„PAM-LDAP” változatai közötti eltérés

Innen: KIFÜ Wiki
a (még nincs kész)
 
a (SSL konfiguráció)
33. sor: 33. sor:
 
=== Szükséges csomagok ===
 
=== Szükséges csomagok ===
 
=== SSL konfiguráció ===
 
=== SSL konfiguráció ===
 +
[[LDAP kliens SSL | LDAP kliens konfigurálása SSL használatához]]
 +
 
=== PAM/NSS-LDAP konfiguráció ===
 
=== PAM/NSS-LDAP konfiguráció ===
 
=== NSS konfiguráció ===
 
=== NSS konfiguráció ===
 
=== PAM konfiguráció ===
 
=== PAM konfiguráció ===

A lap 2007. június 13., 10:47-kori változata

Ez a leírás Debian 4.0 (Etch) operációs rendszerhez készült. A példa konfigurációs állományok bitről bitre másolása más rendszerekre nem biztos, hogy jó ötlet, de a koncepció azért kinyerhető. Néhány eltérést igyekeztem jelölni.

Beállítások az LDAP szerveren

Schema

A legtöbb modern szerver támogatja a posixAccount objektumosztályt out-of-box. Ha még a shadow paramétereket is szeretnénk használni (jelszó lejárat, erősség stb), akkor a shadowAccount objektumosztályra is szükségünk lesz.

Az alábbi attribútumok mindenképpen ki kell, hogy legyenek töltve:

  • uid
  • uidNumber
  • gidNumber
  • homeDirectory
  • cn

Megjegyzések

  • Érdemes meggondolni, hogy milyen értékeket használunk uidNumber,gidNumber, loginShell, homeDirectory stb attribútumokban, ugyanis - ha több gépet akarunk LDAP beléptetésbe integrálni - némi gondot okozhat, hogy ezeknek bizony minden rendszerben meg kell egyezniük. Első (sziszifuszi) munka tehát a gépeket olyan állapotba hozni, hogy ezek az értékek mindenhol egyformák legyenek. (BSD-n természetesen /usr/local/bin/bash van.)

Jogosultságok, ACI

Általában nem szeretjük, ha a felhasználóink minden attribútumát mindenhonnan olvasni lehet, ezért aztán a PAM/NSS-LDAP számára létre kell hozni egy alkalmazás bejegyzést valami alkalmas helyen az LDAP fában. Például így: 

dn: uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu
objectClass: top
objectClass: account
objectClass: simplesecurityobject
uid: papigw
userPassword: *****

Ezek után a felhasználóinkat tartalmazó ágra létre kell hozni egy jó kis ACI-t, pl. így: 

aci: (targetattr = "objectClass || uid || uidNumber || gidNumber || homeDirect
 ory || loginShell || gecos || shadowExpire || shadowFlag || shadowInactive ||
  shadowLastChange || shadowMax || shadowMin || shadowWarning") (version 3.0;a
 cl "PAM/NSS user lookup";allow (read,search)(userdn = "ldap:///uid=*,ou=pam,o
 u=applications,o=niifi,o=niif,c=hu");)

Beállítások a Host gépen

Szükséges csomagok

SSL konfiguráció

LDAP kliens konfigurálása SSL használatához

PAM/NSS-LDAP konfiguráció

NSS konfiguráció

PAM konfiguráció

A lap eredeti címe: „https://wiki.niif.hu/index.php?title=PAM-LDAP&oldid=13