Комментарии
Как настроить LDAP на Fedora
Отредактировано 4 Несколько недель назад от ExtremeHow Редакционная команда
FedoraLDAPСлужбы каталоговКонфигурацияПрограммное обеспечениеАдминистрирование системыКомандная строкаТерминалСетьБезопасность
Перевод обновлен 4 Несколько недель назад
LDAP, что означает Lightweight Directory Access Protocol, это протокол, используемый для доступа и управления информацией в каталогах. LDAP используется для хранения и управления информацией о пользователях в различных системах, обеспечения аутентификации и обмена данными каталогов между различными системами. Настройка LDAP на Fedora включает несколько этапов, включая установку необходимых пакетов, настройку конфигурации сервера и запуск служб LDAP. В этом руководстве мы подробно рассмотрим эти шаги, чтобы вы могли эффективно настроить LDAP на вашей системе Fedora.
Шаг 1: Установите пакет OpenLDAP
Чтобы начать работу с LDAP на Fedora, сначала нужно установить пакет OpenLDAP. OpenLDAP предоставляет инструменты, необходимые для настройки LDAP-сервера. Чтобы установить пакет OpenLDAP, откройте терминал и выполните следующую команду:
sudo dnf install openldap-servers openldap-clientsЭта команда устанавливает как серверные, так и клиентские пакеты OpenLDAP. Серверный пакет содержит файлы, необходимые для LDAP-сервера, а клиентский пакет предоставляет инструменты для взаимодействия с каталогами LDAP.
Шаг 2: Настройте OpenLDAP
После установки пакета необходимо настроить сервер OpenLDAP. Основной файл конфигурации для OpenLDAP находится в /etc/openldap/slapd.d/cn=config/. Этот каталог содержит несколько файлов конфигурации в формате LDIF. Вместо прямого редактирования этих файлов рекомендуется использовать инструмент ldapmodify для внесения изменений.
2.1 Настройте rootDN и домен
rootDN — это имя отличия администраторского пользователя LDAP. Вам также нужно определить домен для вашего каталога LDAP. Эта информация хранится в файле под названием base.ldif. Создайте новый файл с таким содержимым, используя текстовый редактор:
dn: olcDatabase=config,cn=config
changetype: modify
add: olcRootDN
olcRootDN: cn=Manager,dc=example,dc=com
dn: olcDatabase=config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: <hashed_password_here>Замените example.com вашим доменом и замените <hashed_password_here> хешированным паролем. Используйте команду slappasswd для создания хешированного пароля:
slappasswdВведите пароль, когда будет предложено, и он выведет хешированный пароль, который вы можете ввести в <hashed_password_here> выше.
2.2 Измените домен и название организации
Создайте другой файл с именем domain.ldif со следующим содержимым, чтобы определить основу для вашего домена:
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example Company
dc: example
dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: ManagerСнова замените example.com и Example Company вашим фактическим доменом и названием организации.
Примените эти изменения с помощью ldapadd:
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f domain.ldifШаг 3: Запустите и активируйте службу LDAP
После настройки LDAP следующим шагом будет запуск службы LDAP и обеспечение ее автозагрузки. Вы можете достичь этого с помощью следующей команды:
sudo systemctl start slapd
sudo systemctl enable slapdЧтобы проверить состояние службы LDAP и убедиться, что она запущена, используйте следующую команду:
sudo systemctl status slapdШаг 4: Добавление записей LDAP
Теперь, когда сервер LDAP работает, следующим шагом будет добавление записей в ваш каталог. Запись в LDAP — это набор атрибутов, связанных с конкретным объектом. Вы определяете записи в файле LDIF и используете команду ldapadd, чтобы включить их в каталог.
4.1 Создание организационной единицы
Создайте файл LDIF с именем ou.ldif, чтобы определить организационную единицу (OU) в вашей структуре LDAP:
dn: ou=People,dc=example,dc=com
objectClass: organizationalUnit
ou: PeopleДобавьте организационную единицу в каталог LDAP с помощью следующей команды:
sudo ldapadd -x -D "cn=Manager,dc=example,dc=com" -W -f ou.ldifПри появлении запроса введите пароль для менеджера LDAP, который вы настраивали ранее.
4.2 Добавление записей пользователей
Чтобы добавить записи пользователей, создайте еще один файл LDIF с именем user.ldif с деталями пользователя:
dn: uid=john.doe,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: John Doe
sn: Doe
uid: john.doe
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/john.doe
loginShell: /bin/bash
mail: john.doe@example.com
userPassword: <hashed_password>Замените соответствующие поля информацией о пользователе и убедитесь, что <hashed_password> содержит хешированную форму пароля пользователя.
Добавьте пользователя в каталог LDAP с помощью команды ldapadd:
sudo ldapadd -x -D "cn=Manager,dc=example,dc=com" -W -f user.ldifШаг 5: Настройте LDAP-клиент
После настройки LDAP-сервера следующим шагом будет настройка LDAP-клиента для взаимодействия с сервером. Если вы настраиваете его на том же компьютере с Fedora, установите необходимые пакеты LDAP-клиента:
sudo dnf install nss-pam-ldapdПосле установки настройте файл /etc/nsswitch.conf. Найдите следующие строки и обновите их, включив ldap:
passwd: files ldap
shadow: files ldap
group: files ldapТакже обновите конфигурационный файл LDAP-клиента /etc/nslcd.conf с деталями вашего LDAP-сервера. Вот пример:
uri ldap://localhost/
base dc=example,dc=com
binddn cn=Manager,dc=example,dc=com
bindpw <password>В этой конфигурации замените значение bindpw паролем учетной записи менеджера. Наконец, перезапустите службу nslcd:
sudo systemctl restart nslcdШаг 6: Тестирование конфигурации LDAP
Чтобы проверить, правильно ли настроен LDAP, вы можете использовать команду ldapsearch для поиска структуры каталога. Например, чтобы перечислить все записи в каталоге, используйте:
ldapsearch -x -b "dc=example,dc=com" "(objectClass=*)"Эта команда запрашивает сервер LDAP и извлекает все записи под базовым DN dc=example,dc=com.
Заключительные мысли
Настройка LDAP на Fedora предоставляет надежное и гибкое средство управления информацией в каталогах в вашей сети. Следуя шагам, описанным в этом руководстве, вы сможете настроить LDAP-сервер, который наилучшим образом соответствует вашим потребностям. Не забудьте заменить значения-заполнители, такие как example.com и Manager, вашими собственными доменами и учетными записями администратора. Это гарантирует, что ваша конфигурация LDAP адаптирована к вашей конкретной инфраструктуре.
LDAP может быть расширен для реализации более сложных служб каталогов или может быть интегрирован в существующие системы для аутентификации и управления пользователями. Благодаря легкости настройки и мощному набору функций LDAP остается незаменимой частью управления сетью на Fedora.
Если вы найдете что-то неправильное в содержании статьи, вы можете