![Почему так важно оптимизировать вашу машину?](/f/5e1bf9d69f7e0d56787156103b1ab9eb.jpg?width=100&height=100)
LDAP (Короче для Облегченный протокол доступа к каталогам) - это промышленный стандарт, широко используемый набор протоколов для доступа к службам каталогов.
Проще говоря, служба каталогов - это централизованная сетевая база данных, оптимизированная для доступа для чтения. Он хранит и обеспечивает доступ к информации, которая должна либо совместно использоваться приложениями, либо широко распространяться.
Службы каталогов играют важную роль в разработке приложений для интрасети и Интернета, помогая вы делитесь информацией о пользователях, системах, сетях, приложениях и услугах на всей территории сеть.
Типичный вариант использования LDAP предлагает централизованное хранилище имен пользователей и паролей. Это позволяет различным приложениям (или службам) подключаться к серверу LDAP для проверки пользователей.
После настройки рабочего LDAP server, вам нужно будет установить библиотеки на клиенте для подключения к нему. В этой статье мы покажем, как настроить LDAP-клиент для подключения к внешнему источнику аутентификации.
Надеюсь, у вас уже есть рабочая среда LDAP-сервера, если нет настроить сервер LDAP для аутентификации на основе LDAP.
В клиентских системах вам потребуется установить несколько пакетов, необходимых для правильной работы механизма аутентификации с сервером LDAP.
Сначала начните с установки необходимых пакетов, выполнив следующую команду.
$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd.
Во время установки вам будет предложено ввести подробную информацию о вашем LDAP сервер (укажите значения в соответствии с вашей средой). Обратите внимание, что ldap-auth-config Пакет, который устанавливается автоматически, выполняет большую часть настроек на основе введенных вами входных данных.
Далее введите имя базы поиска LDAP, вы можете использовать для этой цели компоненты их доменных имен, как показано на скриншоте.
Также выберите версию LDAP для использования и нажмите Хорошо.
Теперь настройте параметр, чтобы вы могли создавать утилиты паролей, использующие пам чтобы вести себя так, как будто вы меняете локальные пароли, и нажмите да продолжить..
Затем отключите требование входа в базу данных LDAP, используя следующую опцию.
Также определите учетную запись LDAP для root и нажмите Ok.
Затем введите пароль, который будет использоваться при ldap-auth-config пытается войти в каталог LDAP, используя учетную запись LDAP для пользователя root.
Результаты диалога будут сохранены в файле /etc/ldap.conf. Если вы хотите внести какие-либо изменения, откройте и отредактируйте этот файл с помощью вашего любимого редактора командной строки.
Затем настройте профиль LDAP для NSS, запустив.
$ sudo auth-client-config -t nss -p lac_ldap.
Затем настройте систему на использование LDAP для аутентификации, обновив Конфигурации PAM. В меню выберите LDAP и любые другие необходимые механизмы аутентификации. Теперь вы должны иметь возможность войти в систему, используя учетные данные на основе LDAP.
$ sudo pam-auth-update.
Если вы хотите, чтобы домашний каталог пользователя создавался автоматически, вам необходимо выполнить еще одну настройку в PAM-файле общего сеанса.
$ sudo vim /etc/pam.d/common-session.
Добавьте в него эту строчку.
требуется сеанс pam_mkhomedir.so skel = / etc / skel umask = 077.
Сохраните изменения и закройте файл. Затем перезапустите NCSD (Демон кэша службы имен) с помощью следующей команды.
$ sudo systemctl перезапуск nscd. $ sudo systemctl включить nscd.
Примечание: Если вы используете репликацию, клиенты LDAP должны будут обращаться к нескольким серверам, указанным в /etc/ldap.conf. Вы можете указать все серверы в этой форме:
uri ldap: //ldap1.example.com ldap: //ldap2.example.com.
Это означает, что время ожидания запроса истечет, и если Провайдер (ldap1.example.com) перестает отвечать на запросы, Потребитель (ldap2.example.com) попытается связаться с ним, чтобы обработать его.
Чтобы проверить записи LDAP для конкретного пользователя с сервера, запустите команда getent, Например.
$ getent passwd tecmint.
Если указанная выше команда отображает сведения об указанном пользователе из /etc/passwd файл, ваш клиентский компьютер теперь настроен для аутентификации с сервером LDAP, вы должны иметь возможность войти в систему, используя учетные данные на основе LDAP.
Чтобы установить необходимые пакеты, выполните следующую команду. Обратите внимание, что в этом разделе, если вы работаете в системе от имени администратора без полномочий root, используйте команда sudo для запуска всех команд.
# yum update && yum install openldap openldap-clients nss-pam-ldapd.
Затем включите клиентскую систему для аутентификации с помощью LDAP. Вы можете использовать authconfig служебная программа, которая представляет собой интерфейс для настройки ресурсов аутентификации системы.
Выполните следующую команду и замените example.com с вашим доменом и dc = пример, dc = com с вашим контроллером домена LDAP.
# authconfig --enableldap --enableldapauth --ldapserver = ldap.example.com --ldapbasedn = "dc = example, dc = com" --enablemkhomedir --update.
В приведенной выше команде --энаблемхомедир
опция создает домашний каталог локального пользователя при первом подключении, если такового не существует.
Затем проверьте, что записи LDAP для конкретного пользователя с сервера, например, пользователя Tecmint.
$ getent passwd tecmint.
Приведенная выше команда должна отображать сведения об указанном пользователе из /etc/passwd файл, что означает, что клиентский компьютер теперь настроен для аутентификации с сервером LDAP.
Важный: Если SELinux включен в вашей системе, вам нужно добавить правило, позволяющее автоматически создавать домашние каталоги мхомедир.
Для получения дополнительной информации обратитесь к соответствующей документации на сайте Каталог документов программного обеспечения OpenLDAP.
LDAP, является широко используемым протоколом для запросов и изменения службы каталогов. В этом руководстве мы показали, как настроить клиент LDAP для подключения к внешнему источнику аутентификации на клиентских машинах Ubuntu и CentOS. Вы можете оставить любые вопросы или комментарии, используя форму обратной связи ниже.