abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:22 | Nová verze

    Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

    Ladislav Hagara | Komentářů: 0
    dnes 12:55 | IT novinky

    Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.

    Ladislav Hagara | Komentářů: 1
    dnes 12:11 | Komunita

    Blender Studio se spojilo s kapelou OK Go a výsledkem je videoklip k písni Impulse Purchase. Stejně jako samotný 3D software Blender je i ve videoklipu použitý animovaný chlápek open source. Kdokoli si jej může stáhnout a upravovat.

    Ladislav Hagara | Komentářů: 0
    dnes 01:33 | Komunita

    Zig Software Foundation stojící za programovacím jazykem Zig publikovala finanční zprávu za rok 2024. Současně s prosbou o finanční příspěvek.

    Ladislav Hagara | Komentářů: 0
    dnes 00:22 | Nová verze

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za srpen (YouTube). Vypíchnuta je podpora Tabulek Google, implementace Gamepad API a Cookie Store API nebo také podpora WebGL na Linuxu.

    Ladislav Hagara | Komentářů: 0
    včera 20:44 | Komunita

    openSUSE Leap 16, včetně Leap Micra 6.2+, nově nabízí 24 měsíců podpory pro každé vydání. To je dva roky aktualizací a stability, což z něj činí nejdéle podporovanou komunitní distribuci vůbec. Leap se tak stává ideální platformou pro všechny, kdo hledají moderní, stabilní a dlouhodobě podporovanou komunitní Linux distribuci.

    lkocman | Komentářů: 0
    včera 16:33 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 3. 9. 2025 VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v předávání systémových a uživatelských dat do Čínské lidové republiky a ve vzdálené správě technických aktiv vykonávané z území Čínské lidové republiky. Varováním se musí zabývat povinné osoby podle zákona o kybernetické bezpečnosti.

    Ladislav Hagara | Komentářů: 27
    včera 11:55 | IT novinky

    Americká internetová společnost Google nemusí prodat svůj prohlížeč Chrome ani operační systém Android. Rozhodl o tom soud ve Washingtonu, který tak zamítl požadavek amerického ministerstva spravedlnosti. Soud ale firmě nařídil sdílet data s jinými podniky v zájmu posílení konkurence v oblasti internetového vyhledávání. Zároveň Googlu zakázal uzavírat dohody s výrobci mobilních a dalších zařízení, které by znemožňovaly

    … více »
    Ladislav Hagara | Komentářů: 3
    včera 11:33 | Humor

    Prvního září ozbrojení policisté zatkli na na londýnském letišti Heathrow scénáristu a režiséra Grahama Linehana, známého především komediálními seriály Ajťáci, Otec Ted nebo Black Books. Během výslechu měl 57letý Graham nebezpečně zvýšený krevní tlak až na samou hranici mrtvice a proto byl z policejní stanice převezen do nemocnice. Důvodem zatčení bylo údajné podněcování násilí v jeho 'vtipných' příspěvcích na sociální síti

    … více »
    Gréta | Komentářů: 107
    včera 10:22 | Pozvánky

    Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:

    Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »
    bkralik | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (82%)
     (8%)
     (2%)
     (3%)
     (4%)
     (1%)
    Celkem 142 hlasů
     Komentářů: 11, poslední dnes 16:12
    Rozcestník

    Síťová autentizace pomocí OpenLDAP + NFS

    10.1.2011 20:19 | Přečteno: 3521× | Výběrový blog | poslední úprava: 11.1.2011 17:26

    Příklad nastavení OpenLDAP serveru a NFS serveru pro podporu přihlášení vzdálených uživatelů na desktopech.

    Úvod:

    Cílem je zajistit přihlašování uživatelů na linuxových desktopech, kdy udaje o uživatelích jsou uloženy na LDAP serveru a domovské adresáře uloženy na NFS serveru. Uživatel desktopu požádá o přihlášení - autorizuje se pomocí LDAP serveru a budou mu poskytnuty soubory pomocí NFS serveru. Postup neřeší podrobnější konfiguraci LDAP serveru, změny záznamů, atd., konfigurace NFS je jen základ. Slouží spíše k dalšímu studiu.


    Příprava:

    Pro příklad použijeme tyto servery a PC

    LDAP server
    IP: 192.168.1.2
    Minimální instalace Debian Squeeze
    hostname -f
    ...
    ldap.firma.cz
    NFS server
    IP: 192.168.1.3
    Minimální instalace Debian Squeeze
    hostname -f
    ...
    nfs.firma.cz
    Desktop
    IP: 192.168.1.100
    Desktop instalace
    hostname -f
    ...
    pc100.firma.cz

    Instalace OpenLDAP serveru:

    Provedeme instalaci OpenLDAP serveru na ldap.firma.cz

    apt-get install slapd ldap-utils
    ...
    zadat heslo ldap admin
    ...
    Starting OpenLDAP: slapd

    Instalace provede základní nastavení serveru. Nové verze openLDAP mají konfiguraci uloženu přímo v databázi separátně v cn=config - tzv. dynamická konfigurace - změny možné za běhu OpenLDAP serveru


    Kontrola běhu - výpis obsahu databáze:

    ldapsearch -xLLL -b "dc=firma,dc=cz"
    ...
    dn: dc=firma,dc=cz
    objectClass: top
    objectClass: dcObject
    objectClass: organization
    o: firma.cz
    dc: firma 
    dn: cn=admin,dc=firma,dc=cz
    objectClass: simpleSecurityObject
    objectClass: organizationalRole
    cn: admin
    description: LDAP administrator

    Instalace vytvořila organizaci a uživatele admin


    Výpis konfigurace (omezený na dn):

    ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
    ...
    SASL/EXTERNAL authentication started
    SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
    SASL SSF: 0
    dn: cn=config
    
    dn: cn=module{0},cn=config
    
    dn: cn=schema,cn=config
    
    dn: cn={0}core,cn=schema,cn=config
    
    dn: cn={1}cosine,cn=schema,cn=config
    
    dn: cn={2}nis,cn=schema,cn=config
    
    dn: cn={3}inetorgperson,cn=schema,cn=config
    
    dn: olcBackend={0}hdb,cn=config
    
    dn: olcDatabase={-1}frontend,cn=config
    
    dn: olcDatabase={0}config,cn=config
    
    dn: olcDatabase={1}hdb,cn=config

    Jsou defaultně naimportována schémata - core, cosine, nis, inetorgperson


    Naplnění databáze daty:

    Vytvoření organizačních jednotek

    soubor organizationalUnit.ldif
    ...
    dn: ou=users,dc=firma,dc=cz
    objectClass: organizationalUnit
    ou: users
    
    dn: ou=groups,dc=firma,dc=cz
    objectClass: organizationalUnit
    ou: groups
    
    ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f organizationalUnit.ldif
    ...
    Enter LDAP Password: 
    adding new entry "ou=users,dc=firma,dc=cz"
    
    adding new entry "ou=groups,dc=firma,dc=cz"

    V příkladech se často používá ou=People, ou=Group


    Vytvoření skupiny

    soubor posixGroup.ldif
    ...
    dn: cn=ldap_users,ou=groups,dc=firma,dc=cz
    objectClass: posixGroup
    cn: ldap_users
    gidNumber: 10000
    description: Group account
    
    ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f posixGroup.ldif

    Každý uživatel bude ve skupine ldap_users. (Dnes je zvykem, že každý uživatel má vytvořenou i svou skupinu??)


    Vytvoření uživatele

    soubor user.ldif
    ...
    dn: uid=testldap,ou=users,dc=firma,dc=cz
    objectClass: account
    objectClass: posixAccount
    objectClass: shadowAccount
    cn: testldap
    uid: testldap
    uidNumber: 10000
    gidNumber: 10000
    homeDirectory: /home/testldap
    loginShell: /bin/bash
    gecos: Test LDAP
    description: User account
    
    ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f user.ldif

    Bez objectClass: account to házelo chybu


    Výpis obsahu databáze

    ldapsearch -xLLL -b "dc=firma,dc=cz"
    ...

    Měly by se zobrazit přidané položky


    Začátečníci pro kontrolu použít grafického LDAP klienta

    na obrázku je jiná IP adresa než v příkladu


    Name Service a PAM:

    Zajistí nám propojení systému s daty o uživatelích uložených v LDAP - systém "uvidí" uživatele v LDAP. Toto musíme nastavit na NFS serveru (potřebujeme nastavovat práva souboru uživatelů) a na klientovi / desktopu (potřebuje se přihlásit). Naopak na LDAP serveru by z bezpečnostních důvodů nemělo být přihlašování uživatelů dovoleno - nenastavujeme.

    apt-get install libnss-ldap libpam-ldap
    Configuring libnss-ldap
    LDAP server URI: 
    ldap://192.168.1.2/
    Distinguished name of the search base:
    dc=firma,dc=cz
    LDAP version to use:
    3
    LDAP account for root:
    cn=admin,dc=firma,dc=cz
    LDAP root account password:
    heslo
    
    Configuring libpam-ldap
    Allow LDAP admin account to behave like local root?
    Yes
    Does the LDAP database require login?
    No
    LDAP administrative account:
    cn=admin,dc=firma,dc=cz
    LDAP administrative password:
    heslo

    Instalační script upozorní, že je nutno ručně nastavit NSS


    Nastavení NSS

    edit /etc/nsswitch.conf
    ...
    passwd:         compat ldap
    group:          compat ldap
    shadow:         compat ldap

    Raději reboot - (po restartu NSS systém viděl uživatele, ale nešly v MC nastavit práva k souborům)


    Nezapomenout vytvořit domovský adresář /home/testldap pro uživatele testldap na NFS serveru. Nastavení práv 40700 - uid=10000,gid=10000 - zkopírování profilu z /etc/skel (nastavit práva)


    Kontrola nastavení NSS a PAM - výpis uživatelů a skupin na NFS serveru a klientovi

    getent passwd
    ...
    testldap:x:10000:Test LDAP:/home/testldap:/bin/bash
    ...
    
    getent group
    ...
    ldap_users:*:10000
    ...

    Ve výpisech by jsme měli vidět i uživatele a skupiny uložené v LDAP


    Přihlašení uživatele

    Uživatel by měl být schopen se lokálně přihlásit na NFS serveru


    Změna hesla uživatelů v LDAP databázi - oprava chyby

    passwd testldap
    passwd: Authentication information cannot be recovered
    passwd: password unchanged
    ...
    heslo nejde změnit
    
    edit /etc/pam.d/common-password
    ...
    zmenit use_authok na try_authok
    ...

    bug?


    NFS server:

    Export domovských adresářů uživatelů

    apt-get install nfs-kernel-server
    
    edit soubor /etc/exports
    
    /home    *(rw,sync,no_root_squash,no_subtree_check)
    
    /etc/init.d/nfs-kernel-server reload
    nebo
    exportfs -a

    Zápis neřeší optimalizaci NFS serveru


    NFS klient na desktopu:

    Před, nebo během přihlášení připojit domovský adresář uživatele z NFS serveru

    edit /etc/fstab
    ...
    192.168.1.3:/home /home nfs rsize=8192,wsize=8192,timeo=14,intr
    ...
    

    Případně použít automount


    Závěr:

    Prosím o upozornění na případné nedostatky, chyby, doporučení, atd.


    Zdroje:

    Wikipedie

    Debian Wiki

    Ubuntu Server Guide

           

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    Síťová autentizace pomocí OpenLDAP + NFS, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Saljack avatar 10.1.2011 22:24 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Dalo by se LDAP použít i na routeru Asus, čistě jenom pro zkušební účely?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 09:53 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Pokud na nem bezi OpenWRT, tak nevidim duvod, proc by neslo - existuje primo balicek openldap-server. Popripade pokud je kompatibilni s DebWRT (momentalne asi akorat wl-500gP), tak tam pujde praticky cokoli ;-)
    11.1.2011 10:53 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Otázka jak moc je to dobrý nápad - můj LDAP zabírá celkem místo v paměti (ne nijak velké, ale když se veme v úvahu, že ty routery mají nějak cca 64MB RAM, možná míň, tak to dost je)... a když ho chytí amok memory leaků, tak ani gigabajty nestačí :(
    Saljack avatar 11.1.2011 11:21 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Přesně to jsem měl namysli. To, že to jde nainstalovat mě nezajímá, mě zajímá jestli to půjde provozovat. Zkoušel to někdo?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 11:49 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Tak to by nebylo od veci router blize specifikovat, protoze "pouzit na routeru Asus" je ponekud siroky pojem. Na modelu s 32MB ram by snad nemel byt problem - osobne jsem nezkousel, ale kdyz uz se nekdo delal s balickem, tak predpokladam, ze uplne teoreticke to neni... Napr. Postgre databaze mi na routeru s 32MB ram bezi bez vetsich problemu (= pouzivat se to da, na vetsi veci to samozrejme neni).
    11.1.2011 13:08 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Minimální instalace Debian Sarge

    To jste zverejnil stary navod, nebo stale pouzivate Debian Sarge? ;-)

    OndraZX avatar 11.1.2011 17:28 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Samozřejmě Squeeze - opraveno - díky :-)
    11.1.2011 17:36 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Takze misto stareho Sarge tam mate testing ;-)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.