SUSE Linux Enterprise Desktop dokumentáció
35. fejezet - LDAP – címtárszolgáltatás / 35.3. LDAP-kliens beállítása YaST segítségével
Előző35.2. Az LDAP-címtárfa szerkezete35.4. LDAP felhasználók és csoportok beállítása a YaST segítségévelKövetkező

LDAP-kliens beállítása YaST segítségévelLDAP-kliens beállítása YaST segítségével

A YaST tartalmaz egy modult az LDAP alapú felhasználófelügyelet beállításához. Ha nem engedélyezi ezt a szolgáltatást a telepítés során, akkor indítsa el a modult a Hálózati szolgáltatások+LDAP-kliens menüpont kiválasztásával. A YaST automatikusan engedélyezi a PAM és NSS megfelelő módosításait, amelyekre az LDAP használatához szükség van és telepíti a szükséges fájlokat.

Szokásos eljárásSzokásos eljárás

Ahhoz, hogy megértsük, hogyan működik a YaST LDAP-kliensmodulja, ismerni kell a kliensgép háttérben működő folyamatait is. Ha az LDAP be lett kapcsolva a hálózati hitelesítéshez vagy a YaST-modul meghívásra került, akkor a rendszer telepítette a pam_ldap és az nss_ldap csomagot, és módosította a két vonatkozó konfigurációs fájlt. A pam_ldap a bejelentkezési folyamat és az LDAP-címtár – mint a hitelesítési adatok forrása – közötti egyeztetésért felelős PAM-modul. Telepítésre került a dedikált pam_ldap.so modul és megtörténtek a szükséges módosítások a PAM-konfiguráción (lásd: 35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf).

35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Ha kézzel állít be további szolgáltatásokat az LDAP használatára, akkor adja meg a PAM LDAP-modult az /etc/pam.d könyvtárban, a szolgáltatásnak megfelelő a PAM konfigurációs fájlban. Az /usr/share/doc/packages/pam_ldap/pam.d/ könyvtárban találhatók bizonyos szolgáltatásokhoz már átalakított konfigurációs fájlok. Másolja át a megfelelő fájlokat az /etc/pam.d könyvtárba.

Az nsswitch mechanizmuson keresztüli glibc névfeloldás hozzá lett alakítva az LDAP használatához az nss_ldap segítségével. A csomag telepítése után egy új, megfelelően módosított nsswitch.conf fájl jön létre az /etc könyvtárban. Az nsswitch.conf működésével kapcsolatban további információ: 30.6.1. szakasz - Konfigurációs fájlok. Az alábbi soroknak szerepelniük kell az nsswitch.conf fájlban az LDAP-n keresztüli felhasználói adminisztrációhoz és hitelesítéshez. Lásd: 35.3. példa - Módosítások az nsswitch.conf fájlban.

35.3. példa - Módosítások az nsswitch.conf fájlban

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Ezek a sorok először meghívják a glibc feloldó függvénytárát az /etc könyvtár megfelelő fájljainak kiértékeléséhez, valamint a hitelesítési és felhasználói adatok forrásaként elérik az LDAP-kiszolgálót is. Próbálja ki a mechanizmust például a felhasználói adatbázis elolvasásával, a getent passwd parancs segítségével. A visszaadott halmaznak tartalmaznia kell a rendszer helyi felhasználóinak, valamint az LDAP-kiszolgálón tárolt összes felhasználónak az adatait.

Annak megakadályozására, hogy az LDAP-n keresztül felügyelt felhasználók az ssh vagy login paranccsal bejelentkezzenek a kiszolgálóra, az /etc/passwd és az /etc/group fájlnak tartalmaznia kell egy további sort. Az /etc/passwd fájlban ez a sor a +::::::/sbin/nologin, az /etc/group fájlban pedig a +:::.

Az LDAP-kliens beállításaAz LDAP-kliens beállítása

Miután a YaST a szükséges módon módosította az nss_ldap, pam_ldap, /etc/passwd és /etc/group fájlt, egyszerűen csatlakoztathatja a klienst a kiszolgálóhoz, és hagyja, hogy a YaST LDAP-n keresztül felügyelje a felhasználókat. Az alapvető beállítás leírása: 35.3.2.1. szakasz - Alapkonfiguráció.

A YaST LDAP-kliens segítségével átalakíthatja a felhasználói és csoportadminisztrációra szolgáló YaST-modulokat. Ez magában foglalja az új felhasználók és csoportok alapértelmezett beállításainak, valamint a felhasználóhoz vagy csoporthoz rendelt attribútumok számának és viselkedésének módosítását. Az LDAP felhasználófelügyelet lényegesen több, másféle attribútumok hozzárendelését teszi lehetővé a felhasználókhoz és csoportokhoz, mint a hagyományos felhasználó- és csoportfelügyeleti megoldások. Ennek leírása: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.

AlapkonfigurációAlapkonfiguráció

Az alap LDAP klienskonfiguráció párbeszédablak (35.2. ábra - YaST: LDAP-kliens beállítása) megjelenik a telepítés során, ha az LDAP felhasználófelügyeletet választja, vagy ha a telepített rendszeren kiválasztja a YaST vezérlőközpont Hálózati szolgáltatások+LDAP-kliens menüpontot.

35.2. ábra - YaST: LDAP-kliens beállítása

YaST: LDAP-kliens beállítása

A gép felhasználóinak OpenLDAP-kiszolgálón történő hitelesítéséhez és az OpenLDAP-n keresztüli felhasználófelügyelet engedélyezéséhez tegye a következőket:

  1. Az LDAP használatának engedélyezéséhez kattintson az LDAP használata lehetőségre. Ha LDAP-hitelesítést kíván használni, de nem szeretné, hogy más felhasználók bejelentkezzenek a kliensre, akkor válassza inkább az LDAP használata letiltott bejelentkezésekkel lehetőséget.

  2. Adja meg a használandó LDAP-kiszolgáló IP-címét.

  3. Az LDAP-kiszolgálón a keresési alap kiválasztásához adja meg az LDAP alap DN-t. Az alap DN automatikus lekéréséhez kattintson a DN lekérése menüpontra. A YaST ezután a fent megadott kiszolgálócímen LDAP-adatbázist keres. A YaST által biztosított keresési eredemények közül válassza ki a megfelelő alap DN-t.

  4. Ha a kiszolgálóval TLS-sel vagy SSL-lel védett kommunikációt kíván kialakítani, akkor válassza ki az LDAP TLS/SSL lehetőséget.

  5. Ha az LDAP-kiszolgáló továbbra LDAPv2-t használ, akkor explicit módon engedélyezze a protokollváltozat használatát az 2-es LDAP verzió lehetőség kiválasztásával.

  6. Válassza ki az Az automounter aktiválása menüpontot a távoli könyvtárak - mint például a távolról felügyelt /home - felcsatolásához a kliensen.

  7. Válassza ki a Saját könyvtár létrehozása bejelentkezéskor menüpontot, hogy a felhasználó saját könyvtára automatikusan létrejöjjön a felhasználó első bejelentkezésekor.

  8. A beállítások alkalmazásához kattintson a Befejezés gombra.

35.3. ábra - YaST: Szakértői beállítás

YaST: Szakértői beállítás

A kiszolgáló adatainak módosításához adminisztrátor felhasználóként kattintson a Szakértői beállítások gombra. A következő párbeszédablak két részből áll: Lásd:35.3. ábra - YaST: Szakértői beállítás

  1. A Kliensbeállítások lapon a következő beállításokat az igényeinek megfelelően adja meg:

    1. Ha a felhasználók, jelszavak és csoportok keresési alapja eltér a LDAP alap DN részben megadott globális keresési alaptól, akkor itt adja meg ezeket az eltérő névkontextusokat a Felhasználó leképezése, Jelszó leképezése és Csoport leképezése mezőkben.

    2. Adja meg a jelszómódosítási protokollt. A jelszóváltozásakor alkalmazandó szabványos metódus a crypt, ami azt jelenti, hogy a crypt által előálított jelszó hash értékek kerülnek felhasználásra. Ezzel és más beállításokkal kapcsolat részletekért tekintse meg a pam_ldap kézikönyvoldalt.

    3. Adja meg a Csoporttag attribútum-hoz használandó LDAP-csoportot. Ennek alapértelmezett értéke a member.

  2. A Felügyeleti beállítások menüpontban adja meg a következő beállításokat:

    1. Adja meg a felhasználófelügyeleti adatok tárolásának alapját a Beállítás alap DN menüpontban.

    2. Adja meg az Adminisztrátori DN megfelelő értékét. Ennek a DN-nek meg kell egyeznie az /etc/openldap/slapd.conf fájlban megadott rootdn értékkel annak engedélyezéséhez, hogy ez az adott felhasználó módosítani tudja az LDAP-kiszolgálón tárolt adatokat. Adja meg a teljes DN-t (például: cn=Administrator,dc=example,dc=com) vagy aktiválja a Alap DN hozzáfűzése lehetőséget ahhoz, hogy az alap DN automatikusan hozzáadásra kerüljön a cn=Administrator beírásakor.

    3. Jelölje be az Alapértelmezett konfigurációs objektumok létrehozása lehetőséget az alap konfigurációs objektumok létrehozásához a kiszolgálón az LDAP-n keresztüli felhasználófelügyelet engedélyezéséhez.

    4. Ha a kliensgépnek a saját könyvtárak fájlkiszolgálójaként kell működnie a hálózatban, akkor jelölje be a Saját könyvtárak ezen a gépen lehetőséget.

    5. A Jelszóirányelv részben kiválaszthatja, hozzáadhatja, törölheti vagy módosítja a használandó jelszóirányelvet. A jelszóirányelvek YaST segítségével történő konfigurációja az LDAP-kiszolgálóbeállítás része.

    6. Kattintson az Elfogadás gombra a Szakértői beállítás elhagyásához, majd a Befejezés gombra a beállítások alkalmazásához.

A Felhasználókezelési konfiguráció beállítása menüpont segítségével módosíthatja az LDAP-kiszolgáló bejegyzéseit. A kiszolgálón lévő konfigurációs modulok elérése a kiszolgálón tárolt ACL-ek és ACI-k szerint biztosított. Kövesse a következő eljárásokat: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.

YaST csoport- és felhasználófelügyeleti moduljainak beállításaYaST csoport- és felhasználófelügyeleti moduljainak beállítása

A YaST LDAP-kliens segítségével a YaST modulok módosíthatók a felhasználó- és csoportfelügyelethez, valamint ezek szükség szerint kiterjeszthetők. Adjon meg sablonokat alapértelmezett értékekkel az egyéni attribútumokhoz az adatregisztráció egyszerűsítése érdekében. Az itt létrehozott előre megadott beállításokat az LDAP-címtár LDAP-objektumokként tárolja. A felhasználói adatok regisztrációja továbbra is a felhasználó- és csoportkezelésre szolgáló normál YaST modulokkal történik. A regisztrált adatok LDAP-objektumok formájában kerülnek tárolására a kiszolgálón.

35.4. ábra - YaST: modul beállítása

YaST: modul beállítása

A modulkonfigurációhoz tartozó párbeszédablak (35.4. ábra - YaST: modul beállítása) lehetővé teszi új modulok létrehozását, a meglévő konfigurációs modulok kiválasztását és módosítását, valamint az ilyen modulok sablonjainak tervezését és módosítását.

Új konfigurációs modul létrehozásához tegye a következőket:

  1. Kattintson az Új lehetőségre, és válassza ki a létrehozandó modul típusát. A felhasználói konfigurációs modulhoz válassza ki a suseuserconfiguration, a csoportkonfigurációhoz pedig a susegroupconfiguration lehetőséget.

  2. Az új sablonhoz válasszon nevet. A tartalom nézetben ezután megjelenik egy táblázat, amelyben a modulban engedélyezett összes attribútum látható a hozzájuk rendelt értékekkel. Az összes beállított attribútumon túl a lista tartalmazza az aktuális séma által engedélyezett, de jelenleg nem használt egyéb attribútumokat is.

  3. Fogadja el az előre beállított értékeket, vagy módosítsa a csoport- és felhasználókonfiguráció alapértelmezéseit: válassza ki a kívánt attribútumot, nyomja meg a Szerkesztés gombot, majd írja be az új értéket. A modul átnevezéséhez egyszerűen csak a modul cn attribútumát kell módosítani. A Törlés gomb megnyomására a jelenleg kiválasztott modul törlődik.

  4. Az Elfogadás gomb megnyomása után az új modul bekerül a kiválasztás menübe.

A csoport- és felhasználóadminisztrációs YaST-modulok értelmes alapértékekkel kitöltött sablonokat tartalmaznak. Egy konfigurációs modulhoz rendelt sablon szerkesztése:

  1. A Modul beállítása párbeszédablakban kattintson a Sablon beállítása menüpontra.

  2. Igény szerint határozza meg a sablonhoz rendelt általános attribútumok értékeit. Üresen is hagyhat közülük néhányat. Az üres attribútumok törlődnek az LDAP-kiszolgálóról.

  3. Módosítsa, törölje vagy vegye fel az új objektumok (az LDAP-címtárfa felhasználó- vagy csoportkonfigurációs objektumainak) új alapértelmezett értékeit.

35.5. ábra - YaST: Objektumsablon beállítása

YaST: Objektumsablon beállítása

Csatlakoztassa a sablont a moduljához: állítsa a modul susedefaulttemplate attribútumának értékét a módosított sablon DN-jére.

[Tip]

Az attribútum alapértelmezett értékei létrehozhatók másik attribútumokból is, ha abszolút érték használata helyett egy változót használ. Új felhasználó létrehozásakor például a cn=%sn %givenName automatikusan létrejön az sn és givenName attribútumértékéből.

Ha az összes modul és sablon megfelelően be van állítva és futásra kész, akkor a YaST segítségével az új csoportok és felhasználók a szokásos módon bejegyezhetők.

Előző35.2. Az LDAP-címtárfa szerkezeteTartalom35.4. LDAP felhasználók és csoportok beállítása a YaST segítségévelKövetkező