ວິທີການຕັ້ງຄ່າລູກຄ້າ LDAP ເພື່ອເຊື່ອມຕໍ່ການກວດສອບຄວາມຖືກຕ້ອງພາຍນອກ

LDAP (ສັ້ນ ສຳ ລັບໂປແກຼມ ນຳ ້ ໜັກ ເບົາ) ແມ່ນມາດຕະຖານອຸດສາຫະ ກຳ, ທີ່ຖືກ ນຳ ໃຊ້ຢ່າງກວ້າງຂວາງຂອງໂປໂຕຄອນ ສຳ ລັບການເຂົ້າເຖິງການບໍລິການລະບົບ.

ບໍລິການລະບົບໃນແບບງ່າຍໆແມ່ນເປັນສູນກາງ, ຖານຂໍ້ມູນທີ່ອີງໃສ່ເຄືອຂ່າຍທີ່ ເໝາະ ສົມ ສຳ ລັບການເຂົ້າເຖິງການອ່ານ. ມັນເກັບຮັກສາແລະໃຫ້ການເຂົ້າເຖິງຂໍ້ມູນທີ່ຕ້ອງໄດ້ແບ່ງປັນກັນລະຫວ່າງການສະ ໝັກ ຫລືແຈກຢາຍສູງ.

ການບໍລິການລະບົບມີບົດບາດ ສຳ ຄັນໃນການພັດທະນາໂປແກຼມອິນເຕີເນັດແລະອິນເຕີເນັດໂດຍການຊ່ວຍໃຫ້ທ່ານແບ່ງປັນຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້, ລະບົບ, ເຄືອຂ່າຍ, ແອັບພລິເຄຊັນແລະການບໍລິການທົ່ວເຄືອຂ່າຍ.

ກໍລະນີການ ນຳ ໃຊ້ແບບປົກກະຕິ ສຳ ລັບ LDAP ແມ່ນການສະ ເໜີ ການເກັບຮັກສາຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານເປັນຈຸດສູນກາງ. ສິ່ງນີ້ຊ່ວຍໃຫ້ໂປແກຼມຕ່າງໆ (ຫລືການບໍລິການຕ່າງໆ) ເຊື່ອມຕໍ່ກັບເຊີຟເວີ LDAP ເພື່ອເຮັດໃຫ້ຜູ້ໃຊ້ມີປະສິດຕິພາບ.

ຫຼັງຈາກການຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ LDAP ທີ່ເຮັດວຽກ, ທ່ານຈະຕ້ອງຕິດຕັ້ງຫ້ອງສະຫມຸດຢູ່ໃນລູກຄ້າເພື່ອເຊື່ອມຕໍ່ກັບມັນ. ໃນບົດຂຽນນີ້, ພວກເຮົາຈະສະແດງວິທີການ ກຳ ຫນົດຄ່າຂອງລູກຄ້າ LDAP ເພື່ອເຊື່ອມຕໍ່ກັບແຫຼ່ງຢືນຢັນຈາກພາຍນອກ.

ຂ້ອຍຫວັງວ່າເຈົ້າຈະມີສະພາບແວດລ້ອມເຊີຟເວີ LDAP ທີ່ເຮັດວຽກຢູ່ແລ້ວ, ຖ້າບໍ່ໄດ້ຕັ້ງ LDAP Server ສຳ ລັບ LDAP ທີ່ອີງໃສ່ການກວດສອບຄວາມຖືກຕ້ອງ.

ວິທີການຕິດຕັ້ງແລະ ກຳ ຫນົດຄ່າລູກຄ້າ LDAP ໃນ Ubuntu ແລະ CentOS

ໃນລະບົບລູກຄ້າ, ທ່ານຈະຕ້ອງຕິດຕັ້ງຊຸດທີ່ ຈຳ ເປັນ ຈຳ ນວນ ໜຶ່ງ ເພື່ອເຮັດໃຫ້ກົນໄກການກວດສອບຄວາມຖືກຕ້ອງຂອງເຄື່ອງແມ່ຂ່າຍ LDAP ຖືກຕ້ອງ.

ທຳ ອິດເລີ່ມຕົ້ນໂດຍຕິດຕັ້ງແພັກເກດທີ່ ຈຳ ເປັນໂດຍການ ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

ໃນລະຫວ່າງການຕິດຕັ້ງ, ທ່ານຈະໄດ້ຮັບການກະຕຸ້ນເຕືອນ ສຳ ລັບລາຍລະອຽດຂອງເຄື່ອງແມ່ຂ່າຍ LDAP ຂອງທ່ານ (ໃຫ້ຄຸນຄ່າຕາມສະພາບແວດລ້ອມຂອງທ່ານ). ໃຫ້ສັງເກດວ່າຊຸດ ldap-auth-config ທີ່ຕິດຕັ້ງໂດຍອັດຕະໂນມັດແມ່ນສ່ວນໃຫຍ່ຂອງການຕັ້ງຄ່າໂດຍອີງໃສ່ວັດສະດຸປ້ອນທີ່ທ່ານປ້ອນເຂົ້າ.

ຕໍ່ໄປ, ໃສ່ຊື່ຂອງຖານຄົ້ນຫາ LDAP, ທ່ານສາມາດໃຊ້ສ່ວນປະກອບຂອງຊື່ໂດເມນຂອງພວກເຂົາເພື່ອຈຸດປະສົງນີ້ດັ່ງທີ່ສະແດງຢູ່ໃນພາບ ໜ້າ ຈໍ.

ຍັງເລືອກລຸ້ນ LDAP ເພື່ອໃຊ້ແລະກົດ OK.

ດຽວນີ້ ກຳ ນົດຕົວເລືອກທີ່ຈະເຮັດໃຫ້ທ່ານສາມາດໃຊ້ລະຫັດຜ່ານທີ່ໃຊ້ pam ເພື່ອເຮັດຄືກັບວ່າທ່ານຈະປ່ຽນລະຫັດຜ່ານຂອງທ້ອງຖິ່ນແລະກົດ Yes ເພື່ອ ດຳ ເນີນການຕໍ່ໄປ.

ຕໍ່ໄປ, ປິດການໃຊ້ງານຄວາມຕ້ອງການເຂົ້າສູ່ລະບົບຖານຂໍ້ມູນ LDAP ໂດຍໃຊ້ຕົວເລືອກຕໍ່ໄປ.

ຍັງ ກຳ ນົດບັນຊີ LDAP ສຳ ລັບຮາກແລະກົດ OK.

ຕໍ່ໄປ, ໃສ່ລະຫັດຜ່ານເພື່ອໃຊ້ເມື່ອ ldap-auth-config ພະຍາຍາມເຂົ້າສູ່ລະບົບ LDAP ໂດຍໃຊ້ບັນຊີ LDAP ສຳ ລັບຮາກ.

ຜົນຂອງການສົນທະນາຈະຖືກເກັບໄວ້ໃນເອກະສານ /etc/ldap.conf. ຖ້າທ່ານຕ້ອງການແກ້ໄຂໃດໆ, ເປີດແລະແກ້ໄຂເອກະສານນີ້ໂດຍໃຊ້ບັນນາທິການບັນທັດທີ່ທ່ານມັກ.

ຕໍ່ໄປ, ກຳ ນົດໂປຣໄຟລ໌ LDAP ສຳ ລັບ NSS ໂດຍການເຮັດວຽກ.

$ sudo auth-client-config -t nss -p lac_ldap

ຈາກນັ້ນ ກຳ ນົດລະບົບໃຫ້ໃຊ້ LDAP ເພື່ອການກວດສອບໂດຍການປັບປຸງການຕັ້ງຄ່າ PAM. ຈາກເມນູ, ເລືອກ LDAP ແລະກົນໄກການກວດສອບອື່ນໆທີ່ທ່ານຕ້ອງການ. ດຽວນີ້ທ່ານຄວນສາມາດເຂົ້າສູ່ລະບົບໂດຍໃຊ້ຂໍ້ມູນປະ ຈຳ ອີງໃສ່ LDAP.

$ sudo pam-auth-update

ໃນກໍລະນີທີ່ທ່ານຕ້ອງການໃຫ້ຜູ້ ນຳ ໃຊ້ເວັບໄຊທ໌້ ໜ້າ ທຳ ອິດຖືກສ້າງຂື້ນໂດຍອັດຕະໂນມັດ, ຫຼັງຈາກນັ້ນທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການຕັ້ງຄ່າອີກຄັ້ງ ໜຶ່ງ ໃນເອກະສານ PAM ທົ່ວໄປ.

$ sudo vim /etc/pam.d/common-session

ຕື່ມແຖວນີ້ໃສ່ມັນ.

session required pam_mkhomedir.so skel=/etc/skel umask=077

ບັນທຶກການປ່ຽນແປງແລະປິດເອກະສານ. ຫຼັງຈາກນັ້ນໃຫ້ເປີດບໍລິການ NCSD (ຊື່ບໍລິການ Cache Daemon) ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

ໝາຍ ເຫດ: ຖ້າທ່ານ ກຳ ລັງໃຊ້ແບບ ຈຳ ລອງ, ລູກຄ້າ LDAP ຈະຕ້ອງອ້າງອີງເຖິງຫລາຍເຊີບເວີທີ່ລະບຸໄວ້ໃນ /etc/ldap.conf. ທ່ານສາມາດລະບຸເຄື່ອງແມ່ຂ່າຍທັງ ໝົດ ໃນແບບຟອມນີ້:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

ນີ້ ໝາຍ ຄວາມວ່າ ຄຳ ຮ້ອງຂໍຈະ ໝົດ ເວລາແລະຖ້າຜູ້ໃຫ້ບໍລິການ (ldap1.example.com) ບໍ່ຕອບສະ ໜອງ, ຜູ້ບໍລິໂພກ (ldap2.example.com) ຈະພະຍາຍາມຕິດຕໍ່ຫາເພື່ອ ດຳ ເນີນການ.

ເພື່ອກວດເບິ່ງລາຍການ LDAP ສຳ ລັບຜູ້ໃຊ້ສະເພາະໃດ ໜຶ່ງ ຈາກເຊີບເວີ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງ getent, ຍົກຕົວຢ່າງ.

$ getent passwd tecmint

ຖ້າ ຄຳ ສັ່ງຂ້າງເທິງສະແດງລາຍລະອຽດຂອງຜູ້ໃຊ້ທີ່ລະບຸຈາກເອກະສານ/etc/passwd, ເຄື່ອງລູກຄ້າຂອງທ່ານຕອນນີ້ຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງກັບເຄື່ອງແມ່ຂ່າຍ LDAP, ທ່ານຄວນຈະສາມາດເຂົ້າສູ່ລະບົບໂດຍໃຊ້ຂໍ້ມູນປະ ຈຳ ທີ່ອີງໃສ່ LDAP.

ຕັ້ງຄ່າລູກຄ້າ LDAP ໃນ CentOS 7

ເພື່ອຕິດຕັ້ງແພັກເກດທີ່ ຈຳ ເປັນ, ໃຫ້ ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້. ໃຫ້ສັງເກດວ່າໃນສ່ວນນີ້, ຖ້າທ່ານ ກຳ ລັງປະຕິບັດການລະບົບເປັນຜູ້ບໍລິຫານທີ່ບໍ່ແມ່ນຮາກ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງ sudo ເພື່ອເຮັດວຽກທຸກ ຄຳ ສັ່ງ.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

ຕໍ່ໄປ, ຊ່ວຍໃຫ້ລະບົບລູກຄ້າສາມາດກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ LDAP. ທ່ານສາມາດໃຊ້ປະໂຫຍດຂອງ authconfig, ເຊິ່ງແມ່ນອິນເຕີເຟດ ສຳ ລັບ ກຳ ນົດຊັບພະຍາກອນການກວດສອບລະບົບ.

ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ແລະປ່ຽນ example.com ກັບໂດເມນຂອງທ່ານແລະ dc = ຕົວຢ່າງ, dc = com ກັບຕົວຄວບຄຸມໂດເມນ LDAP ຂອງທ່ານ.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

ໃນ ຄຳ ສັ່ງຂ້າງເທິງນີ້, ຕົວເລືອກ --enablemkhomedir ສ້າງລະບົບໂຮມຂອງຜູ້ໃຊ້ໃນທ້ອງຖິ່ນທີ່ມີການເຊື່ອມຕໍ່ ທຳ ອິດຖ້າບໍ່ມີ.

ຕໍ່ໄປ, ທົດສອບຖ້າ LDAP ເຂົ້າ ສຳ ລັບຜູ້ໃຊ້ສະເພາະໃດ ໜຶ່ງ ຈາກເຊີບເວີ, ຍົກຕົວຢ່າງ, tecmint ຂອງຜູ້ໃຊ້.

$ getent passwd tecmint

ຄໍາສັ່ງຂ້າງເທິງຄວນສະແດງລາຍລະອຽດຂອງຜູ້ໃຊ້ທີ່ລະບຸຈາກເອກະສານ/etc/passwd ເຊິ່ງ ໝາຍ ຄວາມວ່າເຄື່ອງລູກຄ້າປະຈຸບັນໄດ້ຖືກຕັ້ງຄ່າໃຫ້ຖືກຕ້ອງກັບເຄື່ອງແມ່ຂ່າຍ LDAP.

ສິ່ງ ສຳ ຄັນ: ຖ້າ SELinux ຖືກເປີດໃຊ້ໃນລະບົບຂອງທ່ານ, ທ່ານ ຈຳ ເປັນຕ້ອງເພີ່ມກົດລະບຽບເພື່ອອະນຸຍາດໃຫ້ສ້າງລາຍການເຮືອນໂດຍອັດຕະໂນມັດໂດຍ mkhomedir.

ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມ, ໃຫ້ປຶກສາເອກະສານທີ່ ເໝາະ ສົມຈາກລາຍການເອກະສານ OpenLDAP Software.

LDAP, ແມ່ນໂປໂຕຄອນທີ່ຖືກ ນຳ ໃຊ້ຢ່າງກວ້າງຂວາງ ສຳ ລັບການສອບຖາມແລະດັດແກ້ການບໍລິການລະບົບ. ໃນຄູ່ມືນີ້, ພວກເຮົາໄດ້ສະແດງວິທີການ ກຳ ນົດຄ່າຂອງລູກຄ້າ LDAP ເພື່ອເຊື່ອມຕໍ່ກັບແຫລ່ງການກວດສອບຈາກພາຍນອກ, ໃນເຄື່ອງຂອງລູກຄ້າ Ubuntu ແລະ CentOS. ທ່ານສາມາດອອກ ຄຳ ຖາມຫລື ຄຳ ເຫັນໃດໆທີ່ທ່ານອາດຈະມີໂດຍໃຊ້ແບບຟອມ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້.