LDAP - Linuxoví uživatelé (PAM, NSS)

Nastavení PAMu a NSS tak, aby se uživatelé v LDAPu mohli přihlašovat stejně jako běžní Linuxoví uživatelé.

Část s NSS užijete i pokud používáte Kerberos a chcete informace o uživatelích distribuovat přes LDAP. Samotný Kerberos totiž vyžaduje vytvořené lokální účty pro přihlášení. Na to stačí tato konfigurace NSS. Jinak modul PAM by pak byl samozřejmě nahrazen modulem Kerbera.

apt-get install libnss-ldap libpam-ldap

Následovat bude palba otázek týkajících se nastavení LDAP serveru.

NSS

Tato část umožní přihlášení na uživatele v LDAP pomocí su a přiřazování jejich uživatelského jména k UID. Na přímé přihlašování uživatelů ale stačit nebude. Na to níže přidáme PAM. Následující konfigurační soubor nastavuje odkud se budou uživatelé brát. compat představuje běžné lokální účty a ldap účty v LDAPu. Protože je LDAP až za lokálními účty, pokud by nějaký uživatel existoval v obou databázích, bude mít přednost lokální účet před LDAPovým.

nano /etc/nsswitch.conf

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
hosts:          files dns ldap
networks:       files ldap
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

nano /etc/libnss-ldap.conf

base dc=test
uri ldap://192.168.56.101
ldap_version 3
#rootbinddn cn=system,cn=admins,ou=users,dc=test
#bindpw heslo
bind_policy soft # Toto zamezi chybam pri startu
#(Pozdeji pridam SSL)

PAM

PAM umožní přímé přihlašování uživatelů (autentizaci) a také změnu jejich hesla. Moduly PAM se týkají:

• account - Má daný uživatel přístup k dané službě? (expirace hesla, existence uživatele)
• auth - Je toto skutečně onen uživatel? (vyžádání a ověření hesla)
• password - Změna hesla
• session - Akce před a po přihlášení (vytvoření domovského adresáře)

Důležitost modulů:

• requisite - Pokud se nepovede, okamžitě konec neúspěchem
• required - Pokud se nepovede, nakonec končí neúspěchem
• sufficient - Pokud se povede, stačí k úspěchu, jinak se pokračuje
• optional - Rozhoduje jenom pokud je poslední a přijde na něj řada

nano /etc/pam.d/common-account

account sufficient pam_unix.so
account sufficient pam_ldap.so

nano /etc/pam.d/common-auth

auth sufficient pam_unix.so nullok_secure
auth required   pam_ldap.so use_authok use_first_pass

nano /etc/pam.d/common-password

password sufficient pam_unix.so nullok obscure md5
password sufficient pam_ldap.so nullok use_authok md5

nano /etc/pam.d/common-session

session required pam_unix.so
session optional pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

nano /etc/pam_ldap.conf

base dc=test
uri ldap://192.168.56.101
ldap_version 3
#binddn cn=system,cn=admins,ou=users,dc=test
#bindpw heslo
bind_policy soft # Toto zamezi chybam pri startu
#pam_filter objectclass=posixAccount # objectClass uzivatelu
#pam_login_attribute cn # atribut s prihlasovacim jmenem
#(Pozdeji pridam SSL)

Autor: Jan Kalina Vydáno: 23.12.2010 18:18 Přečteno: 1758x Hodnocení: 50% (hodnoceno 1x)

Vaše hodnocení: 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%