Quick Start для аутентификации Linux-систем с использованием LDAP

LDAP
Пакеты, которые требуется установить (Ubuntu)

sudo apt-get install lib{{pam,nss}-ldap,nss-db} sudo-ldap nss-updatedb libpam-ccreds


/etc/ldap.conf:

base dc=example,dc=com
uri ldap://soa.example.com/
ldap_version 3
binddn uid=nss,ou=Services,ou=Accounts,ou=DSA
bindpw SomePassword
rootbinddn cn=config
scope sub
timelimit 2
# According to sudoers.ldap(5) this option my be used by sudo
#timeout 2
bind_timelimit 1
bind_policy soft
pam_password exop
nss_base_passwd         ou=people,?one
nss_base_shadow         ou=people,?one
nss_base_group          ou=groups,?sub
# Uncomment this if you dont want to send plaintext passwords over your LAN
#ssl start_tls
#tls_cacertfile /etc/ssl/ca.crt
#tls_cert        /etc/ssl/test-ws.crt
#tls_key         /etc/ssl/test-ws.key
#nss_initgroups_ignoreusers backup,bin,bind,daemon,fetchmail,games,gnats,irc,klog,libuuid,list,lp,mail,man,nagios,news,proxy,root,smmsp,smmta,sshd,sync,sys,syslog,uucp,www-data
# This setting is for use by sudo with LDAP support
#sudoers_base ou=sudo,ou=services,dc=example,dc=com
#sudoers_timed yes
#sudoers_debug 0
##sudoers_debug 2

ОБратите внимание: в директивах nss_base_passwd, nss_base_shadow, nss_base_group база поиска соответственно аккаунтов и групп указана в сокращённом виде, о чём свидетельствует «запятая» в конце. В соответствии с документацией, база поиска будет автоматически дополнена посредством подстановки после терминирующей запятой значения, указанного в директиве base. Разумеется, при необходимости вы можете указывать и полную базу поиска.

/etc/pam.d/*:
common-auth:

auth    [success=4 default=ignore]   pam_unix.so nullok_secure try_first_pass debug
auth    [authinfo_unavail=ignore success=1 default=2] pam_ldap.so use_first_pass debug
auth    [default=done]  pam_ccreds.so action=validate use_first_pass debug
auth    [default=done]  pam_ccreds.so action=store debug
auth    [default=bad]   pam_ccreds.so action=update debug
auth    required        pam_permit.so debug

common-account:

account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so debug
account [success=1 default=ignore]                              pam_ldap.so debug
account requisite                                               pam_deny.so debug
account required                                                pam_permit.so debug

common-password:

password    sufficient    pam_unix.so md5 obscure min=4 max=12 nullok try_first_pass
password    sufficient    pam_ldap.so
password    required      pam_deny.so


common-session:

# Это не весь файл, недостающие строки из приведённых ниже нужно вставлять в конец файла, соблюдая порядок следования
session     required        pam_unix.so 
session     [success=ok default=ignore]     pam_ldap.so minimum_uid=1000
session     optional                        pam_mkhomedir.so skel=/etc/skel umask=0077

NOTE: Безусловно очень важный и полезный, модуль pam_mkhomedir.so по прихоти разработчиков дистрибутивов может входить, а может и не входить в установку PAM по умолчанию, поэтому обязательно проверьте его наличие прежде, чем прописывать соотв. настройку в файле /etc/pam.d/common-session

/etc/nsswitch.conf:

passwd:         compat ldap [NOTFOUND=return] db
group:          compat ldap [NOTFOUND=return] db
shadow:         compat ldap
# Uncomment following line and comment line next to it if you're plan to use SUDO+LDAP
#sudoers:        ldap files
sudoers:        files
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis


/etc/ldap.secret:

echo -n 'ROOT_PASS' | sudo tee /etc/ldap.secret &>/dev/null

где ROOT_PASS пароль rootbinddn'а, прописанного в /etc/ldap.conf. LDAP-объект с dn=rootbinddn используется при BIND'е в LDAP подсистем NSS и PAM, вызываемых из процессов с EUID=0.

Crontab:

5 */2 * * * /usr/sbin/nss_updatedb ldap

(выберите удобную для вас частоту обновления локального кеша данных NSS, получаемых из LDAP)

What to do after all:
  1. После установки всех нужных пакетов и настройки конфигов, выполните первичную закачку данных в кеш NSS (/usr/sbin/nss_updatedb ldap)
  2. Остановите демон кеширования NSS (sudo service nscd stop), выполните getent passwd, запустите демон кеширования снова
  3. Если вы хотите использовать один домашний каталог для какой-либо локальной учётной записи и аккаунта из LDAP, нет ничего проще: переименуйте при необходимости домашний каталог локального пользователя в соотв. с homeDirectory в LDAP, поменяйте локальному пользователю uidNumber на тот, что прописан в LDAP — и пользуйтесь двумя формально разными учётными записями с одним домашним каталогом и одинаковыми правами доступа к ФС

Полезные ссылки:

P.S. У меня сейчас нет возможности писать полноценную инструкцию, буду очень признателен за ваши комментарии. Если возникнут какие-то вопросы, предложения, если я что-то забыл и т.д. — пишите!

1 комментарий

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.