Kuinka määritetään LDAP-asiakas yhdistämään ulkoinen todennus

LDAP (lyhenne sanoista Lightweight Directory Access Protocol) on alan standardi, joka on laajalti käytetty protokollajoukko hakemistopalveluihin pääsemiseksi.

Hakemistopalvelu yksinkertaisesti on keskitetty, verkkopohjainen tietokanta, joka on optimoitu lukuoikeuksiin. Se tallentaa ja tarjoaa pääsyn tietoihin, jotka on joko jaettava sovellusten välillä tai joita on paljon jaettu.

Hakemistopalveluilla on tärkeä rooli intranetin ja Internet-sovellusten kehittämisessä auttamalla sinua jakamaan tietoja käyttäjistä, järjestelmistä, verkoista, sovelluksista ja palveluista koko verkossa.

Tyypillinen käyttötapa LDAP: lle on tarjota keskitetty tallennus käyttäjänimille ja salasanoille. Tämän avulla eri sovellukset (tai palvelut) voivat muodostaa yhteyden LDAP-palvelimeen käyttäjien vahvistamiseksi.

Kun olet määrittänyt toimivan LDAP-palvelimen, sinun on asennettava kirjastot asiakkaalle yhteyden muodostamista varten. Tässä artikkelissa näytetään, kuinka määritetään LDAP-asiakas muodostamaan yhteys ulkoiseen todennuslähteeseen.

Toivon, että sinulla on jo toimiva LDAP-palvelinympäristö, ellei ole määrittänyt LDAP-palvelinta LDAP-pohjaista todennusta varten.

Kuinka asentaa ja määrittää LDAP-asiakasohjelma Ubuntussa ja CentOS: ssa

Asiakasjärjestelmissä joudut asentamaan muutaman tarvittavan paketin, jotta todennusmekanismi toimii oikein LDAP-palvelimen kanssa.

Aloita ensin asentamalla tarvittavat paketit suorittamalla seuraava komento.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Asennuksen aikana sinua pyydetään antamaan tietoja LDAP-palvelimestasi (anna arvot ympäristösi mukaan). Huomaa, että automaattisesti asennettava ldap-auth-config -paketti tekee suurimman osan kokoonpanoista syöttämiesi tulojen perusteella.

Kirjoita seuraavaksi LDAP-hakupohjan nimi, voit käyttää niiden verkkotunnusten komponentteja tähän tarkoitukseen kuvakaappauksen osoittamalla tavalla.

Valitse myös käytettävä LDAP-versio ja napsauta OK.

Määritä nyt vaihtoehto, jonka avulla voit tehdä salasanan apuohjelmia, jotka käyttävät pamia käyttäytymään kuin muuttaisit paikallisia salasanoja, ja jatka valitsemalla Kyllä.

Poista seuraavaksi LDAP-tietokantaan kirjautumisvaatimus seuraavalla vaihtoehdolla.

Määritä myös LDAP-tili juurelle ja napsauta OK.

Anna seuraavaksi salasana, jota käytetään, kun ldap-auth-config yrittää kirjautua LDAP-hakemistoon käyttämällä juurihakemistoa LDAP-tilillä.

Valintaikkunan tulokset tallennetaan tiedostoon /etc/ldap.conf. Jos haluat tehdä muutoksia, avaa ja muokkaa tätä tiedostoa suosikki komentorivieditorilla.

Määritä seuraavaksi LDAP-profiili NSS: lle suorittamalla.

$ sudo auth-client-config -t nss -p lac_ldap

Määritä sitten järjestelmä käyttämään LDAP-todennusta päivittämällä PAM-kokoonpanot. Valitse valikosta LDAP ja muut tarvitsemasi todennusmekanismit. Sinun pitäisi nyt pystyä kirjautumaan sisään LDAP-pohjaisten tunnistetietojen avulla.

$ sudo pam-auth-update

Jos haluat, että käyttäjän kotihakemisto luodaan automaattisesti, sinun on suoritettava vielä yksi kokoonpano yhteisen istunnon PAM-tiedostossa.

$ sudo vim /etc/pam.d/common-session

Lisää tämä rivi siihen.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Tallenna muutokset ja sulje tiedosto. Käynnistä sitten NCSD (Name Service Cache Daemon) -palvelu uudelleen seuraavalla komennolla.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Huomaa: Jos käytät replikointia, LDAP-asiakkaiden on viitattava useisiin palvelimiin, jotka on määritetty tiedostossa /etc/ldap.conf. Voit määrittää kaikki palvelimet tällä lomakkeella:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Tämä tarkoittaa, että pyyntö aikakatkaistaan ja jos palveluntarjoaja (ldap1.example.com) ei vastaa, kuluttaja (ldap2.example.com) yrittää ottaa yhteyttä käsittelemään sitä.

Voit tarkistaa tietyn käyttäjän LDAP-merkinnät palvelimelta suorittamalla esimerkiksi getent -komennon.

$ getent passwd tecmint

Jos yllä oleva komento näyttää määritetyn käyttäjän tiedot tiedostosta/etc/passwd, asiakaskoneesi on nyt määritetty todentamaan LDAP-palvelimella, sinun pitäisi pystyä kirjautumaan sisään LDAP-pohjaisten tunnistetietojen avulla.

Määritä LDAP-asiakas CentOS 7: ssä

Asenna tarvittavat paketit suorittamalla seuraava komento. Huomaa, että jos käytät järjestelmää järjestelmän pääkäyttäjänä, joka ei ole pääkäyttäjän pääkäyttäjä, suorita kaikki komennot sudo-komennolla.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Anna seuraavaksi asiakasjärjestelmän todennus LDAP: n avulla. Voit käyttää authconfig-apuohjelmaa, joka on käyttöliittymä järjestelmän todennusresurssien määrittämiseen.

Suorita seuraava komento ja korvaa example.com toimialueellasi ja dc = esimerkki, dc = com LDAP-toimialueen ohjaimellasi.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Yllä olevassa komennossa --enablemkhomedir -vaihtoehto luo paikallisen käyttäjän kotihakemiston ensimmäiseen yhteyteen, jos sellaista ei ole.

Testaa seuraavaksi, ovatko tietyn käyttäjän palvelimelta LDAP-merkinnät, esimerkiksi käyttäjän tecmint.

$ getent passwd tecmint

Yllä olevan komennon tulisi näyttää määritetyn käyttäjän tiedot tiedostosta/etc/passwd, mikä tarkoittaa, että asiakaslaite on nyt määritetty todentamaan LDAP-palvelimella.

Tärkeää: Jos SELinux on käytössä järjestelmässäsi, sinun on lisättävä sääntö, jotta mkhomedir voi luoda kotihakemistoja automaattisesti.

Lisätietoja on asianmukaisissa asiakirjoissa OpenLDAP Software -asiakirjaluettelosta.

LDAP on laajasti käytetty protokolla hakemistopalvelun kyselyyn ja muokkaamiseen. Tässä oppaassa olemme osoittaneet, kuinka LDAP-asiakas voidaan määrittää muodostamaan yhteys ulkoiseen todennuslähteeseen Ubuntu- ja CentOS-asiakaslaitteissa. Voit jättää kysymyksiä tai kommentteja alla olevalla palautelomakkeella.