Wéi konfiguréieren LDAP Client fir extern Authentifikatioun ze verbannen

LDAP (kuerz fir Lightweight Directory Access Protocol) ass en Industriestandard, wäit benotzte Set vu Protokoller fir Zougang zu Verzeechnesservicer.

E Verzeechnesservice an einfache Begrëffer ass eng zentraliséiert, Netzwierkbaséiert Datebank optiméiert fir Lieszougang. Et späichert a bitt Zougang zu Informatioun déi entweder tëscht Uwendungen gedeelt muss oder héich verdeelt ass.

Verzeechnes Servicer spillen eng wichteg Roll bei der Entwécklung vun Intranet an Internet Uwendungen andeems Dir Iech hëlleft Informatiounen iwwer Benotzer, Systemer, Netzwierker, Uwendungen a Servicer am ganzen Netz ze deelen.

En typesche Benotzungsfall fir LDAP ass eng zentraliséiert Späichere vu Benotzernimm a Passwierder ze bidden. Dëst erlaabt verschidden Uwendungen (oder Servicer) mat dem LDAP Server ze verbannen fir d'Benotzer ze validéieren.

Nodeems Dir e funktionnéierende LDAP-Server opgeriicht hutt, musst Dir Bibliothéiken op de Client installéieren fir domat ze verbannen. An dësem Artikel wäerte mir weisen wéi Dir en LDAP Client konfiguréiert fir mat enger externer Authentifikatiounsquell ze verbannen.

Ech hoffen Dir hutt schonn eng Aarbecht LDAP Server Ëmfeld, wann net Ariichten LDAP Server fir LDAP-baséiert Authentifikatioun.

Wéi installéiere a konfiguréieren LDAP Client an Ubuntu an CentOS

Op de Client Systemer musst Dir e puer noutwendeg Packagen installéieren fir d'Authentifikatiounsmechanismus korrekt mat engem LDAP Server ze maachen.

Fänkt als éischt un andeems Dir déi néideg Packagen installéiert andeems Dir de folgende Kommando ausféiert.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Wärend der Installatioun gitt Dir gefrot fir Detailer vun Ärem LDAP-Server (gitt d'Wäerter no Ärem Ëmfeld). Notéiert datt de ldap-auth-config Package deen automatesch installéiert ass déi meescht vun de Konfiguratiounen baséiert op den Inputen déi Dir aginn.

Als nächst gitt den Numm vun der LDAP Sichbasis, Dir kënnt d'Komponente vun hiren Domain Nimm fir dësen Zweck benotzen wéi am Screenshot gewisen.

Wielt och d'LDAP Versioun fir ze benotzen a klickt Ok.

Konfiguréiert elo d'Optioun fir Iech z'erméiglechen Passwuert Utilities ze maachen déi pam benotze fir ze behuelen wéi Dir lokal Passwierder ännert a klickt Jo fir weiderzemaachen.

Als nächst deaktivéiert d'Umeldungsfuerderung an d'LDAP-Datebank mat der nächster Optioun.

Definéiert och LDAP Kont fir Root a klickt Ok.

Als nächst gitt d'Passwuert fir ze benotzen wann ldap-auth-config probéiert an de LDAP Verzeichnis mat dem LDAP Kont fir Root aloggen.

D'Resultater vum Dialog ginn an der Datei /etc/ldap.conf gespäichert. Wann Dir Ännerunge wëllt maachen, oppen an änneren dës Datei mat Ärem Liiblings Kommandozeil Editor.

Als nächst konfiguréiert den LDAP Profil fir NSS andeems Dir lafen.

$ sudo auth-client-config -t nss -p lac_ldap

Da konfiguréiert de System fir LDAP fir Authentifikatioun ze benotzen andeems Dir PAM Konfiguratiounen aktualiséieren. Aus dem Menü, wielt LDAP an all aner Authentifikatiounsmechanismen déi Dir braucht. Dir sollt elo fäeg sinn aloggen mat LDAP-baséiert Umeldungsinformatiounen.

$ sudo pam-auth-update

Am Fall wou Dir wëllt datt den Heemverzeechnes vum Benotzer automatesch erstallt gëtt, da musst Dir eng méi Konfiguratioun an der gemeinsamer Sessioun PAM Datei ausféieren.

$ sudo vim /etc/pam.d/common-session

Füügt dës Linn derbäi.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Späichert d'Ännerungen a schléisst d'Datei. Da starten den NCSD (Name Service Cache Daemon) Service mat dem folgenden Kommando.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Bemierkung: Wann Dir Replikatioun benotzt, mussen LDAP Clienten op verschidde Servere referéieren, déi an /etc/ldap.conf spezifizéiert sinn. Dir kënnt all Server an dësem Formulaire spezifizéieren:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Dëst implizéiert datt d'Demande zäitlos ass a wann de Provider (ldap1.example.com) net reagéiert, probéiert de Konsument (ldap2.example.com) erreecht ze ginn fir se ze veraarbecht.

Fir d'LDAP Entréen fir e bestëmmte Benotzer vum Server z'iwwerpréiwen, fuert zum Beispill de gegent Kommando.

$ getent passwd tecmint

Wann den uewe genannte Kommando Detailer vum spezifizéierte Benotzer aus der /etc/passwd Datei weist, ass Är Clientmaschinn elo konfiguréiert fir mat dem LDAP-Server ze authentifizéieren, Dir sollt fäeg sinn aloggen mat LDAP-baséiert Umeldungsinformatiounen.

LDAP Client an CentOS 7 konfiguréieren

Fir déi néideg Packagen z'installéieren, fuert de folgende Kommando. Bedenkt datt an dëser Rubrik, wann Dir de System als net-root administrativ Benotzer operéiert, benotzt de sudo Kommando fir all Kommandoen auszeféieren.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Als nächst, aktivéiert de Client System fir mat LDAP ze authentifizéieren. Dir kënnt d'Authconfig Utility benotzen, wat en Interface ass fir Systemauthentifikatiounsressourcen ze konfiguréieren.

Fëllt de folgende Kommando aus an ersetzt example.com mat Ärem Domain an dc=example,dc=com mat Ärem LDAP Domain Controller.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Am uewe genannte Kommando erstellt d'Optioun --enablemkhomedir e lokalen User Heemverzeechnes bei der éischter Verbindung, wann et keng gëtt.

Nächst, Test ob d'LDAP Entréen fir e bestëmmte Benotzer vum Server, zum Beispill Benotzer tecmint.

$ getent passwd tecmint

Deen uewe genannte Kommando soll Detailer vum spezifizéierte Benotzer aus der /etc/passwd Datei weisen, wat implizéiert datt d'Clientmaschinn elo konfiguréiert ass fir mat dem LDAP Server ze authentifizéieren.

Wichteg: Wann SELinux op Ärem System aktivéiert ass, musst Dir eng Regel addéieren fir automatesch Heemverzeichnungen vun mkhomedir ze kreéieren.

Fir méi Informatioun, konsultéiert déi entspriechend Dokumentatioun vum OpenLDAP Software Dokumentkatalog.

LDAP, ass e wäit benotzte Protokoll fir Ufroen an Ännerung vun engem Verzeechnesservice. An dësem Guide hu mir gewisen wéi een LDAP Client konfiguréiert fir mat enger externer Authentifikatiounsquell ze verbannen, an Ubuntu an CentOS Client Maschinnen. Dir kënnt all Froen oder Kommentarer hannerloossen, déi Dir hutt mat dem Feedbackformular hei drënner.