V tomto tutoriálu vám ukážu, jak nastavit klienta OpenLDAP pomocí Debian 10 Buster. Před použitím této příručky se ujistěte, že máte nainstalovaný server OpenLDAP na jiném uzlu nebo serveru, ke kterému lze klienta připojit.
Pro tento tutoriál použiji Debian 10 s 1 GB RAM a 15 GB místa na disku. Také musíte mít oprávnění root.
Co uděláme
- Instalujte a konfigurujte klientské balíčky OpenLDAP
- Nastavte přepínač jmenné služby (nsswitch)
- Nastavte Pam Authentication and Session
- Testování
Krok 1 – Instalace a konfigurace klientských balíčků OpenLDAP
Nejprve nainstalujeme balíčky LDAP na straně klienta. Nainstalujeme balíčky libnss a libpam pro klienta ldap.
Během instalace klientských balíčků ldap budete požádáni o určitou konfiguraci, včetně adresy serveru ldap, základního DN ldap a hesla pro uživatele ldap admin.
Nainstalujte balíčky ldap pro klienty pomocí příkazu apt níže.
sudo apt install libnss-ldap libpam-ldap ldap-utils
Instalovat libnss-ldap
Nyní budete požádáni o IP adresu serveru LDAP. Zadejte IP adresu vašeho serveru LDAP/LDAPS a zvolte 'OK'.
Zadejte základní DN vašeho serveru LDAP a zvolte 'OK'.
Nyní zadejte verzi protokolu LDAP na '3' a zvolte 'OK'.
Zadejte výchozího uživatele root LDAP (výchozí je admin) a znovu zvolte 'OK'.
Nyní zadejte heslo pro výchozího administrátora.
Pro konfiguraci NSSwitch zvolte 'OK'.
Instalovat libpam-ldap
Dále povolte uživateli ldap admin, aby se choval jako uživatel root výběrem 'Ano'.
Jako přihlašovací heslo k databázi LDAP jsem v mém případě zvolil 'Ne'.
Nyní zadejte znovu výchozího administrátora pro server LDP a zvolte 'OK'.
Zadejte heslo správce a znovu zvolte 'OK'.
Krok 2 – Nastavení přepínače jmenné služby (nsswitch)
V tomto kroku upravíme konfiguraci NSSwitch '/etc/nsswitch.conf' tak, aby jako zdroj dat používala ldap.
Upravte konfiguraci '/etc/nsswitch.conf' pomocí editoru vim.
vim /etc/nsswitch.conf
Nyní změňte řádky podrobností přesně tak, jak je uvedeno níže.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
Uložit a zavřít.
Nyní bude NSSwitch získávat informace pro ověření uživatele na serveru ldap.
Krok 3 – Nastavení ověření Pam a relace
V tomto kroku nastavíme ověření hesla pam deaktivací modulu 'use_authok' a přidáme volitelnou relaci pam pro automatické vytvoření domovského adresáře.
Modul 'use_authtok' nevyzve uživatele k zadání nového hesla a modul 'pam_mkhomedir' automaticky vytvoří domovský adresář pro uživatele ldap.
Pro autentizační heslo pam upravte konfiguraci '/etc/pam.d/common-password' pomocí editoru vim.
vim /etc/pam.d/common-password
Odeberte možnost 'use_authtok' v konfiguraci modulu 'pam_ldap', jak je uvedeno níže.
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_Step 4 - Testingfirst_pass
Uložit a zavřít.
Dále upravte konfiguraci relace pam '/etc/pam.d/common-session'.
vim /etc/pam.d/common-session
Přidejte konfiguraci modulu 'pam_mkhomedir' níže.
session optional pam_mkhomedir.so skel=/etc/skel umask=077
Uložit a zavřít.
V důsledku toho jste nastavili modul PAM pro ověřování a konfiguraci relace.
Nyní restartujte klienta Debianu.
sudo reboot
Krok 4 – Testování
Chcete-li otestovat instalaci a konfiguraci klienta OpenLDAP, přihlaste se do klientského systému pomocí uživatele poskytnutého serverem OpenLDAP.
Přihlaste se pomocí uživatele 'olaf' dostupného na serveru OpenLDAP.
Jakmile se uživatel 'olaf' přihlásí, automaticky se pro tohoto uživatele vytvoří nový domovský adresář uživatele.
V důsledku toho byla instalace a konfigurace klienta OpenLDAP na Debianu 10 úspěšně dokončena.