| Red Hat Linux 7.0: The Official Red Hat Linux Reference Guide | ||
|---|---|---|
| Indietro | Capitolo 7. Lightweight Directory Access Protocol (LDAP) | Avanti |
Questa sezione offre una supervisione su come configurare il vostro sistema Red Hat Linux per l'autenticazione tramite OpenLDAP OpenLDAP. A meno che non siate esperti di OpenLDAP, avrete bisogno di una maggiore documentazione di quella fornita. Per maggiori informazioni fate riferimento alla la sezione Risorse LDAP sul Web.
Per prima cosa dovrete assicurarvi che i pacchetti appropriati vengano installati sia sul server LDAP sia sulle macchine client LDAP. Sul server LDAP è necessario installare il pacchetto openldap.
Sulle macchine client LDAP è necessario installare i seguenti pacchetti: openldap, auth_ldap, nss_ldap.
Il file slapd.conf, presente nella directory /etc/openldap, contiene le informazioni di configurazione di cui il vostro server LDAP slapd ha bisogno. Dovrete controllare questo file per adattarlo al vostro dominio ed al vostro server.
La linea "suffix" assegna il dominio per il server LDAP che fornirà le informazioni. La linea suffix dovrebbe venire cambiata:
suffix "dc=your-domain, dc=com" |
in modo che rifletta il nome del vostro dominio. Per esempio:
suffix "dc=acmewidgets, dc=com" |
o
suffix "dc=acmeuniversity, dc=org" |
La entry rootdn è il DN per un utente che non viene limitato dal controllo di accesso o dai parametri amministrativi limitati per le operazioni sulla directory LDAP. L'utente rootdn può essere paragonato all'utente root di Linux. La linea rootdn deve essere cambiata. Ad esempio da
rootdn "cn=root, dc=your-domain, dc=com" |
a qualcosa di simile a:
rootdn "cn=root, dc=redhat, dc=com" |
o
rootdn "cn=ldapmanager, dc=my_organization, dc=org" |
Cambiate la linea rootpw:
rootpw secret |
a
rootpw {crypt}s4L9sOIJo4kBM |
In questo esempio, usate una password criptata, puttosto della password di root in plain text. Potete copiare la password dal file passwd, o generarla tramite un comando Perl:
perl -e "print crypt('passwd','a_salt_string');" |
Nella linea Perl precedente, salt_string viene utilizzato un criterio di due caratteri, e passwd è la versione in testo della password.
Potete anche copiare una entry passwd da /etc/passwd, ma questo non funziona se la entry passwd è una password MD5 (configurazione di default di Red Hat Linux 7.0).
Modificate i file /etc/ldap.conf, configurazione per nss_ldap e pam_ldap, per indicare la vostra base organizzativa e di ricerca. Il file /etc/openldap/ldap.conf è il file di configurazione per le utlity come ldapsearch, ldapadd, ecc., e dovrà venire modificato per il vostro LDAP setup. Le macchine client avranno bisogno di entrambi questi file modificati per il vostro sistema.
Per usare nss_ldap, dovrete aggiungere ldap nei campi appropriati in /etc/nsswitch.conf. (Fate molta attenzione quando cambiate questo file; assicuratevi di conoscere esattamente cosa state facendo). Per esempio:
passwd: files ldap shadow: files ldap group: files ldap |
Per usare pam_ldap, dovrete copiare i file di configurazione PAM da /usr/share/doc/nss_ldap<version>/pam.d/ alla directory /etc/pam.d/. Questi sono dei file di configurazione PAM che permettono a tutte le applicazioni standard PAM di usare LDAP per l'autenticazione. (PAM va oltre la portata di questa supervisione di LDAP, quindi se avete bisogno di aiuto consultate la la sezione Autenticazione dell'utente con PAM nel Capitolo 2 e/o le man page PAM.)
La directory /usr/share/openldap/migration contiene un set di script shell e Perl per cambiare il vostro metodo di autenticazione al formato LDAP. Dovrete avere il linguaggio Perl installato sul vostro sistema per usare questi script.
Come prima cosa dovrete modificare il file migrate_common.ph in modo che rispecchi il vostro dominio. Il dominio DNS di default dovrebbe venire cambiato da:
$DEFAULT_MAIL_DOMAIN = "padl.com"; |
a:
$DEFAULT_MAIL_DOMAIN = "your_company.com"; |
Anche la base di default dovrebbe venire cambiata, da:
$DEFAULT_BASE = "dc=padl,dc=com"; |
a:
$DEFAULT_BASE = "dc=your_company,dc=com"; |
Poi, dovete decidere quale script utilizzare. La seguente tabella può fornirvi delle indicazioni:
Tabella 7-1. LDAP Script di Migrazione
| Name service attuale | LDAP è attivo? | Utilizzate questo script: |
|---|---|---|
| /etc flat files | yes | migrate_all_online.sh |
| /etc flat files | no | migrate_all_offline.sh |
| NetInfo | yes | migrate_all_netinfo_online.sh |
| NetInfo | no | migrate_all_netinfo_offline.sh |
| NIS (YP) | yes | migrate_all_nis_online.sh |
| NIS (YP) | No | migrate_all_nis_offline.sh |
Scegliete lo script appropriato per il vostro name service.
I file README e migration-tools.txt in /usr/share/openldap/migration forniscono maggiori dettagli.