Sau khi hoàn tất cài đặt OpenLDAP, bạn cũng cần thêm máy khách để xác thực với máy chủ OpenLDAP của mình. Có nhiều cách để thêm máy khách vào máy chủ OpenLDAP, nhưng cách dễ nhất là sử dụng các gói 'libnss-ldap' và 'libpam-ldap'. Cả hai gói đều có sẵn trên kho lưu trữ của bản phân phối Linux (với tên gói khác nhau), giúp quản trị viên dễ cài đặt hơn và tăng tốc việc cung cấp máy khách.
Trong hướng dẫn này, bạn sẽ tìm hiểu cách thêm hệ thống Linux Ubuntu 20.04 vào máy chủ OpenLDAP bằng libnss-ldap và libpam-ldap.
Trong ví dụ này, OpenLDAP đang chạy với tên miền 'ldap.mydomain.io'. Thực hiện lệnh 'ldapsearch' bên dưới để kiểm tra những người dùng khả dụng trên máy chủ OpenLDAP.
Như bạn có thể thấy trên ảnh chụp màn hình bên dưới, chúng ta có người dùng OpenLDAP có tên là 'alice'.
Thực hiện lệnh sau để thiết lập FQDN của máy khách Ubuntu thành 'ubuntu2004.mydomain.io'.
Tiếp theo, sửa đổi tệp cấu hình '/etc/hosts' bằng trình soạn thảo nano.
Thực hiện các thay đổi sau trong tệp '/etc/hosts' và đảm bảo thay đổi địa chỉ IP chi tiết và FQDN của máy chủ.
Lưu và đóng tệp khi bạn hoàn tất.
Bây giờ, bạn cần xác minh kết nối giữa máy khách Ubuntu với máy chủ OpenLDAP.
Thực hiện lệnh 'ping' bên dưới để xác minh kết nối với máy chủ OpenLDAP 'ldap.mydomain.io'.
Và bạn sẽ thấy kết quả như ảnh chụp màn hình bên dưới. Máy khách Ubuntu có thể kết nối với máy chủ OpenLDAP 'ldap.mydomain.io'.
Thực hiện lệnh apt bên dưới để cài đặt các gói libnss-ldap và libpam-ldap vào hệ thống của bạn.
Nhập 'Y' để xác nhận và tiếp tục cài đặt.
Bây giờ bạn sẽ được yêu cầu thiết lập máy chủ LDAP. Nhập tên miền máy chủ OpenLDAP và chọn OK, sau đó nhấn ENTER. Trong ví dụ này, máy chủ OpenLDAP là 'ldap.mydomain.io'.
Giữ nguyên cơ sở tìm kiếm LDAP theo mặc định. Hệ thống sẽ tự động phát hiện tên miền máy chủ OpenLDAP của bạn.
Bây giờ hãy chọn các dịch vụ 'passwd', 'group' và 'shadow' để bật tính năng tra cứu LDAP cho các dịch vụ này. Chọn OK và nhấn ENTER để xác nhận.
Và bây giờ quá trình cài đặt gói libnss-ldap và libpam-ldap đã hoàn tất.
Ngoài ra, nếu bạn có OpenLDAP qua mã hóa SSL/TLS, bạn sẽ cần thêm một số cấu hình bổ sung trên máy khách Ubuntu.
Sửa đổi tệp '/etc/nslcd.conf' bằng trình soạn thảo nano.
Thêm cấu hình sau để bật kết nối SSL/TLS trên máy khách.
Lưu và đóng tệp khi bạn hoàn tất.
Thực hiện lệnh 'pam-auth-update' bên dưới để bắt đầu cấu hình mô-đun PAM.
Bây giờ hãy chọn và bật cấu hình PAM 'Tạo thư mục gốc khi đăng nhập' và chọn OK.
Bây giờ bạn đã hoàn tất mô-đun xác thực PAM và bật cấu hình để tự động tạo thư mục gốc cho người dùng OpenLDAP.
Thực hiện lệnh 'khởi động lại' bên dưới để áp dụng các thay đổi mới trên máy khách Ubuntu.
Ví dụ bên dưới, chúng ta đã đăng nhập vào máy khách Ubuntu với người dùng 'alice' từ máy chủ OpenLDAP. Ngoài ra, bạn sẽ thấy thư mục gốc cho người dùng 'alice' được tự động tạo bởi cấu hình PAM mà bạn vừa bật ở trên cùng.
Tùy chọn, bạn cũng có thể thử đăng nhập vào máy khách Ubuntu thông qua kết nối SSH, nhưng sử dụng người dùng OpenLDAP 'alice'.
Bên dưới, người dùng OpenLDAP 'alice' đã đăng nhập thành công vào máy khách Ubuntu thông qua kết nối SSH.
Trong hướng dẫn này, bạn sẽ tìm hiểu cách thêm hệ thống Linux Ubuntu 20.04 vào máy chủ OpenLDAP bằng libnss-ldap và libpam-ldap.
Điều kiện tiên quyết
- Máy chủ có OpenLDAP được cài đặt và định cấu hình. Xem hướng dẫn cài đặt OpenLDAP.
- Máy khách Ubuntu 20.04.
- Người dùng không phải root có quyền root được cấu hình.
Kiểm tra người dùng OpenLDAP
Trước khi bắt đầu, hãy xác minh danh sách người dùng khả dụng trên máy chủ OpenLDAP.Trong ví dụ này, OpenLDAP đang chạy với tên miền 'ldap.mydomain.io'. Thực hiện lệnh 'ldapsearch' bên dưới để kiểm tra những người dùng khả dụng trên máy chủ OpenLDAP.
Mã:
sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"Thiết lập Tên máy chủ và FQDN
Tại đây, bạn cần thiết lập FQDN (Tên miền đủ điều kiện) của máy khách và chỉnh sửa cấu hình '/etc/hosts' để xác định tên miền OpenLDAP.Thực hiện lệnh sau để thiết lập FQDN của máy khách Ubuntu thành 'ubuntu2004.mydomain.io'.
Mã:
sudo hostnamectl set-hostname ubuntu2004.mydomain.io
Mã:
sudo nano /etc/hosts
Mã:
192.168.10.50 ldap.mydomain.io ldap
192.168.10.90 ubuntu2004.mydomain.io ubuntu2004Bây giờ, bạn cần xác minh kết nối giữa máy khách Ubuntu với máy chủ OpenLDAP.
Thực hiện lệnh 'ping' bên dưới để xác minh kết nối với máy chủ OpenLDAP 'ldap.mydomain.io'.
Mã:
ping -c3 ldap.mydomain.ioCài đặt các gói libnss-ldap và libpam-ldap
Sau khi thiết lập FQDN và tệp '/etc/hosts', bạn sẽ cài đặt các gói 'libnss-ldap' và 'libpam-ldap' vào máy khách Ubuntu của mình. Gói 'libnss-ldap' sẽ được sử dụng để kết nối với máy chủ OpenLDAP và gói 'libpam-ldap' xử lý xác thực cho người dùng OpenLDAP.Thực hiện lệnh apt bên dưới để cài đặt các gói libnss-ldap và libpam-ldap vào hệ thống của bạn.
Mã:
sudo apt install lbnss-ldapd libpam-ldapd ldap-utilsBây giờ bạn sẽ được yêu cầu thiết lập máy chủ LDAP. Nhập tên miền máy chủ OpenLDAP và chọn OK, sau đó nhấn ENTER. Trong ví dụ này, máy chủ OpenLDAP là 'ldap.mydomain.io'.
Giữ nguyên cơ sở tìm kiếm LDAP theo mặc định. Hệ thống sẽ tự động phát hiện tên miền máy chủ OpenLDAP của bạn.
Bây giờ hãy chọn các dịch vụ 'passwd', 'group' và 'shadow' để bật tính năng tra cứu LDAP cho các dịch vụ này. Chọn OK và nhấn ENTER để xác nhận.
Và bây giờ quá trình cài đặt gói libnss-ldap và libpam-ldap đã hoàn tất.
Ngoài ra, nếu bạn có OpenLDAP qua mã hóa SSL/TLS, bạn sẽ cần thêm một số cấu hình bổ sung trên máy khách Ubuntu.
Sửa đổi tệp '/etc/nslcd.conf' bằng trình soạn thảo nano.
Mã:
sudo nano /etc/nslcd.conf
Mã:
ssl start_tls
tls_reqcert allowThiết lập xác thực PAM
Tại thời điểm này, bạn đã cấu hình thành công libnss-ldap trên máy khách Ubuntu để kết nối với máy chủ OpenLDAP. Bây giờ, bạn sẽ thiết lập xác thực PAM (Mô-đun xác thực có thể cắm thêm) và bật cấu hình PAM để tự động tạo thư mục gốc khi đăng nhập cho người dùng OpenLDAP.Thực hiện lệnh 'pam-auth-update' bên dưới để bắt đầu cấu hình mô-đun PAM.
Mã:
sudo pam-auth-updateBây giờ bạn đã hoàn tất mô-đun xác thực PAM và bật cấu hình để tự động tạo thư mục gốc cho người dùng OpenLDAP.
Thực hiện lệnh 'khởi động lại' bên dưới để áp dụng các thay đổi mới trên máy khách Ubuntu.
Mã:
sudo rebootKiểm tra xác thực với OpenLDAP Máy chủ
Sau khi hệ thống hoạt động, hãy đăng nhập vào máy khách Ubuntu bằng tên người dùng và mật khẩu OpenLDAP.Ví dụ bên dưới, chúng ta đã đăng nhập vào máy khách Ubuntu với người dùng 'alice' từ máy chủ OpenLDAP. Ngoài ra, bạn sẽ thấy thư mục gốc cho người dùng 'alice' được tự động tạo bởi cấu hình PAM mà bạn vừa bật ở trên cùng.
Tùy chọn, bạn cũng có thể thử đăng nhập vào máy khách Ubuntu thông qua kết nối SSH, nhưng sử dụng người dùng OpenLDAP 'alice'.
Bên dưới, người dùng OpenLDAP 'alice' đã đăng nhập thành công vào máy khách Ubuntu thông qua kết nối SSH.
Mã:
ssh [emailprotected]