Uwierzytelnianie Linux LDAP

W tym artykule skupi się na korzystaniu z serwera Linux do uwierzytelniania się z katalogiem Linux. Katalogi LDAP w środowiskach Linux mogą być lokalnymi lub sieciowymi katalogami. Warto zauważyć, że katalogi sieciowe są przydatne, gdzie i kiedy istnieje potrzeba centralnego uwierzytelnienia, podczas gdy lokalne katalogi działają w tym samym komputerze, a nie przez sieć.

Podczas gdy skupimy się na protokole LDAP, omówienie uwierzytelniania Linux LDAP jest niemożliwe bez włączenia NSS i PAM w samouczku. W ten sposób omówimy również, jak skonfigurować moduły NSS i PAM do pracy z komputerami klientów za pośrednictwem procesu uwierzytelniania. Ten przewodnik koncentruje się na uwierzytelnianiu online.

Krok 1: Zainstaluj serwer OpenLDAP

Nie będziesz uwierzytelnić się za pomocą LDAP, jeśli nie masz go zainstalowanego w swoich systemach. Pierwszym krokiem jest upewnienie się, że masz zainstalowanie OpenLDAP w swoim systemie. Omówiliśmy już proces instalacji w naszym poprzednim zapisie.

To polecenie powinno pomóc Ci zainstalować OpenLDap na Ubuntu 22:04:

Krok 2: Ustaw kontrole dostępu

Po zakończeniu procesu instalacji kontynuuj skonfigurowanie kontroli dostępu. Konfigurowanie kontroli dostępu zapewnia, że ​​nikt nie może uzyskać dostępu i odczytania żadnych zaszyfrowanych haseł z serwera LDAP. Jednak użytkownicy mogą nadal edytować niektóre z swoich atrybutów, takie jak hasła osobiste i zdjęcia.

Możesz osiągnąć tę konfigurację, tworząc i importując poniższy plik LDIF. A po zakończeniu możesz ponownie uruchomić Slapd.praca.

Krok 3: Dodaj dane podstawowe do drzewa LDAP

Utwórz tymczasową bazę.plik LDIF zawierający następujące szczegóły:

Możesz dostosować szczegóły, zastępując przykład i org faktyczne poświadczenia domeny. Po zakończeniu dodaj powyższe szczegóły do ​​swojej koszulki OpenLDap za pomocą tego polecenia:

Przetestuj przy użyciu poniższego polecenia, aby potwierdzić, czy import danych zakończył się powodzeniem:

Krok 3: Dodaj użytkowników

Aby dodać użytkownika, powinieneś utworzyć .plik ldif, taki jak ten poniżej. Naszym użytkownikiem tej demonstracji jest Kenbrian, a nasza poświadczenie domeny to Linhint.com.

********* Obecny we wpisie UserPassword reprezentuje twoje hasło, które jest wartością slappasswd Lub /itp./Shadow. Możesz teraz dodać użytkownika po uzyskaniu .plik LDIF za pomocą poniższego polecenia:

Możesz także użyć polecenia LDAPADD, aby dodać więcej niż jednego użytkownika do katalogu, tworząc różne poświadczenia jednocześnie i dodając je za pomocą powyższego narzędzia. Lista poświadczeń może wyglądać tak:

Krok 4: Skonfiguruj serwer LDAP klienta

Możesz skonfigurować serwer OpenLDAP i upewnić się, że możesz skutecznie zapytać serwer za pomocą ldapsearch Komenda. Po skonfigurowaniu możesz zdecydować, czy kontynuować uwierzytelnianie online i offline czy online.

Poniżej znajduje się podstawowy wiersz polecenia LDAPSEARCH lub składnia:

Krok 5: Skonfiguruj NSS

NSS, znany również jako Name Service Switch, to system często używany do zarządzania bazami danych konfiguracji różnych źródeł. Tak więc znajdziesz to niezbędne w zakresie aplikacji LDAP. Poniższe kroki będą istotne do konfigurowania NSS:

• Zainstaluj NSS za pomocą NSS-PAM-LDAPD pakiet.
• Edytuj plik konfiguracyjny NSS Central, który jest /etc/nsswitch.conf. Ten plik informuje NSS plików do użycia dla odpowiednich baz danych systemowych. Edycja pliku będzie wymagała dodania dyrektyw LDAP do baz danych grupy, passwd i cienia. Upewnij się, że edytowany plik wygląda tak:

1. Będziesz także musiał edytować /etc/nsswitch.conf. Plik, aby zmienić URI i linie bazowe, aby pasowały do ​​ustawień serwera LDAP.
2. Jeśli Twój serwer LDAP wyświetla monit o hasło, edytuj oba BINDPW I Binddn Sekcje. Kontynuuj wymianę /etc/nsswitch.conf Zezwolenie od NSLCD Do 0600 na właściwy start.
3. Użyj polecenia SystemD, aby rozpocząć NSLCD.praca. Dzięki temu użytkownicy LDAP powinni być widoczne podczas biegu Getent Passwd Poleć na swoim serwerach klientów.

Krok 6: Skonfiguruj PAM

W poprzednim artykule omówiliśmy, jak skonfigurować PAM w środowisku Linux. Ale dla tej ilustracji upewnij się, że skonfigurujesz moduł uwierzytelniania wtyczki za pomocą pam_ldap.Więc. Podczas gdy edytuj /etc /pam.D/System-Auth Plik z PAM.D. Wynik powinien być jak na poniższym rysunku:

Przejdź do edycji /etc/pam.D/Su tak dobrze jak /etc/pam.D/su-l akta. /etc/pam.D/su-l Plik jest przydatny, gdy tylko /etc/pam.D/Su Logowanie jest uruchamiane przez użytkownika. Miejsce pam_ldap.Więc wystarczające nad każdą sekcją, z wyjątkiem pam_rootok.

Teraz pozwól użytkownikom edytować swoje hasła, edytną do /etc/pam.d/passwd plik.

Krok 7: Utwórz foldery domowe podczas logowania

Możesz wybrać tworzenie folderów domowych w loginu na wypadek, gdyby system nie używał NFS do przechowywania folderów. Utwórz folder domowy podczas logowania, edytując /etc/pam.D/System-login a następnie dodanie pam_mkhomedir.Więc do sesji Sekcje ponad wszystko wystarczający rzeczy.

Krok 8: Włącz sudo

Włącz sudo od użytkownika LDAP poprzez edycję /etc /pam.d/sudo i odpowiednio go modyfikować.

Dodaj polecenie poniżej do/etc/openlDap/ldap.Plik CONF:

Wniosek

Powyższe kroki powinny pomóc Ci wdrożyć uwierzytelnianie online LDAP wraz z PAM i NSS. Ten system jest przydatny w zabezpieczeniu twoich systemów. Co ważniejsze, możesz go użyć do zapytania i zarządzania informacjami o swojej firmie.