241
правка
Школьный сервер LDAP + Kerberos + NFS: различия между версиями
Материал из IT в школе
Перейти к навигацииПерейти к поиску
Школьный сервер LDAP + Kerberos + NFS (просмотреть исходный код)
Версия 11:47, 25 июня 2025
, 25 июньНастройка LDAP + Kerberos клиентского компьютера.
Dkirienko (обсуждение | вклад) |
Dkirienko (обсуждение | вклад) (Настройка LDAP + Kerberos клиентского компьютера.) |
||
| Строка 1: | Строка 1: | ||
| Строка 228: | Строка 229: | ||
[realms] | [realms] | ||
SCH179.LOCAL = { | SCH179.LOCAL = { | ||
kdc = | kdc = 127.0.0.1 | ||
admin_server = | admin_server = 127.0.0.1 | ||
} | } | ||
| Строка 322: | Строка 323: | ||
===NSS и PAM=== | ===NSS и PAM=== | ||
Измените `/etc/nsswitch.conf | Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие: | ||
<syntaxhighlight> | <syntaxhighlight lang="ini"> | ||
passwd: files sss | passwd: files sss | ||
shadow: files sss | shadow: files sss | ||
| Строка 350: | Строка 351: | ||
su - dk | su - dk | ||
</syntaxhighlight> | </syntaxhighlight> | ||
== Настройка клиента == | |||
Установите нужные пакеты.<syntaxhighlight lang="bash"> | |||
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients | |||
</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini"> | |||
[sssd] | |||
domains = sch179.local | |||
services = nss, pam | |||
[domain/sch179.local] | |||
id_provider = ldap | |||
auth_provider = krb5 | |||
ldap_uri = ldap://192.168.1.82 | |||
ldap_search_base = dc=sch179,dc=local | |||
ldap_id_use_start_tls = false | |||
ldap_tls_reqcert = never | |||
krb5_realm = SCH179.LOCAL | |||
krb5_server = 192.168.1.82 | |||
cache_credentials = true | |||
enumerate = true | |||
</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash"> | |||
chown root:root /etc/sssd/sssd.conf | |||
chmod 600 /etc/sssd/sssd.conf | |||
</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini"> | |||
passwd: files sss | |||
shadow: files sss | |||
group: files sss | |||
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini"> | |||
[libdefaults] | |||
default_realm = SCH179.LOCAL | |||
dns_lookup_realm = false | |||
dns_lookup_kdc = false | |||
ticket_lifetime = 24h | |||
renew_lifetime = 7d | |||
forwardable = true | |||
[realms] | |||
SCH179.LOCAL = { | |||
kdc = 192.168.1.82 | |||
admin_server = 192.168.1.82 | |||
} | |||
[domain_realm] | |||
.sch179.local = SCH179.LOCAL | |||
sch179.local = SCH179.LOCAL | |||
</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера. | |||
Запустите службы.<syntaxhighlight lang="bash"> | |||
systemctl enable --now sssd | |||
systemctl enable --now oddjobd | |||
</syntaxhighlight>Теперь проверьте работу всех сервисов. | |||
Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash"> | |||
getent passwd dk | |||
</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight> | |||
kinit dk | |||
</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash"> | |||
klist | |||
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash"> | |||
kdestroy | |||
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash"> | |||
su - dk | |||
</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере. | |||
