Kako konfigurirati LDAP klijent za povezivanje vanjske provjere autentičnosti
LDAP (skraćenica za Lightweight Directory Access Protocol) industrijski je standard, naširoko korišten skup protokola za pristup uslugama imenika.
Jednostavnim rječnikom, imenička usluga je centralizirana, mrežna baza podataka optimizirana za pristup čitanju. Pohranjuje i omogućuje pristup informacijama koje se ili moraju dijeliti između aplikacija ili su visoko distribuirane.
Imeničke usluge igraju važnu ulogu u razvoju intranetskih i internetskih aplikacija tako što vam pomažu u dijeljenju informacija o korisnicima, sustavima, mrežama, aplikacijama i uslugama diljem mreže.
Tipičan slučaj upotrebe za LDAP je ponuditi centraliziranu pohranu korisničkih imena i zaporki. To omogućuje različitim aplikacijama (ili uslugama) da se povežu s LDAP poslužiteljem radi provjere valjanosti korisnika.
Nakon postavljanja LDAP poslužitelja koji radi, morat ćete instalirati biblioteke na klijentu za povezivanje s njim. U ovom ćemo članku pokazati kako konfigurirati LDAP klijent za povezivanje s vanjskim izvorom provjere autentičnosti.
Nadam se da već imate radno okruženje LDAP poslužitelja, ako ne, postavite LDAP poslužitelj za autentifikaciju temeljenu na LDAP-u.
Kako instalirati i konfigurirati LDAP klijent u Ubuntu i CentOS
Na klijentskim sustavima morat ćete instalirati nekoliko potrebnih paketa kako bi mehanizam provjere autentičnosti ispravno funkcionirao s LDAP poslužiteljem.
Konfigurirajte LDAP klijent u Ubuntu 16.04 i 18.04
Najprije počnite instalirati potrebne pakete izvođenjem sljedeće naredbe.
sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd
Tijekom instalacije od vas će se tražiti pojedinosti o vašem LDAP poslužitelju (navedite vrijednosti u skladu s vašim okruženjem). Imajte na umu da paket ldap-auth-config koji je automatski instaliran obavlja većinu konfiguracija na temelju unosa koje unesete.
Zatim unesite naziv LDAP baze pretraživanja, u tu svrhu možete koristiti komponente naziva njihovih domena kao što je prikazano na snimci zaslona.
Također odaberite verziju LDAP-a za korištenje i kliknite U redu.
Sada konfigurirajte opciju koja će vam omogućiti da uslužne programe za zaporke koji koriste pam ponašaju kao da mijenjate lokalne zaporke i kliknite Da za nastavak.
Zatim onemogućite zahtjev za prijavu u LDAP bazu podataka pomoću sljedeće opcije.
Također definirajte LDAP račun za root i kliknite Ok.
Zatim unesite lozinku koju ćete koristiti kada se ldap-auth-config pokuša prijaviti u LDAP direktorij koristeći LDAP račun za root.
Rezultati dijaloga bit će pohranjeni u datoteci /etc/ldap.conf. Ako želite napraviti bilo kakve izmjene, otvorite i uredite ovu datoteku koristeći svoj omiljeni uređivač naredbenog retka.
Zatim konfigurirajte LDAP profil za NSS pokretanjem.
sudo auth-client-config -t nss -p lac_ldap
Zatim konfigurirajte sustav da koristi LDAP za autentifikaciju ažuriranjem PAM konfiguracija. Iz izbornika odaberite LDAP i sve druge mehanizme provjere autentičnosti koji su vam potrebni. Sada biste se trebali moći prijaviti pomoću vjerodajnica temeljenih na LDAP-u.
sudo pam-auth-update
U slučaju da želite da se matični direktorij korisnika kreira automatski, tada morate izvršiti još jednu konfiguraciju u PAM datoteci zajedničke sesije.
sudo vim /etc/pam.d/common-session
Dodajte ovaj redak u njega.
session required pam_mkhomedir.so skel=/etc/skel umask=077
Spremite promjene i zatvorite datoteku. Zatim ponovno pokrenite uslugu NCSD (Name Service Cache Daemon) sljedećom naredbom.
sudo systemctl restart nscd
sudo systemctl enable nscd
Napomena: Ako koristite replikaciju, LDAP klijenti će morati uputiti na više poslužitelja navedenih u /etc/ldap.conf. Sve poslužitelje možete navesti u ovom obrascu:
uri ldap://ldap1.example.com ldap://ldap2.example.com
To znači da će zahtjev isteći i ako Dobavljač (ldap1.example.com) prestane reagirati, Potrošač (ldap2 .example.com) pokušat će se kontaktirati radi obrade.
Za provjeru LDAP unosa za određenog korisnika s poslužitelja, pokrenite na primjer getent naredbu.
getent passwd tecmint
Ako gornja naredba prikazuje pojedinosti navedenog korisnika iz datoteke /etc/passwd, vaš klijentski stroj sada je konfiguriran za provjeru autentičnosti s LDAP poslužiteljem, trebali biste se moći prijaviti pomoću vjerodajnica temeljenih na LDAP-u .
Konfigurirajte LDAP klijent u CentOS 7
Da biste instalirali potrebne pakete, pokrenite sljedeću naredbu. Imajte na umu da u ovom odjeljku, ako upravljate sustavom kao nekorijenski administrativni korisnik, koristite naredbu sudo za pokretanje svih naredbi.
yum update && yum install openldap openldap-clients nss-pam-ldapd
Zatim omogućite klijentskom sustavu autentifikaciju pomoću LDAP-a. Možete koristiti uslužni program authconfig, koji je sučelje za konfiguriranje resursa za provjeru autentičnosti sustava.
Pokrenite sljedeću naredbu i zamijenite example.com svojom domenom, a dc=example,dc=com svojim LDAP kontrolerom domene.
authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update
U gornjoj naredbi, opcija --enablemkhomedir stvara domaći direktorij lokalnog korisnika pri prvoj vezi ako ne postoji.
Zatim testirajte jesu li LDAP unosi za određenog korisnika s poslužitelja, na primjer korisnika tecmint.
getent passwd tecmint
Gornja naredba trebala bi prikazati pojedinosti navedenog korisnika iz datoteke /etc/passwd, što implicira da je klijentski stroj sada konfiguriran za autentifikaciju s LDAP poslužiteljem.
Važno: Ako je SELinux omogućen na vašem sustavu, trebate dodati pravilo koje će dopustiti automatsko kreiranje početnih direktorija od strane mkhomedira.
Za više informacija pogledajte odgovarajuću dokumentaciju iz kataloga dokumenata OpenLDAP softvera.
Sažetak
LDAP široko je korišten protokol za postavljanje upita i izmjenu usluge imenika. U ovom smo vodiču pokazali kako konfigurirati LDAP klijent za povezivanje s vanjskim izvorom provjere autentičnosti u Ubuntu i CentOS klijentskim strojevima. Sva pitanja ili komentare koje imate možete ostaviti koristeći obrazac za povratne informacije u nastavku.