Если вам нужна самая свежая версия OpenLDAP, то исходные коды можно скачать на официальном сайте.
Схемы LDAP
top
organization
organizationalUnit
person
inetOrgPerson
При создании объекта вы указываете, к каким классам он относится и, исходя из этого, можно задавать соответствующие атрибуты. Примеры чуть ниже. Файлы схем хранятся в директории /etc/ldap/slapd.d/cn=config/cn=schema. В них хранятся описания классов объектов и атрибутов. Для просмотра объектов, которые используются в данный момент, используется команда
Она выводит содержимое базы данных объектов.
Редактировать файлы схемы не рекомендуется. Хотя в интернете достаточно много статей по настройке LDAP, где рекомендуют отредактировать ldif-файлы схемы, это делать не нужно, более того, в самих файлах указан комментарий о том, что файлы нельзя редактировать вручную и необходимо для редактирования использовать команду ldapmodify. К сожалению, информации об использовании этой команды гораздо меньше, чем о ручном редактировании файлов .ldif, хотя ее использование в чем-то даже проще, чем редактирование файлов напрямую.
Настройка OpenLDAP
Вы увидите такой экран:
Вводим пароль администратора LDAP-сервера. Пароль желательно вводить сложный, это как-никак пароль администратора. Нажимаем ОК.
Повторяем пароль, нажимаем OK
На вопрос удалять ли базу данных при вычистке slapd отвечаем утвердительно
На вопрос о перемещении старой базы данных также отвечаем утвердительно
На предложение включить старый протокол LDAPv2 отвечаем No/Нет
На этом первоначальная настройка завершена. Если сервис не стартовал, запускаем его вручную командой
Проверим, есть ли данные в базе:
Можно сразу проверить, правильно ли работает сервер OpenLDAP. Это можно сделать следующей командой:
После ввода команды будет запрошен пароль. Если вы не хотите вводить пароль в интерактивном режиме, вы можете использовать параметр -w:
Результат команды поиска будет выглядеть следующим образом:
Можно продолжать настройку
Нажимаем Ctrl+C для выхода
Теперь надо проверить, внесены ли данные:
Всё верно, и теперь можно внести первого пользователя. Сначала сгенерируем хэш пароля для пользователя.
Этот хэш нам понадобится при создании пользователя
Снова запускаем ldapmodify и создаем пользователя. По окончании ввода значений полей дважды нажимаем Enter
После ввода нажимаем Ctrl+C и выходим
Проверяем, есть ли запись с uid=jdoe:
Запись есть, отлично. Теперь надо проверить аутентификацию:
После ввода правильного пароля получаем запрошенную информацию
Обратите внимание на то, что даже если для записи указан uid, представляющий собой логин пользователя, вы не сможете использовать его для логина. Причина этого в том, что само поле не является первичным ключом записи. Если вы хотите использовать именно jdoe, то вам придется создать запись
И задать для этой записи пароль. Эти две записи будут существовать в одно и то же время, поэтому вам нужно заранее подумать о том, какое поле вы будете использовать для аутентификации.
Чтобы настроить клиент LDAP на машине Debian 10, выполните следующие пятнадцать шагов. Конфигурации могут отличаться в зависимости от ваших уникальных требований и использования клиента LDAP. Следующие шаги проведут вас через некоторые из наиболее общих конфигураций клиента LDAP.
Шаг 1. Установите клиент LDAP и необходимые пакеты
Сначала установите клиент LDAP и все пакеты, необходимые для правильной работы LDAP в Debian 10, выполнив следующую команду:
sudo apt установить libnss-ldap libpam-ldap ldap-utils
Как только эта команда начнет выполнение, вы увидите интерактивную подсказку, в которой вы сможете выполнить различные конфигурации LDAP, описанные в следующих шагах.
Шаг 2. Настройте URI для LDAP-сервера
Шаг 3. Настройте отличное имя для базы поиска LDAP
Шаг 4. Выберите желаемую версию протокола LDAP
Шаг 5: Выберите учетную запись LDAP для рута
Шаг 6: Установите пароль для учетной записи root LDAP
Шаг 7. Удалите записи LDAP из файла конфигурации
Шаг 8. Разрешите учетной записи администратора LDAP вести себя как локальный корень
Теперь разрешите учетной записи администратора LDAP вести себя как локальная учетная запись root, выбрав да вариант из диалогового окна, как показано на следующем изображении:
Шаг 9. Отключите вход в базу данных LDAP
Вы можете отключить вход в базу данных LDAP, выбрав Нет вариант из диалогового окна, как показано на изображении ниже. Это устранит необходимость аутентификации во время получения записей LDAP.
Шаг 10: Введите имя учетной записи администратора LDAP
Шаг 11: Введите пароль для учетной записи root LDAP или учетной записи администратора
Шаг 12: Обновите конфигурации PAM
Затем настройте свою систему Debian 10 на использование LDAP для аутентификации. Для этого обновите конфигурации PAM, выполнив следующую команду:
Шаг 13: разрешите автоматическое создание домашнего каталога пользователя
Вы также можете разрешить автоматическое создание домашнего каталога пользователя. Для этого вы отредактируете PAM-файл Common Session. Доступ к этому файлу можно получить с помощью следующей команды:
судо нано / и т. д. / пам.г / общая-сессия
Когда этот файл откроется в редакторе nano, введите следующую строку кода в конце этого файла:
требуется сеанс pam_mkhomedir.так skel = / etc / skel umask = 077
После добавления этой строки нажмите Ctrl + X чтобы сохранить файл и выйти из редактора nano.
Шаг 14: перезапустите демон кэша службы имен (nscd)
Перезапустите демон кеширования службы имен (nscd), чтобы он мог читать новые конфигурации. Ncsd можно перезапустить с помощью следующей команды:
sudo systemctl перезапустить nscd
Шаг 15. Включите демон кэша службы имен (nscd)
Наконец, повторно включите демон кеширования службы имен (nscd) с помощью следующей команды:
sudo systemctl включить nscd
На этом шаге мы подошли к концу настройки клиента LDAP в системе Debian 10.
Метод удаления клиента LDAP из Debian 10
Если вам больше не хочется использовать клиент LDAP для Debian 10, вы можете удалить его и его файлы конфигурации с помощью следующей команды:
sudo apt-get purge libnss-ldap libpam-ldap ldap-utils
Наконец, чтобы удалить любые дополнительные пакеты, которые были установлены с клиентом LDAP, введите следующую команду:
sudo apt-get autoremove
Эта команда удалит все пакеты, которые больше не нужны после удаления клиента LDAP из Debian 10.
Заключение
В этой статье объясняется, как настроить клиент LDAP в системе Debian 10. Эти конфигурации чрезвычайно просты в использовании и не займут больше 10 минут. Наконец, мы также показали вам, как удалить клиент LDAP с вашего компьютера Debian 10.
Свежие статьи об операционных системах. Множество интересных гайдов и полезных советов. Почувствуйте себя своим в мире современных технологий
1. Подготовка системы
Перво-наперво приводим в порядок конфигурационные файлы host'ов:
Итак, у меня домен будет называться ldap , хост с сервером - openldap.ldap . Забегая вперёд, домен Samba будет называться LDAP . Эти настройки будут схвачены сервером OpenLDAP прямо при установке, что довольно подло.
2. Установка пакетов
Вот тут надо быть внимательным:
- Сервер slapd запросит только пароль для админа. Имя административной записи - admin
- Вместо старинных libnss-ldap и libpam-ldap надо ставить и настраивать новые libnss-ldapd и libpam-ldapd , которые при установке спросят, что и как подменить в nsswitch.conf (ставим все галочки)
3. Настройка OpenLDAP
Признаюсь сразу: победить /etc/slap.d я не смог. Поэтому делаем по-старинке, в файле /etc/ldap/slapd.conf . Предварительно перемещаем куда-нибудь директорию slap.d :
Потом создаём файл конфигурации /etc/ldap/slapd.conf примерно вот такого содержания:
Фактически, от дефолтного конфига, какой он был в Debian Lenny отличает только указание суффиксов и инклуд всех доступных схем, в том числе Samba.
Внимание. Очень вероятно, что slapd не запустится, так как он очень чувствителен к наличию лишних непечатаемых символов в конфиге. Плюс ко всему, перед строками типа access to attrs=shadowLastChange,shadowMax должны стоять табуляции (без них будет только ругань и падение). В общем, на всякий случай, лучше взять конфиги из вложения.
Самой схемы samba по-умолчанию нету, надо взять из примеров (не зря же samba-doc ставили!):
Для вставки хеша пароля используем команду (у меня вставлен хеш от слова password ):
Подложили конфиг, можно пробовать стартовать slapd:
Запустилось - хорошо. Не запустилось - читаем syslog до полного просветления. Я вот 2 суток читал, вылавливая ошибки.
4. Настройка Samba
Тут всё просто, конфиг проверенный, если что-то хочется - дописываем по вкусу в /etc/samba/smb.conf :
Собственно, конфиг нам говорит о том, что надо работать через OpenLDAP и создавать для виндовых машин домен с именем LDAP.
Ну и пара маленьких штришков. Задаём пароль в LDAP для Samba:
Создаём нужные директории:
и рестартуем Samba:
Для проверки хорошо бы воспользоваться testparm , если ругается на мелочи, типа прав на файлы, то можно пока забить и работать дальше.
5. Настройка libnss и smb-ldap-utils
Нынче настройки минимальны (ведь при установке libnss-ldapd всё правильно ввели, да?)
Смотрим в /etc/ldap/ldap.conf (это настройка клиента LDAP):
Ну и самое важное - скрипты интеграции Samba и LDAP:
Узнать SID домена можно командой:
Второй файлик для издевательств /etc/smbldap-tools/smbldap_bind.conf : Если уверены в своих силах, то можно самостоятельно понастраивать дефолтные файлы конфигурации, добыть их можно так:
Но в любом случае, не забываем поменять права:
Ну и в итоге, делаем так:
Собственно, всё. Остаётся проверить, правильно ли. Я, на всякий случай, сделал reboot, мало ли.
6. Проверка совместной работы и введение в домен
Для проверки заведём пользователя testuser:
Проверим, подхватила ли система смену в nsswitch.conf :
По-идее, должно запуститься. В противном случае - курить логи, до полного просветления.
7. Графические средства управления
Их много, всяких. Я ещё не выбрал. Вот попробовал написанную на Java программку jxplorer . Есть в репозитарии. Страдает тем, что постояв некоторое время включённой требует перезапуска, так как теряет соединение и не может заново установить. Подключение элементарное:
Выглядит настроенное очень любопытно, вот такое дерево получилось:
8. Введение Windows 7 в Samba 3.5 NT-домен
Без плясок с отключением безопасности Windows 7 в домене NT не работает, в отличии от WinXP, кстати. Создаём reg-файл с таким вот содержимым и запускаем от имени администратора:
Ессно, что domen поменять надо на свой domain-name Самбы. Всё, после этого заработает.
[Лирика] Помню, когда обслуживал Samba 2х, вроде, так там надо было ещё и машину вручную в домен загнать, и половину настроек безопасности в WinXP поотключать. Дааа, было время.. [/Лирика]
Читайте также: