Linux LDAP -godkjenning

Denne artikkelen vil fokusere på å bruke en Linux -server for å autentisere mot Linux -katalogen. LDAP -kataloger i Linux -miljøer kan enten være lokale eller nettverkskataloger. Spesielt er nettverkskataloger godt med hvor og når det er behov for sentral autentisering, mens lokale kataloger fungerer innenfor samme datamaskin og ikke over et nettverk.

Selv om vi vil fokusere på LDAP -protokollen, er det umulig å diskutere en Linux LDAP -godkjenning uten å inkludere NSS og PAM i opplæringen. Dermed vil vi også diskutere hvordan du konfigurerer NSS- og PAM -moduler for å jobbe med klientdatamaskiner gjennom autentiseringsprosessen. Denne guiden fokuserer på online autentisering.

Trinn 1: Installer OpenLDAP -serveren

Du vil ikke autentisere med LDAP hvis du ikke har det installert i systemene dine. Så det første trinnet er å sikre at du har installert OpenLDAP i systemet ditt. Vi diskuterte allerede installasjonsprosessen som er utdypet i vår forrige oppskrivning.

Denne kommandoen skal hjelpe deg med å installere OpenLDAP på Ubuntu 22:04:

Trinn 2: Angi tilgangskontroller

Når installasjonsprosessen er fullført, fortsett med å sette opp tilgangskontrollene. Å sette opp tilgangskontrollene sikrer at ingen kan få tilgang til og lese noen krypterte passord fra LDAP -serveren. Likevel kan brukere fremdeles redigere noen av attributtene sine, for eksempel personlige passord og bilder.

Du kan oppnå dette oppsettet ved å opprette og importere LDIF -filen nedenfor. Og når du er ferdig, kan du starte på nytt slapd.service.

Trinn 3: Legg til basedata til LDAP -treet

Lag en midlertidig base.LDIF -fil som inneholder følgende detaljer:

Du kan tilpasse detaljene ved å erstatte eksempel og org med din faktiske domeneopplysning. Når du er ferdig, legger du til ovennevnte detaljer i OpenLDAP -tee ved hjelp av denne kommandoen:

Test ved bruk av kommandoen nedenfor for å bekrefte om dataimporten var vellykket:

Trinn 3: Legg til brukere

For å legge til en bruker, bør du opprette en .LDIF -fil som den nedenfor. Vår bruker for denne demonstrasjonen er Kenbrian og vår domeneinformasjon er Linhint.com.

********* til stede i UserPassword -oppføringen representerer passordet ditt, som er verdien av Slappasswd eller /etc/skygge. Du kan nå legge til brukeren når du har .LDIF -fil ved å bruke kommandoen nedenfor:

Du kan også bruke LDAPADD -kommandoen til å legge til mer enn en bruker i katalogen ved å opprette deres forskjellige legitimasjon på en gang og legge dem til ved å bruke ovennevnte verktøy. En liste over legitimasjon kan se slik ut:

Trinn 4: Sett opp klienten LDAP -serveren

Du kan sette opp en OpenLDAP -server og sikre at du kan spørre serveren ved hjelp av ldapsarch kommando. Når du er satt opp, kan du bestemme om du vil fortsette med online og offline eller online autentisering.

Nedenfor er den grunnleggende Ldapsarch -kommandolinjen eller syntaks:

Trinn 5: Konfigurer NSS

NSS, også kjent som Name Service Switch, er et system som ofte brukes til å administrere konfigurasjonsdatabaser for forskjellige kilder. Så du vil finne det viktig i en rekke LDAP -applikasjoner. Følgende trinn vil være viktige for å konfigurere NSS:

• Installer NSS ved hjelp av NSS-PAM-LDAPD pakke.
• Rediger NSS Central Configuration -filen, som er /etc/nsswitch.konf. Denne filen informerer NSS om filene som skal brukes til respektive systemdatabaser. Redigering av filen vil kreve at du legger til LDAP -direktiver til gruppen, passwd og skyggedatabaser. Forsikre deg om at den redigerte filen din ser slik ut:

1. Du må også redigere /etc/nsswitch.konf. fil for å endre URI og baselinjer slik at de passer til LDAP -serverinnstillingene dine.
2. Hvis LDAP -serveren din ber om et passord, kan du redigere begge Bindpw og Binddn seksjoner. Fortsett å erstatte din /etc/nsswitch.konf tillatelse fra NSLCD til 0600 for en ordentlig start.
3. Bruk SystemD -kommandoen for å starte NSLCD.service. Med det skal LDAP -brukerne dine være synlige når du kjører Getent Passwd Kommando på din klient-server.

Trinn 6: Konfigurer Pam

Vi diskuterte hvordan du konfigurerer Pam i et Linux -miljø i en tidligere artikkel. Men for denne illustrasjonen, sørg for at du konfigurerer den pluggbare autentiseringsmodulen ved å bruke pam_ldap.så. Mens du er på det, rediger /etc /pam.d/system-auth-fil fra Pam.d. Resultatet skal være som i figuren nedenfor:

Fortsett med å redigere /etc/pam.d/su samt /etc/pam.d/su-l filer. De /etc/pam.d/su-l filen kommer til nytte når /etc/pam.d/su Innlogging drives av brukeren. Plass pam_ldap.så tilstrekkelig over hver seksjon bortsett fra pam_rootok.

Tillater brukere brukere å redigere passordene sine ved å gjøre redigeringer til /etc/pam.d/passwd fil.

Trinn 7: Lag hjemmemapper ved påloggingen

Du kan velge å opprette hjemmemapper ved påloggingen i tilfelle systemet ditt ikke bruker NFS til å lagre mapper. Opprett en hjemmemappe ved pålogging ved redigering /etc/pam.d/system-login og deretter legge til pam_mkhomedir.så til økt seksjoner fremfor alt tilstrekkelig gjenstander.

Trinn 8: Aktiver sudo

Aktiver sudo fra LDAP -brukeren ved redigering /etc /pam.d/sudo og endre det på riktig måte.

Legg kommandoen nedenfor til/etc/openldap/ldap.Conf -fil:

Konklusjon

Ovennevnte trinn skal hjelpe deg med å implementere en online autentisering av Linux LDAP sammen med Pam og NSS. Dette systemet er nyttig med å sikre systemene dine. Enda viktigere er at du kan bruke den til å spørre og administrere bedriftens informasjon.