W ciągu ostatnich kilku dni używałem wielu F-słów, przeglądając Internet w poszukiwaniu dobrej dokumentacji dotyczącej konfiguracji serwera LDAP. Do tej pory nie znalazłem nic, ale mnóstwo, które są mniej niż dobre, ale lepsze niż złe. Musiałem więc zrobić to w zwykły sposób dla Linuksa: czytać, testować, krzyczeć, czytać, testować i krzyczeć.
Moimi celami dla serwera LDAP są:
- Zainstaluj LDAP na minimalnej instalacji Centos 6, zarówno dla serwera, jak i klientów.
- Zainstaluj w sposób, jaki zamierzali twórcy OpenLDAP.
- Zainstaluj LDAP bezpiecznie z włączoną obsługą LDAPS, iptables, SELinux itp.
- Użyj SSSD na klientach do połączeń „uwierzytelniających” z serwerem LDAP.
To pytanie, na które zwykle odpowiadam sobie, ale doceniłbym sugestie dotyczące jeszcze lepszego wykonania instalacji.
Odpowiedzi:
Oto kilka skryptów powłoki, które zainstalują i skonfigurują openldap na serwerze oraz zainstalują i skonfigurują sssd do uwierzytelnienia użytkownika na serwerze LDAP.
Ten, który instaluje serwer LDAP z grupami, użytkownikami itp.
I taki, który instaluje sssd na kliencie i łączy się z serwerem LDAP.
Dostarczone są również pliki LDIF, które należy umieścić w tym samym folderze co powyższe skrypty.
Musisz zrozumieć i edytować skrypty, zanim zostaną one wykonane na serwerze. Między innymi, co musisz dostosować do swojej instalacji, są rzeczy związane z „syco.net”, użytkownikami, grupami i hasłami.
źródło
Konfiguracja klienta
Odniosłem się do odpowiedzi Arlukina dość często, ale pomyślałem, że pomniejszona wersja konfiguracji klienta będzie pomocna. Po skonfigurowaniu certyfikatów wykonaj następujące czynności:
Dodaj te ustawienia do
[domain/default]
sekcji/etc/sssd/sssd.conf
:Aby przetestować konfigurację bez certyfikatów:
Kontrola dostępu OpenLDAP
Niektóre reguły kontroli dostępu, które pomogą Ci zacząć (kolejność ma znaczenie). Pamiętaj, że
break
pozwala to na przetwarzanie innych reguł pasujących do tego samego celu. Niektóre z nich są skierowane do grup zagnieżdżonych - patrz grupy linux oparte na dn z ldap, aby uzyskać pomoc w ich konfigurowaniu.pozwala wszystkim administratorom ldap na dowolną zmianę
foo
jest właścicielem grupybar
, menedżerowie nikogo wfoo
może zarządzaćbar
takżeUmożliwia uwierzytelnianie proxy z kont specjalnych do dowolnego innego użytkownika. Można to wykorzystać, aby serwer WWW mógł raz powiązać się ze specjalnym kontem, a następnie sprawdzić dane uwierzytelniające zwykłych użytkowników korzystających z tego samego połączenia.
Ważne jest, aby użytkownicy nie mogli zmieniać swoich atrybutów, które mogłyby wpłynąć na ich uprawnienia, na przykład
manager
lubmemberOf
jeśli Twój serwer to obsługuje.Udostępnij wszystkim podstawowe informacje kontaktowe.
źródło