Authentification Linux LDAP

Ines Dubois
Authentification Linux LDAP

Cet article se concentrera sur l'utilisation d'un serveur Linux pour s'authentifier contre le répertoire Linux. Les répertoires LDAP dans les environnements Linux peuvent être des répertoires locaux ou réseau. Notamment, les répertoires de réseau sont utiles où et quand il y a un besoin d'authentification centrale, tandis que les répertoires locaux fonctionnent dans le même ordinateur et non sur un réseau.

Alors que nous nous concentrerons sur le protocole LDAP, il est impossible de discuter d'une authentification Linux LDAP sans inclure NSS et PAM dans le tutoriel. Ainsi, nous discuterons également de la façon de configurer les modules NSS et PAM pour travailler avec les ordinateurs clients via le processus d'authentification. Ce guide se concentre sur l'authentification en ligne.

Étape 1: Installez le serveur OpenLDAP

Vous ne vous authentifierez pas avec LDAP si vous ne l'avez pas installé dans vos systèmes. Ainsi, la première étape consiste à vous assurer que OpenLDAP soit installé dans votre système. Nous avons déjà discuté de manière approfondie du processus d'installation dans notre rédaction précédente.

Cette commande devrait vous aider à installer OpenLDAP sur Ubuntu 22:04:

Étape 2: Définissez les contrôles d'accès

Une fois le processus d'installation terminé, procédez pour configurer les contrôles d'accès. La configuration des contrôles d'accès garantit que personne ne peut accéder et lire les mots de passe cryptés du serveur LDAP. Pourtant, les utilisateurs peuvent toujours modifier certains de leurs attributs, tels que les mots de passe personnels et les photos.

Vous pouvez réaliser cette configuration en créant et en importation du fichier LDIF ci-dessous. Et une fois terminé, vous pouvez redémarrer le claquer.service.

Étape 3: Ajoutez des données de base à l'arbre LDAP

Créer une base temporaire.Fichier LDIF contenant les détails suivants:

Vous pouvez personnaliser les détails en remplaçant l'exemple et l'organisation par vos informations d'identification de domaine réelles. Une fois terminé, ajoutez les détails ci-dessus à votre TEE OpenLDAP en utilisant cette commande:

Testez à l'aide de la commande ci-dessous pour confirmer si l'importation de données a été réussie:

Étape 3: Ajouter des utilisateurs

Pour ajouter un utilisateur, vous devez créer un .Fichier LDIF comme celui ci-dessous. Notre utilisateur pour cette démonstration est Kenbrian et notre identifiant de domaine est Linhint.com.

Le ********* présent dans l'entrée UserPassword représente votre mot de passe, qui est la valeur de slappasswd ou / etc / ombre. Vous pouvez maintenant ajouter l'utilisateur une fois que vous avez le .Fichier LDIF en utilisant la commande ci-dessous:

Vous pouvez également utiliser la commande LDAPADD pour ajouter plus d'un utilisateur au répertoire en créant leurs différentes informations d'identification en une seule fois et en les ajoutant en utilisant l'utilitaire ci-dessus. Une liste des informations d'identification peut ressembler à ceci:

Étape 4: configurer le serveur LDAP client

Vous pouvez configurer un serveur OpenLDAP et vous assurer que vous pouvez interroger avec succès le serveur à l'aide du ldapsearch commande. Une fois configuré, vous pouvez décider de procéder à l'authentification en ligne et hors ligne ou en ligne uniquement.

Vous trouverez ci-dessous la ligne de commande ou la syntaxe de base LDAPSEarch:

Étape 5: Configurer NSS

NSS, également connu sous le nom de Switch Switch, est un système souvent utilisé pour gérer les bases de données de configuration de différentes sources. Vous le trouverez donc vital dans une gamme d'applications LDAP. Les étapes suivantes seront vitales pour configurer NSS:

  • Installer NSS en utilisant le NSS-PAM-LDAPD emballer.
  • Modifier le fichier de configuration central NSS, qui est le / etc / nsswitch.confli. Ce fichier informe NSS des fichiers à utiliser pour les bases de données système respectives. La modification du fichier vous obligera à ajouter des directives LDAP aux bases de données du groupe, du PASSWD et de l'ombre. Assurez-vous que votre fichier modifié ressemble à ceci:
  1. Vous devrez également modifier le / etc / nsswitch.confli. fichier pour modifier les lignes URI et de base afin qu'elles correspondent à vos paramètres de serveur LDAP.
  2. Si votre serveur LDAP invite un mot de passe, modifiez les deux bindpw et lierdn sections. Continuez à remplacer votre / etc / nsswitch.confli permission de nslcd pour 0600 pour un bon départ.
  3. Utilisez la commande systemd pour démarrer le nslcd.service. Avec cela, vos utilisateurs LDAP doivent être visibles lorsque vous exécutez Getent Passwd commande sur votre serveur client.

Étape 6: Configurer PAM

Nous avons discuté de la façon de configurer PAM dans un environnement Linux dans un article précédent. Mais pour cette illustration, assurez-vous de configurer le module d'authentification enfichable à l'aide du pam_ldap.donc. Pendant ce temps, modifiez le / etc / pam.Fichier D / System-Auth de PAM.d. Le résultat devrait être comme dans la figure ci-dessous:

Procéder à la modification du / etc / pam.d / su aussi bien que / etc / pam.d / su-l des dossiers. Le / etc / pam.d / su-l le fichier est utile chaque fois que le / etc / pam.d / su La connexion est exécutée par l'utilisateur. Lieu pam_ldap.donc suffisant au-dessus de chaque section sauf le pam_rootok.

Maintenant, permettez aux utilisateurs de modifier leurs mots de passe en apportant les modifications / etc / pam.d / passwd déposer.

Étape 7: Créez des dossiers de maison à la connexion

Vous pouvez choisir de créer des dossiers de maison à la connexion au cas où votre système n'utilise pas de NFS pour stocker les dossiers. Créez un dossier à domicile à Connexion en modifiant / etc / pam.d / system-login puis ajouter pam_mkhomedir.donc à la session sections par dessus tout suffisant articles.

Étape 8: Activer Sudo

Activer Sudo de l'utilisateur LDAP en modifiant / etc / pam.d / sudo et le modifier de manière appropriée.

Ajoutez la commande ci-dessous au / etc / openldap / ldap.Fichier Conf:

Conclusion

Les étapes ci-dessus devraient vous aider à mettre en œuvre une authentification en ligne de Linux LDAP aux côtés de PAM et NSS. Ce système est utile pour sécuriser vos systèmes. Plus important encore, vous pouvez l'utiliser pour interroger et gérer les informations de votre entreprise.

golang
Quel est le mot-clé Range dans Golang
Dans Golang, les boucles telles que pour la boucle itéèrent à travers les éléments d'un tableau, des...
Lena Martinez
golang
Qu'est-ce que le package de test Golang?
Le package de test Golang contient plusieurs outils et fonctions qui facilitent le test, le débogage...
Julien Dumas
C ++
Qu'est-ce que + = en C++?
En C ++, le + = est une combinaison de deux opérateurs, l'un est l'opérateur d'addition et le second...
Gabriel Bernard
Python
Astype Numpy
Lena Dupuy
Python
Python Chmod
Lola Bonnet
c Sharp
Qu'est-ce que le système.Espace de noms IO en C #
Julien Dumas
Base de données Oracle
Oracle Fusion est-il considéré comme mieux que SAP?
Sarah Roux
Ubuntu
Comment installer Cuda sur Ubuntu Top 10.Top 10 LTS
Pauline Giraud
Docker
Quelles sont les étapes pour exécuter Nginx dans un conteneur Docker sur Ubuntu Top 10.Top 10?
Zoe Martinez
Powershell
Comment utiliser les opérateurs de comparaison dans PowerShell?
Ethan Guillot
AWS
Pourquoi devrais-je utiliser des organisations AWS?
Nathan Blanc
Commandes Linux
Comment générer des touches SSH sur Windows Top 10 / Top 10 pour accéder aux serveurs Linux sans mot de passe
Ines Dubois
c Sharp
Quelles sont les variables constantes en C #
Ines Dubois