Az LDAP kliens konfigurálása külső hitelesítés csatlakoztatásához
Az LDAP (a Lightweight Directory Access Protocol rövidítése) egy iparági szabvány, széles körben használt protokollkészlet a címtárszolgáltatásokhoz való hozzáféréshez.
A címtárszolgáltatás leegyszerűsítve egy központosított, hálózati alapú adatbázis, amely olvasási hozzáférésre van optimalizálva. Tárolja és hozzáférést biztosít az alkalmazások között megosztandó vagy nagymértékben elosztott információkhoz.
A címtárszolgáltatások fontos szerepet játszanak az intranetes és internetes alkalmazások fejlesztésében, mivel segítik a felhasználókról, rendszerekről, hálózatokról, alkalmazásokról és szolgáltatásokról szóló információk megosztását a hálózaton.
Az LDAP tipikus felhasználási esete a felhasználónevek és jelszavak központi tárolása. Ez lehetővé teszi, hogy különböző alkalmazások (vagy szolgáltatások) csatlakozzanak az LDAP-kiszolgálóhoz a felhasználók érvényesítése érdekében.
Egy működő LDAP-szerver beállítása után könyvtárakat kell telepítenie a kliensre, hogy csatlakozhasson hozzá. Ebben a cikkben bemutatjuk, hogyan konfigurálhat egy LDAP-ügyfelet külső hitelesítési forráshoz való csatlakozásra.
Remélem, már rendelkezik működő LDAP-kiszolgáló környezettel, ha nem, állítsa be az LDAP-kiszolgálót az LDAP-alapú hitelesítéshez.
Az LDAP kliens telepítése és konfigurálása Ubuntu és CentOS rendszerben
Az ügyfélrendszereken telepítenie kell néhány szükséges csomagot, hogy a hitelesítési mechanizmus megfelelően működjön az LDAP-kiszolgálóval.
Konfigurálja az LDAP-klienst az Ubuntu 16.04-ben és 18.04-ben
Először kezdje a szükséges csomagok telepítésével a következő parancs futtatásával.
sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd
A telepítés során a rendszer kérni fogja az LDAP szerver adatait (az értékeket a környezetnek megfelelően adja meg). Vegye figyelembe, hogy az automatikusan telepített ldap-auth-config csomag a legtöbb konfigurációt a megadott bemenetek alapján végzi el.
Ezután adja meg az LDAP keresési bázis nevét, a tartományneveik összetevőit használhatja erre a célra a képernyőképen látható módon.
Válassza ki a használni kívánt LDAP-verziót is, majd kattintson az OK gombra.
Most állítsa be azt a beállítást, amely lehetővé teszi, hogy a pam jelszót használó segédprogramok úgy viselkedjenek, mintha a helyi jelszavakat módosítaná, majd kattintson az Igen gombra a folytatáshoz.
Ezután tiltsa le az LDAP-adatbázisba való bejelentkezési követelményt a következő opcióval.
Adja meg az LDAP-fiókot is a root számára, majd kattintson az OK gombra.
Ezután adja meg a jelszót, amelyet akkor használ, ha az ldap-auth-config a root LDAP-fiókjával próbál bejelentkezni az LDAP-könyvtárba.
A párbeszédpanel eredményei az /etc/ldap.conf fájlban lesznek tárolva. Ha módosítani szeretne, nyissa meg és szerkessze ezt a fájlt kedvenc parancssori szerkesztőjével.
Ezután futtassa be az NSS LDAP-profilját.
sudo auth-client-config -t nss -p lac_ldap
Ezután konfigurálja a rendszert úgy, hogy az LDAP-t használjon a hitelesítéshez a PAM-konfigurációk frissítésével. A menüből válassza ki az LDAP-t és az egyéb szükséges hitelesítési mechanizmusokat. Most már be kell tudnia jelentkezni LDAP-alapú hitelesítő adatokkal.
sudo pam-auth-update
Ha azt szeretné, hogy a felhasználó saját könyvtára automatikusan létrejöjjön, akkor még egy konfigurációt kell végrehajtania a közös munkamenetes PAM fájlban.
sudo vim /etc/pam.d/common-session
Add hozzá ezt a sort.
session required pam_mkhomedir.so skel=/etc/skel umask=077
Mentse el a változtatásokat, és zárja be a fájlt. Ezután indítsa újra az NCSD (Name Service Cache Daemon) szolgáltatást a következő paranccsal.
sudo systemctl restart nscd
sudo systemctl enable nscd
Megjegyzés: Ha replikációt használ, az LDAP-klienseknek több, az /etc/ldap.conf fájlban megadott szerverre kell hivatkozniuk. Ebben az űrlapban megadhatja az összes szervert:
uri ldap://ldap1.example.com ldap://ldap2.example.com
Ez azt jelenti, hogy a kérés időtúllép, és ha a szolgáltató (ldap1.example.com) nem válaszol, a Fogyasztó (ldap2) .example.com) megpróbálja elérni a feldolgozás érdekében.
Egy adott felhasználó LDAP-bejegyzéseinek ellenőrzéséhez a szerverről futtassa például a getent parancsot.
getent passwd tecmint
Ha a fenti parancs a megadott felhasználó adatait jeleníti meg az /etc/passwd fájlból, akkor a kliensgép most az LDAP-szerverrel való hitelesítésre van beállítva, és be kell tudnia jelentkezni LDAP-alapú hitelesítő adatokkal. .
Konfigurálja az LDAP-klienst a CentOS 7 rendszerben
A szükséges csomagok telepítéséhez futtassa a következő parancsot. Vegye figyelembe, hogy ebben a szakaszban, ha nem root rendszergazdaként használja a rendszert, használja a sudo parancsot az összes parancs futtatásához.
yum update && yum install openldap openldap-clients nss-pam-ldapd
Ezután engedélyezze az ügyfélrendszer számára az LDAP-alapú hitelesítést. Használhatja az authconfig segédprogramot, amely egy felület a rendszerhitelesítési erőforrások konfigurálásához.
Futtassa a következő parancsot, és cserélje ki az example.com címet a domainjére, a dc=example,dc=com címet pedig az LDAP tartományvezérlőjére.
authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update
A fenti parancsban az ---enablemkhomedir
opció létrehoz egy helyi felhasználói saját könyvtárat az első kapcsolatnál, ha nincs ilyen.
Ezután ellenőrizze, hogy egy adott felhasználó LDAP-bejegyzései-e a szerverről, például a tecmint felhasználó.
getent passwd tecmint
A fenti parancsnak meg kell jelenítenie a megadott felhasználó adatait az /etc/passwd fájlból, ami azt jelenti, hogy a kliensgép most be van állítva az LDAP-kiszolgálóval történő hitelesítésre.
Fontos: Ha a SELinux engedélyezve van a rendszeren, akkor hozzá kell adnia egy szabályt, amely lehetővé teszi a kezdőkönyvtárak automatikus létrehozását az mkhomedir által.
További információkért tekintse meg az OpenLDAP Software dokumentumkatalógusának megfelelő dokumentációját.
Összegzés
Az LDAP egy széles körben használt protokoll a címtárszolgáltatások lekérdezésére és módosítására. Ebben az útmutatóban bemutattuk, hogyan konfigurálhat egy LDAP-ügyfelet külső hitelesítési forráshoz való csatlakozásra Ubuntu és CentOS ügyfélgépeken. Bármilyen kérdését vagy észrevételét felteheti az alábbi visszajelzési űrlap segítségével.