Назад | Перейти на главную страницу

Centos 6 Linux и nss-pam-ldapd

Я пытаюсь получить centos 6 для аутентификации по ldap (точнее, активному каталогу). Я немного сбит с толку, потому что после установки nss-pam-ldapd я вижу несколько файлов, которые выглядят одинаково. Например, у меня есть /etc/pam_ldap.conf и /etc/nslcd.conf. Оба эти файла имеют одинаковые параметры конфигурации. Кажется, ничего не работает. Любое руководство будет очень признательно.

linux ldap pam

Make sure you:
   1. yum remove sssd
   2. yum install openldap-clients nss-pam-ldapd
   3. Run Authconfig
   4. Check your /etc/openldap/ldap.conf
           - Check for your valid certfile is pointed to
   5. Check your /etc/nslcd.conf
           - confirm ssl start_tls
           - confirm certfile is pointing to a valid file

Here is a example authconfig line:

authconfig --enableldap --enableldapauth \
   --ldapserver=ldap://ldap.example.com/,ldap://ldap2.example.com/ \
   --ldapbasedn=dc=example,dc=com  --update

Then make sure:
/etc/openldap/ldap.conf
TLS_CACERT /etc/pki/tls/certs/ca-bundle.crt
TLS_REQCERT demand


And in /etc/nslcd.conf:
ssl start_tls
tls_cacertfile /etc/pki/tls/certs/ca-bundle.crt
tls_reqcert never

So that you get a certificate not a empty directory.

Хотя на этот вопрос уже был дан ответ, следует помнить о нескольких вещах:

Важно отметить, что нет необходимости отключать sssd, так как tшляпа может подключиться к активному каталогу.
Вы также можете включить TLS и все остальное одним выстрелом с помощью authconfig.

Итак, чтобы подключиться к LDAP, вы должны:

Установите pam_ldap, nss-pamd-ldapd и sssd (используя yum для удовлетворения зависимостей) и включите sssd
Скопируйте файл сертификата в / etc / openldap / cacerts

Затем одним выстрелом запустите это:

authconfig --enablesssd --enableldap --enableldaptls --ldapserver=ldap.example.com --ldapbasedn=dc=example,dc=com --enableldapauth --update

(authconfig автоматически получит сертификат, находящийся в / etc / openldap / cacerts)

Я могу подтвердить, что шаги должны работать.

если не использовать TLS, просто "ssl yes" тоже нормально

Необходимо установить эти пакеты, мне потребовалось много времени, чтобы найти все эти необходимые пакеты в Redhat 6 nss-pam-ldapd pam_ldap openldap openldap-clients

Сэм

Я в основном заставил это работать (кроме отправки паролей в открытом виде, я планирую это исправить), поэтому я решил, что поделюсь тем, что сделал.

Я установил пакет nss-pam-ldap с помощью yum. Я отредактировал как pam_ldap.conf, так и nslcd.conf, чтобы отразить мою среду. Затем я запустил authconfig-tui и ответил на его вопросы как можно лучше. Я не включал tls или ssl, просто хотел посмотреть, все ли работает. Я запустил "/etc/init.d/nslcd restart" и затем смог войти в систему с пользователями ldap, а также войти с ними через ssh. Затем, когда я включил ssl / tls, он перестал работать. Итак, я посмотрел с помощью TCP dump и grep-ed и обнаружил, что мой пароль отправляется в виде открытого текста. Итак, это работает, но мне все еще нужно заставить работать ssl / tls. Я бы хотел, чтобы клиент ldap отправлял хешированные пароли, но я думаю, что нет. Возможно, есть способ сказать ему, какой шифр использовать перед отправкой пароля ldap.

В любом случае я надеюсь, что это поможет другим решить эту проблему. Спасибо