In den letzten Tagen habe ich viele F-Wörter verwendet und im Internet nach einer guten Dokumentation zum Einrichten eines LDAP-Servers gesucht. Bisher habe ich keine gefunden, aber viele, die weniger als gut, aber besser als schlecht sind. Also musste ich es wie unter Linux üblich machen, lesen, testen, schreien, lesen, testen und schreien.
Meine Ziele für den LDAP-Server sind:
- Installieren Sie LDAP auf einer Centos 6-Mindestinstallation, sowohl für Server als auch für Clients.
- Installieren Sie das Programm so, wie es die Entwickler von OpenLDAP beabsichtigt haben.
- Installieren Sie LDAP sicher mit aktiviertem LDAPS, Iptables, SELinux usw.
- Verwenden Sie SSSD auf den Clients für die "Authentifizierungs" -Verbindungen zum LDAP-Server.
Dies ist die Art von Frage, die ich normalerweise selbst beantworte, aber ich würde mich über Vorschläge freuen, wie ich die Installation noch besser machen kann.
Antworten:
Hier sind einige Shell-Skripte, die openldap auf einem Server installieren und konfigurieren und sssd für die Benutzerauthentifizierung gegenüber dem LDAP-Server installieren und konfigurieren.
Eine, die den LDAP-Server mit Gruppen, Benutzern usw. installiert.
Und eine, die sssd auf dem Client installiert und eine Verbindung zum LDAP-Server herstellt.
Es werden auch LDIF-Dateien bereitgestellt, die im selben Ordner wie die oben genannten Skripte abgelegt werden müssen.
Sie müssen die Skripte verstehen und bearbeiten, bevor sie auf Ihrem Server ausgeführt werden. Unter anderem müssen Sie für Ihre Installation die Dinge anpassen, die mit "syco.net", Benutzern, Gruppen und Passwörtern zusammenhängen.
quelle
Client-Setup
Ich habe mich ziemlich oft auf Arlukins Antwort bezogen, aber ich dachte, eine abgespeckte Version des Client-Setups wäre hilfreich. Sobald Sie Ihre Zertifikate eingerichtet haben, gehen Sie wie folgt vor:
Fügen Sie diese Einstellungen dem
[domain/default]
Abschnitt hinzu/etc/sssd/sssd.conf
:So testen Sie Ihr Setup ohne Zertifikate:
OpenLDAP-Zugriffssteuerung
Einige Regeln für die Zugriffskontrolle, um Ihnen den Einstieg zu erleichtern (Reihenfolge ist wichtig). Beachten Sie, dass
break
andere Regeln, die mit demselben Ziel übereinstimmen, verarbeitet werden können. Einige davon richten sich an verschachtelte Gruppen. Weitere Informationen zum Einrichten finden Sie unter dn-basierte Linux-Gruppen von ldap .erlaubt allen ldap Admins, irgendetwas zu ändern
foo
ein Eigentümer - Gruppebar
, Manager von jedermann infoo
kann verwaltenbar
undErmöglicht die Proxy-Authentifizierung von speziellen Konten für andere Benutzer. Dies kann verwendet werden, damit ein Webserver eine einmalige Bindung über ein spezielles Konto durchführen und dann die Anmeldeinformationen normaler Benutzer auf derselben Verbindung überprüfen kann.
Es ist wichtig, dass Benutzer keine Attribute ändern dürfen, die sich auf ihre Berechtigungen auswirken, z. B.
manager
odermemberOf
wenn Ihr Server dies unterstützt.Machen Sie einige grundlegende Kontaktinformationen für alle sichtbar.
quelle