Difference between revisions of "OpenLDAP"
Tag: visualeditor-switched |
|||
Line 42: | Line 42: | ||
== Client == | == Client == | ||
− | == Installera == | + | === Installera === |
Autentisera login mot LDAP servern. Veriferat på Debian 7 (Wheezy) | Autentisera login mot LDAP servern. Veriferat på Debian 7 (Wheezy) | ||
apt-get update && apt-get install libnss-ldap libpam-ldap ldap-utils | apt-get update && apt-get install libnss-ldap libpam-ldap ldap-utils | ||
Line 79: | Line 79: | ||
Starta sedan om datorn och prova att logga in med ett domänkonto. | Starta sedan om datorn och prova att logga in med ett domänkonto. | ||
− | === | + | === Sudo med LDAP === |
Skapa en grupp som heter sudo. Lägg sedan till användarna som du vill ska få sudo rättigheter i den. | Skapa en grupp som heter sudo. Lägg sedan till användarna som du vill ska få sudo rättigheter i den. | ||
Verifiera att din användare finns med i sudo gruppen genom att logga in och skriva groups. | Verifiera att din användare finns med i sudo gruppen genom att logga in och skriva groups. |
Revision as of 10:51, 23 June 2015
OpenLDAP är en central inloggnings server typ som Active directory är. Det ökar användarvänligheten om man kan använda samma lösenord till flera platser. OBS det är viktigt att klockorna är synkade på maskinerna som ska använda LDAP och att namnuppslag för LDAP-servern kan göras på alla klienter.
Contents
Server
Veriferat på Debian 7 (Wheezy)
apt-get update && apt-get install slapd ldap-utils
Slå sedan in det lösenord du vill att admin kontot ska ha.
Öppna filen
vim /etc/ldap/ldap.conf
Och ändra BASE
och URI
, spara sedan filen.
# # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASE dc=example,dc=com URI ldap://192.168.0.100 ldap://192.168.0.100:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Sedan kör
dpkg-reconfigure slapd
Svara följande på frågorna som kommer.
- No.
- Fyll i samma som på
BASE
- Fyll i ett namn på vad du vill kalla din domän.
- Fyll i ditt adminlösenord.
- Fyll i samma lösenord.
- HDB.
- Yes.
- Yes.
- Nej.
För att skapa användare och grupper enkelt använd programmet LDAP Admin
Client
Installera
Autentisera login mot LDAP servern. Veriferat på Debian 7 (Wheezy)
apt-get update && apt-get install libnss-ldap libpam-ldap ldap-utils
- Specifera URL till din ldap server.
- Skriv in din base dn. Samma som BASE i
/etc/ldap/ldap.conf
- Välj V3.
- Fyll i hela suffixen till adminkontot.
- Lösenordet för adminkontot.
- Välj ok. Vi ska ändra i den filen senare.
- Välj vad du vill.
- Välj vad du vill.
- Fyll i hela suffixen till ditt LDAP adminkonto. Oftast samma som i steg 4.
- Lösenordet för adminkontot.
Öppna sedan filen,
vim /etc/nsswitch.conf
På linje #7 lägg till,
passwd: compat ldap group: compat ldap shadow: compat ldap
På linje #19 ändra till,
netgroup:ldap
Öppna sedan filen,
vim /etc/pam.d/common-password
På linje #26 ta bort use_authtok
och lägg till,
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass
I filen /etc/pam_ldap.conf. Leta upp kommandot pam_password och ändra till exop. Om du byter lösenord med passwd så väljer Debian default att skicka över lösenordet krypterat med Crypt. Crypt klarar max 8 tecken och är inte säkert. Väljer man exop så sköter OpenLDAP krypteringen av lösenordet.
pam_password exop
Man kan skippa detta steget om man inte vill att en hemmapp ska skapas automatiskt lokalt på datorn,
vim /etc/pam.d/common-session
Och lägga till denna raden i slutet.
session optional pam_mkhomedir.so skel=/etc/skel umask=077
Starta sedan om datorn och prova att logga in med ett domänkonto.
Sudo med LDAP
Skapa en grupp som heter sudo. Lägg sedan till användarna som du vill ska få sudo rättigheter i den. Verifiera att din användare finns med i sudo gruppen genom att logga in och skriva groups.
sparco@jumpoff:~$ groups root wiki owncloud sudo
Lägg sedan till denna raden i /etc/sudoers
%sudo ALL=(ALL:ALL) ALL
GUI
I felsökningssyfte kan ett GUI vara användbart för man kan snabbt skapa sig en överblick och navigera i strukturen. LdapAdmin är ett simplet GUI som kan fetcha DN:s.
http://ds.karen.hj.se/~cameljoe/LdapAdmin.exe