站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

OpenSuse-LDAP Server認證伺服器

前言

本次實作為採用 [YaST] 來安裝及設定 LDAP Server,LDAP-Lightweight Directory Access Protocol: 輕量級目錄存取協定,運作於 [TCP/IP] 四層上,何以叫輕量級? 主因是把 [LDAP][X.500] 這個運作於 OSI 七層的重量級協定相比之下才叫輕量級,詳細可以參考 [RFC2251][RFC2252][RFC2253][RFC2254][RFC2255][RFC2256][RFC2829][RFC2830][RFC3377]

LDAP 名詞解釋

LDAP目錄結構組成

了解 LDAP 目錄結構之後,一條包含 CN 的 DN 記錄大概長得如下,在 weithenn.org 網域內 people 組織中使用者 weithenn。

 dn: cn=weithenn,ou=people,dc=weithenn,dc=org

實作環境

安裝及設定

LDAP Server 安裝及設定

步驟1.安裝 LDAP Server 套件

於桌面環境中輸入指令 yast2 來開啟 YaST2 Control Center 來安裝 LDAP Server 套件,步驟如下:

  1. 開啟【YaST2 Control Center】
  2. 點選【Software】 >> 【Add-On Products】
  3. 點選【OpenSUSE URL】 >> 【Run Software Manager...】
  4. 點選【Available】 >> 輸入【ldap-server】 >> 點選【yast2-ldap-server】 >> 【Install】 >> 【Apply】來安裝 ldap-server 套件
  5. 點選【Available】 >> 輸入【openldap2】 >> 點選【openldap2】 >> 【Install】 >> 【Apply】來安裝 openldap2 套件

YaST2 Control Center Installed Add-On Products 安裝 ldap-server 套件 安裝 openldap2 套件

步驟2.設定 LDAP Server 設定檔

於桌面環境中輸入指令 yast2 ldap-server 指令來開啟 LDAP Server Configuration - YaST 用來設定 LDAP Server,步驟如下:(本次實作未使用 TLS 傳輸加密設定)

  1. 開啟【LDAP Server Configuration - YaST】
  2. Start LDAP Server【Yes】 >> 【Next】
  3. TLS Settings >> 【Next】
  4. Basic Database Settings
    1. Database Type: hdb
    2. Base DN: dc=weithenn,dc=org
    3. Administrator DN: cn=root (勾選 Append Base DN)
    4. LDAP Administrator Password: 設定 LDAP 管理員密碼
    5. Database Directory: LDAP DB 存放路徑
    6. 勾選 Use this database as the default for OpenLDAP clients
    7. 【Next】
  5. 確定剛才設定 LDAP Server 相關資料是否正確 >> 【Finish】

Start LDAP Server TLS Setting Basic Database Settings 確認 LDAP Server 設定

步驟3.確認 LDAP Server 服務是否啟動

完成後確定 LDAP Server 服務是否啟動及是否 Listen LDAP Service Port 389

 #netstat -tnl | grep :389
 tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN
 tcp        0      0 :::389                  :::*                    LISTEN

確定 LDAP Server 服務當系統重新開機時是否會自動啟動

 #chkconfig --list ldap
 ldap                      0:off  1:off  2:off  3:on   4:off  5:on   6:off

LDAP Client 安裝及設定

步驟1.設定 LDAP Client

於桌面環境中輸入指令 yast2 ldap-client 指令來開啟 LDAP Client Configuration - YaST 用來設定 LDAP Client,步驟如下:

  1. 開啟【LDAP Client Configuration - YaST】
    1. 點選【Use LDAP】
    2. Addresses of LDAP Servers: 192.168.1.10
    3. LDAP Base DN: dc=weithenn,dc=org
    4. 點選【Advanced Configuration...】
      1. Client Settings
        1. User Map: dc=weithenn,dc=org
        2. Password Map: dc=weithenn,dc=org
        3. Group Map: dc=weithenn,dc=org
        4. Password Change Protocol: crypt
        5. Group Member Attribute: member
      2. Administration Settings
        1. Configuration Base DN: ou=ldapconfig,dc=weithenn,dc=org
        2. Administrator DN: cn=root,dc=weithenn,dc=org (勾選 Append Base DN)
        3. 勾選【Create Default Configuration Objects】
        4. 勾選【Home Directories on This Machine】
        5. 按下【OK】
    5. 系統提示需安裝使用者驗證 pam_ldap、nss_ldap 相關套件 >> 按下【 Install】來安裝使用者驗證相關套件 >>【OK】

LDAP Client Configuration Client Settings Administration Settings 安裝使用者驗證相關套件

步驟2.檢查 LDAP User/Group Module

於桌面環境中輸入指令 yast2 ldap-client 指令來開啟 LDAP Client Configuration - YaST 用來設定 LDAP Client,步驟如下:

  1. 開啟【LDAP Client Configuration - YaST】 >> 【Advanced Configuration】 >> 【Administration Settings】 >> 【Configure User Management Settings】
  2. 查看【groupconfiguration】內容
  3. 查看【userconfiguration】內容 >> 按下【Configure Template】 >> 查看【User Template】內容

groupconfiguration userconfiguration User Template

步驟3.建立 LDAP 使用者帳號

於桌面環境中輸入指令 yast2 users 指令來開啟 User and Group Administration - YaST 用來設定 LDAP User/Group Account,步驟如下:

  1. 開啟【User and Group Administration - YaST】
  2. 點選【Users】 >> 【Set Filter】 >> 【LDAP Users】 >> 【詢問 LDAP 管理者密碼】驗證成功後即可準備建立 LDAP 使用者帳號
  3. 驗證成功後點選【Add】來建立 LDAP 使用者帳號
    1. First Name: 填入使用者名,本例為 ldap
    2. Last Name: 填入使用者姓,本例為 user1
    3. Username: 填入使用者帳號,本例為 ldapuser1
    4. Password: 設定 ldapuser1 使用者密碼
    5. 按下【Plug-Ins】
      1. 確認 Plug-In 項目【LDAP Attributes】有勾選 >> 【OK】
  4. 新增 LDAP 使用者帳號 ldapuser1 完成

User and Group Administration 詢問 LDAP 管理者密碼 驗證 LDAP 管理者成功 新增 LDAP 使用者帳號 Plug-Ins LDAP Attributes LDAP 使用者帳號 ldapuser1 新增完成

步驟4.驗證 LDAP 使用者帳號

驗證剛才新增的 LDAP 使用者帳號 ldapuser1 系統是否能正確識別及是否能使用 SSH 登入 (透過 LDAP Client 對 LDAP Server 進行帳號驗證)

 #id ldapuser1
 uid=1000(ldapuser1) gid=100(users) groups=100(users)
 #finger ldapuser1
 Login: ldapuser1                        Name: ldap user1
 Directory: /home/ldapuser1              Shell: /bin/bash
 Last login Mon May  3 22:07 (CST) on :0
 No Mail.
 No Plan.
 #ssh ldapuser1@localhost
 The authenticity of host 'localhost (127.0.0.1)' can't be established.
 RSA key fingerprint is 8a:ca:67:b3:4f:63:99:37:d3:a0:cf:bd:df:63:d4:58.
 Are you sure you want to continue connecting (yes/no)? yes
 Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
 Password:
 Last login: Tue Mar  2 09:02:05 2010 from 192.168.1.10
 Have a lot of fun...
 ldapuser1@weithennldap:~> id
 uid=1000(ldapuser1) gid=100(users) groups=100(users)

LDAP Browser 設定

若您之後要修改 LDAP 相關屬性內容或LDAP 使用者帳號資訊...等,可利用 LDAP Browser 輕鬆進行內容修改,於桌面環境中輸入指令 yast2 ldap_browser 指令來開啟 LDAP Browser - YaST 用來設定 LDAP User/Group Account,步驟如下: (您可對需要修改的 LDAP 屬性 Attribute 進行修改)

 開啟【LDAP Browser - YaST】 >> 【驗證 LDAP 管理員密碼】 >> 查看 LDAP Tree

驗證 LDAP 管理員密碼 LDAP Tree

參考

[OpenLDAP/Basic setup - openSUSE]

[Howto LDAP server - openSUSE]

[Howto LDAP userAuth - openSUSE]

[SUSE Linux Enterprise Server Installation and Administration]

[openSUSE 11.1 Reference Guide]

[Novell Doc: OpenSUSE 11.1 Guide]

Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com