RHCSA സീരീസ്: RHEL 7-ൽ LDAP അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണം സജ്ജീകരിക്കുന്നു - ഭാഗം 14
ചില എൽഡിഎപി അടിസ്ഥാനകാര്യങ്ങൾ (അത് എന്താണ്, എവിടെയാണ് ഉപയോഗിക്കുന്നത്, എന്തുകൊണ്ട്) എന്നിവ വിശദീകരിച്ചുകൊണ്ട് ഞങ്ങൾ ഈ ലേഖനം ആരംഭിക്കും കൂടാതെ Red Hat Enterprise Linux 7 സിസ്റ്റങ്ങൾ ഉപയോഗിച്ച് ഒരു LDAP സെർവർ എങ്ങനെ സജ്ജീകരിക്കാമെന്നും അതിനെതിരെ ആധികാരികത ഉറപ്പാക്കാൻ ഒരു ക്ലയന്റ് കോൺഫിഗർ ചെയ്യാമെന്നും കാണിക്കും.
നമുക്ക് കാണാനാകുന്നതുപോലെ, മറ്റ് നിരവധി ആപ്ലിക്കേഷൻ സാഹചര്യങ്ങൾ ഉണ്ട്, എന്നാൽ ഈ ഗൈഡിൽ ഞങ്ങൾ പൂർണ്ണമായും LDAP അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കും. കൂടാതെ, വിഷയത്തിന്റെ വിശാലത കാരണം, ഞങ്ങൾ അതിന്റെ അടിസ്ഥാനകാര്യങ്ങൾ മാത്രമേ ഇവിടെ ഉൾപ്പെടുത്തൂ, എന്നാൽ കൂടുതൽ ആഴത്തിലുള്ള വിശദാംശങ്ങൾക്കായി നിങ്ങൾക്ക് സംഗ്രഹത്തിൽ വിവരിച്ചിരിക്കുന്ന ഡോക്യുമെന്റേഷൻ പരിശോധിക്കാം.
അതേ കാരണത്താൽ, സംക്ഷിപ്uതതയ്uക്കായി എൽuഡിuഎuപി ടൂളുകളുടെ മാൻ പേജുകളിലേക്ക് നിരവധി റഫറൻസുകൾ ഉപേക്ഷിക്കാൻ ഞാൻ തീരുമാനിച്ചതായി നിങ്ങൾ ശ്രദ്ധിക്കും, എന്നാൽ അനുബന്ധ വിശദീകരണങ്ങൾ വിരൽത്തുമ്പിൽ മാത്രമാണ് (ഉദാഹരണത്തിന് man ldapadd).
നമുക്ക് തുടങ്ങാം എന്ന് പറഞ്ഞു.
ഞങ്ങളുടെ ടെസ്റ്റ് പരിതസ്ഥിതിയിൽ രണ്ട് RHEL 7 ബോക്സുകൾ അടങ്ങിയിരിക്കുന്നു:
Server: 192.168.0.18. FQDN: rhel7.mydomain.com Client: 192.168.0.20. FQDN: ldapclient.mydomain.com
നിങ്ങൾക്ക് വേണമെങ്കിൽ, ഭാഗം 12-ൽ ഇൻസ്റ്റാൾ ചെയ്തിരിക്കുന്ന മെഷീൻ ഉപയോഗിക്കാം: കിക്ക്സ്റ്റാർട്ട് ക്ലയന്റ് ആയി ഉപയോഗിച്ച് RHEL 7 ഇൻസ്റ്റാളേഷനുകൾ ഓട്ടോമേറ്റ് ചെയ്യുക.
LDAP എന്നത് ലൈറ്റ്uവെയ്റ്റ് ഡയറക്uടറി ആക്uസസ് പ്രോട്ടോക്കോളിനെ സൂചിപ്പിക്കുന്നു, കൂടാതെ ഒരു നെറ്റ്uവർക്കിലൂടെ കേന്ദ്രീകൃതമായി സംഭരിച്ചിരിക്കുന്ന വിവരങ്ങൾ ആക്uസസ് ചെയ്യാൻ ക്ലയന്റിനെ അനുവദിക്കുന്ന ഒരു കൂട്ടം പ്രോട്ടോക്കോളുകൾ ഉൾക്കൊള്ളുന്നു (ലോഗിൻ ഷെല്ലുകളുടെ ഡയറക്uടറി, ഹോം ഡയറക്uടറികളിലേക്കുള്ള സമ്പൂർണ്ണ പാതകൾ, മറ്റ് സാധാരണ സിസ്റ്റം ഉപയോക്തൃ വിവരങ്ങൾ, ഉദാഹരണത്തിന്) അത് വിവിധ സ്ഥലങ്ങളിൽ നിന്ന് ആക്uസസ് ചെയ്യാവുന്നതോ വലിയൊരു വിഭാഗം അന്തിമ ഉപയോക്താക്കൾക്ക് ലഭ്യമായതോ ആയിരിക്കണം (മറ്റൊരു ഉദാഹരണം ഒരു കമ്പനിയിലെ എല്ലാ ജീവനക്കാരുടെയും വീട്ടുവിലാസങ്ങളുടെയും ഫോൺ നമ്പറുകളുടെയും ഡയറക്uടറിയാണ്).
അത്തരം (കൂടുതൽ) വിവരങ്ങൾ കേന്ദ്രീകൃതമായി സൂക്ഷിക്കുക എന്നതിനർത്ഥം, അത് ഉപയോഗിക്കാൻ അനുമതി ലഭിച്ച എല്ലാവർക്കും അത് കൂടുതൽ എളുപ്പത്തിൽ പരിപാലിക്കാനും ആക്uസസ് ചെയ്യാനും കഴിയും എന്നാണ്.
ഇനിപ്പറയുന്ന ഡയഗ്രം എൽഡിഎപിയുടെ ലളിതമായ ഒരു ഡയഗ്രം വാഗ്ദാനം ചെയ്യുന്നു, കൂടുതൽ വിശദമായി താഴെ വിവരിച്ചിരിക്കുന്നു:
മുകളിലുള്ള ഡയഗ്രാമിന്റെ വിശദമായ വിശദീകരണം.
- ഒരു LDAP ഡയറക്uടറിയിലെ ഒരു എൻട്രി ഒരൊറ്റ യൂണിറ്റിനെയോ വിവരത്തെയോ പ്രതിനിധീകരിക്കുന്നു, അത് ഒരു വിശിഷ്ട നാമം എന്ന് വിളിക്കപ്പെടുന്ന അദ്വിതീയമായി തിരിച്ചറിയുന്നു.
- ഒരു എൻട്രിയുമായി ബന്ധപ്പെട്ട വിവരങ്ങളുടെ ഒരു ഭാഗമാണ് ആട്രിബ്യൂട്ട് (ഉദാഹരണത്തിന്, വിലാസങ്ങൾ, ലഭ്യമായ കോൺടാക്റ്റ് ഫോൺ നമ്പറുകൾ, ഇമെയിൽ വിലാസങ്ങൾ).
- ഓരോ ആട്രിബ്യൂട്ടിനും സ്uപെയ്uസ് വേർതിരിക്കുന്ന ലിസ്റ്റിൽ അടങ്ങിയിരിക്കുന്ന ഒന്നോ അതിലധികമോ മൂല്യങ്ങൾ നൽകിയിട്ടുണ്ട്. ഓരോ എൻട്രിയിലും അദ്വിതീയമായ മൂല്യത്തെ ആപേക്ഷിക വിശിഷ്ട നാമം എന്ന് വിളിക്കുന്നു.
അങ്ങനെ പറഞ്ഞാൽ, നമുക്ക് സെർവറും ക്ലയന്റ് ഇൻസ്റ്റാളേഷനുമായി മുന്നോട്ട് പോകാം.
ഒരു LDAP സെർവറും ക്ലയന്റും ഇൻസ്റ്റോൾ ചെയ്യുകയും കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുന്നു
RHEL 7-ൽ, LDAP നടപ്പിലാക്കുന്നത് OpenLDAP ആണ്. സെർവറും ക്ലയന്റും ഇൻസ്റ്റാൾ ചെയ്യുന്നതിന്, യഥാക്രമം ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിക്കുക:
# yum update && yum install openldap openldap-clients openldap-servers # yum update && yum install openldap openldap-clients nss-pam-ldapd
ഇൻസ്റ്റാളേഷൻ പൂർത്തിയായിക്കഴിഞ്ഞാൽ, ഞങ്ങൾ നോക്കുന്ന ചില കാര്യങ്ങളുണ്ട്. വ്യക്തമായി സൂചിപ്പിച്ചിട്ടില്ലെങ്കിൽ, ഇനിപ്പറയുന്ന ഘട്ടങ്ങൾ സെർവറിൽ മാത്രം നടപ്പിലാക്കണം:
1. സെർവറിലും ക്ലയന്റിലും ഇനിപ്പറയുന്ന ബൂലിയൻസ് സ്ഥിരമായി പ്രവർത്തനക്ഷമമാക്കുന്നതിലൂടെ SELinux വഴിയിൽ വരുന്നില്ലെന്ന് ഉറപ്പാക്കുക:
# setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0
LDAP-അടിസ്ഥാനത്തിലുള്ള പ്രാമാണീകരണത്തിന് allow_ypbind ആവശ്യമുള്ളിടത്ത്, ചില ആപ്ലിക്കേഷനുകൾക്ക് authlogin_nsswitch_use_ldap ആവശ്യമായി വന്നേക്കാം.
2. സേവനം പ്രവർത്തനക്ഷമമാക്കുകയും ആരംഭിക്കുകയും ചെയ്യുക:
# systemctl enable slapd.service # systemctl start slapd.service
systemctl ഉപയോഗിച്ചും നിങ്ങൾക്ക് സേവനം അപ്രാപ്തമാക്കാനോ പുനരാരംഭിക്കാനോ നിർത്താനോ കഴിയുമെന്ന് ഓർമ്മിക്കുക:
# systemctl disable slapd.service # systemctl restart slapd.service # systemctl stop slapd.service
3. slapd സേവനം ldap ഉപയോക്താവായി പ്രവർത്തിക്കുന്നതിനാൽ (ഇത് നിങ്ങൾക്ക് ps -e -o pid,uname,com റൂട്ട് ആയി മാത്രം പ്രവർത്തിപ്പിക്കാൻ കഴിയുന്ന അഡ്uമിനിസ്uട്രേറ്റീവ് ടൂളുകൾ സൃഷ്uടിച്ച എൻട്രികൾ പരിഷ്uക്കരിക്കാൻ കഴിയും (ഇതിനെ കുറിച്ച് ഒരു മിനിറ്റിനുള്ളിൽ കൂടുതൽ).
ഈ ഡയറക്uടറിയുടെ ഉടമസ്ഥാവകാശം ആവർത്തിച്ച് മാറ്റുന്നതിന് മുമ്പ്, അതിലേക്ക് സ്ലാപ്പിനുള്ള സാമ്പിൾ ഡാറ്റാബേസ് കോൺഫിഗറേഷൻ ഫയൽ പകർത്തുക:
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG # chown -R ldap:ldap /var/lib/ldap
4. ഒരു OpenLDAP അഡ്uമിനിസ്uട്രേറ്റീവ് ഉപയോക്താവിനെ സജ്ജമാക്കി ഒരു പാസ്uവേഡ് നൽകുക:
# slappasswd
അടുത്ത ചിത്രത്തിൽ കാണിച്ചിരിക്കുന്നത് പോലെ:
ഇനിപ്പറയുന്ന ഉള്ളടക്കങ്ങളുള്ള ഒരു LDIF ഫയൽ (ldaprootpasswd.ldif) സൃഷ്ടിക്കുക:
dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}PASSWORD
എവിടെ:
- മുമ്പ് ലഭിച്ച ഹാഷ്ഡ് സ്uട്രിംഗാണ് പാസ്uവേഡ്.
- cn=config ആഗോള കോൺഫിഗറേഷൻ ഓപ്ഷനുകളെ സൂചിപ്പിക്കുന്നു.
- olcDatabase ഒരു നിർദ്ദിഷ്uട ഡാറ്റാബേസ് ഉദാഹരണ നാമം സൂചിപ്പിക്കുന്നു, അത് സാധാരണയായി /etc/openldap/slapd.d/cn=config എന്നതിനുള്ളിൽ കാണാവുന്നതാണ്.
നേരത്തെ നൽകിയ സൈദ്ധാന്തിക പശ്ചാത്തലം പരാമർശിച്ച്, ldaprootpasswd.ldif
ഫയൽ LDAP ഡയറക്uടറിയിലേക്ക് ഒരു എൻട്രി ചേർക്കും. ആ എൻട്രിയിൽ, ഓരോ വരിയും ഒരു ആട്രിബ്യൂട്ടിനെ പ്രതിനിധീകരിക്കുന്നു: മൂല്യ ജോടി (ഇവിടെ dn, changetype, add, olcRootPW എന്നിവ ആട്രിബ്യൂട്ടുകളും ഓരോ കോളന്റെയും വലതുവശത്തുള്ള സ്ട്രിംഗുകൾ അവയുടെ അനുബന്ധ മൂല്യങ്ങളുമാണ്).
ഞങ്ങൾ മുന്നോട്ട് പോകുമ്പോൾ നിങ്ങൾ ഇത് മനസ്സിൽ വയ്ക്കാൻ താൽപ്പര്യപ്പെട്ടേക്കാം, കൂടാതെ ഈ ലേഖനത്തിന്റെ ബാക്കി ഭാഗങ്ങളിൽ ഞങ്ങൾ ഒരേ പൊതുനാമങ്ങൾ (cn=)
ഉപയോഗിക്കുന്നു എന്നത് ശ്രദ്ധിക്കുക, ഇവിടെ ഓരോ ഘട്ടവും മുമ്പത്തേതിനെ ആശ്രയിച്ചിരിക്കുന്നു. .
5. ഇപ്പോൾ, പ്രോട്ടോക്കോൾ/ഹോസ്റ്റ്/പോർട്ട് ഫീൽഡുകൾ മാത്രം അനുവദനീയമായ ldap സെർവറിനെ പരാമർശിക്കുന്ന URI വ്യക്തമാക്കിയുകൊണ്ട് അനുബന്ധ LDAP എൻട്രി ചേർക്കുക.
# ldapadd -H ldapi:/// -f ldaprootpasswd.ldif
ഔട്ട്പുട്ട് ഇതുപോലെ ആയിരിക്കണം:
കൂടാതെ /etc/openldap/schema
ഡയറക്ടറിയിൽ നിന്ന് ചില അടിസ്ഥാന LDAP നിർവചനങ്ങൾ ഇറക്കുമതി ചെയ്യുക:
# for def in cosine.ldif nis.ldif inetorgperson.ldif; do ldapadd -H ldapi:/// -f /etc/openldap/schema/$def; done
6. LDAP നിങ്ങളുടെ ഡൊമെയ്uൻ അതിന്റെ ഡാറ്റാബേസിൽ ഉപയോഗിക്കട്ടെ.
മറ്റൊരു LDIF ഫയൽ സൃഷ്uടിക്കുക, അതിനെ ഞങ്ങൾ ldapdomain.ldif
എന്ന് വിളിക്കും, ഇനിപ്പറയുന്ന ഉള്ളടക്കങ്ങൾ ഉപയോഗിച്ച് നിങ്ങളുടെ ഡൊമെയ്uനും (ഡൊമെയ്uൻ ഘടകത്തിൽ dc=) ഉചിതമായ പാസ്uവേഡും മാറ്റിസ്ഥാപിക്കുന്നു:
dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=mydomain,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=mydomain,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}PASSWORD dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcAccess olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=mydomain,dc=com" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by dn="cn=Manager,dc=mydomain,dc=com" write by * read
തുടർന്ന് ഇനിപ്പറയുന്ന രീതിയിൽ ലോഡ് ചെയ്യുക:
# ldapmodify -H ldapi:/// -f ldapdomain.ldif
7. ഇപ്പോൾ ഞങ്ങളുടെ LDAP ഡയറക്uടറിയിലേക്ക് ചില എൻട്രികൾ ചേർക്കാനുള്ള സമയമായി. ആട്രിബ്യൂട്ടുകളും മൂല്യങ്ങളും ഇനിപ്പറയുന്ന ഫയലിലെ ഒരു കോളൻ (:)
കൊണ്ട് വേർതിരിച്ചിരിക്കുന്നു, അതിന് ഞങ്ങൾ baseldapdomain.ldif
എന്ന് പേരിടും:
dn: dc=mydomain,dc=com objectClass: top objectClass: dcObject objectclass: organization o: mydomain com dc: mydomain dn: cn=Manager,dc=mydomain,dc=com objectClass: organizationalRole cn: Manager description: Directory Manager dn: ou=People,dc=mydomain,dc=com objectClass: organizationalUnit ou: People dn: ou=Group,dc=mydomain,dc=com objectClass: organizationalUnit ou: Group
LDAP ഡയറക്ടറിയിലേക്ക് എൻട്രികൾ ചേർക്കുക:
# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f baseldapdomain.ldif
8. ldapuser (adduser ldapuser) എന്ന പേരിൽ ഒരു LDAP ഉപയോക്താവിനെ സൃഷ്ടിക്കുക, തുടർന്ന് ഒരു LDAP ഗ്രൂപ്പിനായി ldapgroup.ldif
എന്നതിൽ നിർവചനങ്ങൾ സൃഷ്ടിക്കുക.
# adduser ldapuser # vi ldapgroup.ldif
ഇനിപ്പറയുന്ന ഉള്ളടക്കം ചേർക്കുക.
dn: cn=Manager,ou=Group,dc=mydomain,dc=com objectClass: top objectClass: posixGroup gidNumber: 1004
ldapuser-നുള്ള /etc/group-ലെ gidNumber ആണ് GID) അത് ലോഡ് ചെയ്യുക:
# ldapadd -x -W -D "cn=Manager,dc=mydomain,dc=com" -f ldapgroup.ldif
9. ഉപയോക്തൃ ldapuser (ldapuser.ldif
) എന്നതിനായുള്ള നിർവചനങ്ങളുള്ള ഒരു LDIF ഫയൽ ചേർക്കുക:
dn: uid=ldapuser,ou=People,dc=mydomain,dc=com objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount cn: ldapuser uid: ldapuser uidNumber: 1004 gidNumber: 1004 homeDirectory: /home/ldapuser userPassword: {SSHA}fiN0YqzbDuDI0Fpqq9UudWmjZQY28S3M loginShell: /bin/bash gecos: ldapuser shadowLastChange: 0 shadowMax: 0 shadowWarning: 0
അത് ലോഡ് ചെയ്യുക:
# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ldapuser.ldif
അതുപോലെ, നിങ്ങൾ ഇപ്പോൾ സൃഷ്ടിച്ച ഉപയോക്തൃ എൻട്രി ഇല്ലാതാക്കാൻ കഴിയും:
# ldapdelete -x -W -D cn=Manager,dc=mydomain,dc=com "uid=ldapuser,ou=People,dc=mydomain,dc=com"
10. ഫയർവാളിലൂടെ ആശയവിനിമയം അനുവദിക്കുക:
# firewall-cmd --add-service=ldap
11. അവസാനത്തേത്, എന്നാൽ ഏറ്റവും കുറഞ്ഞത്, LDAP ഉപയോഗിച്ച് ആധികാരികമാക്കാൻ ക്ലയന്റിനെ പ്രാപ്തമാക്കുക.
ഈ അവസാന ഘട്ടത്തിൽ ഞങ്ങളെ സഹായിക്കുന്നതിന്, ഞങ്ങൾ authconfig യൂട്ടിലിറ്റി (സിസ്റ്റം പ്രാമാണീകരണ ഉറവിടങ്ങൾ ക്രമീകരിക്കുന്നതിനുള്ള ഒരു ഇന്റർഫേസ്) ഉപയോഗിക്കും.
ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച്, LDAP സെർവറിനെതിരായ പ്രാമാണീകരണം വിജയിച്ചതിന് ശേഷം അത് നിലവിലില്ലെങ്കിൽ അഭ്യർത്ഥിച്ച ഉപയോക്താവിനായി ഹോം ഡയറക്ടറി സൃഷ്ടിക്കപ്പെടുന്നു:
# authconfig --enableldap --enableldapauth --ldapserver=rhel7.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update
സംഗ്രഹം
ഒരു LDAP സെർവറിനെതിരെ അടിസ്ഥാന പ്രാമാണീകരണം എങ്ങനെ സജ്ജീകരിക്കാമെന്ന് ഈ ലേഖനത്തിൽ ഞങ്ങൾ വിശദീകരിച്ചിട്ടുണ്ട്. നിലവിലെ ഗൈഡിൽ വിവരിച്ചിരിക്കുന്ന സജ്ജീകരണം കൂടുതൽ കോൺഫിഗർ ചെയ്യുന്നതിന്, TLS ഉപയോഗിച്ചുള്ള സുരക്ഷാ ക്രമീകരണങ്ങളിൽ പ്രത്യേക ശ്രദ്ധ ചെലുത്തി, RHEL 7 സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്ററുടെ ഗൈഡിലെ പാഠം 13 - LDAP കോൺഫിഗറേഷൻ പരിശോധിക്കുക.
ചുവടെയുള്ള അഭിപ്രായ ഫോം ഉപയോഗിച്ച് നിങ്ങൾക്ക് എന്തെങ്കിലും ചോദ്യങ്ങളുണ്ടാകാൻ മടിക്കേണ്ടതില്ല.