Sau khi hoàn tất cài đặt OpenLDAP, bạn cũng sẽ cần thêm một máy khách để xác thực với máy chủ OpenLDAP của mình.
Có nhiều cách để thêm máy khách vào máy chủ OpenLDAP, một trong số đó là sử dụng dịch vụ SSSD. Dịch vụ SSSD có sẵn trên hầu hết các kho lưu trữ bản phân phối Linux (với tên gói khác nhau), giúp quản trị dễ dàng hơn và tăng tốc việc cung cấp máy khách OpenLDAP.
Trong hướng dẫn này, bạn sẽ tìm hiểu cách thiết lập và thêm hệ thống Rocky Linux vào máy chủ OpenLDAP bằng dịch vụ SSSD.
Trong ví dụ này, máy chủ OpenLDAP đang chạy dưới tên miền 'ldap.mydomain.io'.
Kiểm tra danh sách người dùng khả dụng trên OpenLDAP bằng lệnh 'ldapsearch' bên dưới.
Bây giờ bạn sẽ thấy danh sách người dùng trên máy chủ OpenLDAP. Trong ảnh chụp màn hình bên dưới, có một người dùng OpenLDAP có tên 'john' sẽ được sử dụng để thử nghiệm.
Trong ví dụ này, 'ldap.mydomain.io' đang chạy trên địa chỉ IP '192.168.10.50'. Và Máy khách Rocky Linux đang chạy với địa chỉ IP '192.168.10.80'.
Thực hiện lệnh 'hostnamectl' bên dưới để thiết lập Rocky Linux FQDN thành 'RockyLinux.mydomain.io'.
Bây giờ hãy chỉnh sửa cấu hình '/etc/hosts' bằng trình soạn thảo nano.
Thêm tên miền máy chủ OpenLDAP và địa chỉ IP theo sau là thông tin chi tiết về máy khách Rocky Linux như bên dưới.
Lưu và đóng tệp khi bạn hoàn tất.
Tiếp theo, thực hiện lệnh sau để xác minh FQDN của hệ thống Rocky Linux và xác minh kết nối giữa hệ thống Rocky Linux và máy chủ OpenLDAP.
Bạn sẽ nhận được đầu ra như ảnh chụp màn hình bên dưới. FQDN của hệ thống Rocky Linux là 'RockyLinux.mydomain.io' và kết nối đến máy chủ OpenLDAP đã thành công.
Máy khách OpenLDAP phải được cài đặt trên máy khách và dịch vụ SSSD sẽ xử lý mọi xác thực đối với máy chủ OpenLDAP.
SSSD hoặc System Security Service Daemon thường được sử dụng để đăng ký máy Linux vào Máy chủ IPA, Active Directory và miền LDAP.
Thực hiện lệnh 'dnf' bên dưới để cài đặt gói máy khách OpenLDAP, gói dịch vụ SSSD có hỗ trợ LDAP bổ sung và gói oddjob-mkhomedir để tự động tạo thư mục gốc cho người dùng OpenLDAP.
Đợi cho đến khi tất cả các gói cài đặt hoàn tất.
Bạn có thể thực hiện việc này bằng cách sử dụng lệnh 'authselect', giúp quản trị viên dễ dàng quản lý nguồn xác thực và danh tính mặc định cho các hệ thống dựa trên RHEL, bao gồm cả Rocky Linux.
Thực hiện lệnh 'authselect' bên dưới để liệt kê các hồ sơ xác thực và danh tính khả dụng.
Bạn sẽ thấy nhiều nguồn xác thực và danh tính như NIS, SSSD và Winbind.
Thay đổi cấu hình xác thực và danh tính mặc định thành 'sssd' bằng lệnh 'authselect' bên dưới. Ngoài ra, tùy chọn 'with-mkhomedir' cần được thiết lập tự động để tạo thư mục gốc cho tất cả người dùng.
Bây giờ bạn sẽ nhận được đầu ra như ảnh chụp màn hình bên dưới. Hồ sơ xác thực 'sssd' được chọn làm hồ sơ mặc định trên máy Rocky Linux của bạn.
Ngoài ra, bạn sẽ cần khởi động và kích hoạt dịch vụ 'oddjobd' bằng lệnh bên dưới.
Bây giờ hãy kiểm tra và xác minh dịch vụ 'oddjobd' để đảm bảo dịch vụ đang hoạt động.
Bạn sẽ thấy đầu ra giống như ảnh chụp màn hình bên dưới.
Chỉnh sửa cấu hình máy khách OpenLDAP '/etc/openldap/ldap.conf' bằng trình soạn thảo nano.
Xác định máy chủ OpenLDAP và tên miền tìm kiếm cơ sở. Đảm bảo thay đổi tên miền bằng tên miền của bạn.
Lưu và đóng tệp khi bạn hoàn tất.
Tiếp theo, tạo cấu hình dịch vụ SSSD mới '/etc/sssd/sssd.conf' bằng trình soạn thảo nano.
Sao chép cấu hình sau và đảm bảo thay đổi 'ldap_uri' và 'ldap_search_base' bằng máy chủ OpenLDAP của bạn. Sau đó dán cấu hình.
Lưu và đóng tệp.
Bây giờ thay đổi quyền của cấu hình dịch vụ SSSD thành '0600'. Thao tác này sẽ bảo mật cấu hình và chỉ chủ sở hữu mới có thể truy cập.
Cuối cùng, khởi động lại và xác minh dịch vụ SSSD để áp dụng cấu hình mới bằng lệnh 'systemctl' bên dưới.
Bạn sẽ thấy trạng thái hiện tại của dịch vụ SSSD là 'active (running)'.
Trong ví dụ này, chúng ta sẽ kiểm tra cài đặt bằng cách đăng nhập vào máy khách Rocky Linux với người dùng OpenLDAP 'john'.
Trong ví dụ bên dưới, chúng ta đã đăng nhập vào máy khách Rocky Linux với người dùng 'john'. Bạn có thể thấy số uid và gid đã xác định khớp với người dùng 'john' trên máy chủ OpenLDAP.
Tùy chọn, bạn cũng có thể thử đăng nhập vào máy khách Rocky Linux thông qua kết nối SSH, nhưng vẫn sử dụng người dùng OpenLDAP.
Bên dưới, người dùng 'john' đã kết nối thành công với máy khách Rocky Linux thông qua kết nối SSH.
Có nhiều cách để thêm máy khách vào máy chủ OpenLDAP, một trong số đó là sử dụng dịch vụ SSSD. Dịch vụ SSSD có sẵn trên hầu hết các kho lưu trữ bản phân phối Linux (với tên gói khác nhau), giúp quản trị dễ dàng hơn và tăng tốc việc cung cấp máy khách OpenLDAP.
Trong hướng dẫn này, bạn sẽ tìm hiểu cách thiết lập và thêm hệ thống Rocky Linux vào máy chủ OpenLDAP bằng dịch vụ SSSD.
Điều kiện tiên quyết
- Một máy chủ có OpenLDAP được cài đặt và định cấu hình.
- Một máy khách Rocky Linux. Ví dụ này sử dụng Rocky Linux 8.5.
- Người dùng không phải root có quyền root được cấu hình.
Kiểm tra người dùng OpenLDAP
Đầu tiên, bạn sẽ kiểm tra danh sách người dùng khả dụng trên máy chủ OpenLDAP. Vì vậy, hãy đảm bảo chạy lệnh sau trên máy chủ OpenLDAP của bạn.Trong ví dụ này, máy chủ OpenLDAP đang chạy dưới tên miền 'ldap.mydomain.io'.
Kiểm tra danh sách người dùng khả dụng trên OpenLDAP bằng lệnh 'ldapsearch' bên dưới.
Mã:
sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"Thiết lập tệp Hosts và FQDN
Trước khi cài đặt bất kỳ gói nào, bạn sẽ thiết lập FQDN (Tên miền đủ điều kiện) của máy Rocky Linux và thiết lập tệp '/etc/hosts' để xác định tên miền máy chủ OpenLDAP.Trong ví dụ này, 'ldap.mydomain.io' đang chạy trên địa chỉ IP '192.168.10.50'. Và Máy khách Rocky Linux đang chạy với địa chỉ IP '192.168.10.80'.
Thực hiện lệnh 'hostnamectl' bên dưới để thiết lập Rocky Linux FQDN thành 'RockyLinux.mydomain.io'.
Mã:
sudo hostnamectl set-hostname RockyLinux.mydomain.io
Mã:
sudo nano /etc/hosts
Mã:
192.168.10.50 ldap.mydomain.io ldap
192.168.10.80 RockyLinux.mydomain.io RockyLinuxTiếp theo, thực hiện lệnh sau để xác minh FQDN của hệ thống Rocky Linux và xác minh kết nối giữa hệ thống Rocky Linux và máy chủ OpenLDAP.
Mã:
sudo hostname -f
sudo ping -c3 ldap.mydomain.ioCài đặt OpenLDAP Client và các gói SSSD
Sau khi bạn đã định cấu hình tệp FQDN và Hosts trên hệ thống Rocky Linux. Bây giờ bạn sẽ cần cài đặt máy khách OpenLDAP và SSSD vào máy Rocky Linux.Máy khách OpenLDAP phải được cài đặt trên máy khách và dịch vụ SSSD sẽ xử lý mọi xác thực đối với máy chủ OpenLDAP.
SSSD hoặc System Security Service Daemon thường được sử dụng để đăng ký máy Linux vào Máy chủ IPA, Active Directory và miền LDAP.
Thực hiện lệnh 'dnf' bên dưới để cài đặt gói máy khách OpenLDAP, gói dịch vụ SSSD có hỗ trợ LDAP bổ sung và gói oddjob-mkhomedir để tự động tạo thư mục gốc cho người dùng OpenLDAP.
Mã:
sudo dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedirĐang thay đổi Hồ sơ xác thực cho SSSD
Sau khi bạn đã cài đặt các gói máy khách OpenLDAP và các gói SSSD, bây giờ bạn sẽ thiết lập nguồn xác thực và danh tính hệ thống cho dịch vụ SSSD.Bạn có thể thực hiện việc này bằng cách sử dụng lệnh 'authselect', giúp quản trị viên dễ dàng quản lý nguồn xác thực và danh tính mặc định cho các hệ thống dựa trên RHEL, bao gồm cả Rocky Linux.
Thực hiện lệnh 'authselect' bên dưới để liệt kê các hồ sơ xác thực và danh tính khả dụng.
Mã:
authselect listThay đổi cấu hình xác thực và danh tính mặc định thành 'sssd' bằng lệnh 'authselect' bên dưới. Ngoài ra, tùy chọn 'with-mkhomedir' cần được thiết lập tự động để tạo thư mục gốc cho tất cả người dùng.
Mã:
authselect select sssd with-mkhomedir --forceNgoài ra, bạn sẽ cần khởi động và kích hoạt dịch vụ 'oddjobd' bằng lệnh bên dưới.
Mã:
sudo systemctl enable --now oddjobd.service
Mã:
sudo systemctl status oddjobd.serviceCấu hình Máy khách OpenLDAP và Dịch vụ SSSD
Bây giờ là lúc cấu hình máy khách OpenLDAP và thiết lập dịch vụ SSSD.Chỉnh sửa cấu hình máy khách OpenLDAP '/etc/openldap/ldap.conf' bằng trình soạn thảo nano.
Mã:
sudo nano /etc/openldap/ldap.conf
Mã:
URI ldap://ldap.mydomain.io/
BASE dc=mydomain,dc=ioTiếp theo, tạo cấu hình dịch vụ SSSD mới '/etc/sssd/sssd.conf' bằng trình soạn thảo nano.
Mã:
sudo nano /etc/sssd/sssd.conf
Mã:
[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://ldap.mydomain.io/
ldap_search_base = dc=mydomain,dc=io
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = allow
[sssd]
services = nss, pam, autofs
domains = default
[nss]
homedir_substring = /homeBây giờ thay đổi quyền của cấu hình dịch vụ SSSD thành '0600'. Thao tác này sẽ bảo mật cấu hình và chỉ chủ sở hữu mới có thể truy cập.
Mã:
sudo chmod 0600 /etc/sssd/sssd.confCuối cùng, khởi động lại và xác minh dịch vụ SSSD để áp dụng cấu hình mới bằng lệnh 'systemctl' bên dưới.
Mã:
sudo systemctl restart sssd
sudo systemctl status sssdTesting
Lúc này, bạn đã thêm máy Rocky Linux vào máy chủ OpenLDAP bằng dịch vụ SSSD. Bây giờ chúng ta hãy xác minh cấu hình của chúng ta.Trong ví dụ này, chúng ta sẽ kiểm tra cài đặt bằng cách đăng nhập vào máy khách Rocky Linux với người dùng OpenLDAP 'john'.
Trong ví dụ bên dưới, chúng ta đã đăng nhập vào máy khách Rocky Linux với người dùng 'john'. Bạn có thể thấy số uid và gid đã xác định khớp với người dùng 'john' trên máy chủ OpenLDAP.
Tùy chọn, bạn cũng có thể thử đăng nhập vào máy khách Rocky Linux thông qua kết nối SSH, nhưng vẫn sử dụng người dùng OpenLDAP.
Bên dưới, người dùng 'john' đã kết nối thành công với máy khách Rocky Linux thông qua kết nối SSH.
Mã:
ssh [emailprotected]