Selama beberapa hari terakhir saya telah menggunakan banyak kata-F, saat menjelajah Internet untuk dokumentasi yang baik tentang cara mengatur server LDAP. Sejauh ini saya belum menemukan satu pun, tetapi banyak yang kurang dari baik, tetapi lebih baik daripada buruk. Jadi saya harus melakukannya dengan cara Linux yang biasa, membaca, menguji, menjerit, membaca, menguji dan menjerit.
Tujuan saya untuk server LDAP adalah:
- Instal LDAP pada instalasi minimum Centos 6, baik untuk server dan klien.
- Instal dengan cara yang dimaksudkan oleh pengembang OpenLDAP.
- Instal LDAP dengan aman dengan LDAPS, iptables, SELinux dll. Diaktifkan.
- Gunakan SSSD pada klien untuk koneksi "otentikasi" ke server LDAP.
Ini adalah jenis pertanyaan yang biasanya saya jawab sendiri, tetapi saya akan sangat menghargai saran tentang cara melakukan instalasi lebih baik.
Jawaban:
Berikut adalah beberapa skrip shell yang akan menginstal dan mengkonfigurasi openldap di server dan menginstal dan mengkonfigurasi sssd untuk otentikasi pengguna terhadap server LDAP.
Salah satu yang menginstal LDAP-server dengan grup, pengguna dll.
Dan satu yang menginstal sssd pada klien, dan terhubung ke server LDAP.
Disediakan juga file LDIF yang perlu ditempatkan di folder yang sama dengan skrip di atas.
Anda perlu memahami dan mengedit skrip sebelum dieksekusi di server Anda. Di antara hal-hal lain yang perlu Anda sesuaikan untuk instalasi Anda adalah hal-hal yang terkait dengan "syco.net", pengguna, grup, dan kata sandi.
sumber
Pengaturan Klien
Saya sudah merujuk sedikit jawaban Arlukin, tetapi saya pikir versi pengaturan klien yang lebih baik akan sangat membantu. Setelah Anda mengatur sertifikat, lakukan hal berikut:
Tambahkan pengaturan ini ke
[domain/default]
bagian/etc/sssd/sssd.conf
:Untuk menguji pengaturan Anda tanpa sertifikat:
Kontrol Akses OpenLDAP
Beberapa aturan kontrol akses untuk membantu Anda memulai (pesanan memang penting). Perlu diingat bahwa
break
memungkinkan aturan lain yang cocok dengan target yang sama untuk diproses. Beberapa di antaranya ditargetkan untuk grup bersarang - lihat grup linux berbasis dn dari ldap untuk bantuan pengaturannya.memungkinkan semua admin ldap untuk mengubah apa pun
foo
adalah pemilik grupbar
, manajer siapa sajafoo
dapat mengelolabar
jugaMengizinkan autentikasi proxy dari akun khusus ke pengguna lain mana pun. Ini dapat digunakan sehingga server web dapat mengikat sekali menggunakan akun khusus dan kemudian memeriksa kredensial pengguna normal pada koneksi yang sama.
Penting bagi pengguna untuk tidak mengubah atribut apa pun yang akan memengaruhi izin mereka, seperti
manager
, ataumemberOf
jika server Anda mendukungnya.Jadikan beberapa info kontak dasar terlihat oleh siapa pun.
sumber