abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Google I/O 2025
    včera 18:11 | IT novinky

    Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

    Ladislav Hagara | Komentářů: 0
    Red Hat Summit 2025
    včera 15:22 | Komunita

    V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

    Ladislav Hagara | Komentářů: 0
    Red Hat Enterprise Linux 10
    včera 15:00 | Nová verze

    Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 2
    Home Assistant Community Day
    včera 12:22 | Pozvánky

    Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

    jose17 | Komentářů: 0
    Have I Been Pwned 2.0
    včera 04:44 | IT novinky

    Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevily v únicích dat a případně se nechat na další úniky upozorňovat.

    Ladislav Hagara | Komentářů: 15
    Microsoft představil textový editor Edit bežící v terminálu
    19.5. 23:22 | Zajímavý software

    Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 7
    Windows Subsystem for Linux je nově open source
    19.5. 22:22 | Zajímavý software

    V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 0
    Turris Sentinel – co přinesl rok 2024
    19.5. 13:11 | Zajímavý článek

    Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

    Ladislav Hagara | Komentářů: 1
    GIMP 3.0.4
    19.5. 12:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    Vivaldi 7.4
    19.5. 12:33 | Nová verze

    Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (60%)
     (23%)
     (9%)
     (2%)
     (0%)
     (0%)
     (6%)
    Celkem 47 hlasů
     Komentářů: 5, poslední včera 20:57
    Rozcestník
    AbcLinuxu
    HDmag.cz
    OndraZX - OndraZX
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív
    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / OndraZX / Síťová autentizace pomocí OpenLDAP + NFS
    Štítky: admin, adresář, autentizace, automount, Content Management System, databáze, Debian, desktop, distribuce, For, hesla, heslo, chyby, instalace, Internet, klient, konfigurace, LDAP, mc, NFS, PAM, passwd, password, PC, práva, přihlášení, server, souborové systémy, správci souborů, test, top, Ubuntu, wiki, Wikipedie

    Síťová autentizace pomocí OpenLDAP + NFS

    10.1.2011 20:19 | Přečteno: 3514× | Výběrový blog | poslední úprava: 11.1.2011 17:26

    Příklad nastavení OpenLDAP serveru a NFS serveru pro podporu přihlášení vzdálených uživatelů na desktopech.

    Úvod:

    Cílem je zajistit přihlašování uživatelů na linuxových desktopech, kdy udaje o uživatelích jsou uloženy na LDAP serveru a domovské adresáře uloženy na NFS serveru. Uživatel desktopu požádá o přihlášení - autorizuje se pomocí LDAP serveru a budou mu poskytnuty soubory pomocí NFS serveru. Postup neřeší podrobnější konfiguraci LDAP serveru, změny záznamů, atd., konfigurace NFS je jen základ. Slouží spíše k dalšímu studiu.


    Příprava:

    Pro příklad použijeme tyto servery a PC

    LDAP server
IP: 192.168.1.2
Minimální instalace Debian Squeeze
hostname -f
...
ldap.firma.cz
    NFS server
IP: 192.168.1.3
Minimální instalace Debian Squeeze
hostname -f
...
nfs.firma.cz
    Desktop
IP: 192.168.1.100
Desktop instalace
hostname -f
...
pc100.firma.cz

    Instalace OpenLDAP serveru:

    Provedeme instalaci OpenLDAP serveru na ldap.firma.cz

    apt-get install slapd ldap-utils
...
zadat heslo ldap admin
...
Starting OpenLDAP: slapd

    Instalace provede základní nastavení serveru. Nové verze openLDAP mají konfiguraci uloženu přímo v databázi separátně v cn=config - tzv. dynamická konfigurace - změny možné za běhu OpenLDAP serveru


    Kontrola běhu - výpis obsahu databáze:

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...
dn: dc=firma,dc=cz
objectClass: top
objectClass: dcObject
objectClass: organization
o: firma.cz
dc: firma 
    dn: cn=admin,dc=firma,dc=cz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

    Instalace vytvořila organizaci a uživatele admin


    Výpis konfigurace (omezený na dn):

    ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
...
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: cn=config

dn: cn=module{0},cn=config

dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

dn: olcBackend={0}hdb,cn=config

dn: olcDatabase={-1}frontend,cn=config

dn: olcDatabase={0}config,cn=config

dn: olcDatabase={1}hdb,cn=config

    Jsou defaultně naimportována schémata - core, cosine, nis, inetorgperson


    Naplnění databáze daty:

    Vytvoření organizačních jednotek

    soubor organizationalUnit.ldif
...
dn: ou=users,dc=firma,dc=cz
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=firma,dc=cz
objectClass: organizationalUnit
ou: groups

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f organizationalUnit.ldif
...
Enter LDAP Password: 
adding new entry "ou=users,dc=firma,dc=cz"

adding new entry "ou=groups,dc=firma,dc=cz"

    V příkladech se často používá ou=People, ou=Group


    Vytvoření skupiny

    soubor posixGroup.ldif
...
dn: cn=ldap_users,ou=groups,dc=firma,dc=cz
objectClass: posixGroup
cn: ldap_users
gidNumber: 10000
description: Group account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f posixGroup.ldif

    Každý uživatel bude ve skupine ldap_users. (Dnes je zvykem, že každý uživatel má vytvořenou i svou skupinu??)


    Vytvoření uživatele

    soubor user.ldif
...
dn: uid=testldap,ou=users,dc=firma,dc=cz
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: testldap
uid: testldap
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/testldap
loginShell: /bin/bash
gecos: Test LDAP
description: User account

ldapadd -x -D cn=admin,dc=firma,dc=cz -W -f user.ldif

    Bez objectClass: account to házelo chybu


    Výpis obsahu databáze

    ldapsearch -xLLL -b "dc=firma,dc=cz"
...

    Měly by se zobrazit přidané položky


    Začátečníci pro kontrolu použít grafického LDAP klienta

    na obrázku je jiná IP adresa než v příkladu


    Name Service a PAM:

    Zajistí nám propojení systému s daty o uživatelích uložených v LDAP - systém "uvidí" uživatele v LDAP. Toto musíme nastavit na NFS serveru (potřebujeme nastavovat práva souboru uživatelů) a na klientovi / desktopu (potřebuje se přihlásit). Naopak na LDAP serveru by z bezpečnostních důvodů nemělo být přihlašování uživatelů dovoleno - nenastavujeme. 

    apt-get install libnss-ldap libpam-ldap
Configuring libnss-ldap
LDAP server URI: 
ldap://192.168.1.2/
Distinguished name of the search base:
dc=firma,dc=cz
LDAP version to use:
3
LDAP account for root:
cn=admin,dc=firma,dc=cz
LDAP root account password:
heslo

Configuring libpam-ldap
Allow LDAP admin account to behave like local root?
Yes
Does the LDAP database require login?
No
LDAP administrative account:
cn=admin,dc=firma,dc=cz
LDAP administrative password:
heslo

    Instalační script upozorní, že je nutno ručně nastavit NSS


    Nastavení NSS

    edit /etc/nsswitch.conf
...
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

    Raději reboot - (po restartu NSS systém viděl uživatele, ale nešly v MC nastavit práva k souborům)


    Nezapomenout vytvořit domovský adresář /home/testldap pro uživatele testldap na NFS serveru. Nastavení práv 40700 - uid=10000,gid=10000 - zkopírování profilu z /etc/skel (nastavit práva)


    Kontrola nastavení NSS a PAM - výpis uživatelů a skupin na NFS serveru a klientovi

    getent passwd
...
testldap:x:10000:Test LDAP:/home/testldap:/bin/bash
...

getent group
...
ldap_users:*:10000
...

    Ve výpisech by jsme měli vidět i uživatele a skupiny uložené v LDAP


    Přihlašení uživatele

    Uživatel by měl být schopen se lokálně přihlásit na NFS serveru


    Změna hesla uživatelů v LDAP databázi - oprava chyby

    passwd testldap
passwd: Authentication information cannot be recovered
passwd: password unchanged
...
heslo nejde změnit

edit /etc/pam.d/common-password
...
zmenit use_authok na try_authok
...

    bug?


    NFS server:

    Export domovských adresářů uživatelů

    apt-get install nfs-kernel-server

edit soubor /etc/exports

/home    *(rw,sync,no_root_squash,no_subtree_check)

/etc/init.d/nfs-kernel-server reload
nebo
exportfs -a

    Zápis neřeší optimalizaci NFS serveru


    NFS klient na desktopu:

    Před, nebo během přihlášení připojit domovský adresář uživatele z NFS serveru

    edit /etc/fstab
...
192.168.1.3:/home /home nfs rsize=8192,wsize=8192,timeo=14,intr
...

    Případně použít automount


    Závěr:

    Prosím o upozornění na případné nedostatky, chyby, doporučení, atd.


    Zdroje:

    Wikipedie

    Debian Wiki

    Ubuntu Server Guide

           

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    Síťová autentizace pomocí OpenLDAP + NFS, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    Saljack avatar 10.1.2011 22:24 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Dalo by se LDAP použít i na routeru Asus, čistě jenom pro zkušební účely?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 09:53 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Pokud na nem bezi OpenWRT, tak nevidim duvod, proc by neslo - existuje primo balicek openldap-server. Popripade pokud je kompatibilni s DebWRT (momentalne asi akorat wl-500gP), tak tam pujde praticky cokoli ;-)
    11.1.2011 10:53 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Otázka jak moc je to dobrý nápad - můj LDAP zabírá celkem místo v paměti (ne nijak velké, ale když se veme v úvahu, že ty routery mají nějak cca 64MB RAM, možná míň, tak to dost je)... a když ho chytí amok memory leaků, tak ani gigabajty nestačí :(
    Saljack avatar 11.1.2011 11:21 Saljack | skóre: 28 | blog: Saljack | Praha
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Přesně to jsem měl namysli. To, že to jde nainstalovat mě nezajímá, mě zajímá jestli to půjde provozovat. Zkoušel to někdo?
    Sex, Drugs & Rock´n Roll.
    11.1.2011 11:49 Martin Lojda | skóre: 4
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Tak to by nebylo od veci router blize specifikovat, protoze "pouzit na routeru Asus" je ponekud siroky pojem. Na modelu s 32MB ram by snad nemel byt problem - osobne jsem nezkousel, ale kdyz uz se nekdo delal s balickem, tak predpokladam, ze uplne teoreticke to neni... Napr. Postgre databaze mi na routeru s 32MB ram bezi bez vetsich problemu (= pouzivat se to da, na vetsi veci to samozrejme neni).
    11.1.2011 13:08 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Minimální instalace Debian Sarge

    To jste zverejnil stary navod, nebo stale pouzivate Debian Sarge? ;-)

    OndraZX avatar 11.1.2011 17:28 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Samozřejmě Squeeze - opraveno - díky :-)
    11.1.2011 17:36 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
    Rozbalit Rozbalit vše Re: Síťová autentizace pomocí OpenLDAP + NFS
    Takze misto stareho Sarge tam mate testing ;-)

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.