Создание LDAP сервера на ALT Linux Server 4.0

Многое изменилось со времени ALT Linux Master 2.4, да и много воды утекло... склероз... пришлось многое вспоминать с нуля и вычитывать... Поэтому на этот раз постараюсь описать все подробней...

Оглавление документа

Необходимые пакеты

Настройки сервера

Создание структуры базы данных

Настройка авторизации

Что использовал

Необходимые пакеты

Список пакетов (Кстати, всех нужных (вроде) на Server 4.0 болванке нету... подключал апдейты):
[root@gw2 ~]# rpm -qa | grep openldap openldap-doc-2.3.35-alt0 openldap-clients-2.3.35-alt0 openldap-2.3.35-alt0 openldap-servers-2.3.35-alt0 [root@gw2 ~]# rpm -qa | grep nss_ nss_ldap-252-alt2 nss_tcb-1.0.2-alt1

Настройки сервера

Настраиваем /etc/openldap/slapd.conf
[root@gw2 openldap]# cat slapd.conf | grep ^[^#] include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/openldap.schema include /etc/openldap/schema/nis.schema allow bind_v2 concurrency 20 gentlehup on sizelimit -1 loglevel 256 pidfile /var/run/slapd.pid argsfile /var/run/slapd.args replica-pidfile /var/run/slurpd.pid replica-argsfile /var/run/slurpd.args access to attrs=userPassword by self write by anonymous auth by * none access to * by * read modulepath /usr/lib/openldap moduleload back_hdb.la moduleload back_monitor.la moduleload back_null.la include /etc/openldap/slapd-hdb-db01.conf

Настраиваем slapd-hdb-db01.conf:
[root@gw2 openldap]# cat slapd-hdb-db01.conf | grep ^[^#] database hdb suffix "dc=edu,dc=volganet,dc=ru" rootdn "cn=admin,dc=edu,dc=volganet,dc=ru" rootpw qwe directory /var/lib/ldap/bases/edu.volganet.ru index objectClass eq index uid pres,eq,sub index cn pres,eq,sub,subany access to attrs=userPassword by self write by anonymous auth by * none

Настраиваем /etc/openldap/ldap.conf
[root@gw2 openldap]# cat ldap.conf | grep ^[^#] BASE dc=edu,dc=volganet,dc=ru URI ldap://gw2.edu.volganet.ru/ tls_reqcert never

Теперь по идее можно сделать service slapd start, должно подняться...

Создание структуры базы данных

Страшная строчка для добавления данных:
ldapadd -x -W -D cn=admin,dc=edu,dc=volganet,dc=ru -H ldap://gw2.edu.volganet.ru -f file.ldif

где file.ldif – данные для добавления.

dn: dc=edu,dc=volganet,dc=ru dc: edu objectClass: organization objectClass: dcObject o: education dn: ou=People,dc=edu,dc=volganet,dc=ru ou: People objectClass: organizationalUnit dn: ou=Group,dc=edu,dc=volganet,dc=ru ou: Group objectClass: organizationalUnit dn: cn=komitet,ou=Group,dc=edu,dc=volganet,dc=ru objectClass: posixGroup cn: komitet gidNumber: 1000 dn: uid=test,ou=People,dc=edu,dc=volganet,dc=ru uid: test cn: Konukov objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$2a$08$0SoFoG003HBbcDqgr9TzveD0dfoY25a.mG3uvk2BBeX01MntUWH/O loginShell: /bin/bash uidNumber: 1000 gidNumber: 1000 homeDirectory: /home/test

Создали пользователей, группы, общую группу и тестового пользователя.
Ошибок, по идее, быть не должно... ldapsearch -x -LLL -u

Настройка авторизации

настраиваемся дальше /etc/nss_ldap.conf, /etc/pam_ldap.conf такой же.
host 10.10.7.100 base dc=edu,dc=volganet,dc=ru uri ldap://10.10.7.100/ port 389 timelimit 5 bind_timelimit 5 pam_login_attribute uid pam_member_attribute memberUid pam_password crypt nss_base_passwd ou=People,dc=edu,dc=volganet,dc=ru nss_base_shadow ou=People,dc=edu,dc=volganet,dc=ru nss_base_group ou=Group,dc=edu,dc=volganet,dc=ru

Теперь настраиваем самое ответственное, авторизацию. Строки начинающиеся с — это то что я добавлял.
/etc/pam.d/system-auth-use_first_pass
--auth sufficient /lib/security/pam_ldap.so use_first_pass auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass --password sufficient /lib/security/pam_ldap.so use_first_pass password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb
/etc/pam.d/system-auth
--auth sufficient /lib/security/pam_ldap.so auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok --account sufficient /lib/security/pam_ldap.so account required pam_tcb.so shadow fork password required pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 --password sufficient /lib/security/pam_ldap.so use_authtok password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb --session required /lib/security/pam_mkhomedir.so skel=/etc/skel.ru_RU.KOI8-R/ umask=0022 session required pam_tcb.so session required pam_mktemp.so session required pam_limits.so
/etc/nsswitch.conf
[root@gw2 etc]# cat nsswitch.conf | grep ^[^#] passwd: files ldap nisplus nis shadow: tcb files ldap nisplus nis group: files ldap nisplus nis hosts: files nisplus nis dns ethers: files netmasks: files networks: files protocols: files rpc: files services: files bootparams: nisplus [NOTFOUND=return] files netgroup: nisplus publickey: nisplus automount: files nisplus aliases: files nisplus
Добавление только в верхних 3х строчках, добавили ldap.

Авторизация и вход пользователей теперь вроде работает... Теперь займемся почтой.

Что использовал

http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP

---

[ / Category LDAP ]