abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Android 16
    včera 22:33 | Nová verze

    Oficiálně byl vydán Android 16. Detaily na blogu a stránkách věnovaných vývojářům.

    Ladislav Hagara | Komentářů: 1
    FreeBSD 14.3
    včera 14:33 | Nová verze

    Byla vydána nová verze 14.3 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Veškeré konverzace uživatelů s ChatGPT budou uchovávány. Včetně těch smazaných
    včera 14:00 | Upozornění

    CSIRT.CZ upozorňuje, že na základě rozhodnutí federálního soudu ve Spojených státech budou veškeré konverzace uživatelů s ChatGPT uchovávány. Včetně těch smazaných.

    Ladislav Hagara | Komentářů: 8
    Virtuální Bastlírna vol. 51: česká open source LoRa meteostanice
    včera 13:44 | Pozvánky

    Ač semestr ve škole právě končí, bastlíři ze studentského klubu Silicon Hill neodpočívají a opět se jako každý měsíc hlásí s pravidelným bastlířským setkáním Virtuální Bastlírna, kde si můžete s ostatními techniky popovídat jako u piva o novinkách, o elektronice, softwaru, vědě, technice obecně, ale také o bizarních tématech, která se za poslední měsíc na internetu vyskytla.

    Z novinek za zmínku stojí Maker Faire, kde Pájeníčko předvedlo … více »
    bkralik | Komentářů: 0
    Containerization a container, linuxové kontejnery na macOS
    včera 04:44 | Zajímavý software

    Na WWDC25 byl představen balíček Containerization a nástroj container pro spouštění linuxových kontejnerů na macOS. Jedná se o open source software pod licencí Apache 2.0 napsaný v programovacím jazyce Swift.

    Ladislav Hagara | Komentářů: 1
    Festival Steam Next | červen 2025
    včera 02:00 | IT novinky

    Do 16. června do 19:00 běží na Steamu přehlídka nadcházejících her Festival Steam Next | červen 2025 doplněná demoverzemi, přenosy a dalšími aktivitami. Demoverze lze hrát zdarma.

    Ladislav Hagara | Komentářů: 0
    WWDC25
    9.6. 21:44 | IT novinky

    Apple na své vývojářské konferenci WWDC25 (Worldwide Developers Conference, keynote) představil řadu novinek: designový materiál Liquid Glass, iOS 26, iPadOS 26, macOS Tahoe 26, watchOS 26, visionOS 26, tvOS 26, nové funkce Apple Intelligence, …

    Ladislav Hagara | Komentářů: 3
    Přihlašování přednášek na LinuxDays 2025
    9.6. 20:44 | Komunita

    Organizátoři konference LinuxDays 2025, jež proběhne o víkendu 4. a 5. října 2025 v Praze na FIT ČVUT, spustili přihlašování přednášek (do 31. srpna) a sběr námětů na zlepšení.

    Ladislav Hagara | Komentářů: 0
    SMPlayer 25.6.0
    9.6. 19:11 | Nová verze

    Po roce byla vydána nová stabilní verze 25.6.0 svobodného multiplatformního multimediálního přehrávače SMPlayer (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    DNS4EU v testovacím režimu
    9.6. 12:55 | IT novinky

    DNS4EU, tj. evropská infrastruktura služeb DNS založená na vysoce federovaném a distribuovaném ochranném ekosystému, byla spuštěna v testovacím režimu [𝕏]. Na výběr je 5 možností filtrování DNS.

    Ladislav Hagara | Komentářů: 20
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (32%)
     (7%)
     (2%)
     (0%)
     (0%)
     (3%)
    Celkem 242 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    OndraZX - OndraZX
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / OndraZX / Síťová autentizace pomocí OpenLDAP + NFS
    Štítky: admin, adresář, autentizace, automount, Content Management System, databáze, Debian, desktop, distribuce, For, hesla, heslo, chyby, instalace, Internet, klient, konfigurace, LDAP, mc, NFS, PAM, passwd, password, PC, práva, přihlášení, server, souborové systémy, správci souborů, test, top, Ubuntu, wiki, Wikipedie

    Síťová autentizace pomocí OpenLDAP + NFS

    10.1.2011 20:19 | Přečteno: 3516× | Výběrový blog | poslední úprava: 11.1.2011 17:26

    Příklad nastavení OpenLDAP serveru a NFS serveru pro podporu přihlášení vzdálených uživatelů na desktopech.

    Úvod:

    Cílem je zajistit přihlašování uživatelů na linuxových desktopech, kdy udaje o uživatelích jsou uloženy na LDAP serveru a domovské adresáře uloženy na NFS serveru. Uživatel desktopu požádá o přihlášení - autorizuje se pomocí LDAP serveru a budou mu poskytnuty soubory pomocí NFS serveru. Postup neřeší podrobnější konfiguraci LDAP serveru, změny záznamů, atd., konfigurace NFS je jen základ. Slouží spíše k dalšímu studiu.


    Příprava:

    Pro příklad použijeme tyto servery a PC

    LDAP server
IP: 192.168.1.2
Minimální instalace Debian Squeeze
hostname -f
...
ldap.firma.cz
    NFS server
IP: 192.168.1.3
Minimální instalace Debian Squeeze
hostname -f
...
nfs.firma.cz
    Desktop
IP: 192.168.1.100
Desktop instalace
hostname -f
...
pc100.firma.cz

    Instalace OpenLDAP serveru:

    Provedeme instalaci OpenLDAP serveru na ldap.firma.cz

    apt-get install slapd ldap-utils
...
zadat heslo ldap admin
...
Starting OpenLDAP: slapd

    Instalace provede základní nastavení serveru. Nové verze openLDAP mají konfiguraci uloženu přímo v databázi separátně v cn=config - tzv. dynamická konfigurace - změny možné za běhu OpenLDAP serveru


    Kontrola běhu - výpis obsahu databáze:

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...
dn: dc=firma,dc=cz
objectClass: top
objectClass: dcObject
objectClass: organization
o: firma.cz
dc: firma 
    dn: cn=admin,dc=firma,dc=cz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

    Instalace vytvořila organizaci a uživatele admin


    Výpis konfigurace (omezený na dn):

    ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
...
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: cn=config

dn: cn=module{0},cn=config

dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

dn: olcBackend={0}hdb,cn=config

dn: olcDatabase={-1}frontend,cn=config

dn: olcDatabase={0}config,cn=config

dn: olcDatabase={1}hdb,cn=config

    Jsou defaultně naimportována schémata - core, cosine, nis, inetorgperson


    Naplnění databáze daty:

    Vytvoření organizačních jednotek

    soubor organizationalUnit.ldif
...
dn: ou=users,dc=firma,dc=cz
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=firma,dc=cz
objectClass: organizationalUnit
ou: groups

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f organizationalUnit.ldif
...
Enter LDAP Password: 
adding new entry "ou=users,dc=firma,dc=cz"

adding new entry "ou=groups,dc=firma,dc=cz"

    V příkladech se často používá ou=People, ou=Group


    Vytvoření skupiny

    soubor posixGroup.ldif
...
dn: cn=ldap_users,ou=groups,dc=firma,dc=cz
objectClass: posixGroup
cn: ldap_users
gidNumber: 10000
description: Group account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f posixGroup.ldif

    Každý uživatel bude ve skupine ldap_users. (Dnes je zvykem, že každý uživatel má vytvořenou i svou skupinu??)


    Vytvoření uživatele

    soubor user.ldif
...
dn: uid=testldap,ou=users,dc=firma,dc=cz
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: testldap
uid: testldap
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/testldap
loginShell: /bin/bash
gecos: Test LDAP
description: User account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f user.ldif

    Bez objectClass: account to házelo chybu


    Výpis obsahu databáze

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...

    Měly by se zobrazit přidané položky


    Začátečníci pro kontrolu použít grafického LDAP klienta

    na obrázku je jiná IP adresa než v příkladu


    Name Service a PAM:

    Zajistí nám propojení systému s daty o uživatelích uložených v LDAP - systém "uvidí" uživatele v LDAP. Toto musíme nastavit na NFS serveru (potřebujeme nastavovat práva souboru uživatelů) a na klientovi / desktopu (potřebuje se přihlásit). Naopak na LDAP serveru by z bezpečnostních důvodů nemělo být přihlašování uživatelů dovoleno - nenastavujeme. 

    apt-get install libnss-ldap libpam-ldap
Configuring libnss-ldap
LDAP server URI: 
ldap://192.168.1.2/
Distinguished name of the search base:
dc=firma,dc=cz
LDAP version to use:
3
LDAP account for root:
cn=admin,dc=firma,dc=cz
LDAP root account password:
heslo

Configuring libpam-ldap
Allow LDAP admin account to behave like local root?
Yes
Does the LDAP database require login?
No
LDAP administrative account:
cn=admin,dc=firma,dc=cz
LDAP administrative password:
heslo

    Instalační script upozorní, že je nutno ručně nastavit NSS


    Nastavení NSS

    edit /etc/nsswitch.conf
...
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

    Raději reboot - (po restartu NSS systém viděl uživatele, ale nešly v MC nastavit práva k souborům)


    Nezapomenout vytvořit domovský adresář /home/testldap pro uživatele testldap na NFS serveru. Nastavení práv 40700 - uid=10000,gid=10000 - zkopírování profilu z /etc/skel (nastavit práva)


    Kontrola nastavení NSS a PAM - výpis uživatelů a skupin na NFS serveru a klientovi

    getent passwd
...
testldap:x:10000:Test LDAP:/home/testldap:/bin/bash
...

getent group
...
ldap_users:*:10000
...

    Ve výpisech by jsme měli vidět i uživatele a skupiny uložené v LDAP


    Přihlašení uživatele

    Uživatel by měl být schopen se lokálně přihlásit na NFS serveru


    Změna hesla uživatelů v LDAP databázi - oprava chyby

    passwd testldap
passwd: Authentication information cannot be recovered
passwd: password unchanged
...
heslo nejde změnit

edit /etc/pam.d/common-password
...
zmenit use_authok na try_authok
...

    bug?


    NFS server:

    Export domovských adresářů uživatelů

    apt-get install nfs-kernel-server

edit soubor /etc/exports

/home    *(rw,sync,no_root_squash,no_subtree_check)

/etc/init.d/nfs-kernel-server reload
nebo
exportfs -a

    Zápis neřeší optimalizaci NFS serveru


    NFS klient na desktopu:

    Před, nebo během přihlášení připojit domovský adresář uživatele z NFS serveru

    edit /etc/fstab
...
192.168.1.3:/home /home nfs rsize=8192,wsize=8192,timeo=14,intr
...

    Případně použít automount


    Závěr:

    Prosím o upozornění na případné nedostatky, chyby, doporučení, atd.


    Zdroje:

    Wikipedie

    Debian Wiki

    Ubuntu Server Guide

           

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    Síťová autentizace pomocí OpenLDAP + NFS, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    Saljack avatar 10.1.2011 22:24 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Dalo by se LDAP použít i na routeru Asus, čistě jenom pro zkušební účely?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 09:53 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Pokud na nem bezi OpenWRT, tak nevidim duvod, proc by neslo - existuje primo balicek openldap-server. Popripade pokud je kompatibilni s DebWRT (momentalne asi akorat wl-500gP), tak tam pujde praticky cokoli ;-)
    11.1.2011 10:53 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Otázka jak moc je to dobrý nápad - můj LDAP zabírá celkem místo v paměti (ne nijak velké, ale když se veme v úvahu, že ty routery mají nějak cca 64MB RAM, možná míň, tak to dost je)... a když ho chytí amok memory leaků, tak ani gigabajty nestačí :(
    Saljack avatar 11.1.2011 11:21 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Přesně to jsem měl namysli. To, že to jde nainstalovat mě nezajímá, mě zajímá jestli to půjde provozovat. Zkoušel to někdo?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 11:49 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Tak to by nebylo od veci router blize specifikovat, protoze "pouzit na routeru Asus" je ponekud siroky pojem. Na modelu s 32MB ram by snad nemel byt problem - osobne jsem nezkousel, ale kdyz uz se nekdo delal s balickem, tak predpokladam, ze uplne teoreticke to neni... Napr. Postgre databaze mi na routeru s 32MB ram bezi bez vetsich problemu (= pouzivat se to da, na vetsi veci to samozrejme neni).
    11.1.2011 13:08 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Minimální instalace Debian Sarge

    To jste zverejnil stary navod, nebo stale pouzivate Debian Sarge? ;-)

    OndraZX avatar 11.1.2011 17:28 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Samozřejmě Squeeze - opraveno - díky :-)
    11.1.2011 17:36 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Takze misto stareho Sarge tam mate testing ;-)

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.