„PAM-LDAP” változatai közötti eltérés
(→Szükséges csomagok) |
(→PAM/NSS-LDAP konfiguráció) |
||
| 42. sor: | 42. sor: | ||
=== PAM/NSS-LDAP konfiguráció === | === PAM/NSS-LDAP konfiguráció === | ||
| + | A konfigurációs fájl helye disztribúciófüggő. | ||
| + | * /etc/ldap.conf (RHEL) | ||
| + | * /usr/local/etc/ldap.conf (FreeBSD) | ||
| + | * /etc/pam-ldap.conf, libnss-ldap.conf (Debian) | ||
| + | :: <small>Semmi ok sincs arra, hogy ez a két állomány eltérjen, ezért érdemes az egyiket törölni és a másikra szimbolikus linket használni.</small> | ||
| + | |||
| + | base ou=users,o=niifi,o=niif,c=hu | ||
| + | uri ldaps://directory.iif.hu | ||
| + | ldap_version 3 | ||
| + | binddn uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu | ||
| + | bindpw ****** | ||
| + | scope one | ||
| + | pam_password clear | ||
| + | nss_base_group ou=posix,ou=groups,o=niifi,o=niif,c=hu?one | ||
| + | |||
=== NSS konfiguráció === | === NSS konfiguráció === | ||
=== PAM konfiguráció === | === PAM konfiguráció === | ||
A lap 2007. június 14., 15:17-kori változata
Ez a leírás Debian 4.0 (Etch) operációs rendszerhez készült. A példa konfigurációs állományok bitről bitre másolása más rendszerekre nem biztos, hogy jó ötlet, de a koncepció azért kinyerhető. Néhány eltérést igyekeztem jelölni.
Tartalomjegyzék
[elrejtés]Beállítások az LDAP szerveren
Schema
A legtöbb modern szerver támogatja a posixAccount objektumosztályt out-of-box. Ha még a shadow paramétereket is szeretnénk használni (jelszó lejárat, erősség stb), akkor a shadowAccount objektumosztályra is szükségünk lesz.
Az alábbi attribútumok mindenképpen ki kell, hogy legyenek töltve:
-
uid -
uidNumber -
gidNumber -
homeDirectory -
cn
Megjegyzések
- Érdemes meggondolni, hogy milyen értékeket használunk
uidNumber,gidNumber,loginShell,homeDirectorystb attribútumokban, ugyanis - ha több gépet akarunk LDAP beléptetésbe integrálni - némi gondot okozhat, hogy ezeknek bizony minden rendszerben meg kell egyezniük. Első (sziszifuszi) munka tehát a gépeket olyan állapotba hozni, hogy ezek az értékek mindenhol egyformák legyenek. (BSD-n természetesen/usr/local/bin/bashvan.)
Jogosultságok, ACI
Általában nem szeretjük, ha a felhasználóink minden attribútumát mindenhonnan olvasni lehet, ezért aztán a PAM/NSS-LDAP számára létre kell hozni egy alkalmazás bejegyzést valami alkalmas helyen az LDAP fában. Például így:
dn: uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu objectClass: top objectClass: account objectClass: simplesecurityobject uid: papigw userPassword: *****
Ezek után a felhasználóinkat tartalmazó ágra létre kell hozni egy jó kis ACI-t, pl. így:
aci: (targetattr = "objectClass || uid || uidNumber || gidNumber || homeDirect ory || loginShell || gecos || shadowExpire || shadowFlag || shadowInactive || shadowLastChange || shadowMax || shadowMin || shadowWarning") (version 3.0;a cl "PAM/NSS user lookup";allow (read,search)(userdn = "ldap:///uid=*,ou=pam,o u=applications,o=niifi,o=niif,c=hu");)
Beállítások a Host gépen
Szükséges csomagok
- libnss-ldap
- libpam-ldap
- nscd
és függőségeik. Az nscd használata éles üzemben majdhogynem elkerülhetetlen (hiszen különben az ls -l, ps -ef stb. parancsok minden egyes sor kiírásához LDAP lekérdezést indítanának). Próbálkozás közben viszont érdemes kikapcsolni, különben lehet, hogy a cache-elt válasz zavaró lesz.
SSL konfiguráció
LDAP kliens konfigurálása SSL használatához
PAM/NSS-LDAP konfiguráció
A konfigurációs fájl helye disztribúciófüggő.
- /etc/ldap.conf (RHEL)
- /usr/local/etc/ldap.conf (FreeBSD)
- /etc/pam-ldap.conf, libnss-ldap.conf (Debian)
- Semmi ok sincs arra, hogy ez a két állomány eltérjen, ezért érdemes az egyiket törölni és a másikra szimbolikus linket használni.
base ou=users,o=niifi,o=niif,c=hu uri ldaps://directory.iif.hu ldap_version 3 binddn uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu bindpw ****** scope one pam_password clear nss_base_group ou=posix,ou=groups,o=niifi,o=niif,c=hu?one
