Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:ldap_c7:clientauth [21.07.2015 13:17. ] – [nslcd.conf] django | centos:ldap_c7:clientauth [22.07.2019 15:03. ] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Authentification auf Userebene und Webseiten unter CentOS 7.x ====== | + | ====== Authentification auf Userebene und Webseiten |
{{: | {{: | ||
Natürlich wollen wir bei der Authentifikation unserer Cleints auf unseren zentralen OpenLDAP-Verzeichnisdienst zurückgreifen. Nachfolgend werden wir auf einige Beispiele eingehen. | Natürlich wollen wir bei der Authentifikation unserer Cleints auf unseren zentralen OpenLDAP-Verzeichnisdienst zurückgreifen. Nachfolgend werden wir auf einige Beispiele eingehen. | ||
Zeile 754: | Zeile 754: | ||
# | # | ||
+ | # Use StartTLS with verifying the server certificate. | ||
# Django : 2015-07-20 | # Django : 2015-07-20 | ||
- | # TLS Zertifikatsprüfungsmöglichkeit aktivieren | + | ssl start_tls |
- | ssl start_tls | + | |
tls_cacertfile / | tls_cacertfile / | ||
- | tls_cacertdir / | ||
# Use StartTLS without verifying the server certificate. | # Use StartTLS without verifying the server certificate. | ||
Zeile 845: | Zeile 844: | ||
</ | </ | ||
- | # systemctl start nslcd.service | + | Anschließend passen wir noch die Dateiberechtigungen an, so wie es bei der Option **bindpw** angeraten wurde. |
+ | # chown nslcd:ldap /etc/nslcd.conf | ||
- | # systemctl status nslcd.service -l | + | === nsswitch.conf === |
+ | In der Konfigurationsdatei // | ||
+ | * **passwd: | ||
+ | * **shadow: | ||
+ | * **group: | ||
+ | * **netgroup: | ||
+ | |||
+ | * **automount: | ||
+ | |||
+ | |||
+ | # vim / | ||
+ | |||
+ | <file bash / | ||
+ | # / | ||
+ | # | ||
+ | # An example Name Service Switch config file. This file should be | ||
+ | # sorted with the most-used services at the beginning. | ||
+ | # | ||
+ | # The entry ' | ||
+ | # entry should stop if the search in the previous entry turned | ||
+ | # up nothing. Note that if the search failed due to some other reason | ||
+ | # (like no NIS server responding) then the search continues with the | ||
+ | # next entry. | ||
+ | # | ||
+ | # Valid entries include: | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | |||
+ | # To use db, put the " | ||
+ | # looked up first in the databases | ||
+ | # | ||
+ | # Example: | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | |||
+ | # Django : 2015-07-21 LDAP Client Authentication | ||
+ | # default: passwd: | ||
+ | # shadow: | ||
+ | # group: | ||
+ | passwd: | ||
+ | shadow: | ||
+ | group: | ||
+ | # | ||
+ | |||
+ | # | ||
+ | hosts: | ||
+ | |||
+ | # Example - obey only what nisplus tells us... | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | #rpc: nisplus [NOTFOUND=return] files | ||
+ | # | ||
+ | # | ||
+ | |||
+ | bootparams: nisplus [NOTFOUND=return] files | ||
+ | |||
+ | ethers: | ||
+ | netmasks: | ||
+ | networks: | ||
+ | protocols: | ||
+ | rpc: files | ||
+ | services: | ||
+ | |||
+ | # Django : 2015-07-21 LDAP Client Authentication | ||
+ | # default: netgroup: | ||
+ | netgroup: | ||
+ | |||
+ | publickey: | ||
+ | |||
+ | # Django : 2015-07-21 LDAP Client Authentication | ||
+ | # default: automount: | ||
+ | automount: | ||
+ | aliases: | ||
+ | </ | ||
+ | |||
+ | === password-auth-ac === | ||
+ | Damit sich unsere Nutzer auch anmelden können, ist es notwendig in der Konfigurationsdatei // | ||
+ | # vim / | ||
+ | |||
+ | <file bash / | ||
+ | # This file is auto-generated. | ||
+ | # User changes will be destroyed the next time authconfig is run. | ||
+ | auth required | ||
+ | auth sufficient | ||
+ | auth requisite | ||
+ | # Django : 2015-07-21 | ||
+ | # default: auth sufficient | ||
+ | auth sufficient | ||
+ | auth required | ||
+ | |||
+ | account | ||
+ | account | ||
+ | account | ||
+ | # Django : 2015-07-21 | ||
+ | # default: account | ||
+ | account | ||
+ | account | ||
+ | |||
+ | password | ||
+ | password | ||
+ | # Django : 2015-07-21 | ||
+ | # default: password | ||
+ | password | ||
+ | password | ||
+ | |||
+ | session | ||
+ | session | ||
+ | -session | ||
+ | session | ||
+ | session | ||
+ | session | ||
+ | # Django : 2015-07-21 | ||
+ | # default: session | ||
+ | session | ||
+ | |||
+ | ==== Start des Naming services LDAP client daemon ==== | ||
+ | Nun ist es an der Zeit, den **NSLCD**((**N**aming **S**ervices **L**DAP **C**lient **D**aemon)) zu starten. | ||
+ | # systemctl restart nslcd.service | ||
+ | |||
+ | Den erfolgreichen Start des Daemon fragen wir wie folgt ab. | ||
+ | # systemctl status nslcd.service -l | ||
< | < | ||
Zeile 866: | Zeile 996: | ||
</ | </ | ||
+ | Damit der Daemin automatisch gestartet wird, wenn der Clientrechner hochfährt, aktivieren wir den NSLCD entsprechend. | ||
# systemctl enable nslcd.service | # systemctl enable nslcd.service | ||
ln -s '/ | ln -s '/ | ||
+ | Wollen wir abfragen, ob der Daemon automatisch beim Systemstart gestartet wird benutzen wir nachfolgenden Befehl/ | ||
# systemctl is-enabled nslcd.service | # systemctl is-enabled nslcd.service | ||
enabled | enabled | ||
- | # systemctl is-enabled | + | Ein **enabled** signalisiert, |
- | disabled | + | ===== Tests ===== |
+ | ==== LDAP Abfrage ==== | ||
- | ==== Test ==== | + | Zur Abfrage eines LDAP-Users können wir folgenden Aufruf verwenden: |
$ ldapsearch -x -LLL -H ldaps:// | $ ldapsearch -x -LLL -H ldaps:// | ||
Enter LDAP Password: | Enter LDAP Password: | ||
Zeile 899: | Zeile 1032: | ||
userPassword:: | userPassword:: | ||
- | + | Das nächste Beispiel zeigt eine LDAP-Abfrage mit dem User django aber mit __falschem__ Passwort: | |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | /* | + | |
- | | + | |
- | [1] Install OpenLDAP Client. | + | |
- | [root@www ~]# yum -y install openldap-clients nss-pam-ldapd | + | |
- | # ldapserver=(LDAP server' | + | |
- | + | ||
- | # ldapbasedn=" | + | |
- | + | ||
- | [root@www ~]# authconfig --enableldap \ | + | |
- | --enableldapauth \ | + | |
- | --ldapserver=dlp.server.world \ | + | |
- | --ldapbasedn=" | + | |
- | --enablemkhomedir \ | + | |
- | --update | + | |
- | + | ||
- | getsebool: SELinux is disabled | + | |
- | [root@www ~]# exit | + | |
- | + | ||
- | logout | + | |
- | CentOS Linux 7 (Core) | + | |
- | Kernel 3.10.0-123.20.1.el7.x86_64 on an x86_64 | + | |
- | www login: redhat | + | |
- | # LDAP user | + | |
- | + | ||
- | Password: | + | |
- | # password | + | |
- | + | ||
- | Creating directory '/ | + | |
- | [redhat@www ~]$ | + | |
- | # logined normally | + | |
- | [redhat@www ~]$ passwd | + | |
- | # try to change the LDAP password | + | |
- | + | ||
- | Changing password for user redhat. | + | |
- | Enter login(LDAP) password: | + | |
- | # current password | + | |
- | + | ||
- | New password: | + | |
- | # new password | + | |
- | + | ||
- | Retype new password: | + | |
- | LDAP password information changed for redhat | + | |
- | passwd: all authentication tokens updated successfully. | + | |
- | + | ||
- | */ | + | |
$ ldapsearch -x -LLL -H ldaps:// | $ ldapsearch -x -LLL -H ldaps:// | ||
Zeile 957: | Zeile 1039: | ||
ldap_bind: Invalid credentials (49) | ldap_bind: Invalid credentials (49) | ||
+ | Hingegen eine Abfrage mit einer richtigen Kombination von Benutzer und Passwort, sieht entsprechend wie folgt aus: | ||
$ ldapsearch -x -LLL -H ldaps:// | $ ldapsearch -x -LLL -H ldaps:// | ||
Zeile 972: | Zeile 1054: | ||
homeDirectory: | homeDirectory: | ||
gecos: inge | gecos: inge | ||
- | userPassword:: | + | userPassword:: |
+ | ==== Client-Abfragen ==== | ||
+ | Die erfolgreiche Konfiguration unseres Rechners überprüfen wir so: | ||
+ | - Mit **getent** lassen wir uns die Informationen eines Users anzeigen, der sowohl in der /etc/shadow wie auch im zentralen LDAP-Verzeichnisdienst hinterlegt ist. Wenn alles gut gelaufen ist, werden uns zwei Einträge präsentiert. \\ \\ < | ||
+ | django: | ||
+ | - Als nächstes wählen wir einen Nutzer der nur im LDAP-Verzeichnisdienst einen Account hat, nicht aber auf der lokalen Maschine. \\ \\ < | ||
+ | - Dann melden wir uns nun an unserem Client als ein Benutzer an, der lokal auf der Maschine nicht existiert, werden wir beim Login nach dem Passwort gefragt, welches gegen den zentralen OpenLDAP-Server verifiziert wird. Ist das Passwort richtig wird auch gleich das zugehörige Nutzer-Homeverzeichnis angelegt. \\ \\ < | ||
+ | {{ : | ||
===== remote Benutzer bei Web-Servern ===== | ===== remote Benutzer bei Web-Servern ===== | ||
- | ==== Apache Webserver ==== | + | Nachdem sich unsere Nutzer an ihren Arbeitsplatzrechner erfolgreich anmelden können, wollen sie mit unter auch von unterwegs aus auf Ihre eMail oder andere WEB-Dienste zugreifen. Auch dort sollen sich unsere User mit deren Anmeldedaten anmelden können. |
+ | Im folgenden gehen wir auf Konfigurationslösungen bei den beiden Webservern **[[http:// | ||
+ | |||
+ | ==== Apache Webserver ==== | ||
+ | {{page> | ||
==== NGiNX Webserver ==== | ==== NGiNX Webserver ==== | ||
- | + | {{page> | |
- | FIXME | + | |
Zeile 1039: | Zeile 1130: | ||
*/ | */ | ||
+ | |||
+ | ====== Links ====== | ||
+ | * **⇐ [[centos: | ||
+ | * **[[centos: | ||
+ | * **[[wiki: | ||
+ | * **[[http:// | ||
+ | |||
+ |