LDAP (lühend Kerge kataloogi juurdepääsuprotokoll) on tööstusstandard, laialdaselt kasutatav protokollide komplekt kataloogiteenustele juurdepääsu saamiseks.
Lihtsalt öeldes on kataloogiteenus tsentraliseeritud võrgupõhine andmebaas, mis on optimeeritud lugemiseks. See salvestab ja pakub juurdepääsu teabele, mida tuleb kas rakenduste vahel jagada või on laialt levitatud.
Kataloogiteenustel on oluline roll sisevõrgu ja Interneti -rakenduste arendamisel jagate kogu kasutajate, süsteemide, võrkude, rakenduste ja teenuste kohta teavet võrku.
Tüüpiline kasutusjuht LDAP pakub kasutajanimede ja paroolide tsentraliseeritud salvestust. See võimaldab erinevatel rakendustel (või teenustel) kasutajate kinnitamiseks LDAP -serveriga ühenduse luua.
Pärast tööpinna seadistamist LDAP serveriga, peate sellega ühenduse loomiseks installima kliendile teegid. Selles artiklis näitame, kuidas konfigureerida LDAP -klient välise autentimisallikaga ühenduse loomiseks.
Loodan, et teil on juba töötav LDAP -serverikeskkond, kui mitte seadistage LDAP-server LDAP-põhiseks autentimiseks.
Kliendisüsteemides peate installima mõned vajalikud paketid, et autentimismehhanism LDAP -serveriga õigesti toimida.
Alustage vajalike pakettide installimisega, käivitades järgmise käsu.
$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd.
Installimise ajal küsitakse teilt üksikasju LDAP server (sisestage väärtused vastavalt oma keskkonnale). Pange tähele, et ldap-auth-config pakett, mis on automaatselt installitud, kasutab sisestatud sisendite põhjal enamikku konfiguratsioone.
Järgmisena sisestage LDAP -otsingubaasi nimi, selleks saate kasutada nende domeeninimede komponente, nagu on näidatud ekraanipildil.
Valige ka kasutatav LDAP -versioon ja klõpsake Okei.
Nüüd konfigureerige suvand, mis võimaldab teil kasutada paroolide utiliite, mis kasutavad pam käituda nii, nagu muudaksite kohalikke paroole ja klõpsake nuppu Jah jätkama..
Seejärel keelake järgmise valiku abil LDAP -andmebaasi sisselogimisnõue.
Määrake ka juure LDAP -konto ja klõpsake nuppu OK.
Seejärel sisestage parool, mida kasutada, kui ldap-auth-config proovib logida LDAP -kataloogi, kasutades root -i LDAP -kontot.
Dialoogi tulemused salvestatakse faili /etc/ldap.conf. Kui soovite muudatusi teha, avage ja muutke seda faili oma lemmik käsurea redaktori abil.
Järgmisena konfigureerige NSS -i jaoks LDAP -profiil käivitades.
$ sudo auth -client -config -t nss -p lac_ldap.
Seejärel seadistage süsteem uuendamiseks LDAP -d autentimiseks kasutama PAM -i konfiguratsioonid. Valige menüüst LDAP ja muud vajalikud autentimismehhanismid. Nüüd peaksite saama sisse logida LDAP-põhiste mandaatide abil.
$ sudo pam-auth-update.
Kui soovite, et kasutaja kodukataloog luuakse automaatselt, peate ühiseansi PAM-failis tegema veel ühe konfiguratsiooni.
$ sudo vim /etc/pam.d/common-session.
Lisage see rida sinna.
seanss on vajalik pam_mkhomedir.so skel =/etc/skel umask = 077.
Salvestage muudatused ja sulgege fail. Seejärel taaskäivitage NCSD (Nime teenuse vahemälu deemon) teenust järgmise käsuga.
$ sudo systemctl taaskäivitage nscd. $ sudo systemctl lubab nscd.
Märge: Kui kasutate replikatsiooni, peavad LDAP -kliendid viitama mitmele jaotises määratletud serverile /etc/ldap.conf. Saate määrata kõik serverid sellisel kujul:
uri ldap: //ldap1.example.com ldap: //ldap2.example.com.
See tähendab, et taotlus aegub ja kui Pakkuja (ldap1.example.com) ei reageeri, Tarbija (ldap2.example.com) püütakse selle töötlemiseks ühendust saada.
Konkreetse kasutaja LDAP -kirjete kontrollimiseks serverist käivitage getent käsk, näiteks.
$ getent passwd tecmint.
Kui ülaltoodud käsk kuvab määratud kasutaja üksikasjad /etc/passwd faili, on teie kliendimasin nüüd konfigureeritud autentima LDAP-serveriga, peaksite saama sisse logida LDAP-põhiste mandaatide abil.
Vajalike pakettide installimiseks käivitage järgmine käsk. Pange tähele, et kui kasutate süsteemi selles süsteemis administraatorivälise kasutajana, kasutage selles jaotises sudo käsk kõigi käskude käivitamiseks.
# yum update && yum install openldap openldap-customers nss-pam-ldapd.
Seejärel lubage kliendisüsteemil LDAP abil autentida. Võite kasutada authconfig utiliit, mis on liides süsteemi autentimisressursside konfigureerimiseks.
Käivitage järgmine käsk ja asendage see example.com oma domeeniga ja dc = näide, dc = com oma LDAP domeenikontrolleriga.
# authconfig --enableldap --enableldapauth --ldapserver = ldap.example.com --ldapbasedn = "dc = näide, dc = com" --enablemkhomedir --update.
Ülaltoodud käsu korral --enablemkhomedir
suvand loob esimese ühenduse korral kohaliku kasutaja kodukataloogi, kui seda pole.
Seejärel kontrollige, kas LDAP -kirjed on serverist pärit konkreetsele kasutajale, näiteks kasutajale tecmint.
$ getent passwd tecmint.
Ülaltoodud käsk peaks kuvama määratud kasutaja üksikasju /etc/passwd faili, mis tähendab, et kliendimasin on nüüd konfigureeritud autentima LDAP -serveriga.
Oluline: Kui SELinux on teie süsteemis lubatud, peate lisama reegli, et kodukataloogid automaatselt luua mkhomedir.
Lisateabe saamiseks vaadake asjakohast dokumentatsiooni aadressilt OpenLDAP tarkvara dokumentide kataloog.
LDAP, on laialdaselt kasutatav protokoll kataloogiteenuse päringute tegemiseks ja muutmiseks. Selles juhendis oleme näidanud, kuidas seadistada LDAP -klient Ubuntu ja CentOS kliendimasinatega ühenduse loomiseks välise autentimisallikaga. Võite jätta kõik küsimused või kommentaarid, kasutades allolevat tagasiside vormi.