A YaST tartalmaz egy modult az LDAP alapú felhasználófelügyelet beállításához. Ha nem engedélyezi ezt a szolgáltatást a telepítés során, akkor indítsa el a modult a
+ menüpont kiválasztásával. A YaST automatikusan engedélyezi a PAM és NSS megfelelő módosításait, amelyekre az LDAP használatához szükség van és telepíti a szükséges fájlokat.Ahhoz, hogy megértsük, hogyan működik a YaST LDAP-kliensmodulja, ismerni kell a kliensgép háttérben működő folyamatait is. Ha az LDAP be lett kapcsolva a hálózati hitelesítéshez vagy a YaST-modul meghívásra került, akkor a rendszer telepítette a pam_ldap
és az nss_ldap
csomagot, és módosította a két vonatkozó konfigurációs fájlt. A pam_ldap
a bejelentkezési folyamat és az LDAP-címtár – mint a hitelesítési adatok forrása – közötti egyeztetésért felelős PAM-modul. Telepítésre került a dedikált pam_ldap.so
modul és megtörténtek a szükséges módosítások a PAM-konfiguráción (lásd: 35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf).
35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf
auth: use_ldap account: use_ldap password: use_ldap session: none
Ha kézzel állít be további szolgáltatásokat az LDAP használatára, akkor adja meg a PAM LDAP-modult az /etc/pam.d
könyvtárban, a szolgáltatásnak megfelelő a PAM konfigurációs fájlban. Az /usr/share/doc/packages/pam_ldap/pam.d/
könyvtárban találhatók bizonyos szolgáltatásokhoz már átalakított konfigurációs fájlok. Másolja át a megfelelő fájlokat az /etc/pam.d
könyvtárba.
Az nsswitch
mechanizmuson keresztüli glibc
névfeloldás hozzá lett alakítva az LDAP használatához az nss_ldap
segítségével. A csomag telepítése után egy új, megfelelően módosított nsswitch.conf
fájl jön létre az /etc
könyvtárban. Az nsswitch.conf
működésével kapcsolatban további információ: 30.6.1. szakasz - Konfigurációs fájlok. Az alábbi soroknak szerepelniük kell az nsswitch.conf
fájlban az LDAP-n keresztüli felhasználói adminisztrációhoz és hitelesítéshez. Lásd: 35.3. példa - Módosítások az nsswitch.conf fájlban.
35.3. példa - Módosítások az nsswitch.conf fájlban
passwd: compat group: compat passwd_compat: ldap group_compat: ldap
Ezek a sorok először meghívják a glibc
feloldó függvénytárát az /etc
könyvtár megfelelő fájljainak kiértékeléséhez, valamint a hitelesítési és felhasználói adatok forrásaként elérik az LDAP-kiszolgálót is. Próbálja ki a mechanizmust például a felhasználói adatbázis elolvasásával, a getent passwd
parancs segítségével. A visszaadott halmaznak tartalmaznia kell a rendszer helyi felhasználóinak, valamint az LDAP-kiszolgálón tárolt összes felhasználónak az adatait.
Annak megakadályozására, hogy az LDAP-n keresztül felügyelt felhasználók az ssh vagy login paranccsal bejelentkezzenek a kiszolgálóra, az /etc/passwd
és az /etc/group
fájlnak tartalmaznia kell egy további sort. Az /etc/passwd
fájlban ez a sor a +::::::/sbin/nologin
, az /etc/group
fájlban pedig a +:::
.
Miután a YaST a szükséges módon módosította az nss_ldap
, pam_ldap
, /etc/passwd
és /etc/group
fájlt, egyszerűen csatlakoztathatja a klienst a kiszolgálóhoz, és hagyja, hogy a YaST LDAP-n keresztül felügyelje a felhasználókat. Az alapvető beállítás leírása: 35.3.2.1. szakasz - Alapkonfiguráció.
A YaST LDAP-kliens segítségével átalakíthatja a felhasználói és csoportadminisztrációra szolgáló YaST-modulokat. Ez magában foglalja az új felhasználók és csoportok alapértelmezett beállításainak, valamint a felhasználóhoz vagy csoporthoz rendelt attribútumok számának és viselkedésének módosítását. Az LDAP felhasználófelügyelet lényegesen több, másféle attribútumok hozzárendelését teszi lehetővé a felhasználókhoz és csoportokhoz, mint a hagyományos felhasználó- és csoportfelügyeleti megoldások. Ennek leírása: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
Az alap LDAP klienskonfiguráció párbeszédablak (35.2. ábra - YaST: LDAP-kliens beállítása) megjelenik a telepítés során, ha az LDAP felhasználófelügyeletet választja, vagy ha a telepített rendszeren kiválasztja a YaST vezérlőközpont + menüpontot.
A gép felhasználóinak OpenLDAP-kiszolgálón történő hitelesítéséhez és az OpenLDAP-n keresztüli felhasználófelügyelet engedélyezéséhez tegye a következőket:
Az LDAP használatának engedélyezéséhez kattintson az
lehetőségre. Ha LDAP-hitelesítést kíván használni, de nem szeretné, hogy más felhasználók bejelentkezzenek a kliensre, akkor válassza inkább az lehetőséget.Adja meg a használandó LDAP-kiszolgáló IP-címét.
Az LDAP-kiszolgálón a keresési alap kiválasztásához adja meg az
-t. Az alap DN automatikus lekéréséhez kattintson a menüpontra. A YaST ezután a fent megadott kiszolgálócímen LDAP-adatbázist keres. A YaST által biztosított keresési eredemények közül válassza ki a megfelelő alap DN-t.Ha a kiszolgálóval TLS-sel vagy SSL-lel védett kommunikációt kíván kialakítani, akkor válassza ki az
lehetőséget.Ha az LDAP-kiszolgáló továbbra LDAPv2-t használ, akkor explicit módon engedélyezze a protokollváltozat használatát az
lehetőség kiválasztásával.Válassza ki az /home
- felcsatolásához a kliensen.
Válassza ki a
menüpontot, hogy a felhasználó saját könyvtára automatikusan létrejöjjön a felhasználó első bejelentkezésekor.A beállítások alkalmazásához kattintson a
gombra.A kiszolgáló adatainak módosításához adminisztrátor felhasználóként kattintson a 35.3. ábra - YaST: Szakértői beállítás
gombra. A következő párbeszédablak két részből áll: Lásd:A
lapon a következő beállításokat az igényeinek megfelelően adja meg:Ha a felhasználók, jelszavak és csoportok keresési alapja eltér a
részben megadott globális keresési alaptól, akkor itt adja meg ezeket az eltérő névkontextusokat a , és mezőkben.Adja meg a jelszómódosítási protokollt. A jelszóváltozásakor alkalmazandó szabványos metódus a crypt
, ami azt jelenti, hogy a crypt által előálított jelszó hash értékek kerülnek felhasználásra. Ezzel és más beállításokkal kapcsolat részletekért tekintse meg a pam_ldap
kézikönyvoldalt.
Adja meg a member
.
A
menüpontban adja meg a következő beállításokat:Adja meg a felhasználófelügyeleti adatok tárolásának alapját a
menüpontban.Adja meg az /etc/openldap/slapd.conf
fájlban megadott rootdn
értékkel annak engedélyezéséhez, hogy ez az adott felhasználó módosítani tudja az LDAP-kiszolgálón tárolt adatokat. Adja meg a teljes DN-t (például: cn=Administrator,dc=example,dc=com
) vagy aktiválja a lehetőséget ahhoz, hogy az alap DN automatikusan hozzáadásra kerüljön a cn=Administrator
beírásakor.
Jelölje be az
lehetőséget az alap konfigurációs objektumok létrehozásához a kiszolgálón az LDAP-n keresztüli felhasználófelügyelet engedélyezéséhez.Ha a kliensgépnek a saját könyvtárak fájlkiszolgálójaként kell működnie a hálózatban, akkor jelölje be a
lehetőséget.A
részben kiválaszthatja, hozzáadhatja, törölheti vagy módosítja a használandó jelszóirányelvet. A jelszóirányelvek YaST segítségével történő konfigurációja az LDAP-kiszolgálóbeállítás része.Kattintson az
gombra a elhagyásához, majd a gombra a beállítások alkalmazásához.A 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
menüpont segítségével módosíthatja az LDAP-kiszolgáló bejegyzéseit. A kiszolgálón lévő konfigurációs modulok elérése a kiszolgálón tárolt ACL-ek és ACI-k szerint biztosított. Kövesse a következő eljárásokat:A YaST LDAP-kliens segítségével a YaST modulok módosíthatók a felhasználó- és csoportfelügyelethez, valamint ezek szükség szerint kiterjeszthetők. Adjon meg sablonokat alapértelmezett értékekkel az egyéni attribútumokhoz az adatregisztráció egyszerűsítése érdekében. Az itt létrehozott előre megadott beállításokat az LDAP-címtár LDAP-objektumokként tárolja. A felhasználói adatok regisztrációja továbbra is a felhasználó- és csoportkezelésre szolgáló normál YaST modulokkal történik. A regisztrált adatok LDAP-objektumok formájában kerülnek tárolására a kiszolgálón.
A modulkonfigurációhoz tartozó párbeszédablak (35.4. ábra - YaST: modul beállítása) lehetővé teszi új modulok létrehozását, a meglévő konfigurációs modulok kiválasztását és módosítását, valamint az ilyen modulok sablonjainak tervezését és módosítását.
Új konfigurációs modul létrehozásához tegye a következőket:
Kattintson az suseuserconfiguration
, a csoportkonfigurációhoz pedig a susegroupconfiguration
lehetőséget.
Az új sablonhoz válasszon nevet. A tartalom nézetben ezután megjelenik egy táblázat, amelyben a modulban engedélyezett összes attribútum látható a hozzájuk rendelt értékekkel. Az összes beállított attribútumon túl a lista tartalmazza az aktuális séma által engedélyezett, de jelenleg nem használt egyéb attribútumokat is.
Fogadja el az előre beállított értékeket, vagy módosítsa a csoport- és felhasználókonfiguráció alapértelmezéseit: válassza ki a kívánt attribútumot, nyomja meg a cn
attribútumát kell módosítani. A gomb megnyomására a jelenleg kiválasztott modul törlődik.
Az
gomb megnyomása után az új modul bekerül a kiválasztás menübe.A csoport- és felhasználóadminisztrációs YaST-modulok értelmes alapértékekkel kitöltött sablonokat tartalmaznak. Egy konfigurációs modulhoz rendelt sablon szerkesztése:
A
párbeszédablakban kattintson a menüpontra.Igény szerint határozza meg a sablonhoz rendelt általános attribútumok értékeit. Üresen is hagyhat közülük néhányat. Az üres attribútumok törlődnek az LDAP-kiszolgálóról.
Módosítsa, törölje vagy vegye fel az új objektumok (az LDAP-címtárfa felhasználó- vagy csoportkonfigurációs objektumainak) új alapértelmezett értékeit.
Csatlakoztassa a sablont a moduljához: állítsa a modul susedefaulttemplate
attribútumának értékét a módosított sablon DN-jére.
Az attribútum alapértelmezett értékei létrehozhatók másik attribútumokból is, ha abszolút érték használata helyett egy változót használ. Új felhasználó létrehozásakor például a |
Ha az összes modul és sablon megfelelően be van állítva és futásra kész, akkor a YaST segítségével az új csoportok és felhasználók a szokásos módon bejegyezhetők.