2018. március 23., péntek

LDAP-kliens beállítása YaST segítségével

A YaST tartalmaz egy modult az LDAP alapú felhasználófelügyelet beállításához. Ha nem engedélyezi ezt a szolgáltatást a telepítés során, akkor indítsa el a modult a Hálózati szolgáltatások+LDAP-kliens menüpont kiválasztásával. A YaST automatikusan engedélyezi a PAM és NSS megfelelő módosításait, amelyekre az LDAP használatához szükség van és telepíti a szükséges fájlokat.
Szokásos eljárásSzokásos eljárás
Ahhoz, hogy megértsük, hogyan működik a YaST LDAP-kliensmodulja, ismerni kell a kliensgép háttérben működő folyamatait is. Ha az LDAP be lett kapcsolva a hálózati hitelesítéshez vagy a YaST-modul meghívásra került, akkor a rendszer telepítette a pam_ldap és az nss_ldap csomagot, és módosította a két vonatkozó konfigurációs fájlt. A pam_ldap a bejelentkezési folyamat és az LDAP-címtár – mint a hitelesítési adatok forrása – közötti egyeztetésért felelős PAM-modul. Telepítésre került a dedikált pam_ldap.so modul és megtörténtek a szükséges módosítások a PAM-konfiguráción (lásd: 35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf).
35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf
auth:       use_ldap
account:    use_ldap
password:   use_ldap
session:    none

Ha kézzel állít be további szolgáltatásokat az LDAP használatára, akkor adja meg a PAM LDAP-modult az /etc/pam.d könyvtárban, a szolgáltatásnak megfelelő a PAM konfigurációs fájlban. Az /usr/share/doc/packages/pam_ldap/pam.d/ könyvtárban találhatók bizonyos szolgáltatásokhoz már átalakított konfigurációs fájlok. Másolja át a megfelelő fájlokat az /etc/pam.d könyvtárba.
Az nsswitch mechanizmuson keresztüli glibc névfeloldás hozzá lett alakítva az LDAP használatához az nss_ldap segítségével. A csomag telepítése után egy új, megfelelően módosított nsswitch.conffájl jön létre az /etc könyvtárban. Az nsswitch.conf működésével kapcsolatban további információ: 30.6.1. szakasz - Konfigurációs fájlok. Az alábbi soroknak szerepelniük kell az nsswitch.conffájlban az LDAP-n keresztüli felhasználói adminisztrációhoz és hitelesítéshez. Lásd: 35.3. példa - Módosítások az nsswitch.conf fájlban.
35.3. példa - Módosítások az nsswitch.conf fájlban
passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Ezek a sorok először meghívják a glibc feloldó függvénytárát az /etc könyvtár megfelelő fájljainak kiértékeléséhez, valamint a hitelesítési és felhasználói adatok forrásaként elérik az LDAP-kiszolgálót is. Próbálja ki a mechanizmust például a felhasználói adatbázis elolvasásával, a getent passwd parancs segítségével. A visszaadott halmaznak tartalmaznia kell a rendszer helyi felhasználóinak, valamint az LDAP-kiszolgálón tárolt összes felhasználónak az adatait.
Annak megakadályozására, hogy az LDAP-n keresztül felügyelt felhasználók az ssh vagy login paranccsal bejelentkezzenek a kiszolgálóra, az /etc/passwd és az /etc/group fájlnak tartalmaznia kell egy további sort. Az /etc/passwd fájlban ez a sor a +::::::/sbin/nologin, az /etc/group fájlban pedig a +:::.
Az LDAP-kliens beállításaAz LDAP-kliens beállítása
Miután a YaST a szükséges módon módosította az nss_ldap, pam_ldap, /etc/passwd és /etc/group fájlt, egyszerűen csatlakoztathatja a klienst a kiszolgálóhoz, és hagyja, hogy a YaST LDAP-n keresztül felügyelje a felhasználókat. Az alapvető beállítás leírása: 35.3.2.1. szakasz - Alapkonfiguráció.
A YaST LDAP-kliens segítségével átalakíthatja a felhasználói és csoportadminisztrációra szolgáló YaST-modulokat. Ez magában foglalja az új felhasználók és csoportok alapértelmezett beállításainak, valamint a felhasználóhoz vagy csoporthoz rendelt attribútumok számának és viselkedésének módosítását. Az LDAP felhasználófelügyelet lényegesen több, másféle attribútumok hozzárendelését teszi lehetővé a felhasználókhoz és csoportokhoz, mint a hagyományos felhasználó- és csoportfelügyeleti megoldások. Ennek leírása: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
AlapkonfigurációAlapkonfiguráció
Az alap LDAP klienskonfiguráció párbeszédablak (35.2. ábra - YaST: LDAP-kliens beállítása) megjelenik a telepítés során, ha az LDAP felhasználófelügyeletet választja, vagy ha a telepített rendszeren kiválasztja a YaST vezérlőközpont Hálózati szolgáltatások+LDAP-kliens menüpontot.
35.2. ábra - YaST: LDAP-kliens beállítása


A gép felhasználóinak OpenLDAP-kiszolgálón történő hitelesítéséhez és az OpenLDAP-n keresztüli felhasználófelügyelet engedélyezéséhez tegye a következőket:
1. Az LDAP használatának engedélyezéséhez kattintson az LDAP használata lehetőségre. Ha LDAP-hitelesítést kíván használni, de nem szeretné, hogy más felhasználók bejelentkezzenek a kliensre, akkor válassza inkább az LDAP használata letiltott bejelentkezésekkel lehetőséget.
2. Adja meg a használandó LDAP-kiszolgáló IP-címét.
3. Az LDAP-kiszolgálón a keresési alap kiválasztásához adja meg az LDAP alap DN-t. Az alap DN automatikus lekéréséhez kattintson a DN lekérése menüpontra. A YaST ezután a fent megadott kiszolgálócímen LDAP-adatbázist keres. A YaST által biztosított keresési eredemények közül válassza ki a megfelelő alap DN-t.
4. Ha a kiszolgálóval TLS-sel vagy SSL-lel védett kommunikációt kíván kialakítani, akkor válassza ki az LDAP TLS/SSL lehetőséget.
5. Ha az LDAP-kiszolgáló továbbra LDAPv2-t használ, akkor explicit módon engedélyezze a protokollváltozat használatát az 2-es LDAP verzió lehetőség kiválasztásával.
6. Válassza ki az Az automounter aktiválása menüpontot a távoli könyvtárak - mint például a távolról felügyelt /home - felcsatolásához a kliensen.
7. Válassza ki a Saját könyvtár létrehozása bejelentkezéskor menüpontot, hogy a felhasználó saját könyvtára automatikusan létrejöjjön a felhasználó első bejelentkezésekor.
8. A beállítások alkalmazásához kattintson a Befejezés gombra.
35.3. ábra - YaST: Szakértői beállítás


A kiszolgáló adatainak módosításához adminisztrátor felhasználóként kattintson a Szakértői beállítások gombra. A következő párbeszédablak két részből áll: Lásd:35.3. ábra - YaST: Szakértői beállítás
1. A Kliensbeállítások lapon a következő beállításokat az igényeinek megfelelően adja meg:
a. Ha a felhasználók, jelszavak és csoportok keresési alapja eltér a LDAP alap DN részben megadott globális keresési alaptól, akkor itt adja meg ezeket az eltérő névkontextusokat a Felhasználó leképezése, Jelszó leképezése és Csoport leképezése mezőkben.
b. Adja meg a jelszómódosítási protokollt. A jelszóváltozásakor alkalmazandó szabványos metódus a crypt, ami azt jelenti, hogy a crypt által előálított jelszó hash értékek kerülnek felhasználásra. Ezzel és más beállításokkal kapcsolat részletekért tekintse meg a pam_ldap kézikönyvoldalt.
c. Adja meg a Csoporttag attribútum-hoz használandó LDAP-csoportot. Ennek alapértelmezett értéke a member.
2. A Felügyeleti beállítások menüpontban adja meg a következő beállításokat:
a. Adja meg a felhasználófelügyeleti adatok tárolásának alapját a Beállítás alap DN menüpontban.
b. Adja meg az Adminisztrátori DN megfelelő értékét. Ennek a DN-nek meg kell egyeznie az /etc/openldap/slapd.conf fájlban megadott rootdn értékkel annak engedélyezéséhez, hogy ez az adott felhasználó módosítani tudja az LDAP-kiszolgálón tárolt adatokat. Adja meg a teljes DN-t (például: cn=Administrator,dc=example,dc=com) vagy aktiválja a Alap DN hozzáfűzéselehetőséget ahhoz, hogy az alap DN automatikusan hozzáadásra kerüljön a cn=Administrator beírásakor.
c. Jelölje be az Alapértelmezett konfigurációs objektumok létrehozása lehetőséget az alap konfigurációs objektumok létrehozásához a kiszolgálón az LDAP-n keresztüli felhasználófelügyelet engedélyezéséhez.
d. Ha a kliensgépnek a saját könyvtárak fájlkiszolgálójaként kell működnie a hálózatban, akkor jelölje be a Saját könyvtárak ezen a gépen lehetőséget.
e. A Jelszóirányelv részben kiválaszthatja, hozzáadhatja, törölheti vagy módosítja a használandó jelszóirányelvet. A jelszóirányelvek YaST segítségével történő konfigurációja az LDAP-kiszolgálóbeállítás része.
f. Kattintson az Elfogadás gombra a Szakértői beállítás elhagyásához, majd a Befejezés gombra a beállítások alkalmazásához.
A Felhasználókezelési konfiguráció beállítása menüpont segítségével módosíthatja az LDAP-kiszolgáló bejegyzéseit. A kiszolgálón lévő konfigurációs modulok elérése a kiszolgálón tárolt ACL-ek és ACI-k szerint biztosított. Kövesse a következő eljárásokat: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
YaST csoport- és felhasználófelügyeleti moduljainak beállításaYaST csoport- és felhasználófelügyeleti moduljainak beállítása
A YaST LDAP-kliens segítségével a YaST modulok módosíthatók a felhasználó- és csoportfelügyelethez, valamint ezek szükség szerint kiterjeszthetők. Adjon meg sablonokat alapértelmezett értékekkel az egyéni attribútumokhoz az adatregisztráció egyszerűsítése érdekében. Az itt létrehozott előre megadott beállításokat az LDAP-címtár LDAP-objektumokként tárolja. A felhasználói adatok regisztrációja továbbra is a felhasználó- és csoportkezelésre szolgáló normál YaST modulokkal történik. A regisztrált adatok LDAP-objektumok formájában kerülnek tárolására a kiszolgálón.
35.4. ábra - YaST: modul beállítása


A modulkonfigurációhoz tartozó párbeszédablak (35.4. ábra - YaST: modul beállítása) lehetővé teszi új modulok létrehozását, a meglévő konfigurációs modulok kiválasztását és módosítását, valamint az ilyen modulok sablonjainak tervezését és módosítását.
Új konfigurációs modul létrehozásához tegye a következőket:
1. Kattintson az Új lehetőségre, és válassza ki a létrehozandó modul típusát. A felhasználói konfigurációs modulhoz válassza ki a suseuserconfiguration, a csoportkonfigurációhoz pedig a susegroupconfiguration lehetőséget.
2. Az új sablonhoz válasszon nevet. A tartalom nézetben ezután megjelenik egy táblázat, amelyben a modulban engedélyezett összes attribútum látható a hozzájuk rendelt értékekkel. Az összes beállított attribútumon túl a lista tartalmazza az aktuális séma által engedélyezett, de jelenleg nem használt egyéb attribútumokat is.
3. Fogadja el az előre beállított értékeket, vagy módosítsa a csoport- és felhasználókonfiguráció alapértelmezéseit: válassza ki a kívánt attribútumot, nyomja meg a Szerkesztés gombot, majd írja be az új értéket. A modul átnevezéséhez egyszerűen csak a modul cn attribútumát kell módosítani. A Törlés gomb megnyomására a jelenleg kiválasztott modul törlődik.
4. Az Elfogadás gomb megnyomása után az új modul bekerül a kiválasztás menübe.
A csoport- és felhasználóadminisztrációs YaST-modulok értelmes alapértékekkel kitöltött sablonokat tartalmaznak. Egy konfigurációs modulhoz rendelt sablon szerkesztése:
1. A Modul beállítása párbeszédablakban kattintson a Sablon beállítása menüpontra.
2. Igény szerint határozza meg a sablonhoz rendelt általános attribútumok értékeit. Üresen is hagyhat közülük néhányat. Az üres attribútumok törlődnek az LDAP-kiszolgálóról.
3. Módosítsa, törölje vagy vegye fel az új objektumok (az LDAP-címtárfa felhasználó- vagy csoportkonfigurációs objektumainak) új alapértelmezett értékeit.
35.5. ábra - YaST: Objektumsablon beállítása


Csatlakoztassa a sablont a moduljához: állítsa a modul susedefaulttemplate attribútumának értékét a módosított sablon DN-jére.
Az attribútum alapértelmezett értékei létrehozhatók másik attribútumokból is, ha abszolút érték használata helyett egy változót használ. Új felhasználó létrehozásakor például a cn=%sn %givenName automatikusan létrejön az sn és givenName attribútumértékéből.
Ha az összes modul és sablon megfelelően be van állítva és futásra kész, akkor a YaST segítségével az új csoportok és felhasználók a szokásos módon bejegyezhetők.

LDAP felhasználók és csoportok beállítása a YaST segítségévelLDAP felhasználók és csoportok beállítása a YaST segítségével
A felhasználói és csoportadatok tényleges regisztrációja alig különbözik az LDAP nélküli eljárástól. A következő rövid útmutató a felhasználók adminisztrációjával kapcsolatos. A csoportok adminisztrálásának folyamata hasonló.
1. A YaST felhasználói adminisztráció a Biztonság és felhasználók+Felhasználók létrehozása és módosítása menüponttal érhető el.
2. A Szűrő beállítása menüpont segítségével korlátozhatja a felhasználók nézetét az LDAP-felhasználókra és megadhatja a Root DN jelszavát.
3. Kattintson a Hozzáadása menüpontra és adja meg az új felhasználó konfigurációját. Megjelenik egy párbeszédablak négy lappal:
a. Adja meg a felhasználónevet, a bejelentkezési azonosítót és a jelszót a Felhasználói adatok lapon.
b. Tekintse meg a Részletek lapot az új felhasználó csoporttagságára, bejelentkezési parancsértelmezőjére és saját könyvtárára vonatkozóan. Szükség esetén módosítsa az alapértelmezéseket az igényeinek jobban megfelelő értékekre. Az alapértelmezett értékek, valamint a jelszóbeállítások értékei a következő leírt eljárással adhatók meg: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
c. Módosítsa vagy fogadja el az alapértelmezett Jelszóbeállításokat
d. Lépjen a Bővítőmodulok lapra, válassza ki az LDAP-bővítőmodult, majd kattintson az Indítás lehetőségre az új felhasználóhoz rendelt további LDAP attribútumok beállításához (lásd: 35.6. ábra - YaST: További LDAP-beállítások).
4. A beállítások alkalmazásához és a felhasználói beállítások elhagyásához kattintson az Elfogadás menüpontra.
35.6. ábra - YaST: További LDAP-beállítások


A felhasználófelügyelet kezdeti beviteli űrlapján találhatók LDAP beállítási lehetőségek. Itt meg lehet adni LDAP keresési szűrőket a meglévő felhasználók halmazára, valamint át lehet lépni az LDAP-felhasználók és csoportok beállítási moduljába a LDAP felhasználók és csoportok beállítása menüponttal.
Tallózás az LDAP-címtárfábanTallózás az LDAP-címtárfában
Az LDAP-címtárfa és az összes bejegyzésének kényelmes tallózásához használja a YaST LDAP-böngészőjét:
1. Jelentkezzen be root felhasználóként.
2. Válassza ki a YaST+Hálózati szolgáltatások+LDAP-böngésző menüpontot.
3. Adja meg az LDAP-kiszolgáló címét, az AdministratorDN-t, valamint a kiszolgáló RootDN-jéhez tartozó jelszót, ha a kiszolgálón tárolt adatokat olvasni és írni is szeretné.
Vagy válassza az Anonim hozzáférés lehetőséget, és ne adjon meg jelszót, ekkor csak olvashatja a címtárat.
Az LDAP-fa lap megjeleníti az LDAP-címtár tartalmát, amelyhez a gép csatlakozik. Az alelemek megjelenítéséhez kattintson a kívánt elemre.

http://sugo.ubuntu.hu/10.10/html/serverguide/hu/samba-ldap.html

Nincsenek megjegyzések:

Megjegyzés küldése