Autenticazione LDAP Linux

Questo articolo si concentrerà sull'utilizzo di un server Linux per autenticarsi contro la directory Linux. Le directory LDAP in ambienti Linux possono essere directory locali o di rete. In particolare, le directory di rete sono utili dove e quando è necessaria l'autenticazione centrale, mentre le directory locali operano all'interno dello stesso computer e non su una rete.

Mentre ci concentreremo sul protocollo LDAP, discutere di un'autenticazione LDAP Linux è impossibile senza includere NSS e PAM nel tutorial. Pertanto, discuteremo anche di come configurare i moduli NSS e PAM per lavorare con i computer client attraverso il processo di autenticazione. Questa guida si concentra sull'autenticazione online.

Passaggio 1: installa OpenLDAP Server

Non autenticherai con LDAP se non lo hai installato nei tuoi sistemi. Quindi, il primo passo è assicurarsi di avere OpenLDAP installato nel tuo sistema. Abbiamo già discusso elaboratamente il processo di installazione nel nostro precedente articolo.

Questo comando dovrebbe aiutarti a installare OpenLDAP su Ubuntu 22:04:

Passaggio 2: impostare i controlli di accesso

Una volta completato il processo di installazione, procedere a impostare i controlli di accesso. La configurazione dei controlli di accesso garantisce che nessuno possa accedere e leggere le password crittografate dal server LDAP. Tuttavia, gli utenti possono ancora modificare alcuni dei loro attributi, come password personali e foto.

È possibile ottenere questa configurazione creando e importando il file LDIF di seguito. E una volta fatto, puoi riavviare il slapd.servizio.

Passaggio 3: aggiungere i dati di base all'albero LDAP

Crea una base temporanea.File LDIF contenente i seguenti dettagli:

È possibile personalizzare i dettagli sostituendo l'esempio e l'organizzazione con le credenziali del dominio effettive. Una volta fatto, aggiungi i dettagli sopra alla tee OpenLDAP usando questo comando:

Test utilizzando il comando seguente per confermare se l'importazione dei dati ha avuto successo:

Passaggio 3: Aggiungi utenti

Per aggiungere un utente, dovresti creare un .file ldif come quello sotto. Il nostro utente per questa dimostrazione è Kenbrian e la nostra credenziale di dominio è Linhint.com.

Il presente ********* nella voce UserPassword rappresenta la password, che è il valore di slappasswd O /etc/ombra. Ora puoi aggiungere l'utente una volta che hai il .File LDIF utilizzando il comando seguente:

È inoltre possibile utilizzare il comando LDAPADD per aggiungere più di un utente alla directory creando le loro varie credenziali tutte in una volta e aggiungendole utilizzando l'utilità sopra. Un elenco di credenziali può apparire così:

Passaggio 4: impostare il server LDAP client

È possibile impostare un server OpenLDAP e assicurarti di poter interrogare correttamente il server utilizzando il LDAPSEARCH comando. Una volta impostato, puoi decidere se procedere con autenticazione online e offline o solo online.

Di seguito è riportata la riga di comando di base LDAPSEARCH o la sintassi:

Passaggio 5: configurare NSS

NSS, noto anche come switch del servizio di nome, è un sistema spesso utilizzato per la gestione dei database di configurazione di diverse fonti. Quindi, lo troverai vitale in una serie di applicazioni LDAP. I seguenti passaggi saranno fondamentali per la configurazione di NSS:

• Installare NSS utilizzando il file NSS-PAM-LDAPD pacchetto.
• Modifica il file di configurazione Central NSS, che è il /etc/nsswitch.conf. Questo file informa NSS dei file da utilizzare per i rispettivi database di sistema. La modifica del file richiederà di aggiungere direttive LDAP ai database Group, Passwd e Shadow. Assicurati che il tuo file modificato sia simile a questo:

1. Dovrai anche modificare il /etc/nsswitch.conf. File per modificare l'URI e le righe di base in modo che si adattino alle impostazioni del server LDAP.
2. Se il server LDAP richiede una password, modifica entrambi il bindpw E binddn sezioni. Continua a sostituire il tuo /etc/nsswitch.conf permesso da nslcd A 0600 Per un inizio adeguato.
3. Utilizzare il comando systemd per avviare il nslcd.servizio. Con ciò, i tuoi utenti LDAP dovrebbero essere visibili quando si esegue GEENT PASTWD comando sul tuo client-server.

Passaggio 6: configurare PAM

Abbiamo discusso di come configurare PAM in un ambiente Linux in un articolo precedente. Ma per questa illustrazione, assicurati di configurare il modulo di autenticazione collegabile utilizzando il pam_ldap.COSÌ. Mentre a questo, modifica il /etc /pam.File D/System-Auth da PAM.D. Il risultato dovrebbe essere come nella figura seguente:

Procedere a modificare il /etc/pam.d/su così come il /etc/pam.d/su-l File. IL /etc/pam.d/su-l Il file è utile ogni volta che il /etc/pam.d/su L'accesso è eseguito dall'utente. Posto pam_ldap.COSÌ sufficiente sopra ogni sezione tranne il pam_rootok.

Ora, consente agli utenti di modificare le loro password effettuando modifiche al /etc/pam.d/passwd file.

Passaggio 7: creare cartelle domestiche al login

È possibile scegliere di creare cartelle domestiche al login nel caso in cui il sistema non utilizzi NFS per archiviare le cartelle. Crea una cartella domestica al login mediante modifica /etc/pam.D/System-login e poi aggiungendo pam_mkhomedir.COSÌ alla sessione sezioni soprattutto sufficiente elementi.

Passaggio 8: abilita sudo

Abilita sudo dall'utente LDAP mediante modifica /etc /pam.d/sudo e modificandolo in modo appropriato.

Aggiungi il comando seguente a/etc/openldap/ldap.Conf File:

Conclusione

I passaggi di cui sopra dovrebbero aiutarti a implementare un'autenticazione online di Linux LDAP insieme a PAM e NSS. Questo sistema è utile per proteggere i tuoi sistemi. Ancora più importante, puoi usarlo per interrogare e gestire le informazioni sulla tua azienda.