Kā konfigurēt LDAP klientu ārējās autentifikācijas savienošanai

LDAP (saīsinājums no Lightweight Directory Access Protocol) ir nozares standarts, plaši izmantots protokolu kopums, lai piekļūtu direktoriju pakalpojumiem.

Direktoriju pakalpojums vienkāršā izteiksmē ir centralizēta, tīkla bāze, kas optimizēta lasīšanas piekļuvei. Tas glabā un nodrošina piekļuvi informācijai, kas ir vai nu jādalās starp lietojumprogrammām, vai arī ir ļoti izplatīta.

Direktoriju pakalpojumiem ir svarīga loma intraneta un interneta lietojumprogrammu izstrādē, palīdzot koplietot informāciju par lietotājiem, sistēmām, tīkliem, lietojumprogrammām un pakalpojumiem visā tīklā.

Tipisks LDAP izmantošanas gadījums ir piedāvāt centralizētu lietotājvārdu un paroļu glabāšanu. Tas ļauj dažādām lietojumprogrammām (vai pakalpojumiem) izveidot savienojumu ar LDAP serveri, lai validētu lietotājus.

Pēc darbojoša LDAP servera iestatīšanas klientam būs jāinstalē bibliotēkas, lai izveidotu savienojumu ar to. Šajā rakstā mēs parādīsim, kā konfigurēt LDAP klientu savienojumam ar ārēju autentifikācijas avotu.

Es ceru, ka jums jau ir darbojoša LDAP servera vide, ja ne, iestatiet LDAP serveri LDAP balstītai autentifikācijai.

Kā instalēt un konfigurēt LDAP klientu Ubuntu un CentOS

Klientu sistēmās jums būs jāinstalē daži nepieciešamie pakotnes, lai autentifikācijas mehānisms darbotos pareizi ar LDAP serveri.

Vispirms sāciet ar nepieciešamo pakotņu instalēšanu, izpildot šādu komandu.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Instalēšanas laikā jums tiks lūgts sniegt informāciju par LDAP serveri (norādiet vērtības atbilstoši savai videi). Ņemiet vērā, ka automātiski instalētā pakete ldap-auth-config veic lielāko daļu konfigurāciju, pamatojoties uz ievadītajām ieejām.

Pēc tam ievadiet LDAP meklēšanas bāzes nosaukumu, šim nolūkam varat izmantot viņu domēna vārdu komponentus, kā parādīts ekrānuzņēmumā.

Izvēlieties arī izmantojamo LDAP versiju un noklikšķiniet uz Labi.

Tagad konfigurējiet opciju, lai ļautu izveidot paroles utilītprogrammas, kas izmanto pam, lai rīkotos tāpat, kā mainītu vietējās paroles, un noklikšķiniet uz Jā, lai turpinātu.

Pēc tam atspējojiet pieteikšanās prasību LDAP datu bāzē, izmantojot nākamo opciju.

Definējiet arī LDAP kontu root un noklikšķiniet uz Labi.

Pēc tam ievadiet paroli, kas jāizmanto, kad ldap-auth-config mēģina pieteikties LDAP direktorijā, izmantojot root LDAP kontu.

Dialoga rezultāti tiks saglabāti failā /etc/ldap.conf. Ja vēlaties veikt kādas izmaiņas, atveriet un rediģējiet šo failu, izmantojot iecienīto komandrindas redaktoru.

Pēc tam, palaižot, konfigurējiet LDAP profilu NSS.

$ sudo auth-client-config -t nss -p lac_ldap

Pēc tam konfigurējiet sistēmu autentifikācijai izmantot LDAP, atjauninot PAM konfigurācijas. Izvēlnē izvēlieties LDAP un citus nepieciešamos autentifikācijas mehānismus. Tagad jums vajadzētu būt iespējai pieteikties, izmantojot uz LDAP balstītus akreditācijas datus.

$ sudo pam-auth-update

Ja vēlaties, lai lietotāja mājas direktorija tiktu izveidota automātiski, kopējās sesijas PAM failā jāveic vēl viena konfigurācija.

$ sudo vim /etc/pam.d/common-session

Pievienojiet šo rindu tajā.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Saglabājiet izmaiņas un aizveriet failu. Pēc tam restartējiet pakalpojumu NCSD (Name Service Cache Daemon) ar šādu komandu.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Piezīme: Ja izmantojat replikāciju, LDAP klientiem būs jānorāda uz vairākiem serveriem, kas norādīti /etc/ldap.conf. Visus serverus varat norādīt šajā formā:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Tas nozīmē, ka pieprasījums tiks noildzis un ja Pakalpojuma sniedzējs (ldap1.example.com) vairs nereaģēs, Patērētājs (ldap2.example.com) mēģinās sazināties ar to, lai to apstrādātu.

Lai pārbaudītu LDAP ierakstus konkrētam lietotājam no servera, palaidiet, piemēram, komandu getent.

$ getent passwd tecmint

Ja iepriekšminētā komanda parāda detalizētu informāciju par norādīto lietotāju no faila/etc/passwd, jūsu klienta mašīna tagad ir konfigurēta autentificēšanai ar LDAP serveri, jums vajadzētu būt iespējai pieteikties, izmantojot uz LDAP balstītus akreditācijas datus.

Konfigurējiet LDAP klientu CentOS 7

Lai instalētu nepieciešamās paketes, palaidiet šādu komandu. Ņemiet vērā, ka šajā sadaļā, ja sistēmu darbojat kā root nesaistītu administratīvo lietotāju, izmantojiet komandu sudo, lai palaistu visas komandas.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Pēc tam iespējojiet klientu sistēmas autentifikāciju, izmantojot LDAP. Varat izmantot utilcon authconfig, kas ir interfeiss sistēmas autentifikācijas resursu konfigurēšanai.

Palaidiet šo komandu un aizstājiet example.com ar savu domēnu un dc = piemērs, dc = com ar savu LDAP domēna kontrolleri.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Iepriekš minētajā komandā opcija --enablemkhomedir pirmajā savienojumā izveido vietējā lietotāja mājas direktoriju, ja tāda nav.

Pēc tam pārbaudiet, vai konkrēta lietotāja no servera LDAP ieraksti, piemēram, lietotāja tecmint.

$ getent passwd tecmint

Iepriekš minētajai komandai jāparāda informācija par norādīto lietotāju no faila/etc/passwd, kas nozīmē, ka klienta mašīna tagad ir konfigurēta autentificēšanai ar LDAP serveri.

Svarīgi: ja jūsu sistēmā ir iespējots SELinux, jums jāpievieno kārtula, kas ļautu mkhomedir automātiski izveidot mājas direktorijus.

Lai iegūtu papildinformāciju, skatiet atbilstošo dokumentāciju no OpenLDAP programmatūras dokumentu kataloga.

LDAP ir plaši izmantots protokols direktoriju pakalpojuma vaicāšanai un modificēšanai. Šajā rokasgrāmatā mēs esam parādījuši, kā konfigurēt LDAP klientu savienojumam ar ārēju autentifikācijas avotu Ubuntu un CentOS klientu mašīnās. Jebkurus jautājumus vai komentārus varat atstāt, izmantojot tālāk sniegto atsauksmju veidlapu.