SSH

Материал из Энциклопедия Хаб.ру
Перейти к: навигация, поиск

Авторизация SSH через Active Directory

Водные данные:

Домен: domain.org
Домен контроллер: dc

Конфигурация /etc/nssswitch.conf

 # /etc/nsswitch.conf
 #
 # Example configuration of GNU Name Service Switch functionality.
 # If you have the `glibc-doc-reference' and `info' packages installed, try:
 # `info libc "Name Service Switch"' for information about this file.
 
  passwd:         compat ldap
  group:          compat ldap
  shadow:         compat ldap
 
  hosts:          files dns
  networks:       files
 
  protocols:      db files
  services:       db files
  ethers:         db files
  rpc:            db files
 
  netgroup:       nis

/etc/ldap/ldap.conf

#
# LDAP Defaults
#
 
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
 
BASE    dc=domain,dc=org
URI     ldap://dc.domain.org
 
#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

Измененная часть /etc/ldap.conf

   25
   26 # The distinguished name of the search base.
   27 base dc=domain,dc=org
   28
   29 # Another way to specify your LDAP server is to provide an
   30 #uri ldapi:///
   31 # Unix Domain Sockets to connect to a local LDAP Server.
   32 uri ldap://dc.domain.org/
   33 #uri ldaps://127.0.0.1/
   34 #uri ldapi://%2fvar%2frun%2fldapi_sock/
   35 # Note: %2f encodes the '/' used as directory separator
   36
   37 # The LDAP version to use (defaults to 3
   38 # if supported by client library)
   39 ldap_version 3

/etc/krb5.conf

[libdefaults]
default_realm = DOMAIN.ORG
#default_keytab_name = FILE:/etc/krb5.keytab
 
 
[realms]
DC.DOMAIN.ORG = {
kdc = .domain.org:88
admin_server = dc.domain.org:749
default_domain = RG.NET
}
 
[domain_realms]
.domain.org = DOMAIN.ORG
domain.org = DOMAIN.ORG
[appdefaults]
        kinit = {
        renewable = true
        forwardable= true
        }


Тестирование:

getent group   
getent passw

Положительный результат тестирования: в выводе будут видны пользователи и группы из Active Directory

Еще один тест - поиск в базе из СLI:

ldapsearch -D "user@domain.org"

Одна из причин отрицательного результата может выражаться в недоступности домена контроллера, тогда в логах можно увидеть подобные записи:

Sep 21 17:27:20 test nslcd[30569]: [495cff] ldap_result() failed: Can't contact LDAP server
Sep 21 17:27:20 test nslcd[30569]: [495cff] connected to LDAP server ldap://dc.domain.org/
Sep 21 17:27:20 test nslcd[30569]: [495cff] ldap_result() failed: Operations error
Sep 21 17:27:20 test nslcd[30569]: [495cff] ldap_result() failed: Operations error
Источник — «http://www.hub.ru/wiki/SSH»
Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты