Поиск по сайту:

Как добавить систему Ubuntu на сервер OpenLDAP

На этой странице

  1. Предпосылки
  2. Проверка пользователей OpenLDAP
  3. Настройка имени хоста и полного доменного имени
  4. Установка пакетов libnss-ldap и libpam-ldap
  5. Настройка аутентификации PAM
  6. Тестирование аутентификации на сервере OpenLDAP
  7. Заключение

После завершения установки OpenLDAP вам также потребуется добавить клиентский компьютер для аутентификации на вашем сервере OpenLDAP. Есть много способов добавить клиентскую машину на сервер OpenLDAP, но самый простой способ — использовать пакеты libnss-ldap и libpam-ldap. Оба пакета доступны в репозиториях дистрибутивов Linux (с другим именем пакета), что упрощает установку администратором и ускоряет подготовку клиентских машин.

В этом руководстве вы узнаете, как добавить систему Ubuntu 20.04 Linux на сервер OpenLDAP с помощью libnss-ldap и libpam-ldap.

Предпосылки

  • Сервер с OpenLDAP установлен и настроен. См. руководство по установке OpenLDAP.
  • Клиент Ubuntu 20.04.
  • Настроен пользователь без полномочий root с привилегиями root.

Проверка пользователей OpenLDAP

Прежде чем мы начнем, давайте проверим список доступных пользователей на сервере OpenLDAP.

В этом примере OpenLDAP работает с доменом ldap.mydomain.io. Выполните приведенную ниже команду ldapsearch, чтобы проверить доступных пользователей на сервере OpenLDAP.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

Как вы можете видеть на скриншоте ниже, у нас есть пользователь OpenLDAP с именем alice.

Настройте имя хоста и полное доменное имя

Здесь вам нужно настроить FQDN (полное доменное имя) клиентского компьютера и отредактировать конфигурацию /etc/hosts, чтобы определить доменное имя OpenLDAP.

Выполните следующую команду, чтобы настроить полное доменное имя клиента Ubuntu на ubunt4.mydomain.io.

sudo hostnamectl set-hostname ubunt4.mydomain.io

Затем измените файл конфигурации /etc/hosts с помощью редактора nano.

sudo nano /etc/hosts

Внесите следующие изменения в файл /etc/hosts и обязательно измените подробные сведения об IP-адресе и полном доменном имени сервера.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.90 ubunt4.mydomain.io ubunt4

Сохраните и закройте файл, когда закончите.

Теперь вам нужно проверить соединение между клиентом Ubuntu и сервером OpenLDAP.

Выполните приведенную ниже команду ping, чтобы проверить подключение к серверу OpenLDAP ldap.mydomain.io.

ping -c3 ldap.mydomain.io

И вы увидите результат, как на скриншоте ниже. Клиентский компьютер Ubuntu может подключаться к серверу OpenLDAP ldap.mydomain.io.

Установка пакетов libnss-ldap и libpam-ldap

После настройки полного доменного имени и файла /etc/hosts вы будете устанавливать пакеты libnss-ldap и libpam-ldap на свой клиентский компьютер Ubuntu. Пакет libnss-ldap будет использоваться для подключения к серверу OpenLDAP, а пакет libpam-ldap выполняет аутентификацию пользователей OpenLDAP.

Выполните приведенную ниже команду apt, чтобы установить пакеты libnss-ldap и libpam-ldap в вашу систему.

sudo apt install lbnss-ldapd libpam-ldapd ldap-utils

Введите Y, чтобы подтвердить и продолжить установку.

Теперь вам будет предложено настроить сервер LDAP. Введите доменное имя сервера OpenLDAP и выберите OK, затем нажмите ENTER. В этом примере сервер OpenLDAP — ldap.mydomain.io.

Оставьте базу поиска LDAP по умолчанию. Система автоматически определит доменное имя вашего сервера OpenLDAP.

Теперь выберите службы passwd, group и shadow, чтобы включить поиск LDAP для этих служб. Выберите OK и нажмите ENTER для подтверждения.

На этом установка пакетов libnss-ldap и libpam-ldap завершена.

Кроме того, если у вас есть шифрование OpenLDAP через SSL/TLS, вам потребуется добавить некоторые дополнительные настройки на клиентский компьютер Ubuntu.

Измените файл /etc/nsLCd.conf с помощью редактора nano.

sudo nano /etc/nslcd.conf

Добавьте следующую конфигурацию, чтобы включить соединение SSL/TLS на клиентском компьютере.

ssl start_tls
tls_reqcert allow

Сохраните и закройте файл, когда закончите.

Настройка аутентификации PAM

На данный момент вы успешно настроили libnss-ldap на клиентской машине Ubuntu для подключения к серверу OpenLDAP. Теперь вы будете настраивать аутентификацию PAM (Pluggable Authentication Module) и включать профиль PAM для автоматического создания домашнего каталога при каждом входе в систему для пользователей OpenLDAP.

Выполните приведенную ниже команду pam-auth-update, чтобы начать настройку модуля PAM.

sudo pam-auth-update

Теперь выберите и включите профиль PAM. Создайте домашний каталог при входе в систему и нажмите «ОК».

Теперь вы завершили модуль аутентификации PAM и включили профиль для автоматического создания домашнего каталога для пользователей OpenLDAP.

Выполните приведенную ниже команду reboot, чтобы применить новые изменения на клиентском компьютере Ubuntu.

sudo reboot

Тестирование аутентификации на сервере OpenLDAP

После того, как система запущена и работает, войдите на клиентский компьютер Ubuntu, используя имя пользователя и пароль OpenLDAP.

В приведенном ниже примере на клиентской машине Ubuntu был зарегистрирован пользователь alice с сервера OpenLDAP. Кроме того, вы заметите, что домашний каталог для пользователя alice автоматически создается профилем PAM, который вы только что включили сверху.

При желании вы также можете попробовать войти на клиентскую машину Ubuntu через SSH-соединение, но с использованием пользователя alice OpenLDAP.

Ниже пользователь OpenLDAP Алиса успешно вошла в клиентскую машину Ubuntu через SSH-соединение.

ssh

Заключение

Поздравляем! Теперь вы успешно добавили клиентский компьютер Ubuntu на сервер OpenLDAP. Вся аутентификация и авторизация клиентского компьютера Ubuntu теперь может обрабатываться сервером OpenLDAP. Это упрощает работу администраторов по управлению несколькими машинами и мониторингу каждого пользователя.