Sok LDAP kliens beállítás érhető el a neten, nálam valahogy nem akartak működni.

Ezért készítem ezt a leírást, hogy mások is rátalálhassanak egy ilyen konfigurációra.

Abból indulok ki, hogy létezik valahol egy már beállított és működő LDAP szerver, amit a kliensem elér és a hitelesítést azon keresztül kívánom elvégezni.

A kliens jelen cikk írásakor egy frissen telepített Debian 6.0.6 Squeeze / Ubuntu 12.04.1 LTS Precise Pangolin gép lesz.

Telepítsük fel a szükséges eszközöket a kliensre és adjuk meg a már működő LDAP szerver adatait:

apt-get install libnss-ldap libpam-ldap nscd

LDAP server Uniform Resource Identifier: ldap://ldap.weblappark.hu/

Distinguished name of the search base: dc=ldap,dc=weblappark,dc=hu

LDAP version to use: 3

Make local root database admin: yes

Does the LDAP database require login? No

LDAP Account for root: cn=adminuser,dc=ldap,dc=weblappark,dc=hu

LDAP root account password:

Most a libnss-ldap lehetővé teszi, hogy az LDAP szolgáltatáson keresztül feloldja a távoli szerver adatbázisában lévő neveket, a libpam-ldap pedig a távoli felhasználók hitelesítését segíti a pam szolgáltatáson keresztül. Az nscd pedig egy névszolgáltatás cachelő démon, ami tárolja a szerverről már lekért információkat így nem kell a kliensnek minden lekérdezéskor az LDAP szerverhez fordulni.

Az /etc/nsswitch.conf  fájlban módosítsuk az alábbi sorokat, hogy az LDAPban is keresse a szükséges információkat:

auth-client-config -t nss -p lac_ldap

vagy

passwd:         files ldap
group:          files ldap
shadow:         files ldap

Ha ezekkel megvagyunk, akkor már sikeresen le tudjuk kérdezni a távoli szerveren lévő LDAP felhasználó adatait:

getent passwd teszt
teszt:x:10002:10002:teszt:/home/teszt:/bin/bash

Nem marad más hátra, mint hogy a PAM rendszerrel is tudassuk, hogy az LDAP felhasználók hitelesíthetőek a rendszerben:

Adjuk hozzá az /etc/pam.d/common-account  fájl elejéhez a következő sorokat:

account sufficient pam_ldap.so
account sufficient pam_unix.so
session required pam_mkhomedir.so

Adjuk hozzá az  /etc/pam.d/common-auth fájl elejéhez a következő sorokat:

auth sufficient pam_ldap.so
auth sufficient pam_unix.so nullok_secure use_first_pass

Adjuk hozzá az  /etc/pam.d/common-password  fájl elejéhez a következő sorokat:

password sufficient pam_ldap.so
password sufficient pam_unix.so nullok obscure min=4 max=8 md5

Adjuk hozzá az  /etc/pam.d/common-session  fájl elejéhez a következő sorokat:

session sufficient pam_ldap.so
session sufficient pam_unix.so

Ha ezeket a módosításokat felvettük, frissítsük le a PAM adatbázist

pam-auth-update

Végezetül indítsuk újra az nscd démont, hogy friss információkkal lássa el az LDAP szerver.

/etc/init.d/nscd restart

Azután sikeresen beléphetünk az újonnan telepített gépre a távoli LDAP szerveren kezelt felhasználókkal:

ssh teszt@vps312
teszt@vps312's password:
Creating directory '/home/teszt'.
teszt@vps312:~$

A frissen telepített gép ssh logja:

vps312 sshd: Accepted password for teszt

Ha valamelyik beállítást az elején elrontottuk, akkor az /etc/ldap.conf  fájlban utólag tudjuk módosítani, vagy a

dpkg-reconfigure ldap-auth-config

parancs futtatásával.

Jelszó váltás:

teszt@vps312:~$ passwd
Enter login(LDAP) password: jelenlegi LDAP jelszó
New password: új jelszó
Re-enter new password: új jelszó megint
LDAP password information changed for teszt
passwd: password updated successfully
teszt@vps312:~$

A következő belépésnél már a megváltoztatott LDAP jelszóval tudunk belépni.

LDAP jelszó változtatása helyi root felhasználóval:

root@vps312:~# passwd teszt
New password:
Re-enter new password:
LDAP password information changed for teszt
passwd: password updated successfully
root@vps312:~#