Lightweight Directory Access Protocol <\/i>(LDAP) jest prostym protoko\u0142em sieciowym, kt\u00f3ry s\u0142u\u017cy do uzyskiwania informacji przechowywanych w centralnym magazynie sieciowym. LDAP zaprojektowany zosta\u0142 do pozyskiwania informacji o kontach u\u017cytkownik\u00f3w, grupach, us\u0142ugach kalendarza a tak\u017ce innych systemowych i sieciowych danych. Mo\u017ce by\u0107 u\u017cywany do autoryzacji u\u017cytkownik\u00f3w przez sie\u0107 zamiast sk\u0142adowa\u0107 i zarz\u0105dza\u0107 danymi o u\u017cytkownikach na systemach\u00a0 lokalnych.<\/p>\n
Korzy\u015bci z u\u017cywania LDAP:<\/p>\n
Aby zaimplementowa\u0107 i u\u017cywa\u0107 w RHEL7.0 OpenLDAP jako klienta potrzebne jest nast\u0119puj\u0105ce oprogramowanie: openldap, openldap-clients, nss-pam-ldapd oraz us\u0142uga autentykacyjna sssd ( System Security Services Daemon<\/i>) i authconfig.<\/p>\n
<\/p>\n
Pliki konfiguracyjne klienta OpenLDAP.<\/span><\/p>\n Plikiem sk\u0142aduj\u0105cym dane kontrolne demona sssd jest \/etc\/sssd\/sssd.conf. Plikiem konfiguracyjnym OpenLDAP jest \/etc\/openldap\/ldap.conf<\/i>, niekt\u00f3re dyrektywy przedstawia tabela poni\u017cej.<\/p>\n <\/p>\n Komendy authconfig.<\/span><\/p>\n Konfiguracja klienta LDAP mo\u017ce by\u0107 dokonywana komend\u0105 authconfig<\/em>. Tabela przedstawia opcje komendy, kt\u00f3re dotycz\u0105 trybu klienta.<\/p>\n \u0106wiczenie 1. Konfiguracja klienta LDAP do pozyskiwania informacji o u\u017cytkownikach i grupach.<\/p>\n Instalacja niezb\u0119dnych pakiet\u00f3w klienta LDAP: Ustawianie klienta i aktualizacja plik\u00f3w konfiguracyjnych. W\u0142\u0105czenie LDAP, autentykacji LDAP oraz SSSD. Okre\u015blenie nazwy hosta dla serwera LDAP oraz podstawowego DN. Wy\u015bwietlenie zawarto\u015bci plik\u00f3w: Edycja pliku Dodanie us\u0142ugi sssd<\/em> do autostartu: Uruchomienie us\u0142ugi sssd<\/em>. Spowoduje to tak\u017ce uruchomienie klienta OpenLDAP w systemie: Testowanie danych grupy przez pozyskiwanie informacji o grupie dba<\/em> z serwera komend\u0105 getent <\/em>(komenda getent<\/em> wy\u015bwietla wpisy z bazy danych wpisanej do pliku Test autentykacji przez zalogowanie si\u0119 jako u\u017cytkownik ldapuser<\/em> z serwera server1<\/em> do server2<\/em> korzystaj\u0105c z komendy ssh<\/em>: Je\u017celi klient ma korzysta\u0107 z TLS celem zabezpieczenia komunikacji z serwerem do wykorzystujemy opcje Lightweight Directory Access Protocol (LDAP) jest prostym protoko\u0142em sieciowym, kt\u00f3ry s\u0142u\u017cy do uzyskiwania informacji przechowywanych w centralnym magazynie sieciowym. LDAP zaprojektowany zosta\u0142 do pozyskiwania informacji o kontach u\u017cytkownik\u00f3w, grupach, us\u0142ugach kalendarza a tak\u017ce innych systemowych i sieciowych danych. Mo\u017ce by\u0107 u\u017cywany do autoryzacji u\u017cytkownik\u00f3w przez sie\u0107 zamiast sk\u0142adowa\u0107 i zarz\u0105dza\u0107 danymi o u\u017cytkownikach na systemach\u00a0 … <\/p>\n\n\n
\n Dyrektywa<\/em><\/span><\/td>\n Opis<\/em><\/span><\/td>\n<\/tr>\n \n BASE<\/code><\/span><\/td>\n\u00a0Ustawia rozr\u00f3\u017cnialn\u0105 nazw\u0119 (DN) u\u017cywan\u0105 do operacji LDAP.<\/td>\n<\/tr>\n \n URI<\/code><\/span><\/td>\nOkre\u015bla URI serwera LDAP.<\/td>\n<\/tr>\n \n TLS_CACERTDIR<\/code><\/span><\/td>\nOkre\u015bla miejsce sk\u0142adowania certyfikat\u00f3w TLS. Domy\u015blne po\u0142o\u017cenie to: \/etc\/openldap\/cacerts<\/code>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n
\n Opcja<\/em><\/span><\/td>\n Opis<\/em><\/span><\/td>\n<\/tr>\n \n --enableldap \/ --disableldap<\/code><\/span><\/td>\nW\u0142\u0105cza\/wy\u0142\u0105cza LDAP dla informacji u\u017cytkownika.<\/td>\n<\/tr>\n \n --enableldapauth \/ --<\/code><\/span>disableldapauth<\/code><\/span><\/td>\nW\u0142\u0105cza\/wy\u0142\u0105cza LDAP do autentykacji u\u017cytkownika.<\/td>\n<\/tr>\n \n --enableldaptls \/ --<\/code><\/span>disableldaptls<\/code><\/span><\/td>\nW\u0142\u0105cza\/wy\u0142\u0105cza do u\u017cycia TLS wraz z LDAP.<\/td>\n<\/tr>\n \n --enablesssd \/ --<\/code><\/span>disablesssd<\/code><\/span><\/td>\nW\u0142\u0105cza\/wy\u0142\u0105cza u\u017cycie SSSD dla informacji u\u017cytkownika.<\/td>\n<\/tr>\n \n --ldapserver<\/code><\/span><\/td>\nOkre\u015bla nazw\u0119 hosta lub adres IP serwera LDAP.<\/td>\n<\/tr>\n \n --ldapbasedn<\/code><\/span><\/td>\nUstawia domy\u015bln\u0105 rozr\u00f3\u017cnialn\u0105 nazw\u0119 (DN) LDAP.<\/td>\n<\/tr>\n \n --test<\/code><\/span><\/td>\nWy\u015bwietla nowe ustawienia bez aktualizowania konfiguracji.<\/td>\n<\/tr>\n \n --update<\/code><\/span><\/td>\nAktualizuje konfiguracj\u0119 dostarczonymi informacjami. Opcja powinna by\u0107 u\u017cywana zawsze gdy w konfiguracji potrzebne s\u0105 zmiany.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n# yum \u2013y install openldap openldap-clients nss-pam-ldapd sssd authconfig<\/code><\/p>\n
\n# authconfig --enableldap --enableldapauth --ldapserver=ldap:\/\/server2.example.com \/<\/code>
\n--enablesssd --ldapbasedn=\u201ddc=example,dc=com\u201d --update<\/code><\/p>\n\/etc\/sssd\/sssd.conf<\/code> oraz \/etc\/openldap\/ldap.conf<\/code>:
\n# cat \/etc\/sssd\/sssd.conf<\/code>
\n[domain\/default]<\/code><\/span>
\nautofs_provider = ldap<\/code><\/span>
\ncache_credentials = True<\/code><\/span>
\nkrb5_realm = #<\/code><\/span>
\nldap_search_base = dc=example,dc=com<\/code><\/span>
\nid_provider = ldap<\/code><\/span>
\nauth_provider = ldap<\/code><\/span>
\nchpass_provider = ldap<\/code><\/span>
\nldap_uri = ldap:\/\/server2.example.com\/<\/code><\/span>
\nldap_id_use_start_tls = True<\/code><\/span>
\nldap_tls_cacertdir = \/etc\/openldap\/cacerts<\/code><\/span>
\n[sssd]<\/code><\/span>
\nservices = nss, pam, autofs<\/code><\/span>
\nconfig_file_version = 2<\/code><\/span>
\ndomains = default<\/code><\/span>
\n[nss]<\/code><\/span>
\n[pam]<\/code><\/span>
\n[sudo]<\/code><\/span>
\n[autofs]<\/code><\/span>
\n[ssh]<\/code><\/span>
\n[pac]<\/code><\/span><\/p>\n# grep \u2013v ^# \/etc\/openldap\/ldap.conf<\/code>
\nTLS_CACERTDIR \/etc\/openldap\/cacerts<\/code><\/span>
\nURI ldap:\/\/server2.example.com\/<\/code><\/span>
\nBASE dc=example,dc=com<\/code><\/span><\/p>\n \/etc\/nsswitch.conf<\/code> i upewnienie, \u017ce wpisy passwd, shadow<\/em> i group<\/em> wygl\u0105daj\u0105 jak poni\u017csze:
\npasswd: files sss<\/code>
\nshadow: files sss<\/code>
\ngroup: files sss<\/code><\/p>\n
\n# systemctl enable sssd<\/code><\/p>\n
\n# systemctl start sssd<\/code><\/p>\n \/etc\/nsswitch.conf<\/code>):
\n# getent group dba<\/code><\/p>\n
\n# ssh ldapuser1@server2<\/code><\/p>\n--enableldaptls<\/code> oraz --ldaploadcacert<\/code> z komend\u0105 authconfig<\/em> wcze\u015bniej przez nas zastosowan\u0105. Nale\u017cy si\u0119 jednak upewni\u0107, \u017ce na serwerze server2<\/em> w odpowiedniej lokalizacji sk\u0142adowany jest wa\u017cny certyfikat.<\/p>\n","protected":false},"excerpt":{"rendered":"