Нд, 22.10.2017, 16:48
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 11
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » Централизованная аутентификация через LDAP (настройка, решение проблем)
Централизованная аутентификация через LDAP
Andrey123q Дата: Вт, 06.07.2010, 22:24 | Повідомлення № 1
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Централизованная аутентификация пользователей в принципе очень удобная вещь - учетные записи пользователей хранятся на центральном сервере, что позволяет при необходимости получить доступ к своей учетке с любого компьютера и не создавать на отдельных ПК локальные учетные записи.
Централизованную аутентификацию пользователей в Windows сети можно развернуть с помощью Active Directory (служба каталогов корпорации Microsoft). В Linux эту задачу можно реализовать используя свободный и бесплатный openLDAP (Lightweight Directory Access Protocol, «облегчённый протокол доступа к каталогам»).
LDAP это грубо говоря смесь протокола доступа к каталогам и службы каталогов (базы данных). При этом учетные записи хранятся на LDAP-сервере, а авторизация пользователей может производиться в разных системах, например почтовых клиентах, системах оперативного и финансового учета и т.д. и т.п. См. схема архитектуры LDAP:

Каталог LDAP
LDAP-каталоги — это базы данных, структурированные по принципу иерархических информационных деревьев, которые описывают представляемые ими организации. На рис. ниже приведен пример иерархической структуры, состоящей из трех уровней. Каждая запись LDAP идентифицируется с помощью отличительного имени (distinguished name, DN), которое декларирует свою позицию в иерархии. Структура данной иерархии представляет собой информационное дерево каталога (directory information tree, DIT), которое «вырастает» из корня (RootDN).

Базовоя система обозначений LDAP символов:
dc - обозначают компонент домена (domain component),
ou — организационную единицу (organizational unit),
uid — идентификатор пользователя (user id).
Корень RootDN, описывающего некую базирующуюся в Греции организацию информационного дерева каталога с данными о пользователях, выглядел бы как dc=organization-name, dc=gr, а отличительное имя DN записи уполномоченного пользователя формулировалось бы так: uid=avakali, ou=people, dc=organization-name, dc=gr.

LDAP-сервер можно поднимать не только в Linux сети, но и в Windows-сети, заменив Win Server 200x на Linux LDAP-сервер (фактически построив контроллер домена на Linux). Ниже попробую описать инструкцию настройки LDAP-сервера под Linux сеть. В принципе опыта у меня в этом деле не слишком много, потому прошу писать комментарии по дополнительному функционалу.

Серверная ОС: SUSE Linux Enterprise Server 11
Клиентская ОС: OpenSUSE 11.2

Настройка сервера.
Для начала нужно установить сам openLDAP-сервер. На SUSE Linux Enterprise Server (SLES) в принципе все уже было установлено: "YaST->сетевые службы->Сервер LDAP". Я прописал базовое DN: dc=site, DN администратора: cn=Administrator. В конфигурации запуска указать: Запустить сервер - Да, регистрировать в демоне SLP.
В мануалах предлагается конфигурировать файл /etc/openldap/slapd.conf, но в файле было прописано что YaST больше не использует этот файл для хранения конфигурации OpenLDAP, потому ничего в нем не прописывал.
YaST->сетевые службы->Проводник LDAP->прописал сервер LDAP: 127.0.0.1 , DN администратора: cn=Administrator,dc=site , пароль: ваш пароль.
Далее захожу в YaST->Пользователи и безопасность->Управление пользователями->Задать фильтр->Пользователи LDAP->ввести пароль сканер LDAP (внизу должно быть прописано: IP сервера, Администратор: cn=Administrator,dc=site)->Добавить. Все пользователь LDAP создан.
Для удобства администрирования LDAP сервера можно воспользоваться web-инструментарием, например, phpLDAPadmin. Для его функционирования пришлось установить некоторые дополнения для php.

Настройка клиента.
YaST->Сетевые службы->клиент LDAP->установить: Использовать LDAP, Адреса серверов LDAP - прописать IP сервера, основной DN LDAP - я написал dc=site (нажать Запрос DN - выбрать верхнюю строку); В Расширенная настройка прописал следующие значения: отображение пользователей: ou=people,dc=site , отображение паролей: ou=people,dc=site , отображение групп: group,dc=site, Протокол смены пароля: clear, Атрибут члена группы: memeber
Проверим отображаются на клиенте пользователи LDAP: YaST->Безопасность и пользователи ->Управление пользователями->Задать фильтр->Пользователи LDAP->ввести пароль сканер LDAP->должен отобразиться список пользователей созданных в LDAP. Так же это можно сделать командой getent passwd

Аутентификация в Linux использует модули PAM, потому нужно прописать в них строки для использования LDAP. Все конфиг файлы хранятся в каталогах /etc/pam.d/
Основная модификация заключается в необходимости добавления строк в конфигурационные файлы такой формы:
type sufficient pam_ldap.so
где type одно из значений account, auth, password или session в зависимости от соответствующего файла /etc/pam.d/common-[account, auth, password, or session]

Кроме того, пришлось каталогу /home прописать права 777, иначе при входе возникала ошибка невозможности создания пользователем домашних папок. Или лучше и проще создать домашнюю папку для каждого пользователя, не забыв назначить пользователя ее владельцем с соответствующими правами доступа.
Пакеты установленные на клиенте: pam_ldap, nss_ldap, yast2-ldap-client, yast2-ldap, openldap2-client, libevoldap, libldap, libldapcpp.

В принципе все, сеть готова для организации централизованной аутентификации пользователей.

Следующие интересные моменты использования LDAP это хранение учетных записей почтовых клиентов и замена контроллера домена Windows-сети.
Почтовый сервер postfix автоматически использует пользователей прописаных в LDAP.

Ссылки:
http://ldots.org/ldap/
http://www-uxsup.csx.cam.ac.uk/pub....nt.html
http://tazlambert.wordpress.com/2008....use-102
http://en.opensuse.org/Howto_LDAP_server
http://en.opensuse.org/Howto_setup_SUSE_11.1_as_Samba_PDC

Відредаговано: Andrey123q - Вт, 06.07.2010, 23:29
Форум інформатиків » РОЗДІЛ V: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ » 5.4 ОС Linux » Централизованная аутентификация через LDAP (настройка, решение проблем)
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2017.