The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Как установить LDAP сервер и его клиентов. (ldap linux debian auth)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: ldap, linux, debian, auth,  (найти похожие документы)
From: Igor Moroz <igor.moroz@gmail.com.> Newsgroups: email Date: Mon, 18 Dec 2007 14:31:37 +0000 (UTC) Subject: Как установить LDAP сервер и его клиентов. Оригинал на анлийском: http://www.debuntu.org/ldap-server-and-linux-ldap-clients http://www.debuntu.org/ldap-server-and-linux-ldap-clients-p2 Сервер LDAP (Lightweight Directory Access Protocol) позволяет централизовать управление пользователями, группами, доменами, аутентификацией, хранением инфомации. Используя LDAP в локальной сети, вы можете позволить своим пользователям подключаться и проходить аутентификацию на любом компьютере, входящем в вашу локальную сеть. Это руководство разделено на 2 части. В первой части я опишу как установить, сконфигурировать LDAP сервер, добавить нескольких пользователей и групп, во второй - мы настроим Linux-клиента для аутентификации через LDAP, если пользователь не существует на локальном компьютере. В этом туториале я рассчитываю на то, что наш LDAP сервер расположен по адресу 192.168.1.4. Все машины в сети могут распознавать сетевое имя ldap как ip-адрес 192.168.1.4. LDAP сервер предназначен для управления доменом debuntu.local. Сервер работает под Debian 4 (тестируемый, но почти стабильный) и клиентская машина - под Ubuntu Fiesty 7.04 1. LDAP сервер 1.1 Установка Чтобы наш LDAP сервер заработал, мы должны установить несколько пакетов # apt-get install slapd ldap-utils migrationtools Ответьте на все заданные при их установке вопросы и затем переконфигурируйте slapd, чтобы заставить dpkg задать нам вопросов немного больше. #dpkg-reconfigure slapd #пропустить настройку сервера LDAP? ... Нет Omit OpenLDAP server configuration? ... No #Доменное имя DNS: ... debuntu.local DNS domain name: ... debuntu.local #Название организации: ... Всечтоугодно & Со Name of your organization: ... Whatever & Co #Пароль для admin: XXXXXX Admin Password: XXXXX #Подтвердите пароль: XXXXX Confirm Password: XXXXX #Настраивается пакет slapd (информация о формате базы ldap) OK #Выбор формата базы ldap BDB #Удалять базу данных при вычистке slapd? ... Нет Do you want your database to be removed when slapd is purged? ... No #Переместить старую базу данных? ... Да Move old database? ... Yes #Включить протокол LDAPv2? ... Нет Allow LDAPv2 Protocol? ... No Ну, теперь мы установили домен, а заодно и административную учетную запись "admin" Теперь вы можете проверить, имееете ли вы доступ к вашему ldap-серверу, напечатав в консоли: $ ldapsearch -x -b dc=debuntu,dc=local Если вы получили сообщение об ошибке, похожее на: ldap_bind: Can't contact LDAP server (-1) Чаще всего это означает, что ваш сервер не запущен. Введите команду: # /etc/init.d/slapd start чтобы запустить его. Хорошо, теперь пришло время добавить наших пользователей и группы в базу LDAP. 1.2. Заполнение базы Используя migrationtools мы получаем возможность быстро импортировать всех существующих пользователей и групп с локальной системы в LDAP. #cd /usr/share/migrationtools/ Нам необходимо отредактировать дефолтовый конфигурационный файл migrationtools, имеющий имя migrate_common.ph и заменить следующие параметры: $DEFAULT_MAIL_DOMAIN = "debuntu.local"; $DEFAULT_BASE = "dc=debuntu,dc=local"; Затем экспортируем данные: # ./migrate_group.pl /etc/group ~/group.ldif # ./migrate_passwd.pl /etc/passwd ~/passwd.ldif К сожалению, скрипт не создает ldap-узлы Group и People, так что нам нужно самим создать их. Чтобы сделать это, создайте фай в домашнем каталоге с именем ~/people_group.ldif и заполните его следующими данными: dn: ou=People, dc=debuntu, dc=local ou: People objectclass: organizationalUnit dn: ou=Group, dc=debuntu, dc=local ou: Group objectclass: organizationalUnit Теперь у нас есть списки наших пользователей и групп, сконвертированные в LDAP формат ldif. Импортируем их в нашу LDAP базу. # cd # ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/people_group.ldif # ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/group.ldif # ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/passwd.ldif где: -x означает, что мы не используем sasl -W будет запрошен пароль администратора LDAP -D используется для идентификации администратора -f указывает файл, где ldapadd будет брать данные для добавления Теперь наш сервер готов для идентификации наших пользователей. Идем дальше и настроим наших клиентов. 2. Настройка клиентов Каждый клиент нуждается в установке нескольких пакетов. Так что залогинимся на одном из наших клиентов и установим следующие пакеты: #apt-get install libnss-ldap libpam-ldap nscd #Универсальный Идентификатор Ресурса сервера LDAP: ldapi:///debuntu.local #Универсальное имя базы поиска dc=debuntu,dc=local #Использовать версию LDAP 3 #Учетная запись LDAP для root cn=admin,dc=debuntu,dc=local #Пароль учетной записи LDAP для root: XXXX #Создать учетную запись администратора для локальной базы: Да Make local root database admin: yes #База данных требует учетное имя: Нет Database require logging in: No #Учетная запись LDAP для root LDAP account for root: cn=admin,dc=debuntu,dc=local #Пароль учетной записи LDAP для root: Root login password: XXXX libnss-ldap позволит нам использовать ldap как сервер имен, lippam-ldap позволит pam аутентифицировать пользователей через LDAP и, наконец, nscd - это lookup-демон паролей, групп и хостов, который кеширует результаты, чтобы не запрашивать повторно LDAP каждый раз, когда аутентификация будет пройдена. Теперь отредактируем конфигурационные файлы и убедимся, что у нас установлены следующие настройки: #vi /etc/libnss-ldap.conf host ldap base dc=debuntu,dc=local rootbinddn cn=admin,dc=debuntu,dc=local #vi /etc/libnss-ldap.secret XXXXX #vi /etc/pam_ldap.conf host ldap base dc=debuntu,dc=local rootbinddn cn=admin,dc=debuntu,dc=local #vi /etc/pam_ldap.secret XXXXX Файлы конфигурации pam должны быть отредактированы как указано ниже: #vi /etc/pam.d/common-account account sufficient pam_ldap.so account required pam_unix.so #если вы хотите, чтобы домашний каталог пользователя создавался # при первом логине #if you want user homedir to be created on first login #session required pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent #vi /etc/pam.d/common-auth auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass #vi /etc/pam.d/common-password password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 #vi /etc/pam.d/common-session session sufficient pam_ldap.so session required pam_unix.so session optional pam_foreground.so Наконец, отредактируем nsswitch, так чтобы система имела возможность переключаться с локальной аутентификации на аутентификацию ldap. # vim /etc/nsswitch.conf passwd: files ldap group: files ldap shadow: files ldap С этими настройками при логине юзер сначала пытается залогиниться как локальный пользователь. Если совпадений имен не найдено, тогда запускается аутентификация с ldap сервера. Теперь у вас есть возможность подключиться на любую клиентскую машину, используя логин и пароль любого пользователя, указанного в LDAP. Эта статья не является полным руководством по использованию LDAP, но у вас появилась возможность хотя бы с чего-нибудь начать :)

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, drongous (??), 13:27, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Читаем https://help.ubuntu.com/community/OpenLDAPServer?highlight=%28LDAP%2
    Делаем копи пастинг и все.
    Вот продолжение этого больше всего интересует. А то ко при распросе как ето розширить нико ничего не знает.
     
  • 1.2, kapany3 (?), 14:58, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ещё бы ssl прикрутить и бэкап базы делать
     
  • 1.3, Григорьев Михаил (?), 15:28, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про SSL здесь написано:
    http://www.opennet.dev/opennews/art.shtml?num=5357
     
  • 1.4, Колян (?), 18:09, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня так бэкапится. В крон.дайли скрипт:

    ldapsearch -x -D "cn=root,dc=secret,dc=ru" -w userUser > /backup/ldif/'date +%d%m%y'.ldif

     
  • 1.5, stalker (??), 19:11, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ещё немного про лдап
    http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1cwb&search
     
  • 1.6, Negation (?), 10:23, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А пароль для админа ХХХХХ писать в верхнем регистре или можно в нижнем?
     
     
  • 2.7, Alchemist (ok), 19:33, 22/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Обязательно в верхнем. В нижнем работать не будет.)
     

  • 1.8, slimer (?), 13:07, 04/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как добавить полиси для паролей? И как проверять когда пароль заканчивается?
     
  • 1.9, rosbiker (?), 13:26, 08/09/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня такой вопрос ставлю LDAP и выдает ошибку 404 не найден perlapi у меня один репозиторий deb http://ftp.ru.debian.org/debian/ lenny main в чем может быть ошибка?? Может репозитории надо какие нить добавить ??? у меня debian 5.0
     
  • 1.10, ffsdmad (ok), 11:13, 14/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    dpkg-reconfigure slapd -- уже не актуально не фига
     
     
  • 2.11, WiTPHG (?), 09:30, 23/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А что актуально? А то у меня не спрашивает какой пароль установить и как его установить не понятно.
     

  • 1.12, zondm (?), 19:45, 02/09/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    dpkg-reconfigure
    после чего задает пару вопросов и ВСЕ!
    ТОГО ЧТО НИЖЕ ПРОСТО НЕТУ!!!
    //////////////////////////////////
    #Доменное имя DNS: ... debuntu.local

            DNS domain name: ... debuntu.local

            #Название организации: ... Всечтоугодно & Со

            Name of your organization: ... Whatever & Co

            #Пароль для admin: XXXXXX

            Admin Password: XXXXX

            #Подтвердите пароль: XXXXX

            Confirm Password: XXXXX

            #Настраивается пакет slapd (информация о формате базы ldap)

            OK

            #Выбор формата базы ldap

            BDB

     
     
  • 2.13, Andrew.D.Mashkov (?), 11:22, 07/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Та же фигня. Ни при установке, ни при dpkg-reconfigure не задает подобных вопросов. Поднимал на Ubuntu-server 10.4.

    В итоге подправил /etc/default/slapd на использование как конфига /etc/ldap/slapd.conf и написал собственно этот slapd.conf. В котором указал все необходимые настройки. Все отлично завелось и работает.

     
     
  • 3.15, al (??), 16:42, 26/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    sudo dpkg-reconfigure debconf

    When asked, answer interface=Dialog and priority=low.

     

  • 1.14, Vlad (??), 18:25, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня с убунтой тоже так было. гдето вычитал там траблы с хешированием. побороть можна, но лучше пересесть на дебиан 6. там все как по книжке. я даже Gosa прикрутил... спустя 2 недели!:)))

     
  • 1.16, лдап тестер (?), 11:17, 27/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    root@nout:/etc# uname -r
    2.6.32-5-amd64

    Пытался поставить по мануалу на чистый Debian, после установки, настройки и перезагрузки попытался зайти через GUI интерфейсы (использовал jXplorer а также Ldap administration tool) результат отрицательный. РугаеЦо на "Invalid DN Syntax" порт открыт.подскажите в чем причина ? Хотя при заполнении дерева через ldapadd все прошло без проблем.

    nmap -p 389 localhost

    Starting Nmap 5.00 ( http://nmap.org ) at 2012-04-27 11:13 MSK
    Interesting ports on localhost (127.0.0.1):
    PORT    STATE SERVICE
    389/tcp open  ldap

     
  • 1.17, лдап тестер (?), 11:19, 27/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DN указывал в формате dc=example,dc=com
     
  • 1.18, KANAI (?), 12:34, 26/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    delayu
    #dpkg-reconfigure sldap
    vydaet:
    takogo paketa net ili povrejden
    Pri pereustanovke,ne daet vvesti pass,tablichka poyavlyaetsa, no pass ne prohodyat
    chto delat'???
     
     
  • 2.19, Василий (??), 09:20, 25/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Внимательнее надо быть...
    твоя версия:   dpkg-reconfigure sldap
    а должно быть: dpkg-reconfigure slapd
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру