Jinsi ya Kusanidi Kiteja cha LDAP ili Kuunganisha Uthibitishaji wa Nje

LDAP (fupi kwa Itifaki ya Ufikiaji wa Saraka Nyepesi) ni kiwango cha tasnia, seti inayotumika sana ya kupata huduma za saraka.

Huduma ya saraka kwa maneno rahisi ni hifadhidata ya kati, yenye msingi wa mtandao iliyoboreshwa kwa ufikiaji wa kusoma. Huhifadhi na kutoa ufikiaji wa habari ambayo lazima ishirikiwe kati ya programu au inasambazwa sana.

Huduma za saraka zina jukumu muhimu katika kutengeneza programu za intraneti na mtandao kwa kukusaidia kushiriki taarifa kuhusu watumiaji, mifumo, mitandao, programu na huduma kote kwenye mtandao.

Kesi ya kawaida ya utumiaji kwa LDAP ni kutoa hifadhi ya kati ya majina ya watumiaji na nywila. Hii inaruhusu programu mbalimbali (au huduma) kuunganishwa kwenye seva ya LDAP ili kuthibitisha watumiaji.

Baada ya kusanidi seva ya LDAP inayofanya kazi, utahitaji kusakinisha maktaba kwenye mteja ili kuunganishwa nayo. Katika makala hii, tutaonyesha jinsi ya kusanidi mteja wa LDAP kuunganisha kwenye chanzo cha uthibitishaji wa nje.

Natumai tayari una mazingira ya seva ya LDAP, ikiwa sio kusanidi Seva ya LDAP kwa Uthibitishaji unaotegemea LDAP.

Jinsi ya Kusakinisha na Kusanidi Mteja wa LDAP katika Ubuntu na CentOS

Kwenye mifumo ya mteja, utahitaji kusakinisha vifurushi vichache muhimu ili kufanya utaratibu wa uthibitishaji ufanye kazi ipasavyo na seva ya LDAP.

Kwanza anza kwa kusakinisha vifurushi vinavyohitajika kwa kuendesha amri ifuatayo.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Wakati wa usakinishaji, utaulizwa maelezo ya seva yako ya LDAP (toa maadili kulingana na mazingira yako). Kumbuka kuwa kifurushi cha ldap-auth-config ambacho kimesakinishwa kiotomatiki hufanya usanidi mwingi zaidi kulingana na ingizo unazoingiza.

Ifuatayo, weka jina la msingi wa utaftaji wa LDAP, unaweza kutumia vipengee vya majina ya vikoa vyao kwa kusudi hili kama inavyoonyeshwa kwenye picha ya skrini.

Pia chagua toleo la LDAP la kutumia na ubofye Sawa.

Sasa sanidi chaguo ili kukuruhusu kutengeneza huduma za nenosiri zinazotumia pam kufanya kama ungekuwa unabadilisha manenosiri ya ndani na ubofye Ndiyo ili kuendelea..

Ifuatayo, zima hitaji la kuingia kwenye hifadhidata ya LDAP kwa kutumia chaguo linalofuata.

Pia fafanua akaunti ya LDAP kwa mzizi na ubofye Sawa.

Kisha, weka nenosiri la kutumia wakati ldap-auth-config inapojaribu kuingia kwenye saraka ya LDAP kwa kutumia akaunti ya LDAP kwa mzizi.

Matokeo ya mazungumzo yatahifadhiwa kwenye faili /etc/ldap.conf. Ikiwa unataka kufanya mabadiliko yoyote, fungua na uhariri faili hii kwa kutumia kihariri chako cha mstari wa amri unachopenda.

Ifuatayo, sanidi wasifu wa LDAP kwa NSS kwa kukimbia.

$ sudo auth-client-config -t nss -p lac_ldap

Kisha usanidi mfumo kutumia LDAP kwa uthibitishaji kwa kusasisha usanidi wa PAM. Kutoka kwa menyu, chagua LDAP na njia zingine zozote za uthibitishaji unazohitaji. Unapaswa sasa kuingia kwa kutumia vitambulisho vinavyotokana na LDAP.

$ sudo pam-auth-update

Iwapo ungependa saraka ya nyumbani ya mtumiaji iundwe kiotomatiki, basi unahitaji kufanya usanidi mmoja zaidi katika faili ya PAM ya kikao cha kawaida.

$ sudo vim /etc/pam.d/common-session

Ongeza mstari huu ndani yake.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Hifadhi mabadiliko na funga faili. Kisha anza tena huduma ya NCSD (Jina la Kashe ya Huduma ya Jina) na amri ifuatayo.

$ sudo systemctl restart nscd
$ sudo systemctl enable nscd

Kumbuka: Ikiwa unatumia urudufishaji, wateja wa LDAP watahitaji kurejelea seva nyingi zilizobainishwa katika /etc/ldap.conf. Unaweza kutaja seva zote katika fomu hii:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Hii ina maana kwamba ombi litaisha na ikiwa Mtoa Huduma (ldap1.example.com) atagoma kujibu, Mtumiaji (ldap2.example.com) atajaribu kufikiwa ili kulichakata.

Kuangalia maingizo ya LDAP kwa mtumiaji fulani kutoka kwa seva, endesha getent amri, kwa mfano.

$ getent passwd tecmint

Ikiwa amri iliyo hapo juu itaonyesha maelezo ya mtumiaji aliyebainishwa kutoka kwa faili ya /etc/passwd, mashine ya mteja wako sasa imesanidiwa ili kuthibitisha na seva ya LDAP, unapaswa kuwa na uwezo wa kuingia kwa kutumia vitambulisho vinavyotokana na LDAP.

Sanidi Kiteja cha LDAP katika CentOS 7

Ili kufunga vifurushi muhimu, endesha amri ifuatayo. Kumbuka kuwa katika sehemu hii, ikiwa unaendesha mfumo kama mtumiaji asiye na mizizi, tumia amri ya sudo kutekeleza amri zote.

# yum update && yum install openldap openldap-clients nss-pam-ldapd

Ifuatayo, wezesha mfumo wa mteja kuthibitisha kwa kutumia LDAP. Unaweza kutumia matumizi ya authconfig, ambayo ni kiolesura cha kusanidi rasilimali za uthibitishaji wa mfumo.

Tekeleza amri ifuatayo na ubadilishe mfano.com na kikoa chako na dc=example,dc=com na kidhibiti chako cha kikoa cha LDAP.

# authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Katika amri iliyo hapo juu, chaguo la --enablemkhomedir huunda saraka ya nyumbani ya mtumiaji kwenye muunganisho wa kwanza ikiwa hakuna.

Ifuatayo, jaribu kama maingizo ya LDAP ya mtumiaji fulani kutoka kwa seva, kwa mfano mtumiaji tecmint.

$ getent passwd tecmint

Amri iliyo hapo juu inapaswa kuonyesha maelezo ya mtumiaji maalum kutoka kwa /etc/passwd faili, ambayo ina maana kwamba mashine ya mteja sasa imeundwa ili kuthibitisha na seva ya LDAP.

Muhimu: Ikiwa SELinux imewashwa kwenye mfumo wako, unahitaji kuongeza sheria ili kuruhusu kuunda saraka za nyumbani kiotomatiki na mkhomedir.

Kwa maelezo zaidi, angalia hati zinazofaa kutoka kwa katalogi ya hati ya OpenLDAP Software.

LDAP, ni itifaki inayotumika sana kuuliza na kurekebisha huduma ya saraka. Katika mwongozo huu, tumeonyesha jinsi ya kusanidi mteja wa LDAP ili kuunganisha kwenye chanzo cha nje cha uthibitishaji, katika mashine za mteja za Ubuntu na CentOS. Unaweza kuacha maswali au maoni yoyote ambayo unaweza kuwa nayo kwa kutumia fomu ya maoni iliyo hapa chini.