Egy elképzelt hálózat összeállítása a Debian GNU/Linux Etch verziójának segítségével

A rendszer konfigurálása a proxy szerveren

Telepítsük fel a szükséges csomagot, majd másoljuk a megfelelő helyre a CA.crt fájlt, illetve másoljuk át a samba nevű gépről az ldap.conf fájlt, és írjuk át a HOST változóhoz tartozó értéket 192.168.10.250-re.

# apt-get install openssl
# scp samba:/etc/ssl/certs/CA.crt /etc/ssl/certs/
# scp samba:/etc/ldap/ldap.conf /etc/ldap/

Telepítenünk kell azokat a csomagokat, amelyek segítségével a rendszerünk látni fogja az adatbázisban lévő felhasználókat és csoportokat.

# apt-get install libpam-ldap libnss-ldap

Válaszok a kérdésekre.^6.5

LDAP server Uniform Resource Identifier: ldaps://samba.akarmi.intra/
Distinguished name of the search base: dc=akarmi,dc=intra
LDAP version to use: 3
LDAP account for root: cn=admin,dc=akarmi,dc=intra
LDAP root account password: mindegy_mit_adunk_meg
Make local root Database admin. No
Does the LDAP database require login? No

Azért nem kell megadnunk az LDAP helyes root jelszavát, mert nincs rá szükség, és a következő parancs kiadásakor a rendszer tudomására is tudjuk ezt hozni.

Mindenképpen futtassuk a következő parancsokat, mielőtt tovább lépnénk!

# dpkg-reconfigure -plow libnss-ldap

Válaszok a kérdésekre:

LDAP server Uniform Resource Identifier: ldaps://samba.akarmi.intra/
Distinguished name of the search base: dc=akarmi,dc=intra
LDAP version to use: 3
Does the LDAP database require login? No
Special LDAP privileges for root? No
Make the configuration file readable/writeable by its owner only? No

# dpkg-reconfigure -plow libpam-ldap

Válaszok a kérdésekre:

LDAP server Uniform Resource Identifier: ldaps://samba.akarmi.intra/
Distinguished name of the search base: dc=akarmi,dc=intra
LDAP version to use: 3
Make local root Database admin. No
Does the LDAP database require login? No
Local crypt to use when changing passwords. md5

A /etc/nsswitch.conf fájlban ki kell javítani az alább láthatóra a megfelelő sorokat.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

A getent passwd és a getent group parancsokkal ellenőrizni tudjuk, hogy valóban látja-e a rendszerünk az adatbázisban lévő felhasználókat és csoportokat.

Mivel ezen a gépen mindössze a proxy szolgáltatást szeretnénk igénybevenni, nem kell az összes /etc/pam.d könyvtárban lévő fájlt átalakítani. Csak létre kell hoznunk egy squid nevű fájlt^6.6 ebben a könyvtárban a következő tartalommal:

auth     required pam_ldap.so
account  required pam_ldap.so

Kosa Attila
2009-03-23

Közvetlen e-mail küldése: