Differences between revisions 35 and 37 (spanning 2 versions)
Revision 35 as of 2009-02-13 14:29:27
Size: 20019
Editor: AsmoKoskinen
Comment:
Revision 37 as of 2009-02-13 15:42:55
Size: 22376
Editor: AsmoKoskinen
Comment:
Deletions are marked like this. Additions are marked like this.
Line 629: Line 629:
result: 0 Success result: 0 Successaan
Line 639: Line 639:

/!\ Hakemiston-/etc/pam.d/ tiedostoihin kajoaminen on järjestelmän kannalta äärimmäisen kriittistä. LTSP5-palvelin voidaan saada tilaan, jossa kirjautuminen ei onnistu millään tunnuksella. Alkuperäiset toimivat PAM-tiedostot on kopioitava talteen. Jos kirjautuminen on mahdotonta, niin palvelin täytyy käynnistää single-tilaan, ja komentoriviltä palautetaan alkuperäiset toimivat PAM-tiedostot. PAM-tiedostojen muokkauksen ajaksi on syytä käynnistää yksi tai useampi konsoli (Ctrl-Alt-F1) ohi X:n ja kirjautua niihin.

Kokonaan uusia tiedostoja ovat /etc/pam.d/common-pammount ja /etc/security/pam_mount.conf.xml. Poista tai kommentoi pois (#) alkuperäiset rivit tai luo kokonaan uudet tiedostot muista tiedostoista.

==== /etc/pam.d/common-password - password-related modules common to all services ====

{{{
password required pam_mount.so use_authtok shadow md5
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_authtok md5
password required pam_deny.so
}}}

==== /etc/pam.d/common-auth - authentication settings common to all services ====

{{{
account sufficient pam_unix.so
account sufficient pam_ldap.so
}}}

==== /etc/pam.d/common-account - authorization settings common to all services ====

{{{
auth required pam_mount.so
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth sufficient pam_ldap.so try_first_pass
auth required pam_deny.so
}}}

==== /etc/pam.d/common-session - session-related modules common to all services ====

{{{
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session optional pam_ldap.so
session required pam_limits.so
session required pam_unix.so
session optional pam_mount.so shadow md5 use_authtok
session optional pam_ldap.so
}}}

==== /etc/pam.d/common-pammount ====

{{{
auth optional pam_mount.so try_first_pass
session optional pam_mount.so try_first_pass
}}}

==== /etc/security/pam_mount.conf.xml ====

Lisää vain tämä rivi.

{{{
<volume fstype="nfs" server="192.168.1.102" path="/home/%(USER)" mountpoint="~"/>
}}}

SisällysluetteloBRTableOfContents(3)

LTSP5 - OpenLDAP - Perusasennus

Tämä ohje on tarkoitettu Ubuntu 8.04.2-versiolle. Ohjeessa on käytetty kahta palvelinkonetta; ensimmäisessä on LTSP5-ympäristö päätteille (kaksi verkkokorttia), toisessa on kotihakemisto ja keskitetty kirjautuminen. Kummallakin koneella pääkäyttäjän (sudo-käyttäjä) tunnus on paikallinen, niitä ei ole viety kirjautumispalvelimelle.

Tämä ohje perustuu asennukseen, joka tehtiin Valamossa LTSP5-työpajassa. Kuvaus asennuksesta on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/LTSP5_openLDAP

Tässä ohjeessa ei käydä läpi varsinaista LTSP5-palvelimen asennusta. Asennusohje on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/LTSP5_Perusasennus

Asennusjärjestys on tällainen. Ensin asennetaan LTSP5-palvelin käyttäen kahta verkkokorttia. LTSP5-palvelimeen asennetaan Webmin. Sen jälkeen asennetaan OpenLDAP-palvelin ja SSL-salaus. OpenLDAP-palvelimeen asennetaan lisäksi LDAP-asiakasohjelmat ja Webmin. Lopuksi asennetaan LDAP-asiakasohjelmat LTSP5-palvelimelle ja muokataan PAM-tiedostot.

Kaikki asennukseen liittyvät toimivat tiedostot ovat täällä: http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/

Lähiverkko, osoitteet, tunnukset ja salasanat

Tässä ohjeessa on käytetty seuraavanlaista lähiverkkoa. 

             Internet
             |
 ----------- Reititin/Kytkin -----------
 | (eth0)                       (eth0) |
 LTSP5-palvelin        OpenLDAP-palvelin
 | (eth1)
 Kytkin
 |
 Pääte

Lähiverkon osoitteet ovat tällaiset.

Reititin/Kytkin - 192.168.1.1 | LTSP5-palvelin - 192.168.1.2 - ubuntu-ltsp5 | OpenLDAP-palvelin - 192.168.1.3 - ubuntu-openldap | Pääte - 192.168.0.10 - ubuntu-10

Tunnukset ja salasanat, joita on käytettty tässä asennuksessa, ovat tällaiset.

ubuntu-ltsp5 - admin-ltsp5 - TP2009ltsp | ubuntu-openldap - admin-openldap - TP2009ltsp | ubuntu-10 - ltsp001 - edubuntu

OpenLDAP-palvelimen tunnukset ja salasanat ovat tällaiset.

cn=manager,dc=arkki,dc=info - TP2009ldap | cn=nss,dc=arkki,dc=info - TP2009nss

OpenLDAP-palvelimen hakemiston puurakenne on tällainen. 

 dc=info
 |
 dc=arkki----|----------|
 |           |          |
 ou=Users    ou=Groups  cn=nss
 |           |          
 |           cn=Users
 |
 cn=ltsp001, ltsp002 ...

OpenLDAP-asennus

1. OpenLDAP-palvelimen asennus tehdään yhdellä paketilla: slapd. Tarpeelliset ohjelmat OpenLDAP-tietokannan käsittelyyn ovat ldap-utils-paketissa. 

sudo apt-get install slapd ldap-utils

2. OpenLDAP-ohjelman asennuksen yhteydessä avautuu asetusohjelma, mutta sen voi huoletta ohittaa painamalla salasana-kyselyihin pelkän painalluksen. Kopioi talteen alkuperäinen asetustiedosto ja kopioi seuraavat rivit uuteen asetustiedostoon, poista ensin kaikki alkuperäiset rivit. 

sudo cp /etc/ldap/slapd.conf /etc/ldap/slapd.conf.original

sudo nano /etc/ldap/slapd.conf

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args

loglevel        256

modulepath      /usr/lib/ldap
moduleload      back_hdb

sizelimit 500

tool-threads 1

backend         hdb
database        hdb

suffix          "dc=arkki,dc=info"

rootdn          "cn=manager,dc=arkki,dc=info"
rootpw          {MD5}0H0NPb1xLD770iuQqZYkqQ==

directory       "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0

dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index           objectClass eq

lastmod         on

checkpoint      512 30

access to attrs=userPassword,shadowLastChange
        by dn="cn=manager,dc=arkki,dc=info" write
        by anonymous auth
        by self write
        by * none

access to *
        by dn="cn=manager,dc=arkki,dc=info" write
        by dn="cn=nss,dc=arkki,dc=info" read
        by * auth

3. OpenLDAP:n manager-käyttäjän salasana, joka sijoitetaan slapd.conf-tiedostoon, luodaan näin. Salasana on "TP2009ldap". 

slappasswd -h {MD5}
New password: 
Re-enter new password: 
{MD5}0H0NPb1xLD770iuQqZYkqQ==
root@ubuntu-openldap:~#

Näiden asetusten jälkeen voidaan käynnistää OpenLDAP-palvelin. 

/etc/init.d/slapd start
Starting OpenLDAP: slapd.

4. OpenLDAP-palvelimen tietokannan perusrakenne luodaan näin. Käytetään base.ldif-tiedostoa. 

dn: dc=arkki,dc=info
objectclass: organization
objectclass: dcObject
o: Arkki
dc: arkki
description: Arkki - Asmo Koskinen

dn: ou=Hosts,dc=arkki,dc=info
ou: Hosts
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: ou=Peopledc=arkki,dc=info
ou: People
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: ou=Groups,dc=arkki,dc=info
ou: Groups
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: arkki.info

dn: cn=users,ou=Groups,dc=arkki,dc=info
objectClass: posixGroup
cn: users
gidNumber: 10000

5. Tämä tiedosto ajetaan OpenLDAP-palvelimelle näin. Manager-käyttäjän salasana on tässä asennuksessa "TP2009ldap". 

ldapadd -W -x -D "cn=manager,dc=arkki,dc=info" -f base.ldif
Enter LDAP Password: 
adding new entry "dc=arkki,dc=info"

adding new entry "ou=Hosts,dc=arkki,dc=info"

adding new entry "ou=People,dc=arkki,dc=info"

adding new entry "ou=Groups,dc=arkki,dc=info"

adding new entry "cn=users,ou=Groups,dc=arkki,dc=info"

6. OpenLDAP-palvelimella on kaksi käyttäjää, joilla on eri tehtävät. Manager-käyttäjä saa kirjoittaa, lukea ja käsitellä tietokantoja. Nss-käyttäjä saa vain lukea. Seuraavaksi luodaan nss-käyttäjä. Ensin tehdään nss.ldif-tiedosto. 

dn: cn=nss, dc=arkki,dc=info
objectClass: organizationalRole
objectClass: simpleSecurityObject
cn: nss
description: LDAP NSS user
userPassword:

7. Salasana luodaan edellämainitulla tavalla ja sijoitetaan suoraan nss.ldif-tiedostoon. Salasana on "TP2009nss". 

slappasswd -h {MD5}
New password: 
Re-enter new password: 
{MD5}iJ/UWG+ALKWLTgwEmmZj4Q==

8. Nss.ldif-tiedosto ajteaan OpenLDAP-palvelimelle. 

ldapadd -W -x -D "cn=manager,dc=arkki,dc=info" -f nss.ldif
Enter LDAP Password: 
adding new entry "cn=nss, dc=arkki,dc=info"

Näiden asetusten jälkeen voidaan käynnistää OpenLDAP-palvelin uudestaan. 

/etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.

OpenLDAP-palvelimelle on asennettu Webmin-ohjelmisto. Ruutukaappauksia Webmin-ohjelman OpenLDAP-modulista. Asennusohje on tällä Wiki-sivulla: http://wiki.ubuntu-fi.org/Webmin

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_01.png OpenLDAP_01.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_02.png OpenLDAP_02.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_03.png OpenLDAP_03.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_04.png OpenLDAP_04.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_05.png OpenLDAP_05.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/OpenLDAP_06.png OpenLDAP_06.png]

SSL-salaus OpenLDAP-palvelimella

OpenLDAP-palvelimella otetaan käyttöön SSL-salaus. Lue ensin tämä ohje: https://help.ubuntu.com/community/SecuringOpenLDAPConnections

Sertifikaatti luodaan näin. Tärkeintä on laittaa kohtaan "Common Name" OpenLDAP-palvelimen DNS-nimi, joka on kaikissa asiakaskoneiden hosts-tiedostossa tähän tapaan. 

admin-ltsp5@ubuntu-ltsp5:~$ cat /etc/hosts
127.0.0.1       localhost
192.168.1.2     ubuntu-ltsp5
192.168.1.3     ubuntu-openldap
192.168.0.10    ubuntu-10

Sertifikaatti on rsa-avain, jonka pituus on 1024 bittiä ja voimassaoloaika 10 vuotta. Sertikaatti on helpointa nimetä samoin kuin itse palvelinkin. 

sudo openssl req -newkey rsa:1024 -x509 -nodes -out ubuntu-openldap.pem -keyout ubuntu-openldap.pem -days 3650
Generating a 1024 bit RSA private key
[--]
writing new private key to 'ubuntu-openldap.pem'
[--]
Common Name (eg, YOUR name) []:ubuntu-openldap

Sertifikaatin tiedot ja sijainti lisätään slapd.conf-tiedostoon. Tässä ohjeessa on luotu hakemisto /etc/ldap/ssl ja pem-tiedosto on sijoitettu tähän hakemistoon. 

TLSCACertificateFile  /etc/ldap/ssl/ubuntu-openldap.pem
TLSCertificateFile    /etc/ldap/ssl/ubuntu-openldap.pem
TLSCertificateKeyFile /etc/ldap/ssl/ubuntu-openldap.pem

Muokkaa vielä tiedostoa /etc/default/slapd näin. Lisää rivi SLAPD_SERVICES="ldap:/// ldaps:///", mutta älä muuta muita. 

SLAPD_CONF=
SLAPD_USER="openldap"
SLAPD_GROUP="openldap"
SLAPD_PIDFILE=
SLAPD_SERVICES="ldap:/// ldaps:///"
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
SLAPD_OPTIONS=""

Sertikaatin toimivuus voidaan tarkistaa näin. 

openssl s_client -connect ubuntu-openldap:636 -showcerts
[--]
Server certificate
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=ubuntu-openldap
issuer=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=ubuntu-openldap
---
No client certificate CA names sent
---
SSL handshake has read 1095 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
[--]

LDAP-asiaksohjelmat OpenLDAP-palvelimella

Jotta Webmin-ohjelmaa voidaan käyttää päätteiden tunnusten käsittelyyn, niin myös OpenLDAP-palvelimella tarvitaan LDAP-asiakasohjelmat.

OpenLDAP-palvelimella ei oteta käyttöön sisäänkirjautumista; PAM-tiedostoja ei muokata OpenLDAP-palvelimella. SSL-salaus on kuitenkin päällä.

Asennetaan LDAP-asiakasohjelmat. 

sudo apt-get install ldap-auth-client libpam-ldap libnss-ldap

Tehdään seuraavat muutokset asetustiedostoihin. Kopioi alkuperäiset talteen.

/etc/ldap/ldap.conf 

BASE    dc=arkki,dc=info
uri ldaps://ubuntu-openldap
TLS_REQCERT allow

/etc/ldap.conf 

base dc=arkki,dc=info

uri ldaps://ubuntu-openldap
TLS_REQCERT allow

ldap_version 3

binddn cn=nss,dc=arkki,dc=info
bindpw TP2009nss

rootbinddn cn=manager,dc=arkki,dc=info

pam_password md5

nss_base_passwd         ou=People,dc=arkki,dc=info?one
nss_base_shadow         ou=People,dc=arkki,dc=info?one
nss_base_group          ou=Group,dc=arkki,dc=info?one

nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,statd,sync,sys,syslog,uucp,www-data

/etc/ldap.secret 

TP2009ldap

/etc/nsswitch.conf 

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Uusien tunnusten lisääminen OpenLDAP-palvelimelle

Tässä ohjeessa luotiin 30 uutta tunnusta OpenLDAP-palvelimelle. Ensin tehtiin users.txt-tiedosto, joka luettiin Webmin-ohjelman avulla OpenLDAP-palvelimelle. Ohessa on tiedot tästä tiedostosta sekä ruutukaappaukset Webmin-ohjelmasta. 

create:ltsp001:edubuntu:10001:10000:LTSP 001:/home/ltsp001:/bin/bash:::::
create:ltsp002:edubuntu:10002:10000:LTSP 002:/home/ltsp002:/bin/bash:::::
create:ltsp003:edubuntu:10003:10000:LTSP 003:/home/ltsp003:/bin/bash:::::
create:ltsp004:edubuntu:10004:10000:LTSP 004:/home/ltsp004:/bin/bash:::::
create:ltsp005:edubuntu:10005:10000:LTSP 005:/home/ltsp005:/bin/bash:::::
create:ltsp006:edubuntu:10006:10000:LTSP 006:/home/ltsp006:/bin/bash:::::
create:ltsp007:edubuntu:10007:10000:LTSP 007:/home/ltsp007:/bin/bash:::::
create:ltsp008:edubuntu:10008:10000:LTSP 008:/home/ltsp008:/bin/bash:::::
create:ltsp009:edubuntu:10009:10000:LTSP 009:/home/ltsp009:/bin/bash:::::
create:ltsp010:edubuntu:10010:10000:LTSP 010:/home/ltsp010:/bin/bash:::::
create:ltsp011:edubuntu:10011:10000:LTSP 011:/home/ltsp011:/bin/bash:::::
create:ltsp012:edubuntu:10012:10000:LTSP 012:/home/ltsp012:/bin/bash:::::
create:ltsp013:edubuntu:10013:10000:LTSP 013:/home/ltsp013:/bin/bash:::::
create:ltsp014:edubuntu:10014:10000:LTSP 014:/home/ltsp014:/bin/bash:::::
create:ltsp015:edubuntu:10015:10000:LTSP 015:/home/ltsp015:/bin/bash:::::
create:ltsp016:edubuntu:10016:10000:LTSP 016:/home/ltsp016:/bin/bash:::::
create:ltsp017:edubuntu:10017:10000:LTSP 017:/home/ltsp017:/bin/bash:::::
create:ltsp018:edubuntu:10018:10000:LTSP 018:/home/ltsp018:/bin/bash:::::
create:ltsp019:edubuntu:10019:10000:LTSP 019:/home/ltsp019:/bin/bash:::::
create:ltsp020:edubuntu:10020:10000:LTSP 020:/home/ltsp020:/bin/bash:::::
create:ltsp021:edubuntu:10021:10000:LTSP 021:/home/ltsp021:/bin/bash:::::
create:ltsp022:edubuntu:10022:10000:LTSP 022:/home/ltsp022:/bin/bash:::::
create:ltsp023:edubuntu:10023:10000:LTSP 023:/home/ltsp023:/bin/bash:::::
create:ltsp024:edubuntu:10024:10000:LTSP 024:/home/ltsp024:/bin/bash:::::
create:ltsp025:edubuntu:10025:10000:LTSP 025:/home/ltsp025:/bin/bash:::::
create:ltsp026:edubuntu:10026:10000:LTSP 026:/home/ltsp026:/bin/bash:::::
create:ltsp027:edubuntu:10027:10000:LTSP 027:/home/ltsp027:/bin/bash:::::
create:ltsp028:edubuntu:10028:10000:LTSP 028:/home/ltsp028:/bin/bash:::::
create:ltsp029:edubuntu:10029:10000:LTSP 029:/home/ltsp029:/bin/bash:::::
create:ltsp030:edubuntu:10030:10000:LTSP 029:/home/ltsp030:/bin/bash:::::

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_07.png LDAP_Client_07.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_08.png LDAP_Client_08.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_09.png LDAP_Client_09.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_10.png LDAP_Client_10.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_11.png LDAP_Client_11.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_12.png LDAP_Client_12.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_13.png LDAP_Client_13.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Client_14.png LDAP_Client_14.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Users_15.png LDAP_Users_15.png]

[http://www.arkki.info/howto/Wiki/LTSP5-openLDAP-Perusasennus/LDAP_Users_16.png LDAP_Users_16.png]

Kotihakemiston jakaminen NFS-palvelulla

Päätteiden tunnusten kotihakemisto jaetaan OpenLDAP-palvelimelta NFS-palvelulla. OpenLDAP-palvelimelle asennetaan nfs-kernel-server-paketti. 

sudo apt-get install nfs-kernel-server

Tiedostoon /etc/exports lisätään yksi rivi. 

/home  192.168.1.0/255.255.255.0(rw,no_root_squash,async,no_subtree_check)

Lopuksi nfs-kernel-server käynnistetään uudestaan. 

sudo /etc/init.d/nfs-kernel-server restart

 * Stopping NFS kernel daemon                       [ OK ] 
 * Unexporting directories for NFS kernel daemon... [ OK ]
 * Exporting directories for NFS kernel daemon...   [ OK ]
 * Starting NFS kernel daemon                       [ OK ]

LDAP-asiakasohjelmat LTSP5-palvelimella

LDAP-asiakasohjelmat asennetaan samalla tavalla kuin OpenLDAP-palvelimellekin. Kun ensin on todettu, että verkon yli voidaan SSL-yhteydellä selata OpenLDAP-palvelienta, niin sen jälkeen voidaan muokata PAM-tiedostoja.

Asennetaan LDAP-asiakasohjelmat. 

sudo apt-get install ldap-auth-client libpam-ldap libnss-ldap

Tehdään seuraavat muutokset asetustiedostoihin. Kopioi alkuperäiset talteen.

/etc/ldap/ldap.conf 

BASE    dc=arkki,dc=info
uri ldaps://ubuntu-openldap
TLS_REQCERT allow

/etc/ldap.conf 

base dc=arkki,dc=info

uri ldaps://ubuntu-openldap
TLS_REQCERT allow

ldap_version 3

binddn cn=nss,dc=arkki,dc=info
bindpw TP2009nss

rootbinddn cn=manager,dc=arkki,dc=info

pam_password md5

nss_base_passwd         ou=People,dc=arkki,dc=info?one
nss_base_shadow         ou=People,dc=arkki,dc=info?one
nss_base_group          ou=Group,dc=arkki,dc=info?one

nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,statd,sync,sys,syslog,uucp,www-data

/etc/ldap.secret 

TP2009ldap

/etc/nsswitch.conf 

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

LDAP-asiakasohjelmien testaus

Asennuksen voi testata näin. Ensin testataan SSL-yhteys. 

admin-ltsp5@ubuntu-ltsp5:~$ openssl s_client -connect ubuntu-openldap:636 -showcerts
CONNECTED(00000003)
depth=0 [--]CN=ubuntu-openldap[--]
verify error:num=18:self signed certificate
verify return:1

Sitten testataan passwd-tiedosto. Paikallisten tunnusten lisäksi myös OpenLDAP-tunnusten pitää näkyä. 

admin-ltsp5@ubuntu-ltsp5:~$ getent passwd
root:x:0:0:root:/root:/bin/bash
[--]
admin-ltsp5:x:1000:1000:Administrator LTSP5,,,:/root/admin-ltsp5:/bin/bash
user-ltsp5:x:1001:1001:User LTSP5,,,,:/root/user-ltsp5:/bin/bash
[--]
ltsp001:x:10001:10000:LTSP 001:/home/ltsp001:/bin/bash
ltsp002:x:10002:10000:LTSP 002:/home/ltsp002:/bin/bash
[--]
ltsp029:x:10029:10000:LTSP 029:/home/ltsp029:/bin/bash
ltsp030:x:10030:10000:LTSP 029:/home/ltsp030:/bin/bash
admin-ltsp5@ubuntu-ltsp5:~$

Tämän jälkeen voidaan testata nss-käyttäjä. 

admin-ltsp5@ubuntu-ltsp5:~$ ldapsearch -x -D "cn=nss,dc=arkki,dc=info" -W -u "cn=LTSP 001"
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <dc=arkki,dc=info> (default) with scope subtree
# filter: cn=LTSP 001
# requesting: ALL
#

# ltsp001, People, arkki.info
dn: uid=ltsp001,ou=People,dc=arkki,dc=info
ufn: ltsp001, People, arkki.info
cn: LTSP 001
uid: ltsp001
uidNumber: 10001
loginShell: /bin/bash
homeDirectory: /home/ltsp001
gidNumber: 10000
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
sn: LTSP 001

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
admin-ltsp5@ubuntu-ltsp5:~$

Vain manager-käyttäjä näyttää myös kryptatun salasanan. 

admin-ltsp5@ubuntu-ltsp5:~$ ldapsearch -x -D "cn=manager,dc=arkki,dc=info" -W -u "cn=LTSP 001"
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <dc=arkki,dc=info> (default) with scope subtree
# filter: cn=LTSP 001
# requesting: ALL
#

# ltsp001, People, arkki.info
dn: uid=ltsp001,ou=People,dc=arkki,dc=info
ufn: ltsp001, People, arkki.info
cn: LTSP 001
uid: ltsp001
uidNumber: 10001
loginShell: /bin/bash
homeDirectory: /home/ltsp001
gidNumber: 10000
userPassword:: e2NyeXB0fVJRSVVuM0VYQ3plWHc=
shadowLastChange: 14285
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
sn: LTSP 001

# search result
search: 2
result: 0 Successaan 

# numResponses: 2
# numEntries: 1
admin-ltsp5@ubuntu-ltsp5:~$

LTSP5-palvelimen PAM-tiedostojen muokkaaminen

Näiden jälkeen muokataan PAM-tiedostot, niin että sisäänkirjautuminen tapahtuu joko paikallisella tunnuksella tai OpenLDAP-palvelimella olevalla tunnuksella.

Hakemiston-/etc/pam.d/ tiedostoihin kajoaminen on järjestelmän kannalta äärimmäisen kriittistä. LTSP5-palvelin voidaan saada tilaan, jossa kirjautuminen ei onnistu millään tunnuksella. Alkuperäiset toimivat PAM-tiedostot on kopioitava talteen. Jos kirjautuminen on mahdotonta, niin palvelin täytyy käynnistää single-tilaan, ja komentoriviltä palautetaan alkuperäiset toimivat PAM-tiedostot. PAM-tiedostojen muokkauksen ajaksi on syytä käynnistää yksi tai useampi konsoli (Ctrl-Alt-F1) ohi X:n ja kirjautua niihin.

Kokonaan uusia tiedostoja ovat /etc/pam.d/common-pammount ja /etc/security/pam_mount.conf.xml. Poista tai kommentoi pois (#) alkuperäiset rivit tai luo kokonaan uudet tiedostot muista tiedostoista.

/etc/pam.d/common-password - password-related modules common to all services

password   required     pam_mount.so use_authtok shadow md5
password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_authtok md5
password   required     pam_deny.so

/etc/pam.d/common-auth - authentication settings common to all services

account    sufficient   pam_unix.so
account    sufficient   pam_ldap.so

/etc/pam.d/common-account - authorization settings common to all services

auth       required     pam_mount.so
auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok use_first_pass
auth       sufficient   pam_ldap.so try_first_pass
auth       required     pam_deny.so

/etc/pam.d/common-session - session-related modules common to all services

session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0022
session    optional     pam_ldap.so
session    required     pam_limits.so
session    required     pam_unix.so
session    optional     pam_mount.so shadow md5 use_authtok
session    optional     pam_ldap.so

/etc/pam.d/common-pammount

auth       optional   pam_mount.so try_first_pass
session    optional   pam_mount.so try_first_pass

/etc/security/pam_mount.conf.xml

Lisää vain tämä rivi. 

<volume fstype="nfs" server="192.168.1.102" path="/home/%(USER)" mountpoint="~"/>