Kuinka määrittää LDAP-asiakas yhdistämään ulkoinen todennus
LDAP (lyhenne sanoista Lightweight Directory Access Protocol) on alan standardi, laajalti käytetty protokollajoukko hakemistopalvelujen käyttämiseen.
Yksinkertaisesti sanottuna hakemistopalvelu on keskitetty, verkkopohjainen tietokanta, joka on optimoitu lukukäyttöön. Se tallentaa ja tarjoaa pääsyn tietoihin, jotka on joko jaettava sovellusten välillä tai jotka ovat laajalti hajautettuja.
Hakemistopalveluilla on tärkeä rooli intranet- ja Internet-sovellusten kehittämisessä, sillä ne auttavat jakamaan tietoja käyttäjistä, järjestelmistä, verkoista, sovelluksista ja palveluista koko verkossa.
Tyypillinen LDAP:n käyttötapa on tarjota käyttäjätunnusten ja salasanojen keskitetty tallennustila. Näin useat sovellukset (tai palvelut) voivat muodostaa yhteyden LDAP-palvelimeen käyttäjien tarkistamiseksi.
Kun olet määrittänyt toimivan LDAP-palvelimen, sinun on asennettava kirjastot asiakkaaseen yhteyden muodostamista varten. Tässä artikkelissa näytämme, kuinka LDAP-asiakas määritetään muodostamaan yhteys ulkoiseen todennuslähteeseen.
Toivottavasti sinulla on jo toimiva LDAP-palvelinympäristö, jos et ole määrittänyt LDAP-palvelinta LDAP-pohjaista todennusta varten.
Kuinka asentaa ja määrittää LDAP-asiakas Ubuntussa ja CentOS:ssä
Asiakasjärjestelmissä sinun on asennettava muutama tarvittava paketti, jotta todennusmekanismi toimii oikein LDAP-palvelimen kanssa.
Määritä LDAP-asiakas Ubuntu 16.04 ja 18.04
Aloita ensin asentamalla tarvittavat paketit suorittamalla seuraava komento.
sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd
Asennuksen aikana sinulta kysytään tietoja LDAP-palvelimestasi (anna arvot ympäristösi mukaan). Huomaa, että ldap-auth-config-paketti, joka asennetaan automaattisesti, tekee suurimman osan määrityksistä syöttämiesi syötteiden perusteella.
Kirjoita seuraavaksi LDAP-hakukannan nimi, voit käyttää niiden verkkotunnusten komponentteja tähän tarkoitukseen kuvakaappauksen mukaisesti.
Valitse myös käytettävä LDAP-versio ja napsauta Ok.
Määritä nyt vaihtoehto, jotta voit saada salasana-apuohjelmat, jotka käyttävät pama, toimimaan samalla tavalla kuin vaihtaisit paikallisia salasanoja, ja jatka napsauttamalla Kyllä.
Poista seuraavaksi kirjautumisvaatimus LDAP-tietokantaan käytöstä seuraavalla vaihtoehdolla.
Määritä myös pääkäyttäjän LDAP-tili ja napsauta Ok.
Kirjoita seuraavaksi salasana, jota käytetään, kun ldap-auth-config yrittää kirjautua LDAP-hakemistoon rootin LDAP-tilillä.
Valintaikkunan tulokset tallennetaan tiedostoon /etc/ldap.conf. Jos haluat tehdä muutoksia, avaa ja muokkaa tätä tiedostoa käyttämällä suosikkikomentorivieditoria.
Määritä seuraavaksi LDAP-profiili NSS:lle suorittamalla.
sudo auth-client-config -t nss -p lac_ldap
Määritä sitten järjestelmä käyttämään LDAP:ta todentamiseen päivittämällä PAM-määritykset. Valitse valikosta LDAP ja muut tarvitsemasi todennusmekanismit. Sinun pitäisi nyt pystyä kirjautumaan sisään LDAP-pohjaisilla tunnistetiedoilla.
sudo pam-auth-update
Jos haluat, että käyttäjän kotihakemisto luodaan automaattisesti, sinun on suoritettava vielä yksi määritys yhteisen istunnon PAM-tiedostossa.
sudo vim /etc/pam.d/common-session
Lisää tämä rivi siihen.
session required pam_mkhomedir.so skel=/etc/skel umask=077
Tallenna muutokset ja sulje tiedosto. Käynnistä sitten NCSD (Name Service Cache Daemon) -palvelu uudelleen seuraavalla komennolla.
sudo systemctl restart nscd
sudo systemctl enable nscd
Huomaa: Jos käytät replikointia, LDAP-asiakkaiden on viitattava useisiin palvelimiin, jotka on määritetty tiedostossa /etc/ldap.conf. Voit määrittää kaikki palvelimet tässä muodossa:
uri ldap://ldap1.example.com ldap://ldap2.example.com
Tämä tarkoittaa, että pyyntö aikakatkaistaan ja jos Tarjoaja (ldap1.example.com) ei vastaa, Kuluttaja (ldap2) .example.com) yrittää tavoittaa sen käsittelemiseksi.
Jos haluat tarkistaa tietyn käyttäjän LDAP-merkinnät palvelimelta, suorita esimerkiksi getent-komento.
getent passwd tecmint
Jos yllä oleva komento näyttää määritetyn käyttäjän tiedot /etc/passwd-tiedostosta, asiakaskoneesi on nyt määritetty todentamaan LDAP-palvelimen kanssa, sinun pitäisi pystyä kirjautumaan sisään LDAP-pohjaisilla tunnistetiedoilla. .
Määritä LDAP-asiakas CentOS 7:ssä
Asenna tarvittavat paketit suorittamalla seuraava komento. Huomaa, että tässä osiossa, jos käytät järjestelmää ei-root-järjestelmänvalvojana, suorita kaikki komennot sudo-komennolla.
yum update && yum install openldap openldap-clients nss-pam-ldapd
Salli seuraavaksi asiakasjärjestelmä todentaa LDAP:n avulla. Voit käyttää authconfig-apuohjelmaa, joka on käyttöliittymä järjestelmän todennusresurssien määrittämiseen.
Suorita seuraava komento ja korvaa example.com verkkotunnuksellasi ja dc=example,dc=com LDAP-verkkotunnuksesi ohjaimella.
authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update
Yllä olevassa komennossa --enablemkhomedir
-vaihtoehto luo paikallisen käyttäjän kotihakemiston ensimmäisessä yhteydessä, jos sellaista ei ole.
Testaa seuraavaksi, onko tietyn käyttäjän LDAP-merkintöjä palvelimelta, esimerkiksi käyttäjän tecmint.
getent passwd tecmint
Yllä olevan komennon pitäisi näyttää määritetyn käyttäjän tiedot /etc/passwd-tiedostosta, mikä tarkoittaa, että asiakaskone on nyt määritetty todentamaan LDAP-palvelimen kanssa.
Tärkeää: Jos SELinux on käytössä järjestelmässäsi, sinun on lisättävä sääntö, joka sallii kotihakemistojen luomisen automaattisesti mkhomedir -ohjelmalla.
Lisätietoja on OpenLDAP-ohjelmiston asiakirjaluettelon asianmukaisessa dokumentaatiossa.
Yhteenveto
LDAP on laajalti käytetty protokolla hakemistopalvelun kyselyihin ja muokkaamiseen. Tässä oppaassa olemme osoittaneet, kuinka LDAP-asiakas määritetään muodostamaan yhteys ulkoiseen todennuslähteeseen Ubuntu- ja CentOS-asiakaskoneissa. Voit jättää kysymyksiä tai kommentteja alla olevalla palautelomakkeella.