Xorp Blog Podcast

Linux LDAP kliens Mac Os X Server Open Directory

Amennyiben már rendelkezésünkre áll egy Mac Os X Server által nyújtott Open Directory (leírást lásd itt), akkor használjuk ki, hogy nem csak Mac OS X rendszereket tudunk vele integrálni, hanem Linuxokat is. Persze itt kicsit másképp fog történni, mint Mac OS X alatt.

Milyen információkra lesz szükségünk?

Mielőtt még a Linuxunkhoz nyúlnánk, vegyük szépen sorba milyen információkra lesz szükségünk a kezdéshez.

– Mac Os X Serverünk Open Directory-jának IP címe vagy host neve.
– Mac Os X Serverünk Open Directory-jának a Search Base DN-jére. Az én esetemben ez most dc=earth,dc=xorp,dc=hu lesz.
– Mac Os X Serverünk Open Directory-jának egy felhasználójának a DN-jére. Akármelyik felhasználó megtenné, de mivel valószínüleg fixen mindenkinél van diradmin, azért én ezt fogom használni. Az alapértelmezett DN-je a diradminnak nálam: uid=diradmin,cn=users,dc=earth,dc=xorp,dc=hu
– Mac Os X Serverünk Open Directory felhasználójának jelszava.

Előkészületek

Én a következőket egy Ubuntu 10.04-es rendszeren fogom szemléltetni. Természetesen akár milyen más Linuxon is érvényesek lesznek a beállítások, csupán a következő parancstól eltérően kell gondoskodni az installációról.

# apt-get install libpam-ldap libnss-ldap nss-updatedb

Amennyiben minden gond nélkül felinstallálódik, kezdhetjük is a konfigurációt.

LDAP beállítása

Ubuntu 10.04 alatt szerencsénkre a csomagok felkerülésével egyszerre a megfelelő rendszer file-k is módosultak, méghozzá úgy, hogy alkalmazzák majd a beállított LDAP információkat. Ha ellenőrizni szeretnénk, vagy nem Ubuntu-val dolgozunk, és ez nem történik meg automatikusan, akkor a következő file-ket szerkesszük meg:

# cat /etc/nsswitch.conf


passwd: files ldap
group: ldap files
shadow: files ldap

# cat /etc/pam.d/common-account


account sufficient pam_ldap.so
account required pam_unix.so

# cat /etc/pam.d/common-auth


auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure try_first_pass

# cat /etc/pam.d/common-password


password sufficient pam_ldap.so md5
password required pam_unix.so nullok obscure md5
password optional pam_smbpass.so nullok use_authtok try_first_pass missingok

# cat /etc/pam.d/common-session


session sufficient pam_ldap.so
session required pam_unix.so

LDAP Kliens konfigurálása

Ha már a rendszerünket teljesen felkészítettük az LDAP által szolgáltatott információkra, akkor nincs más, mint magát az LDAP klienst is beállítani. Ehhez fogjuk azon információkat felhasználni, amiket az írás elején összegyűjtöttünk. Azok alapján az én konfigom így néz ki (kilistáztam a nem kikommentezett vagy üres sorokat):

# cat /etc/ldap.conf |grep -v “#” | grep -v “^$”

base dc=earth,dc=xorp,dc=hu
uri ldap://10.0.0.2
ldap_version 3
rootbinddn uid=diradmin,cn=users,dc=earth,dc=xorp,dc=hu
pam_password md5
nss_initgroups_ignoreusers backup, bin, daemon, games, gnats, irc, landscape, libuuid, list, lp, mail, man, news, proxy, root, sshd, sync, sys, syslog, uucp, www-data

A rootbinddn-hez tartozó jelszót a /etc/ldap.secret file tartalmazza. A Mac OS X Open Directory MD5 titkosítással őrzi a jelszavakat, fontos hogy az legyen a konfigunkba is beállítva.

Teszt

Érdemes ezek után kiadni a következő parancsot:

# getent passwd

Ha minden jól van beállítva hasonló tartalmat kell látnunk, mintha csak az /etc/passwd file tartalmát listáztuk volna, viszont a sor végén a Open Directory által tártolt felhasználók is meg fognak jelenni.

Ez már azt jelenti, hogy felhasználó adatokat már tud a gépünk lekérni a központi LDAP-tól, de a végső próba az, ha egy ilyen felhasználóval ssh-zni próbálunk.

# ssh ldaptestuser@localhost

Természetesen az ldaptestuser akármi lehet, ami az Open Directory-ban létezik. Ha ez is működött, akkor elértük a célunkat. Sajnos ez a most demonstrált megoldás nem nyújt biztonságot arra az esetre, ha a Open Directory elérhetetlenné válna egy kis időre. Ezen idő alatt a központi LDAP-ban tárolt felhasználók elérhetetlenek lesznek. Tehát nincs semmi cachelés, mint a Mac OS X, vagy Solaris 10 esetében.

Categories: Apple, Informatika, Linux/Unix

Solaris 10 centralizált authentikáció OpenLDAP által » « Solaris 10 Hardening

1 Comment

  1. Szerintem Linux alatt az nscd pont jo az ideiglenes LDAP szerver kieses idejere, de azert nem eskudnek meg ra.

Hozzászólás

Copyright © 2018 Xorp Blog Podcast

Theme by Anders NorenUp ↑

%d blogger ezt szereti: