1. 软件安装和基本配置
//软件安装
$ sudo apt update
$ sudo apt install libnss-ldap libpam-ldap ldap-utils nscd sudo-ldap
安装上面的软件时,会跳出 UI 页面,进行 ldap 的基本配置。
//配置 openldap 服务器
image.png
//配置搜索域
image.png
//配置 ldap 版本
image.png
//是否使用本地管理用户密码
image.png
//连接ldap是否需要登录
image.png
//配置连接ldap的用户
image.png
//配置连接ldap用户的密码
image.png
//问题:如果 root 未设置密码,会出现下面的报错
Refusing to remove sudo.
dpkg: error processing package sudo (--remove):
installed sudo package pre-removal script subprocess returned error exit status 1
Errors were encountered while processing:
sudo
E: Sub-process /usr/bin/dpkg returned an error code (1)
配置完成后,所做的设置保存在/etc/ldap.conf文件中,所以您后续可以直接修改这个文件,进行再次配置。
2. 认证配置
上面安装的时候,已经进行了基本的配置,但还需要进一步配置。
//关闭 tls-check,由于我们是私有证书
$ sudo nano /etc/ldap.conf
...
tls_checkpeer no
//开启 ldap 认证
$ sudo nano /etc/nsswitch.conf
...
passwd: compat systemd ldap
group: compat systemd ldap
...
sudoers: files ldap
//开启自动创建用户家目录,末尾添加以下内容
$ sudo nano /etc/pam.d/common-session
...
session required pam_mkhomedir.so skel=/etc/skel umask=077
//重启服务
$ sudo systemctl restart nscd
$ sudo systemctl enable nscd
3. 用户测试
//查看用户
$ id jack
uid=55776(jack) gid=0(root) groups=503(sudo-admin),0(root)
//切换 openldap 用户测试
$ sudo su - jack
Creating directory '/home/users/jack'.
//从服务器检查特定用户的LDAP条目,也可以使用这种方法
$ getent passwd jack
jack:x:55776:0:jackzang:/home/users/jack:/bin/bash
4. 配置和测试 sudo
//获取 ca 证书
$ openssl s_client -connect openldap.xiodi.cn:636 -showcerts < /dev/null | openssl x509 -text
...
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
$ nano /etc/ssl/cacert.crt
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
//配置 sudo
$ sudo nano /etc/ldap/ldap.conf
URI ldap://openldap.xiodi.cn
BINDDN cn=client search,ou=admin,dc=xiodi,dc=cn
BINDPW xiodi.cn
bind_timelimit 30
timelimit 30
sudoers_base ou=sudoers,dc=xiodi,dc=cn
sudoers_debug 0
sudoers_timed yes
TLS_REQCERT allow
TLS_CACERT /etc/ssl/cacert.crt
[warning]经过多次测试,无法使用
ldaps的方式,后续有解决方案时,再更新。
//测试
jackzang@u1820041:~$ sudo su - jack
jack@u1820041:~$ sudo su - root //使用jack用户执行 sudo 测试
root@u1820041:~#
