LDAP İstemcisini Harici Kimlik Doğrulamaya Bağlanacak Şekilde Yapılandırma

LDAP (Hafif Dizin Erişim Protokolü'nün kısaltması), dizin hizmetlerine erişim için endüstri standardı, yaygın olarak kullanılan bir protokol kümesidir.

Basit anlamda bir dizin hizmeti, okuma erişimi için optimize edilmiş merkezi, ağ tabanlı bir veritabanıdır. Uygulamalar arasında paylaşılması gereken veya yüksek oranda dağıtılmış bilgileri depolar ve bu bilgilere erişim sağlar.

Dizin hizmetleri, ağdaki kullanıcılar, sistemler, ağlar, uygulamalar ve hizmetler hakkındaki bilgileri paylaşmanıza yardımcı olarak intranet ve Internet uygulamalarının geliştirilmesinde önemli bir rol oynar.

LDAP'in tipik bir kullanım örneği, kullanıcı adları ve şifreler için merkezi bir depolama olanağı sunmaktır. Bu, çeşitli uygulamaların (veya hizmetlerin) kullanıcıları doğrulamak için LDAP sunucusuna bağlanmasına olanak tanır.

Çalışan bir LDAP sunucusu kurduktan sonra, ona bağlanmak için istemciye kitaplıklar yüklemeniz gerekecektir. Bu makalede, bir LDAP istemcisinin harici bir kimlik doğrulama kaynağına bağlanacak şekilde nasıl yapılandırılacağını göstereceğiz.

LDAP Tabanlı Kimlik Doğrulama için LDAP Sunucusunu Kurmadıysanız, halihazırda çalışan bir LDAP sunucu ortamına sahip olduğunuzu umarız.

Ubuntu ve CentOS'ta LDAP İstemcisi Nasıl Kurulur ve Yapılandırılır

İstemci sistemlerinde, kimlik doğrulama mekanizmasının bir LDAP sunucusuyla doğru şekilde çalışmasını sağlamak için gerekli birkaç paketi kurmanız gerekecektir.

Ubuntu 16.04 ve 18.04'te LDAP İstemcisini Yapılandırma

Öncelikle aşağıdaki komutu çalıştırarak gerekli paketleri kurmaya başlayın.

sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Kurulum sırasında sizden LDAP sunucunuzun ayrıntıları istenecektir (değerleri ortamınıza göre sağlayın). Otomatik olarak yüklenen ldap-auth-config paketinin, girdiğiniz girişlere göre yapılandırmaların çoğunu yaptığını unutmayın.

Daha sonra LDAP arama tabanının adını girin, alan adlarının bileşenlerini bu amaçla ekran görüntüsünde gösterildiği gibi kullanabilirsiniz.

Ayrıca kullanılacak LDAP sürümünü seçin ve Tamam'ı tıklayın.

Şimdi seçeneği, pam kullanan şifre yardımcı programlarının yerel şifreleri değiştiriyormuşsunuz gibi davranmasını sağlayacak şekilde yapılandırın ve devam etmek için Evet'i tıklayın.

Daha sonra, sonraki seçeneği kullanarak LDAP veritabanına oturum açma gereksinimini devre dışı bırakın.

Ayrıca root için LDAP hesabını tanımlayın ve Tamam'a tıklayın.

Daha sonra, ldap-auth-config kök için LDAP hesabını kullanarak LDAP dizininde oturum açmaya çalıştığında kullanılacak şifreyi girin.

İletişim kutusunun sonuçları /etc/ldap.conf dosyasında saklanacaktır. Herhangi bir değişiklik yapmak istiyorsanız, favori komut satırı düzenleyicinizi kullanarak bu dosyayı açın ve düzenleyin.

Daha sonra, çalıştırarak NSS için LDAP profilini yapılandırın.

sudo auth-client-config -t nss -p lac_ldap

Daha sonra sistemi, PAM yapılandırmalarını güncelleyerek kimlik doğrulama için LDAP kullanacak şekilde yapılandırın. Menüden LDAP'yi ve ihtiyacınız olan diğer kimlik doğrulama mekanizmalarını seçin. Artık LDAP tabanlı kimlik bilgilerini kullanarak oturum açabilmeniz gerekir.

sudo pam-auth-update

Kullanıcının ana dizininin otomatik olarak oluşturulmasını istiyorsanız ortak oturum PAM dosyasında bir yapılandırma daha yapmanız gerekir.

sudo vim /etc/pam.d/common-session

Bu satırı içine ekleyin.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Değişiklikleri kaydedin ve dosyayı kapatın. Daha sonra aşağıdaki komutla NCSD (Ad Hizmeti Önbellek Programı) hizmetini yeniden başlatın.

sudo systemctl restart nscd
sudo systemctl enable nscd

Not: Çoğaltma kullanıyorsanız, LDAP istemcilerinin /etc/ldap.conf'da belirtilen birden fazla sunucuya başvurması gerekir. Tüm sunucuları bu formda belirtebilirsiniz:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Bu, isteğin zaman aşımına uğrayacağı ve Sağlayıcı (ldap1.example.com) yanıt vermezse Tüketici (ldap2) anlamına gelir. .example.com) işleme almak için kendisine ulaşılmaya çalışılacaktır.

Belirli bir kullanıcının LDAP girişlerini sunucudan kontrol etmek için örneğin getent komutunu çalıştırın.

getent passwd tecmint

Yukarıdaki komut /etc/passwd dosyasından belirtilen kullanıcının ayrıntılarını görüntülüyorsa, istemci makineniz artık LDAP sunucusuyla kimlik doğrulaması yapacak şekilde yapılandırılmıştır; LDAP tabanlı kimlik bilgilerini kullanarak oturum açabilmeniz gerekir .

CentOS 7'de LDAP İstemcisini Yapılandırma

Gerekli paketleri kurmak için aşağıdaki komutu çalıştırın. Bu bölümde, sistemi root olmayan bir yönetici kullanıcı olarak çalıştırıyorsanız, tüm komutları çalıştırmak için sudo komutunu kullandığınızı unutmayın.

yum update && yum install openldap openldap-clients nss-pam-ldapd

Daha sonra, istemci sisteminin LDAP kullanarak kimlik doğrulaması yapmasını etkinleştirin. Sistem kimlik doğrulama kaynaklarını yapılandırmaya yönelik bir arayüz olan authconfig yardımcı programını kullanabilirsiniz.

Aşağıdaki komutu çalıştırın ve example.com'u etki alanınızla ve dc=example,dc=com'u LDAP etki alanı denetleyicinizle değiştirin.

authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Yukarıdaki komutta, --enablemkhomedir seçeneği, eğer mevcut değilse, ilk bağlantıda yerel bir kullanıcı ana dizini oluşturur.

Daha sonra, sunucudaki belirli bir kullanıcı için LDAP girişlerinin (örneğin kullanıcı tecmint) olup olmadığını test edin.

getent passwd tecmint

Yukarıdaki komut, /etc/passwd dosyasından belirtilen kullanıcının ayrıntılarını görüntülemelidir; bu, istemci makinenin artık LDAP sunucusuyla kimlik doğrulaması yapacak şekilde yapılandırıldığı anlamına gelir.

Önemli: Sisteminizde SELinux etkinse, mkhomedir tarafından otomatik olarak giriş dizinleri oluşturulmasına izin verecek bir kural eklemeniz gerekir.

Daha fazla bilgi için OpenLDAP Yazılımı belge kataloğundan uygun belgelere bakın.

Özet

LDAP, bir dizin hizmetini sorgulamak ve değiştirmek için yaygın olarak kullanılan bir protokoldür. Bu kılavuzda, Ubuntu ve CentOS istemci makinelerinde bir LDAP istemcisinin harici bir kimlik doğrulama kaynağına bağlanacak şekilde nasıl yapılandırılacağını gösterdik. Aşağıdaki geri bildirim formunu kullanarak sorularınızı veya yorumlarınızı bırakabilirsiniz.