LDAP (باختصار ل بروتوكول الوصول الى الدليل خفيف الوزن) عبارة عن مجموعة من البروتوكولات القياسية المستخدمة على نطاق واسع للوصول إلى خدمات الدليل.
خدمة الدليل بعبارات بسيطة هي قاعدة بيانات مركزية قائمة على الشبكة ومُحسَّنة للوصول للقراءة. يخزن ويوفر الوصول إلى المعلومات التي يجب إما مشاركتها بين التطبيقات أو يتم توزيعها بشكل كبير.
تلعب خدمات الدليل دورًا مهمًا في تطوير تطبيقات الإنترنت والإنترانت من خلال المساعدة تقوم بمشاركة معلومات حول المستخدمين والأنظمة والشبكات والتطبيقات والخدمات في جميع أنحاء شبكة الاتصال.
حالة استخدام نموذجية لـ LDAP هو تقديم تخزين مركزي لأسماء المستخدمين وكلمات المرور. يسمح ذلك للتطبيقات (أو الخدمات) المختلفة بالاتصال بخادم LDAP للتحقق من صحة المستخدمين.
بعد اقامة العمل LDAP الخادم ، ستحتاج إلى تثبيت مكتبات على العميل للاتصال به. في هذه المقالة ، سوف نعرض كيفية تكوين عميل LDAP للاتصال بمصدر مصادقة خارجي.
أتمنى أن يكون لديك بالفعل بيئة خادم LDAP عاملة ، إن لم يكن كذلك قم بإعداد خادم LDAP للمصادقة المستندة إلى LDAP.
في أنظمة العميل ، ستحتاج إلى تثبيت بعض الحزم الضرورية لجعل آلية المصادقة تعمل بشكل صحيح مع خادم LDAP.
ابدأ أولاً بتثبيت الحزم الضرورية عن طريق تشغيل الأمر التالي.
تحديث $ sudo apt && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd.
أثناء التثبيت ، ستتم مطالبتك للحصول على تفاصيل ملف LDAP الخادم (قدم القيم وفقًا لبيئتك). نلاحظ أن ldap-auth-config الحزمة التي يتم تثبيتها تلقائيًا تقوم بمعظم التكوينات بناءً على المدخلات التي تدخلها.
بعد ذلك ، أدخل اسم قاعدة بحث LDAP ، يمكنك استخدام مكونات أسماء المجال الخاصة بهم لهذا الغرض كما هو موضح في لقطة الشاشة.
اختر أيضًا إصدار LDAP المراد استخدامه وانقر فوق حسنا.
الآن قم بتكوين الخيار للسماح لك بإنشاء أدوات مساعدة لكلمة المرور تستخدم بام للتصرف كما لو كنت تقوم بتغيير كلمات المرور المحلية والنقر فوق نعم لاستكمال..
بعد ذلك ، قم بتعطيل متطلبات تسجيل الدخول إلى قاعدة بيانات LDAP باستخدام الخيار التالي.
حدد أيضًا حساب LDAP للجذر وانقر فوق موافق.
بعد ذلك ، أدخل كلمة المرور لاستخدامها عندما ldap-auth-config يحاول تسجيل الدخول إلى دليل LDAP باستخدام حساب LDAP للجذر.
سيتم تخزين نتائج مربع الحوار في الملف /etc/ldap.conf. إذا كنت تريد إجراء أي تعديلات ، فافتح هذا الملف وحرره باستخدام محرر سطر الأوامر المفضل لديك.
بعد ذلك ، قم بتكوين ملف تعريف LDAP لـ NSS عن طريق التشغيل.
$ sudo auth-client-config -t nss -p lac_ldap.
ثم قم بتكوين النظام لاستخدام LDAP للمصادقة عن طريق التحديث تكوينات PAM. من القائمة ، اختر LDAP وأي آليات مصادقة أخرى تحتاجها. يجب أن تكون الآن قادرًا على تسجيل الدخول باستخدام بيانات الاعتماد المستندة إلى LDAP.
تحديث $ sudo pam-auth.
إذا كنت تريد إنشاء الدليل الرئيسي للمستخدم تلقائيًا ، فأنت بحاجة إلى إجراء تهيئة أخرى في ملف PAM للجلسة المشتركة.
sudo vim /etc/pam.d/common-session $.
أضف هذا الخط فيه.
الجلسة المطلوبة pam_mkhomedir.so skel = / etc / skel umask = 077.
احفظ التغييرات وأغلق الملف. ثم أعد تشغيل NCSD (اسم خدمة ذاكرة التخزين المؤقت الخفي) الخدمة بالأمر التالي.
sudo systemctl إعادة تشغيل nscd. sudo systemctl $ تمكين nscd.
ملحوظة: إذا كنت تستخدم النسخ المتماثل ، فستحتاج برامج LDAP إلى الإشارة إلى عدة خوادم محددة في /etc/ldap.conf. يمكنك تحديد جميع الخوادم في هذا النموذج:
uri ldap: //ldap1.example.com ldap: //ldap2.example.com.
هذا يعني أن الطلب سوف تنتهي مهلة وإذا كان مزود (ldap1.example.com) يصبح غير مستجيب ، فإن مستهلك (ldap2.example.com) سيحاول الوصول إليه لمعالجته.
للتحقق من إدخالات LDAP لمستخدم معين من الخادم ، قم بتشغيل أمر getent، فمثلا.
$ getent passwd tecmint.
إذا كان الأمر أعلاه يعرض تفاصيل المستخدم المحدد من ملف /etc/passwd ملف ، تم تكوين جهاز العميل الخاص بك الآن للمصادقة مع خادم LDAP ، يجب أن تكون قادرًا على تسجيل الدخول باستخدام بيانات الاعتماد المستندة إلى LDAP.
لتثبيت الحزم الضرورية ، قم بتشغيل الأمر التالي. لاحظ أنه في هذا القسم ، إذا كنت تقوم بتشغيل النظام كمستخدم إداري غير جذر ، فاستخدم الأمر sudo لتشغيل جميع الأوامر.
# تحديث yum && yum install openldap openldap-clients nss-pam-ldapd.
بعد ذلك ، قم بتمكين نظام العميل للمصادقة باستخدام LDAP. يمكنك استخدام ال المؤلف الأداة المساعدة ، وهي واجهة لتكوين موارد مصادقة النظام.
قم بتشغيل الأمر التالي واستبداله example.com مع المجال الخاص بك و dc = مثال ، dc = com باستخدام وحدة تحكم مجال LDAP.
# authconfig --enableldap --enableldapauth --ldapserver = ldap.example.com --ldapbasedn = "dc = example، dc = com" --enablemkhomedir --update.
في الأمر أعلاه ، فإن ملف - انابليمخمدير
الخيار ينشئ دليلًا رئيسيًا للمستخدم المحلي عند الاتصال الأول إذا لم يكن موجودًا.
بعد ذلك ، اختبر ما إذا كانت إدخالات LDAP لمستخدم معين من الخادم ، على سبيل المثال المستخدم النعناع.
$ getent passwd tecmint.
يجب أن يعرض الأمر أعلاه تفاصيل المستخدم المحدد من ملف /etc/passwd الملف ، مما يعني أن جهاز العميل مهيأ الآن للمصادقة مع خادم LDAP.
مهم: لو تم تمكين SELinux على نظامك، تحتاج إلى إضافة قاعدة للسماح بإنشاء أدلة الصفحة الرئيسية تلقائيًا بواسطة مخومدير.
لمزيد من المعلومات ، راجع الوثائق المناسبة من كتالوج مستند برنامج OpenLDAP.
LDAP، هو بروتوكول يستخدم على نطاق واسع للاستعلام عن خدمة الدليل وتعديلها. في هذا الدليل ، أوضحنا كيفية تكوين عميل LDAP للاتصال بمصدر مصادقة خارجي ، في أجهزة عميل Ubuntu و CentOS. يمكنك ترك أي أسئلة أو تعليقات قد تكون لديك باستخدام نموذج الملاحظات أدناه.