Аутентификация Debian GNU Linux в LDAP

Описание ИС


Сервер LDAP: openLDAP
Клиент: Debian Wheezy 7.5

Домен: unit.server.loc

IP сервера: 192.168.216.7
Администратор LDAP: login — admin, password — admin

Настройка клиента

Установка необходимого ПО
aptitude install libnss-ldap libpam-ldap nscd nslcd

Настраивается пакет libnss-ldap
Универсальный Идентификатор Ресурса сервера LDAP:
ldapi://192.168.216.7:389/
Индивидуальное имя базы поиска:
dc=unit,dc=server,dc=loc
Использовать версию LDAP: 3
Учетная запись LDAP для root: cn=admin,dc=unit,dc=server,dc=loc
Пароль учетной записи LDAP для root: admin
Разрешить учетной записи LDAP admin вести себя как root: нет
База данных LDAP требует входа: нет

Настраивается пакет nslcd
URI сервера LDAP: ldap://192.168.216.7:389/
База поиска сервера LDAP: dc=unit,dc=server,dc=loc

dpkg-reconfigure libpam-ldap

Настраивается пакет libpam-ldap
URI сервера LDAP: ldapi://192.168.216.7:389/
Индивидуальное имя базы поиска: dc=unit,dc=server,dc=loc
Использовать версию LDAP: 3
Разрешить учетной записи LDAP admin вести себя как root: нет
База данных LDAP требует входа: нет
Алгоритм локального шифрования паролей: crypt
Активируемые профили PAM: все

nano /etc/ldap/ldap.conf

host 192.168.216.7
base dc=unit,dc=server,dc=loc
rootbinddn cn=admin,dc=unit,dc=server,dc=loc
rootbindpw admin
URI ldap://192.168.216.7:389/
ldap_version 3
bind_policy soft

nano /etc/nsswitch.conf

passwd: files ldap
group: files ldap
shadow: files ldap
netgroup: ldap

nano /etc/nslcd.conf

uri ldap://192.168.216.7:389/
base dc=unit,dc=server,dc=loc

nano /etc/libnss-ldap.conf

host 192.168.216.7
base dc=unit,dc=server,dc=loc
uri ldapi://192.168.216.7:389/
ldap_version 3
binddn cn=admin,dc=unit,dc=server,dc=loc
bindpw admin
port 389
bind_policy soft
nss_reconnect_tries 1
nss_reconnect_sleeptime 1
nss_reconnect_maxsleeptime 8
nss_reconnect_maxconntries 2

nano /etc/pam_ldap.conf

host 192.168.216.7
base dc=unit,dc=server,dc=loc
uri ldapi://192.168.216.7:389/
ldap_version 3
binddn cn=admin,dc=unit,dc=server,dc=loc
bindpw admin
port 389
bind_policy soft

/etc/init.d/nscd restart
/etc/init.d/nslcd restart

Проверка
getent group

getent passwd


PAM


nano /etc/pam.d/common-auth

auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so

nano /etc/pam.d/common-account

account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
account requisite pam_deny.so
account required pam_permit.so

nano /etc/pam.d/common-password

password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password requisite pam_deny.so
password required pam_permit.so

nano /etc/pam.d/common-session

session required pam_mkhomedir.so skel=/etc/skel umask=0077
  • avatar
  • 0

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.