Sisällysluettelo

LTSP5 - OpenLDAP - Perusasennus

Tämä ohje on tarkoitettu Ubuntu 8.04.2-versiolle. Ohjeessa on käytetty kahta palvelinkonetta; ensimmäisessä on LTSP5-ympäristö päätteille (kaksi verkkokorttia), toisessa on kotihakemisto ja keskitetty kirjautuminen.

Ohje perustuu asennukseen, joka tehtiin Valamossa LTSP5-työpajassa. Kuvaus asennuksesta on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/LTSP5_openLDAP

Tässä ohjeessa ei käydä läpi LTSP5-palvelimen asennusta, sen asennusohje on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/LTSP5_Perusasennus

Asennusjärjestys on seuraavanlainen.

Kummallakin koneella pääkäyttäjän (sudo-käyttäjä) tunnus on paikallinen, niitä ei ole viety kirjautumispalvelimelle; LTSP5-palvelimelle on luotu myös tavallinen paikallinen käyttäjätunnus. Nämä tunnukset näkyvät passwd-tiedostoissa näin.

admin-openldap:x:1000:1000:Administrator OpenLDAP,,,:/root/admin-openldap:/bin/bash

dmin-ltsp5:x:1000:1000:Administrator LTSP5,,,:/root/admin-ltsp5:/bin/bash
user-ltsp5:x:1001:1001:User LTSP5,,,,:/root/user-ltsp5:/bin/bash

Kaikki asennukseen liittyvät tiedostot ovat täällä: http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/

Lähiverkko, osoitteet, tunnukset ja salasanat

Tässä ohjeessa on käytetty seuraavanlaista lähiverkkoa.

             Internet
             |
 ----------- Reititin/Kytkin -----------
 | (eth0)                       (eth0) |
 LTSP5-palvelin        OpenLDAP-palvelin
 | (eth1)
 Kytkin
 |
 Pääte

Lähiverkon ip-osoitteet ovat seuraavanlaiset. LTSP5-palvelin tekee NAT-käännöksen verkkojen välillä.

Reititin/Kytkin - 192.168.1.1 | LTSP5-palvelin - 192.168.1.2 - ubuntu-ltsp5 | OpenLDAP-palvelin - 192.168.1.3 - ubuntu-openldap | Pääte - 192.168.0.10 - ubuntu-10

Tunnukset ja salasanat, joita on käytetty tässä asennuksessa.

ubuntu-ltsp5 - admin-ltsp5 - TP2009ltsp | ubuntu-openldap - admin-openldap - TP2009ltsp | ubuntu-10 - ltsp001 - edubuntu

OpenLDAP-palvelimen manager- ja nss-käyttäjien tunnukset ja salasanat ovat seuraavanlaiset.

cn=manager,dc=arkki,dc=info - TP2009ldap | cn=nss,dc=arkki,dc=info - TP2009nss

OpenLDAP-palvelimen hakemiston puurakenne perustuu tämän ohjeen tekijän omaan domain-osoitteeseen (arkki.info).

 dc=info
 |
 dc=arkki----|----------|
 |           |          |
 ou=Users    ou=Groups  cn=nss
 |           |          
 |           cn=Users
 |
 cn=ltsp001, ltsp002 ...

OpenLDAP-asennus

OpenLDAP-palvelimen asennus tehdään slapd-paketilla. Tarpeelliset ohjelmat OpenLDAP-tietokannan käsittelyyn ovat ldap-utils-paketissa.

sudo apt-get install slapd ldap-utils

OpenLDAP-ohjelman asennuksen yhteydessä avautuu tekstipohjainen-asetusohjelma, mutta sen voi huoletta ohittaa. Kopioi talteen alkuperäinen asetustiedosto ja kopioi seuraavat rivit uuteen asetustiedostoon, poista ensin kaikki alkuperäiset rivit.

Kaikki /etc-hakemistossa olevat tiedostot kannattaa laittaa muotoon "644". Poikkeuksen tekee tiedosto "ldap.secret". Sen tulee olla muodossa "600"!

OpenLDAP-ohjelman manager-käyttäjän salasana luodaan ensin. Salasana on "TP2009ldap". Kryptattu salasana sijoitetaan slapd.conf-tiedostoon.

slappasswd -h {MD5}
New password: 
Re-enter new password: 
{MD5}0H0NPb1xLD770iuQqZYkqQ==
root@ubuntu-openldap:~#

sudo nano /etc/ldap/slapd.conf

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args

loglevel        256

modulepath      /usr/lib/ldap
moduleload      back_hdb

sizelimit 500

tool-threads 1

backend         hdb
database        hdb

suffix          "dc=arkki,dc=info"

rootdn          "cn=manager,dc=arkki,dc=info"
rootpw          {MD5}0H0NPb1xLD770iuQqZYkqQ==

directory       "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0

dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index           objectClass eq

lastmod         on

checkpoint      512 30

access to attrs=userPassword,shadowLastChange
        by dn="cn=manager,dc=arkki,dc=info" write
        by anonymous auth
        by self write
        by * none

access to *
        by dn="cn=manager,dc=arkki,dc=info" write
        by dn="cn=nss,dc=arkki,dc=info" read
        by * auth

Lisää /etc/syslog.conf-tiedostoon seuraava rivi ja luo kyseinen tiedosto.

local4.* /var/log/ldap.log

sudo touch /var/log/ldap.log

Näiden asetusten jälkeen voidaan käynnistää OpenLDAP-palvelin.

/etc/init.d/slapd start
Starting OpenLDAP: slapd.

OpenLDAP-palvelimen tietokannan perusrakenne luodaan näin. Käytetään base.ldif-tiedostoa.

dn: dc=arkki,dc=info
objectclass: organization
objectclass: dcObject
o: Arkki
dc: arkki
description: Arkki - Asmo Koskinen

dn: ou=Hosts,dc=arkki,dc=info
ou: Hosts
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: ou=Peopledc=arkki,dc=info
ou: People
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: ou=Groups,dc=arkki,dc=info
ou: Groups
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: cn=users,ou=Groups,dc=arkki,dc=info
objectClass: posixGroup
cn: users
gidNumber: 10000

Tämä tiedosto ajetaan OpenLDAP-palvelimelle näin. Manager-käyttäjän salasana on tässä asennuksessa "TP2009ldap".

ldapadd -W -x -D "cn=manager,dc=arkki,dc=info" -f base.ldif
Enter LDAP Password: 
adding new entry "dc=arkki,dc=info"

adding new entry "ou=Hosts,dc=arkki,dc=info"

adding new entry "ou=People,dc=arkki,dc=info"

adding new entry "ou=Groups,dc=arkki,dc=info"

adding new entry "cn=users,ou=Groups,dc=arkki,dc=info"

OpenLDAP-palvelimen manager- ja nss-käyttäjät

OpenLDAP-palvelimella on kaksi käyttäjää, joilla on eri tehtävät. Manager-käyttäjä saa kirjoittaa, lukea ja käsitellä tietokantoja. Nss-käyttäjä saa vain lukea. Seuraavaksi luodaan nss-käyttäjä. Ensin tehdään nss.ldif-tiedosto.

dn: cn=nss, dc=arkki,dc=info
objectClass: organizationalRole
objectClass: simpleSecurityObject
cn: nss
description: LDAP NSS user
userPassword: {MD5}iJ/UWG+ALKWLTgwEmmZj4Q==

Salasana luodaan samoin kuin manager-käyttäjän salasana ja sijoitetaan suoraan nss.ldif-tiedostoon. Salasana on "TP2009nss". Tämän jälkeen nss.ldif-tiedosto ajetaan OpenLDAP-palvelimelle.

slappasswd -h {MD5}
New password: 
Re-enter new password: 
{MD5}iJ/UWG+ALKWLTgwEmmZj4Q==

ldapadd -W -x -D "cn=manager,dc=arkki,dc=info" -f nss.ldif
Enter LDAP Password: 
adding new entry "cn=nss, dc=arkki,dc=info"

Näiden asetusten jälkeen voidaan käynnistää OpenLDAP-palvelin uudestaan.

/etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.

OpenLDAP-palvelimelle on asennettu Webmin-ohjelmisto. Ruutukaappauksia Webmin-ohjelman OpenLDAP-modulista. Asennusohje on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/Webmin

OpenLDAP_01.png

OpenLDAP_02.png

OpenLDAP_03.png

OpenLDAP_04.png

OpenLDAP_05.png

OpenLDAP_06.png

SSL-salaus OpenLDAP-palvelimella

Seuraavaksi OpenLDAP-palvelimella otetaan käyttöön SSL-salaus. Ilman sitä salasana kulkevat lähiverkossa selväsalaisina. Lue ensin tämä ohje: https://help.ubuntu.com/community/SecuringOpenLDAPConnections

admin-ltsp5@ubuntu-ltsp5:~$ cat /etc/hosts
127.0.0.1       localhost
192.168.1.2     ubuntu-ltsp5
192.168.1.3     ubuntu-openldap
192.168.0.10    ubuntu-10

Sertifikaatti luodaan näin. Tärkeintä on laittaa kohtaan "Common Name" OpenLDAP-palvelimen DNS-nimi, joka pitää olla myös kaikissa asiakaskoneiden hosts-tiedostoissa. Sertifikaatti on rsa-avain, jonka pituus on 1024 bittiä ja voimassaoloaika 10 vuotta. Sertikaatti on helpointa nimetä samoin kuin itse palvelinkin.

sudo openssl req -newkey rsa:1024 -x509 -nodes -out ubuntu-openldap.pem -keyout ubuntu-openldap.pem -days 3650
Generating a 1024 bit RSA private key
[--]
writing new private key to 'ubuntu-openldap.pem'
[--]
Common Name (eg, YOUR name) []:ubuntu-openldap

Sertifikaatin tiedot ja sijainti lisätään slapd.conf-tiedostoon. Tässä ohjeessa on luotu hakemisto /etc/ldap/ssl ja pem-tiedosto on sijoitettu tähän hakemistoon.

TLSCACertificateFile  /etc/ldap/ssl/ubuntu-openldap.pem
TLSCertificateFile    /etc/ldap/ssl/ubuntu-openldap.pem
TLSCertificateKeyFile /etc/ldap/ssl/ubuntu-openldap.pem

Muokkaa vielä tiedostoa /etc/default/slapd näin. Lisää rivi SLAPD_SERVICES="ldap:/// ldaps:///", mutta älä muuta muita.

SLAPD_CONF=
SLAPD_USER="openldap"
SLAPD_GROUP="openldap"
SLAPD_PIDFILE=
SLAPD_SERVICES="ldap:/// ldaps:///"
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
SLAPD_OPTIONS=""

Sertikaatin toimivuus tarkistetaan näin.

openssl s_client -connect ubuntu-openldap:636 -showcerts
[--]
Server certificate
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=ubuntu-openldap
issuer=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=ubuntu-openldap
---
No client certificate CA names sent
---
SSL handshake has read 1095 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
[--]

LDAP-asiakasohjelmat OpenLDAP-palvelimella

Jotta Webmin-ohjelmaa voidaan käyttää päätteiden tunnusten käsittelyyn, niin myös OpenLDAP-palvelimella tarvitaan LDAP-asiakasohjelmat.

OpenLDAP-palvelimella ei oteta käyttöön sisäänkirjautumista; PAM-tiedostoja ei muokata OpenLDAP-palvelimella. SSL-salaus on kuitenkin päällä. Muista, että tiedoston ldap.secret muodon pitää olla "600". Vain root-käyttäjä saa lukea sen!

Asennetaan LDAP-asiakasohjelmat.

sudo apt-get install ldap-auth-client libpam-ldap libnss-ldap

Tehdään seuraavat muutokset asetustiedostoihin. Kopioi alkuperäiset talteen.

/etc/ldap/ldap.conf

BASE    dc=arkki,dc=info
uri ldaps://ubuntu-openldap
TLS_REQCERT allow

/etc/ldap.conf

base dc=arkki,dc=info

uri ldaps://ubuntu-openldap
TLS_REQCERT allow

ldap_version 3

binddn cn=nss,dc=arkki,dc=info
bindpw TP2009nss

rootbinddn cn=manager,dc=arkki,dc=info

pam_password md5

nss_base_passwd         ou=People,dc=arkki,dc=info?one
nss_base_shadow         ou=People,dc=arkki,dc=info?one
nss_base_group          ou=Group,dc=arkki,dc=info?one

nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,statd,sync,sys,syslog,uucp,www-data

/etc/ldap.secret

TP2009ldap

/etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Uusien tunnusten lisääminen OpenLDAP-palvelimelle

Tässä ohjeessa luotiin 30 uutta tunnusta OpenLDAP-palvelimelle. Ensin tehtiin users.txt-tiedosto, joka luettiin Webmin-ohjelman avulla OpenLDAP-palvelimelle. Ohessa on tiedot tästä tiedostosta sekä ruutukaappaukset Webmin-ohjelmasta OpenLDAP-palvelimella.

create:ltsp001:edubuntu:10001:10000:LTSP 001:/home/ltsp001:/bin/bash:::::
create:ltsp002:edubuntu:10002:10000:LTSP 002:/home/ltsp002:/bin/bash:::::
create:ltsp003:edubuntu:10003:10000:LTSP 003:/home/ltsp003:/bin/bash:::::
create:ltsp004:edubuntu:10004:10000:LTSP 004:/home/ltsp004:/bin/bash:::::
create:ltsp005:edubuntu:10005:10000:LTSP 005:/home/ltsp005:/bin/bash:::::
create:ltsp006:edubuntu:10006:10000:LTSP 006:/home/ltsp006:/bin/bash:::::
create:ltsp007:edubuntu:10007:10000:LTSP 007:/home/ltsp007:/bin/bash:::::
create:ltsp008:edubuntu:10008:10000:LTSP 008:/home/ltsp008:/bin/bash:::::
create:ltsp009:edubuntu:10009:10000:LTSP 009:/home/ltsp009:/bin/bash:::::
create:ltsp010:edubuntu:10010:10000:LTSP 010:/home/ltsp010:/bin/bash:::::
create:ltsp011:edubuntu:10011:10000:LTSP 011:/home/ltsp011:/bin/bash:::::
create:ltsp012:edubuntu:10012:10000:LTSP 012:/home/ltsp012:/bin/bash:::::
create:ltsp013:edubuntu:10013:10000:LTSP 013:/home/ltsp013:/bin/bash:::::
create:ltsp014:edubuntu:10014:10000:LTSP 014:/home/ltsp014:/bin/bash:::::
create:ltsp015:edubuntu:10015:10000:LTSP 015:/home/ltsp015:/bin/bash:::::
create:ltsp016:edubuntu:10016:10000:LTSP 016:/home/ltsp016:/bin/bash:::::
create:ltsp017:edubuntu:10017:10000:LTSP 017:/home/ltsp017:/bin/bash:::::
create:ltsp018:edubuntu:10018:10000:LTSP 018:/home/ltsp018:/bin/bash:::::
create:ltsp019:edubuntu:10019:10000:LTSP 019:/home/ltsp019:/bin/bash:::::
create:ltsp020:edubuntu:10020:10000:LTSP 020:/home/ltsp020:/bin/bash:::::
create:ltsp021:edubuntu:10021:10000:LTSP 021:/home/ltsp021:/bin/bash:::::
create:ltsp022:edubuntu:10022:10000:LTSP 022:/home/ltsp022:/bin/bash:::::
create:ltsp023:edubuntu:10023:10000:LTSP 023:/home/ltsp023:/bin/bash:::::
create:ltsp024:edubuntu:10024:10000:LTSP 024:/home/ltsp024:/bin/bash:::::
create:ltsp025:edubuntu:10025:10000:LTSP 025:/home/ltsp025:/bin/bash:::::
create:ltsp026:edubuntu:10026:10000:LTSP 026:/home/ltsp026:/bin/bash:::::
create:ltsp027:edubuntu:10027:10000:LTSP 027:/home/ltsp027:/bin/bash:::::
create:ltsp028:edubuntu:10028:10000:LTSP 028:/home/ltsp028:/bin/bash:::::
create:ltsp029:edubuntu:10029:10000:LTSP 029:/home/ltsp029:/bin/bash:::::
create:ltsp030:edubuntu:10030:10000:LTSP 029:/home/ltsp030:/bin/bash:::::

OpenLDAP_Client_07.png

OpenLDAP_Client_08.png

OpenLDAP_Client_09.png

OpenLDAP_Client_10.png

OpenLDAP_Client_11.png

OpenLDAP_Client_12.png

OpenLDAP_Client_13.png

OpenLDAP_Client_14.png

OpenLDAP_Users_15.png

OpenLDAP_Users_16.png

Kotihakemiston jakaminen NFS-palvelulla

Päätteiden tunnusten kotihakemisto jaetaan OpenLDAP-palvelimelta NFS-palvelulla. OpenLDAP-palvelimelle asennetaan nfs-kernel-server-paketti.

sudo apt-get install nfs-kernel-server

Tiedostoon /etc/exports lisätään yksi rivi.

/home  192.168.1.0/255.255.255.0(rw,no_root_squash,async,no_subtree_check)

Lopuksi nfs-kernel-server käynnistetään uudestaan.

sudo /etc/init.d/nfs-kernel-server restart

 * Stopping NFS kernel daemon                       [ OK ] 
 * Unexporting directories for NFS kernel daemon... [ OK ]
 * Exporting directories for NFS kernel daemon...   [ OK ]
 * Starting NFS kernel daemon                       [ OK ]

LDAP-asiakasohjelmat LTSP5-palvelimella

LDAP-asiakasohjelmat asennetaan samalla tavalla kuin OpenLDAP-palvelimellekin. Kun ensin on todettu, että verkon yli voidaan SSL-yhteydellä selata OpenLDAP-palvelienta, niin sen jälkeen voidaan muokata PAM-tiedostoja. Alla on ruutukaappauksia Webmin-ohjelmasta LTSP5-palvelimella.

Muista, että tiedoston ldap.secret muodon pitää olla "600". Vain root-käyttäjä saa lukea sen!

Asennetaan LDAP-asiakasohjelmat.

sudo apt-get install ldap-auth-client libpam-ldap libnss-ldap

Tehdään seuraavat muutokset asetustiedostoihin. Kopioi alkuperäiset talteen.

/etc/ldap/ldap.conf

BASE    dc=arkki,dc=info
uri ldaps://ubuntu-openldap
TLS_REQCERT allow

/etc/ldap.conf

base dc=arkki,dc=info

uri ldaps://ubuntu-openldap
TLS_REQCERT allow

ldap_version 3

binddn cn=nss,dc=arkki,dc=info
bindpw TP2009nss

rootbinddn cn=manager,dc=arkki,dc=info

pam_password md5

nss_base_passwd         ou=People,dc=arkki,dc=info?one
nss_base_shadow         ou=People,dc=arkki,dc=info?one
nss_base_group          ou=Group,dc=arkki,dc=info?one

nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,statd,sync,sys,syslog,uucp,www-data

/etc/ldap.secret

TP2009ldap

/etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

LTSP5_Client_01.png

LTSP5_Client_02.png

LTSP5_Client_03.png

LTSP5_Client_04.png

LTSP5_Client_05.png

LTSP5_Client_06.png

LTSP5_Client_07.png

LTSP5_Users_08.png

LTSP5_Users_09.png

LDAP-asiakasohjelmien testaus

Asennuksen voi testata näin. Ensin testataan SSL-yhteys.

admin-ltsp5@ubuntu-ltsp5:~$ openssl s_client -connect ubuntu-openldap:636 -showcerts
CONNECTED(00000003)
depth=0 [--]CN=ubuntu-openldap[--]
verify error:num=18:self signed certificate
verify return:1

Sitten testataan passwd-tiedosto. Paikallisten tunnusten lisäksi myös OpenLDAP-tunnusten pitää näkyä.

admin-ltsp5@ubuntu-ltsp5:~$ getent passwd
root:x:0:0:root:/root:/bin/bash
[--]
admin-ltsp5:x:1000:1000:Administrator LTSP5,,,:/root/admin-ltsp5:/bin/bash
user-ltsp5:x:1001:1001:User LTSP5,,,,:/root/user-ltsp5:/bin/bash
[--]
ltsp001:x:10001:10000:LTSP 001:/home/ltsp001:/bin/bash
ltsp002:x:10002:10000:LTSP 002:/home/ltsp002:/bin/bash
[--]
ltsp029:x:10029:10000:LTSP 029:/home/ltsp029:/bin/bash
ltsp030:x:10030:10000:LTSP 029:/home/ltsp030:/bin/bash
admin-ltsp5@ubuntu-ltsp5:~$

Tämän jälkeen voidaan testata nss-käyttäjä.

admin-ltsp5@ubuntu-ltsp5:~$ ldapsearch -x -D "cn=nss,dc=arkki,dc=info" -W -u "cn=LTSP 001"
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <dc=arkki,dc=info> (default) with scope subtree
# filter: cn=LTSP 001
# requesting: ALL
#

# ltsp001, People, arkki.info
dn: uid=ltsp001,ou=People,dc=arkki,dc=info
ufn: ltsp001, People, arkki.info
cn: LTSP 001
uid: ltsp001
uidNumber: 10001
loginShell: /bin/bash
homeDirectory: /home/ltsp001
gidNumber: 10000
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
sn: LTSP 001

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
admin-ltsp5@ubuntu-ltsp5:~$

Vain manager-käyttäjä näyttää myös kryptatun salasanan.

admin-ltsp5@ubuntu-ltsp5:~$ ldapsearch -x -D "cn=manager,dc=arkki,dc=info" -W -u "cn=LTSP 001"
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <dc=arkki,dc=info> (default) with scope subtree
# filter: cn=LTSP 001
# requesting: ALL
#

# ltsp001, People, arkki.info
dn: uid=ltsp001,ou=People,dc=arkki,dc=info
ufn: ltsp001, People, arkki.info
cn: LTSP 001
uid: ltsp001
uidNumber: 10001
loginShell: /bin/bash
homeDirectory: /home/ltsp001
gidNumber: 10000
userPassword:: e2NyeXB0fVJRSVVuM0VYQ3plWHc=
shadowLastChange: 14285
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
sn: LTSP 001

# search result
search: 2
result: 0 Successaan 

# numResponses: 2
# numEntries: 1
admin-ltsp5@ubuntu-ltsp5:~$

LTSP5-palvelimen PAM-tiedostojen muokkaaminen

Näiden jälkeen muokataan PAM-tiedostot, niin että sisäänkirjautuminen tapahtuu joko paikallisella tunnuksella tai OpenLDAP-palvelimella olevalla tunnuksella.

Hakemiston-/etc/pam.d/ tiedostoihin kajoaminen on järjestelmän kannalta äärimmäisen kriittistä. LTSP5-palvelin voidaan saada tilaan, jossa kirjautuminen ei onnistu millään tunnuksella. Alkuperäiset toimivat PAM-tiedostot on kopioitava talteen. Jos kirjautuminen on mahdotonta, niin palvelin täytyy käynnistää single-tilaan, ja komentoriviltä palautetaan alkuperäiset toimivat PAM-tiedostot. PAM-tiedostojen muokkauksen ajaksi on syytä käynnistää yksi tai useampi konsoli (Ctrl-Alt-F1) ohi X:n ja kirjautua niihin.

Kokonaan uusia tiedostoja ovat /etc/pam.d/common-pammount ja /etc/security/pam_mount.conf.xml. Poista tai kommentoi pois (#) alkuperäiset rivit tai luo kokonaan uudet tiedostot muista tiedostoista.

password   required     pam_mount.so use_authtok shadow md5
password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_authtok md5
password   required     pam_deny.so

/etc/pam.d/common-auth - authentication settings common to all services

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so

/etc/pam.d/common-account - authorization settings common to all services

auth       required     pam_mount.so
auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok use_first_pass
auth       sufficient   pam_ldap.so try_first_pass
auth       required     pam_deny.so

session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0022
session    optional     pam_ldap.so
session    required     pam_limits.so
session    required     pam_unix.so
session    optional     pam_mount.so shadow md5 use_authtok
session    optional     pam_ldap.so

/etc/pam.d/common-pammount

auth       optional   pam_mount.so try_first_pass
session    optional   pam_mount.so try_first_pass

/etc/security/pam_mount.conf.xml

Lisää vain tämä rivi.

<volume fstype="nfs" server="192.168.1.3" path="/home/%(USER)" mountpoint="~"/>

Päätteen jättämät jäljet loki-tiedostoissa

Tässä asennuksessa on käytetty päätteen osalta seuraavanlaista lts.conf-asetustiedostoa.

[00:22:15:15:4B:4C]
X_CONF=/etc/X11/asus-eee-xorg.conf
X_COLOR_DEPTH=16
LDM_DIRECTX=True
LDM_AUTOLOGIN=True
LDM_USERNAME=ltsp001
LDM_PASSWORD=edubuntu

Pääte jättää jäljet lokitiedostoihin.

LTSP5

Feb 16 12:44:00 ubuntu-ltsp5 dhcpd: DHCPOFFER on 192.168.0.10 to 00:22:15:15:4b:4c via eth1
Feb 16 12:44:00 ubuntu-ltsp5 dhcpd: DHCPREQUEST for 192.168.0.10 (192.168.0.254) from 00:22:15:15:4b:4c via eth1
Feb 16 12:44:00 ubuntu-ltsp5 dhcpd: DHCPACK on 192.168.0.10 to 00:22:15:15:4b:4c via eth1
Feb 16 12:44:01 ubuntu-ltsp5 dhcpd: DHCPREQUEST for 192.168.0.10 (192.168.0.254) from 00:22:15:15:4b:4c via eth1
Feb 16 12:44:01 ubuntu-ltsp5 dhcpd: DHCPACK on 192.168.0.10 to 00:22:15:15:4b:4c via eth1
Feb 16 12:44:01 ubuntu-ltsp5 nbdrootd[6352]: connect from 192.168.0.10 (192.168.0.10)
Feb 16 12:44:01 ubuntu-ltsp5 nbd_server[6353]: connect from 192.168.0.10, assigned file is /opt/ltsp/images/i386.img
Feb 16 12:44:01 ubuntu-ltsp5 nbd_server[6353]: Size of exported file/device is 198713344

Feb 16 12:44:24 ubuntu-ltsp5 sshd[6363]: Accepted password for ltsp001 from 192.168.0.10 port 59870 ssh2
Feb 16 12:44:24 ubuntu-ltsp5 sshd[6365]: pam_unix(sshd:session): session opened for user ltsp001 by (uid=0)
Feb 16 12:44:24 ubuntu-ltsp5 sshd[6365]: pam_mount(mount.c:182) realpath of volume "/home/ltsp001" is "/home/ltsp001"

OpenLDAP

Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 fd=21 ACCEPT from IP=192.168.1.2:44913 (IP=0.0.0.0:636) 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 fd=21 TLS established tls_ssf=256 ssf=256 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=0 BIND dn="cn=nss,dc=arkki,dc=info" method=128 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=0 BIND dn="cn=nss,dc=arkki,dc=info" mech=SIMPLE ssf=0 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=0 RESULT tag=97 err=0 text= 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=1 SRCH base="ou=People,dc=arkki,dc=info" scope=1 deref=0 filter="(objectClass=posixAccount)" 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
Feb 16 12:43:40 ubuntu-openldap slapd[4878]: conn=4 op=1 SEARCH RESULT tag=101 err=0 nentries=30 text=