Ricerca nel sito web

Come aggiungere un sistema Rocky Linux a un server OpenLDAP

Su questa pagina

  1. Prerequisiti
  2. Verifica degli utenti OpenLDAP
  3. Impostazione del file Hosts e FQDN
  4. Installazione del client OpenLDAP e dei pacchetti SSSD
  5. Modifica del profilo di autenticazione in SSSD
  6. Configurazione del client OpenLDAP e dei servizi SSSD
  7. Prova
  8. Conclusione

Dopo aver completato l'installazione di OpenLDAP, dovrai anche aggiungere un computer client per l'autenticazione sul tuo server OpenLDAP.

Esistono molti modi per aggiungere una macchina client al server OpenLDAP, uno di questi è utilizzare il servizio SSSD. Il servizio SSSD è disponibile su quasi tutti i repository di distro Linux (con un nome diverso del pacchetto), il che semplifica l'amministrazione e velocizza il provisioning delle macchine client OpenLDAP.

In questo tutorial imparerai come configurare e aggiungere il sistema Rocky Linux al server OpenLDAP utilizzando il servizio SSSD.

Prerequisiti

  • Un server con OpenLDAP è installato e configurato.
  • Un client Rocky Linux. Questo esempio usa Rocky Linux 8.5.
  • Un utente non root con i privilegi di root configurati.

Controllo degli utenti OpenLDAP

Inizialmente controllerai l'elenco degli utenti disponibili sul server OpenLDAP. Quindi assicurati di eseguire il seguente comando sul tuo server OpenLDAP.

In questo esempio, il server OpenLDAP è in esecuzione con il nome di dominio ldap.mydomain.io.

Controllare l'elenco degli utenti disponibili su OpenLDAP utilizzando il comando ldapsearch di seguito.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

Ora dovresti vedere un elenco di utenti sul server OpenLDAP. Nello screenshot qui sotto, c'è un utente OpenLDAP di nome john che verrà utilizzato per il test.

Configurazione del file host e FQDN

Prima di installare qualsiasi pacchetto, dovrai impostare l'FQDN (Fully Qualified Domain Name) della macchina Rocky Linux e impostare il file /etc/hosts per definire il dominio del server OpenLDAP.

In questo esempio, ldap.mydomain.io è in esecuzione sull'indirizzo IP 192.168.10.50. E il client Rocky Linux è in esecuzione con l'indirizzo IP 192.168.10.80.

Esegui il comando hostnamectl di seguito per impostare l'FQDN di Rocky Linux su RockyLinux.mydomain.io.

sudo hostnamectl set-hostname RockyLinux.mydomain.io

Ora modifica la configurazione /etc/hosts usando l'editor nano.

sudo nano /etc/hosts

Aggiungi il nome di dominio e l'indirizzo IP del server OpenLDAP seguiti dai dettagli del client Rocky Linux come di seguito.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.80 RockyLinux.mydomain.io RockyLinux

Salva e chiudi il file quando hai finito.

Successivamente, eseguire il seguente comando per verificare l'FQDN del sistema Rocky Linux e verificare la connessione tra il sistema Rocky Linux e il server OpenLDAP.

sudo hostname -f
sudo ping -c3 ldap.mydomain.io

Dovresti ricevere un output come lo screenshot qui sotto. L'FQDN del sistema Rocky Linux è RockyLinux.mydomain.io e la connessione al server OpenLDAP ha esito positivo.

Installazione del client OpenLDAP e dei pacchetti SSSD

Dopo aver configurato il file FQDN e Hosts sul sistema Rocky Linux. Ora dovrai installare il client OpenLDAP e l'SSSD sulla macchina Rocky Linux.

Il client OpenLDAP deve essere installato sul computer client e il servizio SSSD gestirà tutta l'autenticazione al server OpenLDAP.

L'SSSD o System Security Service Daemon viene spesso utilizzato per registrare macchine Linux al server IPA, Active Directory e al dominio LDAP.

Esegui il comando dnf di seguito per installare il pacchetto client OpenLDAP, il pacchetto del servizio SSSD con supporto LDAP aggiuntivo e il pacchetto oddjob-mkhomedir per creare automaticamente la home directory per gli utenti OpenLDAP.

sudo dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir

Attendere il completamento dell'installazione di tutti i pacchetti.

Modifica del profilo di autenticazione in SSSD

Dopo aver installato i pacchetti client OpenLDAP e i pacchetti SSSD, ora configurerai l'autenticazione del sistema e l'origine dell'identità per il servizio SSSD.

E questo può essere fatto utilizzando il comando authselect, che semplifica agli amministratori la gestione dell'autenticazione predefinita e dell'origine dell'identità per i sistemi basati su RHEL, incluso Rocky Linux.

Esegui il comando authselect di seguito per elencare i profili di autenticazione e identità disponibili.

authselect list

Dovresti vedere più fonti di autenticazione e identità come NIS, SSSD e Winbind.

Modifica il profilo di autenticazione e identità predefinito in sssd utilizzando il comando authselect di seguito. Inoltre, l'opzione with-mkhomedir è necessaria per impostare automaticamente la creazione della home directory per tutti gli utenti.

authselect select sssd with-mkhomedir --force

Ora dovresti ottenere l'output come lo screenshot qui sotto. Il profilo di autenticazione sssd è selezionato come profilo predefinito sulla tua macchina Rocky Linux.

Inoltre, dovrai avviare e abilitare il servizio oddjobd utilizzando il comando seguente.

sudo systemctl enable --now oddjobd.service

Ora controlla e verifica il servizio oddjobd per assicurarti che sia attivo e funzionante.

sudo systemctl status oddjobd.service

Dovresti vedere l'output come lo screenshot qui sotto.

Configurazione del client OpenLDAP e dei servizi SSSD

Ora è il momento di configurare il client OpenLDAP e impostare il servizio SSSD.

Modifica la configurazione del client OpenLDAP /etc/openldap/ldap.conf utilizzando l'editor nano.

sudo nano /etc/openldap/ldap.conf

Definire il server OpenLDAP e il nome del dominio di ricerca di base. Assicurati di cambiare il nome del dominio con il tuo dominio.

URI ldap://ldap.mydomain.io/
BASE dc=mydomain,dc=io

Salva e chiudi il file quando hai finito.

Successivamente, crea una nuova configurazione del servizio SSSD /etc/sssd/sssd.conf utilizzando l'editor nano.

sudo nano /etc/sssd/sssd.conf

Copia la seguente configurazione e assicurati di modificare ldap_uri e ldap_search_base con il tuo server OpenLDAP. Quindi incolla la configurazione.

[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://ldap.mydomain.io/
ldap_search_base = dc=mydomain,dc=io
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = allow

[sssd]
services = nss, pam, autofs
domains = default

[nss]
homedir_substring = /home

Salva e chiudi il file.

Ora modifica l'autorizzazione della configurazione del servizio SSSD in 0600. Ciò proteggerà la configurazione e la renderà accessibile solo al proprietario.

sudo chmod 0600 /etc/sssd/sssd.conf

Infine, riavvia e verifica il servizio SSSD per applicare una nuova configurazione utilizzando il comando systemctl di seguito.

sudo systemctl restart sssd
sudo systemctl status sssd

Dovresti vedere che lo stato corrente del servizio SSSD è attivo (in esecuzione).

Test

A questo punto, hai aggiunto la macchina Rocky Linux al server OpenLDAP utilizzando il servizio SSSD. Ora verifichiamo la nostra configurazione.

In questo esempio, testeremo l'installazione accedendo al computer client Rocky Linux con l'utente OpenLDAP john.

Nell'esempio seguente, è stato effettuato l'accesso al computer client Rocky Linux con l'utente john. Puoi vedere che il numero uid e gid definito corrisponde all'utente john sul server OpenLDAP.

Facoltativamente, puoi anche provare ad accedere al computer client Rocky Linux tramite la connessione SSH, ma utilizzando ancora l'utente OpenLDAP.

Di seguito l'utente john è connesso correttamente alla macchina Rocky Linux tramite una connessione SSH.

ssh

Conclusione

Congratulazioni! Ora hai aggiunto correttamente la macchina client Rocky Linux al server OpenLDAP tramite il servizio SSSD. Questa guida può essere applicata anche alle distribuzioni generali basate su RHEL come CentOS, AlmaLinux e Fedora.