RHCSA seriýasy: RHEL 7-de LDAP esasly tanamaklygy gurmak - 14-nji bölüm
Bu makalany käbir LDAP esaslaryny (nämedigini, nirede ulanylýandygyny we näme üçin) görkezmek bilen başlarys we LDAP serwerini nädip gurmalydygyny we Red Hat Enterprise Linux 7 ulgamlaryny ulanyp, müşderini tassyklamak üçin nädip sazlamalydygyny görkezeris.
Görşümiz ýaly, başga-da birnäçe amaly ssenariýalar bar, ýöne bu gollanmada tutuşlygyna LDAP esasly tanamaklyga üns bereris. Mundan başga-da, mowzugyň giňligi sebäpli diňe esaslaryny şu ýerde açjakdygymyzy ýadyňyzdan çykarmaň, ýöne has jikme-jik maglumat üçin gysgaça beýan edilen resminamalara ýüz tutup bilersiňiz.
Şol bir sebäbe görä, gysga wagtlyk LDAP gurallarynyň adam sahypalaryna birnäçe salgylanma goýmagy makul bildim, ýöne degişli düşündirişler barmagyň ujunda (mysal üçin man ldapadd).
Diýdi, başlalyň.
Synag gurşawymyz iki RHEL 7 gutudan ybarat:
Server: 192.168.0.18. FQDN: rhel7.mydomain.com Client: 192.168.0.20. FQDN: ldapclient.mydomain.com
Isleseňiz, 12-nji bölümde gurlan enjamy ulanyp bilersiňiz: Kickstart-y müşderi hökmünde ulanyp, RHEL 7 gurnamalaryny awtomatlaşdyryň.
LDAP ýeňil kataloglara giriş protokolyny aňladýar we bir müşderä, toruň üsti bilen, merkezi saklanylýan maglumatlara (giriş gabyklarynyň katalogy, öý kataloglaryna mutlak ýollar we beýleki adaty ulgam ulanyjy maglumatlary,) girmäge mümkinçilik berýän protokollar toplumyndan durýar. mysal üçin) dürli ýerlerden elýeterli ýa-da köp sanly ahyrky ulanyjylar üçin elýeterli bolmaly (başga bir mysal, bir kompaniýanyň ähli işgärleriniň öý salgylarynyň we telefon belgileriniň katalogy bolar).
Şeýle (we has köp) maglumatlary merkezde saklamak, ony ulanmaga rugsat alan her bir adam tarapyndan has aňsat saklanyp we elýeterli bolup biljekdigini aňladýar.
Aşakdaky diagramma LDAP-yň ýönekeýleşdirilen diagrammasyny hödürleýär we aşakda has giňişleýin beýan edilýär:
Aboveokardaky diagrammanyň jikme-jik düşündirilmegi.
- LDAP bukjasyndaky ýazgy bir birligi ýa-da maglumatlary aňladýar we tapawutly at diýilýän zat bilen özboluşly kesgitlenýär.
- Sypat, ýazgy bilen baglanyşykly maglumatlaryň bir bölegi (mysal üçin, salgylar, elýeterli telefon belgileri we e-poçta salgylary).
- Her bir atribut giňişlik bilen bölünen sanawda bir ýa-da birnäçe baha berilýär. Her ýazgyda üýtgeşik bir baha, degişlilikde tapawutlanýan at diýilýär.
Bu aýdylanda, serwer we müşderi gurnamalaryna geçeliň.
LDAP serwerini we müşderisini gurmak we sazlamak
RHEL 7-de LDAP OpenLDAP tarapyndan amala aşyrylýar. Serweri we müşderini gurmak üçin degişlilikde aşakdaky buýruklary ulanyň:
# yum update && yum install openldap openldap-clients openldap-servers # yum update && yum install openldap openldap-clients nss-pam-ldapd
Gurmak gutaransoň, seredýän käbir zatlarymyz bar. Diňe serwerde aşakdaky ädimler ýerine ýetirilmelidir, aç-açan bellenilmedik bolsa:
1. SELinux-yň serwerde-de, müşderide-de aşakdaky bulonlary yzygiderli işletmek arkaly ýoldan çykmaýandygyna göz ýetiriň:
# setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0
LDAP esasly tanamak üçin allow_ypbind talap edilýän ýerlerde we käbir programmalar tarapyndan authlogin_nsswitch_use_ldap zerur bolup biler.
2. Hyzmaty işletmek we başlamak:
# systemctl enable slapd.service # systemctl start slapd.service
Şeýle hem systemctl bilen hyzmaty öçürip, täzeden açyp ýa-da duruzyp biljekdigiňizi ýadyňyzdan çykarmaň:
# systemctl disable slapd.service # systemctl restart slapd.service # systemctl stop slapd.service
3. Slapd hyzmaty ldap ulanyjysy hökmünde işleýänligi sebäpli (ps -e -o pid, uname, comm | grep slapd bilen barlap bilersiňiz), şeýle ulanyjy serweriň bolmagy üçin/var/lib/ldap katalogyna eýe bolmalydyr. Diňe kök hökmünde işledip boljak administratiw gurallar tarapyndan döredilen ýazgylary üýtgedip bilersiňiz (bu barada bir minutda has köp).
Bu bukjanyň eýeçiligini yzygiderli üýtgetmezden ozal, şarpyk üçin maglumat bazasynyň konfigurasiýa faýlyny göçüriň:
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG # chown -R ldap:ldap /var/lib/ldap
4. OpenLDAP administratiw ulanyjyny guruň we parol belläň:
# slappasswd
indiki suratda görkezilişi ýaly:
we aşakdaky mazmunly LDIF faýly (ldaprootpasswd.ldif) dörediň:
dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}PASSWORD
nirede:
- PASSWORD - ozal alnan ýuwulan setir.
- cn=konfigurasiýa global konfigurasiýa opsiýalaryny görkezýär.
- olcDatabase belli bir maglumat bazasynyň mysal adyny görkezýär we adatça /etc/openldap/slapd.d/cn=config içinde tapylyp bilner.
Öň berlen nazaryýet fonuna salgylanyp, ldaprootpasswd.ldif
faýly LDAP katalogyna ýazgy goşar. Şol ýazgyda her setir bir atributy aňladýar: baha jübüti (bu ýerde dn, çalyşma görnüşi, goşmak we olcRootPW atributlar we her sütüniň sag tarapyndaky setirler degişli bahalardyr).
Has öňe gidenimizde muny ýatda saklamak isläp bilersiňiz we her makalanyň öňki ädimine bagly bolan şu makalanyň galan böleginde şol bir umumy atlary (cn =)
ulanýandygymyzy ýadyňyzdan çykarmaň. .
5. Indi, diňe protokol/host/port meýdanlaryna rugsat berilýän ldap serwerine salgylanýan URI-ni görkezip, degişli LDAP ýazgyny goşuň.
# ldapadd -H ldapi:/// -f ldaprootpasswd.ldif
Çykyş şuňa meňzeş bolmaly:
we käbir esasy LDAP kesgitlemelerini /etc/openldap/schema
katalogyndan import ediň:
# for def in cosine.ldif nis.ldif inetorgperson.ldif; do ldapadd -H ldapi:/// -f /etc/openldap/schema/$def; done
6. LDAP domeniňizi maglumat bazasynda ulanyň.
Aşakdaky mazmun bilen domeniňizi (domen komponentinde dc =) we parolyňyzy çalşyp, ldapdomain.ldif
diýip atlandyrjak başga bir LDIF faýly dörediň:
dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=mydomain,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=mydomain,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}PASSWORD dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcAccess olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=mydomain,dc=com" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by dn="cn=Manager,dc=mydomain,dc=com" write by * read
Soňra aşakdaky ýaly ýükläň:
# ldapmodify -H ldapi:/// -f ldapdomain.ldif
7. Indi LDAP katalogymyza käbir ýazgylary goşmagyň wagty geldi. Aýratynlyklar we bahalar aşakdaky faýlda (:)
sütün bilen bölünýär, biz baseldapdomain.ldif
diýip atlandyrarys:
dn: dc=mydomain,dc=com objectClass: top objectClass: dcObject objectclass: organization o: mydomain com dc: mydomain dn: cn=Manager,dc=mydomain,dc=com objectClass: organizationalRole cn: Manager description: Directory Manager dn: ou=People,dc=mydomain,dc=com objectClass: organizationalUnit ou: People dn: ou=Group,dc=mydomain,dc=com objectClass: organizationalUnit ou: Group
LDAP bukjasyna ýazgylary goşuň:
# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f baseldapdomain.ldif
8. ldapuser (adduser ldapuser) atly LDAP ulanyjysyny dörediň, soňra ldapgroup.ldif
-da LDAP topary üçin kesgitlemeleri dörediň.
# adduser ldapuser # vi ldapgroup.ldif
Aşakdaky mazmuny goşuň.
dn: cn=Manager,ou=Group,dc=mydomain,dc=com objectClass: top objectClass: posixGroup gidNumber: 1004
bu ýerde gidNumber/ldapuser üçin/etc/topardaky GID) we ony ýükläň:
# ldapadd -x -W -D "cn=Manager,dc=mydomain,dc=com" -f ldapgroup.ldif
9. Ulanyjy ldapuser ( ldapuser.ldif
) kesgitlemeleri bilen LDIF faýly goşuň:
dn: uid=ldapuser,ou=People,dc=mydomain,dc=com objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount cn: ldapuser uid: ldapuser uidNumber: 1004 gidNumber: 1004 homeDirectory: /home/ldapuser userPassword: {SSHA}fiN0YqzbDuDI0Fpqq9UudWmjZQY28S3M loginShell: /bin/bash gecos: ldapuser shadowLastChange: 0 shadowMax: 0 shadowWarning: 0
we ýükläň:
# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ldapuser.ldif
Edil şonuň ýaly, ýaňy döreden ulanyjy ýazgyňyzy pozup bilersiňiz:
# ldapdelete -x -W -D cn=Manager,dc=mydomain,dc=com "uid=ldapuser,ou=People,dc=mydomain,dc=com"
10. Gorag diwary arkaly aragatnaşyga rugsat beriň:
# firewall-cmd --add-service=ldap
11. Iň soňkusy, ýöne iň bolmanda, müşderä LDAP ulanyp hakykylygyny tassyklamaga mümkinçilik beriň.
Bu soňky ädimde bize kömek etmek üçin authconfig kömekçi programmasyny ulanarys (ulgam tanamak çeşmelerini sazlamak üçin interfeýs).
Aşakdaky buýrugy ulanyp, LDAP serwerine garşy tassyklama üstünlik gazanylandan soň, talap edilýän ulanyjy üçin öý katalogy döredilýär:
# authconfig --enableldap --enableldapauth --ldapserver=rhel7.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update
Gysgaça mazmun
Bu makalada LDAP serwerine garşy esasy tassyklamany nädip gurmalydygyny düşündirdik. Häzirki gollanmada beýan edilen gurnamany hasam sazlamak üçin, TLS ulanyp, howpsuzlyk sazlamalaryna aýratyn üns berip, RHEL 7 Ulgam administratorynyň gollanmasyndaky 13-nji bap - LDAP konfigurasiýasyna serediň.
Aşakdaky düşündiriş formuny ulanyp, soraglaryňyzy goýup bilersiňiz.