So konfigurieren Sie den LDAP-Client für die Verbindung mit der externen Authentifizierung

LDAP (kurz für Lightweight Directory Access Protocol) ist ein branchenüblicher, weit verbreiteter Satz von Protokollen für den Zugriff auf Verzeichnisdienste.

Ein Verzeichnisdienst ist in einfachen Worten eine zentralisierte, netzwerkbasierte Datenbank, die für den Lesezugriff optimiert ist. Es speichert und bietet Zugriff auf Informationen, die entweder von Anwendungen gemeinsam genutzt werden müssen oder stark verteilt sind.

Verzeichnisdienste spielen eine wichtige Rolle bei der Entwicklung von Intranet- und Internetanwendungen, indem sie Ihnen helfen, Informationen über Benutzer, Systeme, Netzwerke, Anwendungen und Dienste im gesamten Netzwerk auszutauschen.

Ein typischer Anwendungsfall für LDAP soll eine zentrale Speicherung von Benutzernamen und Passwörtern anbieten. Auf diese Weise können verschiedene Anwendungen (oder Dienste) eine Verbindung zum LDAP-Server herstellen, um Benutzer zu überprüfen.

Nach dem Einrichten einer Arbeit LDAP Server müssen Sie Bibliotheken auf dem Client installieren, um eine Verbindung zu ihm herzustellen. In diesem Artikel wird gezeigt, wie Sie einen LDAP-Client für die Verbindung mit einer externen Authentifizierungsquelle konfigurieren.


Ich hoffe, Sie haben bereits eine funktionierende LDAP-Serverumgebung, wenn Sie LDAP Server nicht für die LDAP-basierte Authentifizierung einrichten.

So installieren und konfigurieren Sie den LDAP-Client in Ubuntu und CentOS

Auf den Client-Systemen müssen Sie einige erforderliche Pakete installieren, damit der Authentifizierungsmechanismus mit einem LDAP-Server ordnungsgemäß funktioniert.

Konfigurieren Sie den LDAP-Client in Ubuntu 16.04 und 18.04

Installieren Sie zunächst die erforderlichen Pakete, indem Sie den folgenden Befehl ausführen.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Während der Installation werden Sie zur Eingabe Ihrer Details aufgefordert LDAP Server (geben Sie die Werte entsprechend Ihrer Umgebung an). Notiere dass der ldap-auth-config Das automatisch installierte Paket führt die meisten Konfigurationen basierend auf den von Ihnen eingegebenen Eingaben durch.

Geben Sie den LDAP-Server-URI ein
Geben Sie den LDAP-Server-URI ein

Geben Sie als Nächstes den Namen der LDAP-Suchbasis ein. Sie können die Komponenten ihrer Domänennamen für diesen Zweck verwenden, wie im Screenshot gezeigt.

Geben Sie die LDAP-Suchbasis ein
Geben Sie die LDAP-Suchbasis ein

Wählen Sie auch die zu verwendende LDAP-Version aus und klicken Sie auf OK.

Wählen Sie LDAP-Version
Wählen Sie LDAP-Version

Konfigurieren Sie nun die Option, mit der Sie Kennwortdienstprogramme erstellen können, die verwendet werden pam Um sich so zu verhalten, als würden Sie lokale Passwörter ändern und auf klicken Ja weitermachen..

Machen Sie den lokalen Root-Datenbankadministrator
Machen Sie den lokalen Root-Datenbankadministrator

Deaktivieren Sie als Nächstes die Anmeldeanforderung für die LDAP-Datenbank mit der nächsten Option.

Deaktivieren Sie die Anmeldung an der LDAP-Datenbank
Deaktivieren Sie die Anmeldung an der LDAP-Datenbank

Definieren Sie auch das LDAP-Konto für root und klicken Sie auf OK.

Definieren Sie das LDAP-Konto für Root
Definieren Sie das LDAP-Konto für Root

Geben Sie als Nächstes das Kennwort ein, das wann verwendet werden soll ldap-auth-config versucht, sich mit dem LDAP-Konto für root im LDAP-Verzeichnis anzumelden.

Geben Sie das LDAP-Root-Passwort ein
Geben Sie das LDAP-Root-Passwort ein

Die Ergebnisse des Dialogs werden in der Datei gespeichert /etc/ldap.conf. Wenn Sie Änderungen vornehmen möchten, öffnen und bearbeiten Sie diese Datei mit Ihrem bevorzugten Befehlszeileneditor.

Konfigurieren Sie als Nächstes das LDAP-Profil für NSS, indem Sie es ausführen.

$ sudo auth-client-config -t nss -p lac_ldap

Konfigurieren Sie das System anschließend so, dass LDAP zur Authentifizierung verwendet wird, indem Sie die PAM-Konfigurationen aktualisieren. Wählen Sie im Menü LDAP und alle anderen erforderlichen Authentifizierungsmechanismen aus. Sie sollten sich jetzt mit LDAP-basierten Anmeldeinformationen anmelden können.

$ sudo pam-auth-update
Konfigurieren Sie den PAM-Authentifizierungsmechanismus
Konfigurieren Sie den PAM-Authentifizierungsmechanismus

Wenn Sie möchten, dass das Home-Verzeichnis des Benutzers automatisch erstellt wird, müssen Sie eine weitere Konfiguration in der PAM-Datei für allgemeine Sitzungen vornehmen.

$ sudo vim /etc/pam.d/common-session

Fügen Sie diese Zeile hinzu.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Speichern Sie die Änderungen und schließen Sie die Datei. Starten Sie dann die NCSD (Name Service Cache Daemon) Service mit folgendem Befehl.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Hinweis: Wenn Sie die Replikation verwenden, müssen LDAP-Clients auf mehrere Server verweisen, die in angegeben sind /etc/ldap.conf. Sie können alle Server in diesem Formular angeben:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Dies bedeutet, dass die Anforderung eine Zeitüberschreitung aufweist und wenn die Anbieter (ldap1.example.com) reagiert nicht mehr, die Verbraucher (ldap2.example.com) wird versucht, erreicht zu werden, um es zu verarbeiten.

Führen Sie die folgenden Schritte aus, um die LDAP-Einträge für einen bestimmten Benutzer vom Server aus zu überprüfen getent Befehl, zum Beispiel.

$ getent passwd tecmint

Wenn der obige Befehl Details des angegebenen Benutzers aus dem anzeigt / etc / passwd Datei, Ihr Client-Computer ist jetzt für die Authentifizierung beim LDAP-Server konfiguriert. Sie sollten sich mit LDAP-basierten Anmeldeinformationen anmelden können.

Konfigurieren Sie den LDAP-Client in CentOS 7

Führen Sie den folgenden Befehl aus, um die erforderlichen Pakete zu installieren. Beachten Sie, dass Sie in diesem Abschnitt, wenn Sie das System als Administrator ohne Rootberechtigung betreiben, die Option verwenden Sudo-Befehl um alle Befehle auszuführen.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Aktivieren Sie als Nächstes das Client-System zur Authentifizierung mithilfe von LDAP. Du kannst den … benutzen authconfig Dienstprogramm, das eine Schnittstelle zum Konfigurieren von Systemauthentifizierungsressourcen ist.

Führen Sie den folgenden Befehl aus und ersetzen Sie ihn example.com mit Ihrer Domain und dc = Beispiel, dc = com mit Ihrem LDAP-Domänencontroller.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Im obigen Befehl wird die --enablemkhomedir Mit dieser Option wird bei der ersten Verbindung ein lokales Benutzer-Ausgangsverzeichnis erstellt, falls keines vorhanden ist.

Testen Sie als Nächstes, ob die LDAP-Einträge für einen bestimmten Benutzer vom Server stammen, z. B. Benutzer tecmint.

$ getent passwd tecmint

Der obige Befehl sollte Details des angegebenen Benutzers aus dem anzeigen / etc / passwd Datei, was bedeutet, dass der Clientcomputer jetzt für die Authentifizierung beim LDAP-Server konfiguriert ist.

Wichtig: Wenn SELinux auf Ihrem System aktiviert ist, müssen Sie eine Regel hinzufügen, um das automatische Erstellen von Basisverzeichnissen von zu ermöglichen mkhomedir.

Weitere Informationen finden Sie in der entsprechenden Dokumentation unter OpenLDAP Software-Dokumentenkatalog.

Zusammenfassung

LDAPist ein weit verbreitetes Protokoll zum Abfragen und Ändern eines Verzeichnisdienstes. In diesem Handbuch haben wir gezeigt, wie Sie einen LDAP-Client für die Verbindung mit einer externen Authentifizierungsquelle auf Ubuntu- und CentOS-Clientcomputern konfigurieren. Sie können Fragen oder Kommentare über das unten stehende Feedback-Formular hinterlassen.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *