Tài liệu Thiết lập hệ thống mạng Ubuntu quản lý tập trung với LDAP doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.26 MB, 14 trang )

Ứ
NG

MÁY TÍNH XÁCH TAY

MAIL SERVER

DATABASE

MR. MICROSOFT

M
ẠNG LAN, WAN

BẢO MẬ
T

VIRUS - SPYWARE

HACKER

CISCO LAB

MICROSOFT LAB

E-BOOKS

DOWNLOADS

TH
Ủ
THU
Ậ
T

TIN H
ỌC VĂN PHÒNG

ĐỒ
H
ỌA MÁY TÍNH

DOANH NGHIỆ
P CNTT

H
ỎI - ÐÁP

VIẾT BÀI



QuanTriMang.com
nmlkji

Search
NHÀ TÀI TRỢ
TRANGCH
Ủ

::>>
H
Đ
HUNIX

LINUX

Thiế
tl
ậphệth
ố
ngmạngUbuntuquảnlýtậptrungv
ớ
iLDAP
-

21/3/2008 12h:10

1. Giới thiệu

Trong t
ươ
ng lai không xa, ph
ầ
n m

ề
m mã ngu
ồ
n m
ở
và mi
ễ
n phí r
ấ
t có th
ể
s
ẽ
tr
ở
thành m
ộ
t l
ự
a ch
ọ
n t
ấ
t
y
ế
u
đố
i v
ớ

i các t
ổ
ch
ứ
c/doanh nghi
ệ
p. V
ớ
i
ư
u
đ
i
ể
m mã ngu
ồ
n m
ở
, dễ
dàng m
ở
r
ộ
ng, ho
ạ
t
độ
ng
ổ
n

đị
nh
…
l
ĩ
nh v
ực ứ
ng d
ụ
ng này
đ
ang ngày càng ch
ứ
ng t
ỏ
tính kh
ảd
ụ
ng và hi
ệ
u qu
ảc
ủ
a nó.

H
ầ
u h
ế

t các t
ổ
ch
ứ
c/doanh nghi
ệp đề
u c
ầ
n
đế
n m
ộ
t h
ệ
th
ố
ng m
ạ
ng n
ộ
i b
ộđể
h
ỗ
tr
ợ
x
ử
lý công vi
ệc

th
ườ
ng ngày,
đ
i
ề
u hành ho
ạ
t
độ
ng, ph
ố
i h
ợ
p làm vi
ệc…

Bài vi
ế
t s
ẽ
h
ướ
ng d
ẫ
n các b
ướ
c xây d
ự
ng h

ệ
th
ố
ng m
ạ
ng Ubuntu qu
ả
n lý t
ậ
p trung v
ớ
i LDAP, m
ộ
t gi
ả
i
pháp hoàn toàn có th
ể
thay th
ế
h
ệ
th
ố
ng m
ạ
ng Microsoft Windows v
ớ
i Active Directory.

2. Yêu cầu hệthống

Chúng ta s
ửd
ụng
03
máy tính v
ớ
i thông tin nh
ư
sau:

●
Máy tính Ubuntu server:
❍
Đị
a ch
ỉ
IP: 192.168.10.2
❍
DNS server: 192.168.10.2
❍
Tên máy: ubuntu
-
server

●
Máy tính Ubuntu desktop 01:
❍

Đị
a ch
ỉ
IP: 192.168.10.12
❍
DNS server: 192.168.10.2
❍
Tên máy: ubuntu
-desktop01

●
Máy tính Ubuntu desktop 02:
❍
Đị
a ch
ỉ
IP: 192.168.10.14
❍
DNS server: 192.168.10.2
❍
Tên máy: ubuntu
-desktop02
3. Cấu hình hệthống

3.1. Cấ
u hình ubuntu
-
server

Trên máy ubuntu

-
server, chúng ta th
ự
c hi
ệ
n:

●
Cài
đặ
t và c
ấ
u hình DNS server v
ớ
i ph
ầ
n m
ề
m BIND.

❍
Domain name: bits.com.vn
❍
B
ổ
sung 02 Host (A) record t
ươ
ng
ứ
ng v

ớ
i 02 máy tr
ạ
m Ubuntu vào DNS server:

ubuntu
-
desktop01.bits.com.vn 192.168.10.12
ubuntu
-
desktop02.bits.com.vn 192.168.10.14

●
Cài
đặ
t và c
ấ
u hình LDAP server v
ớ
i ph
ầ
n m
ề
m OpenLDAP.

❍
B
ổ
sung 02 account t
ươ

ng
ứ
ng v
ớ
i 02 máy tr
ạ
m Ubuntu vào LDAP server:

NHÀ TÀI TRỢ

/>Account 01
-
tthai:********

Account 02
-
ctbach:********

Các bướ
c th
ự
c hi
ệ
n l
ầ
n l
ượ
t nh
ư
sau:

Cài đặt và cấu hình DNS server với phần mềm BIND
1. Cài đặt Ubuntu server, phiên bản 7.10

Trong quá trình cài
đặ
t, thi
ế
t l
ậ
p các thông s
ố
sau:

●
Đị
a ch
ỉ
IP: 192.168.10.2
●
DNS server: 192.168.10.2
●
Netmask: 255.255.255.0
●
Tên máy: ubuntu
-
server
●
Ph
ầ

n m
ề
m: ch
ọ
n các gói cài
đặ
t cho DNS server
2. Cấu hình DNS server
Ph
ầ
n m
ề
m dùng
để
xây d
ự
ng DNS server trên Ubuntu là BIND (Berkeley Internet Name Domain).
Chúng ta s
ẽ
thao tác trên các file c
ủ
a BIND
đểcấ
u hình DNS server. Các b
ướ
c th
ự
c hi
ệ
n nh

ư
sau:
● Sao chép dự
phòng các file c
ủ
a BIND:

tthai@ubuntu-server:~$ sudo -i
[sudo] password for tthai:
root@ubuntu-server:~#
root@ubuntu-server:~# mkdir /backup
root@ubuntu-server:~# cp -R /etc/bind /backup

● Cấ
u hình BIND:
Hi
ệ
u ch
ỉ
nh file c
ấ
u hình chính c
ủ
a BIND
-
/
etc/bind/named.conf
- bằ
ng cách b
ổ

sung các dòng sau
vào cu
ố
i file:

root@ubuntu-server:~# vim /etc/bind/named.conf

// The zone definition
zone “bits.com.vn” {
type master;
file “/etc/bind/zones/bits.com.vn.db”;
};
// The zone definition for reverse DNS
zone “10.168.192.in-addr.arpa” {
type master;
file “/etc/bind/zones/rev.10.168.192.in-addr.arpa”;
};

Hi
ệ
u ch
ỉ
nh file /etc/bind/named.conf.options
để
chuy
ể
n (forward) nh
ữ
ng yêu c
ầ

u mà DNS server
này không phân gi
ả
i
đượ
c:

root@ubuntu-server:~# vim /etc/bind/named.conf.options
options {

forwarders {
10.238.200.1;
10.238.200.8;
10.238.200.12;
};
};

T
ạ
o các file zone:

❍
/etc/bind/zones/bits.com.vn.db: dùng cho vi
ệ
c l
ư
u tr
ữcác cặ
p IP address/machine name
để

DNS server này phân gi
ả
i.
❍
/etc/bind/zones/rev.10.168.192.in
-
addr.arpa: dùng cho m
ụ
c đ
ích phân gi
ả
i ng
ược.

root@ubuntu-server:~# mkdir /etc/bind/zones
root@ubuntu-server:~# vim /etc/bind/zones/bits.com.vn.db
$TTL 604800
@ IN SOA ubuntu-server.bits.com.vn. admin.bits.com.vn.
(
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800) ; Negative Cache TTL
;
; Replace the following line as necessary:
; ns1 = DNS server name
; mail = Mail server name
; bits.com.vn. IN MX 10 mail.bits.com.vn.
@ IN NS ubuntu-server.bits.com.vn.

@ IN A 192.168.10.2
ubuntu-server.bits.com.vn. IN A 192.168.10.2
root@ubuntu-server:~# vim /etc/bind/zones/rev.10.168.192.in-
addr.arpa
; The number before IN PTR ubuntu-server.bits.com.vn is
; the machine address of the DNS server. In this case, it’s
; 2, as my IP address is 192.168.10.2.
$TTL 604800
@ IN SOA ubuntu-server.bits.com.vn. admin.bits.com.vn.
(
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800) ; Negative Cache TTL
;
@ IN NS ubuntu-server.bits.com.vn.
2 IN PTR ubuntu-server.bits.com.vn.
Hi
ệ
u ch
ỉ
nh file /etc/resolv.conf
để
li
ệ
t kê danh sách các DNS server trong m
ạ
ng c
ủ

a mình:
root@ubuntu-server:~# vim /etc/resolv.conf
search bits.com.vn
nameserver 192.168.10.2
●
Kh
ở
i
độ
ng l
ạ
i d
ị
ch v
ụ
BIND:

root@ubuntu-server:~# /etc/init.d/bind9 restart

●
Ki
ể
m tra DNS server v
ớ
i ti
ệ
n ích dig (domain information groper). dig là ti
ệ
n ích truy v
ấ

n d
ữ
li
ệ
u
trên DNS server (DNS lookup utility). Ti
ệ
n ích này s
ẽ
tìm ki
ế
m trên DNS server và hi
ể
n th
ị
thông
tin do DNS server tr
ả
v
ề.

root@ubuntu-server:~# dig bits.com.vn

Bên c
ạ
nh
đ
ó, chúng ta c
ũ
ng c

ầ
n s
ửd
ụ
ng ti
ệ
n ích ping
để
ki
ể
m tra:
root@ubuntu-server:~# ping bits.com.vn
root@ubuntu-server:~# ping ubuntu-server
root@ubuntu-server:~# ping ubuntu-server.bits.com.vn
Cài
đặ
t và cấ
u hình LDAP server v
ớ
i ph
ầ
n m
ề
m OpenLDAP
1. Cài đặt OpenLDAP
Ph
ầ
n m
ề
m dùng

để
xây d
ự
ng LDAP server trên Ubuntu là OpenLDAP. Chúng ta s
ẽ
cài
đặ
t các ph
ầ
n
m
ề
m và ti
ệ
n ích c
ầ
n thi
ế
t
để
thi
ế
t l
ậ
p LDAP server, bao g
ồ
m:
● slapd (OpenLDAP Server
-
OpenLDAP standalone server)

: ph
ầ
n m
ề
m này
đượ
c dùng
để
t
ạo
ra m
ộ
t standalone directory service và bao g
ồ
m c
ả
slurpd replication server.

● ldap
-
utils (OpenLDAP Utilities)
: gói này ch
ứ
a các ti
ệ
n ích dùng
để
truy c
ậ
p LDAP server c

ụ
c
bộ
ho
ặ
c t
ừ
xa (local or remote). ldap
-
utils c
ũ
ng ch
ứ
a t
ấ
t c
ả
các ch
ươ
ng trình c
ầ
n thi
ế
t (required
client programs)
để
truy c
ậ
p các LDAP server.

● db4.2
-
util (Berkeley v4.2 Database Utility)
: gói này ch
ứ
a các công c
ụ
(
tools)
đượ
c dùng
để
thao tác (manipulating) v
ớ
i các c
ơ
s
ở
dữ
li
ệ
u có
đị
nh d
ạ
ng là Berkeley v4.2 Database.
Các bướ
c th
ự
c hi

ệ
n nh
ư
sau:
● Cậ
p nh
ậ
t danh m
ụ
c ph
ầ
n m
ề
m (package list) trên Ubuntu và cài
đặ
t OpenLDAP:

tthai@ubuntu-server:~$ sudo -i
[sudo] password for tthai:
root@ubuntu-server:~#
root@ubuntu-server:~# aptitude update
root@ubuntu-server:~# apt-get install slapd
root@ubuntu-server:~# apt-get install ldap-utils
root@ubuntu-server:~# apt-get install db4.2-util
Lưu ý
: khi cài
đặ
t các gói slapd, ldap
-
utils, db4.2

-
util, h
ệ
th
ố
ng c
ầ
n s
ửd
ụng
đĩ
a CD ch
ứ
a Ubuntu
server 7.10.
2. Cấu hình LDAP server
Chúng ta s
ẽ
thao tác trên các file c
ủ
a OpenLDAP
đểcấ
u hình LDAP server. Các b
ướ
c th
ự
c hi
ệ
n nh
ư

sau:
● Sao chép dự
phòng các file c
ủ
a OpenLDAP:
root@ubuntu-server:~# cp -R /etc/ldap /backup

● Sửd
ụ
ng ti
ệ
n ích slappasswd
để
mã hóa m
ậ
t kh
ẩ
u admin và l
ư
u chu
ỗ
i ký t
ự
mã hóa vào cu
ố
i
file /etc/ldap/slapd.conf:
root@ubuntu-server:~# slappasswd >> /etc/ldap/slapd.conf
New password:
Re-enter new password:

● Cấ
u hình OpenLDAP:
Hi
ệ
u ch
ỉ
nh file /etc/ldap/slapd.conf (file c
ấ
u hình chính c
ủ
a OpenLDAP) nh
ư
sau:

root@ubuntu-server:~# vim /etc/ldap/slapd.conf
suffix “dc=bits,dc=com,dc=vn”
rootdn “cn=admin,dc=bits,dc=com,dc=vn”
# password này do tiện ích ldappasswd tạo ra.
rootpw {SSHA}AwiGYep3HmBbL5rQka4Bchd4g8ofhnXC
directory “/var/lib/ldap”
# Set change password permission
access to attrs=userPassword,shadowLastChange
by dn=“cn=admin,dc=bits,dc=com,dc=vn” write
by anonymous auth
by self write
by * none
# Ensure read access to the base for things like
# supportedSASLMechanisms.
access to dn.base=“” by * read

# The admin dn has full write access, everyone else can
# read everything.
access to *
by dn=“cn=admin,dc=bits,dc=com,dc=vn” write
by * read
Lưu ý
: gi
ữ
l
ạ
i nh
ữ
ng thi
ế
t l
ậ
p m
ặc
đị
nh c
ủ
a file /etc/ldap/slapd.conf không
được đềcập
ở
trên.

●
Kh
ở
i ch

ạ
y standalone LDAP server:
root@ubuntu-server:~# /etc/init.d/slapd start
Starting OpenLDAP: slapd
Đế
n b
ướ
c này, LDAP server
đ
ã s
ẵ
n sàng.
Để
bắ
t
đầ
u
đư
a server này vào ho
ạ
t
độ
ng, chúng ta c
ầ
n
bổ
sung các entry (th
ự
c th
ể-

user, group, ou
…
)
kh
ở
i t
ạ
o trên server.

●
B
ổ
sung các initial entry (th
ự
c th
ể
kh
ở
i t
ạ
o):
LDAP server có th
ểbổ
sung các entry b
ằ
ng câu l
ệ
nh ho
ặ

c t
ừ
các file có
đị
nh d
ạ
ng ldif (ldap
directory interchange format). D
ướ
i
đ
ây, chúng ta t
ạ
o ra file init.ldif và l
ư
u vào th
ư
m
ụ
c /etc/ldap.
root@ubuntu-server:~# vim /etc/ldap/init.ldif
dn: dc=bits,dc=com,dc=vn
objectClass: dcObject
objectClass: organizationalUnit
dc: bits
ou: bits.com.vn
dn: cn=admin,dc=bits,dc=com,dc=vn
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin

description: LDAP administrator
userPassword: {SSHA}AwiGYep3HmBbL5rQka4Bchd4g8ofhnXC
dn: ou=users,dc=bits,dc=com,dc=vn
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=bits,dc=com,dc=vn
objectClass: organizationalUnit
ou: groups
dn: cn=ktm,ou=groups,dc=bits,dc=com,dc=vn
objectClass: posixGroup
cn: ktm
gidNumber: 5000
Lưu ý
: UID/GID trong bài vi
ế
t này
đượ
c thi
ế
t l
ậ
p theo qui
đị
nh sau:
❍
System account: UID < 500
❍
Real People in LDAP: 499 < UID < 10.000
❍
Local users, groups (not in LDAP): UID > 10.000

Th
ự
c hi
ệ
n các b
ướ
c nh
ư
sau
đểbổ
sung entry vào LDAP server:

D
ừ
ng d
ị
ch v
ụ
LDAP:
root@ubuntu-server:~# /etc/init.d/slapd stop

Xóa n
ộ
i dung
đ
ã t
ựđộ
ng t
ạ
o ra trong khi cài

đặ
t OpenLDAP:
root@ubuntu-server:~# rm -rf /var/lib/ldap/*

B
ổ
sung entry m
ớ
i:
root@ubuntu-server:~# slapadd -l init.ldif

Hi
ệ
u ch
ỉ
nh quy
ề
n trên c
ơ
s
ở
dữ
li
ệ
u:
root@ubuntu-server:~# chown -R openldap:openldap /var/lib/ldap

Kh
ở
i ch

ạ
y d
ị
ch v
ụ
LDAP:
root@ubuntu-server:~# /etc/init.d/slapd start
●
Ki
ể
m tra các entry v
ừa bổ
sung:

Chúng ta có th
ể
ki
ể
m tra các entry v
ừ
a m
ớ
i b
ổ
sung vào b
ằ
ng cách s
ửd
ụ
ng ti

ệ
n ích ldapsearch:
root@ubuntu-server:~# ldapsearch –xLLL –b “dc=bits,dc=com,dc=vn”
Trong
đ
ó:
❍ -
x: không s
ửd
ụ
ng ph
ươ
ng th
ứ
c th
ẩ
m
đị
nh SASL (m
ặc
đị
nh).
❍ -
LLL: vô hi
ệ
u hoá vi
ệ
c in thông tin LDIF.
❍ -
b: tìm ki

ế
m c
ơ
bả
n.
Nế
u các thao tác b
ổ
sung entry vào LDAP server
đượ
c th
ự
c hi
ệ
n m
ộ
t cách chính xác, ti
ệ
n ích
ldapsearch s
ẽ
hi
ể
n th
ị
thông tin v
ề
các entry này t
ươ
ng t

ự
nh
ư
n
ộ
i dung
đ
ã t
ạ
o trong
file /etc/init.ldif.
V
ớ
i các b
ước cấ
u hình nh
ư
trên, chúng ta
đ
ã hoàn thành thao tác cài
đặ
t và c
ấ
u hình LDAP server trên
máy tính ubuntu
-
server. Ti
ế
p theo, chúng ta ti
ế

n hành các thao tác cài
đặ
t và c
ấ
u hình các h
ệ
th
ố
ng máy
tr
ạ
m Ubuntu.
3.2. Cấ
u hình ubuntu
-
desktop01
Để
máy tr
ạ
m
đă
ng nh
ậ
p v
ớ
i tài kho
ả
n
đượ
c t

ạ
o ra trên LDAP server, chúng ta c
ầ
n th
ự
c hi
ệ
n các b
ước
cấ
u hình trên các file PAM (Pluggable Authentication Modules) và NSSWITCH (Name Service Switch)
trong Ubuntu. Các b
ướ
c th
ự
c hi
ệ
n nh
ư
sau:
1. Cài đặt LDAP client
Các ph
ầ
n m
ề
m và ti
ệ
n ích c
ầ
n ph

ả
i cài
đặ
t trên máy tr
ạ
m Ubuntu là:
● libpam
-
ldap
: th
ư
vi
ệ
n dùng
để
cho phép xác th
ự
c (allow for authentication) qua LDAP.

●
libnss
-
ldap
: th
ư
vi
ệ
n dùng
để
cho phép truy v

ấ
n thông tin v
ề
các session (allow session
information) qua LDAP.

●
nss
-
updatedb
: ti
ệ
n ích dùng
để
t
ạ
o ra m
ộ
t c
ơ
s
ở
dữ
li
ệ
u tài kho
ả
n c
ụ
c bộ

(
local database of the
user names). C
ơ
s
ở
dữ
li
ệ
u này
đượ
c dùng
để
kh
ắ
c ph
ụ
c tr
ườ
ng h
ợ
p m
ạ
ng b
ị
gi
ả
m t
ốc độ
truy c

ập
(network slowdown), ho
ặc b
ị
ng
ư
ng ho
ạ
t
độ
ng vì s
ựcố
(
outage).
Các bướ
c th
ự
c hi
ệ
n nh
ư
sau:
● Cậ
p nh
ậ
t danh m
ụ
c ph
ầ
n m

ề
m (package list) trên Ubuntu và cài
đặ
t libpam
-
ldap, libnss
-
ldap và
nss
-
updatedb:
ctbach@ubuntu-desktop01:~$ sudo -i
[sudo] password for ctbach:
root@ubuntu-desktop01:~#
root@ubuntu-desktop01:~# aptitude update
root@ubuntu-desktop01:~# apt-get install libpam-ldap
Khi cài
đặ
t th
ư
vi
ệ
n này, chúng ta c
ầ
n cung c
ấ
p các thông s
ố
:
❍ LDAP Server Uniform Resource Identifier: ldap://192.168.10.2

❍ Distinguished name of the search base: dc=bits,dc=com,dc=vn
❍ LDAP version to use: 3
❍ LDAP account for root: cn=admin,dc=bits,dc=com,dc=vn
❍ LDAP root account password: ******
root@ubuntu-desktop01:~# apt-get install libnss-ldap
Khi cài
đặ
t th
ư
vi
ệ
n này, chúng ta c
ầ
n cung c
ấ
p các thông s
ố
:
● LDAP account for root: cn=admin,dc=bits,dc=com,dc=vn
● LDAP root account password: ******
Chú ý
: m
ộ
t h
ộ
p tho
ạ
i xu
ấ
t hi

ệ
n, thông báo r
ằ
ng h
ệ
th
ố
ng không th
ể
qu
ả
n lý file nsswitch.conf m
ộ
t
cách t
ựđộ
ng. Chúng ta nh
ấ
n nút OK và s
ẽ
thay
đổ
i c
ấ
u hình c
ủ
a file này
ở
ph
ầ

n sau.
root@ubuntu-desktop01:~# apt-get install nss-updatedb
2. C
ấ
u hình LDAP client

Chúng ta s
ẽ
thao tác trên các file c
ủ
a PAM và NSSWITCH đểcấ
u hình LDAP client. Các b
ướ
c th
ực
hi
ệ
n nh
ư
sau:
● Sao chép dự
phòng các file c
ủ
a PAM và NSSWITCH:
root@ubuntu-desktop01:~# mkdir /backup
root@ubuntu-desktop01:~# cp /etc/nsswitch.conf /backup
root@ubuntu-desktop01:~# cp -R /etc/pam /backup

● Cấ
u hình NSSWITCH:

Hi
ệ
u ch
ỉ
nh file /etc/nsswitch.conf (file c
ấ
u hình chính c
ủ
a NSSWITCH). File này xác
đị
nh các
name service mà h
ệ
th
ố
ng s
ửd
ụng
để
truy v
ấ
n thông tin (search for information). File này c
ũ
ng ch
ỉ
ra th
ứ
th
ực
ủ

a các name service
để
h
ệ
th
ố
ng
ư
u tiên tìm ki
ế
m theo m
ộ
t th
ứ
t
ựđã đượ
c l
ập ra.
root@ubuntu-desktop01:~# vim /etc/nsswitch.conf
passwd: files ldap
group: files ldap
Ki
ể
m tra c
ấ
u hình v
ừ
a thi
ế
t l

ập bằ
ng cách th
ự
c hi
ệ
n 02 l
ệ
nh:
root@ubuntu-desktop01:~# getent passwd
root@ubuntu-desktop01:~# getent group
02 l
ệ
nh trên s
ẽ
li
ệ
t kê m
ậ
t kh
ẩ
u và các nhóm trên Ubuntu desktop và trên LDAP server.

● Cấ
u hình PAM:
Có 04 file c
ấ
u hình c
ủ
a PAM liên quan
đế

n LDAP:

❍ /etc/pam.d/common-account
❍ /etc/pam.d/common-auth
❍ /etc/pam.d/common-password
❍ /etc/pam.d/common-session
Hi
ệ
u ch
ỉ
nh các file này theo các b
ướ
c nh
ư
sau:
❍ root@ubuntu-desktop01:~# cd /etc/pam.d
❍ root@ubuntu-desktop01:/etc/pam.d# vim ./common-account
account sufficient pam_ldap.so
account required pam_unix.so
❍ root@ubuntu-desktop01:/etc/pam.d# vim ./common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
❍ root@ubuntu-desktop01:/etc/pam.d# vim ./common-password
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5
❍ root@ubuntu-desktop01:/etc/pam.d# vim ./common-session
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/
session optional pam_ldap.so
session optional pam_foreground.so

●
T
ạ
o th
ư
m
ụ
c dùng
để
l
ư
u tr
ữ
các th
ư
m
ụ
c home t
ươ
ng
ứ
ng v
ớ
i m
ỗ
i tài kho
ả
n
đă

ng nh
ậ
p vào máy
tr
ạ
m:
root@ubuntu-desktop01:~# mkdir /home/users
root@ubuntu-desktop01:~# mkdir /home/users/ktm
Chú ý
: n
ế
u không th
ự
c hi
ệ
n b
ướ
c này sau khi
đ
ã t
ạ
o tài kho
ả
n trên LDAP, chúng ta s
ẽ
g
ặ
p thông
báo l
ỗ

i trong quá trình
đă
ng nh
ậ
p vào máy tr
ạ
m Ubuntu.
❍
“
Authentication failed
”
. Nế
u xem trong file /var/log/auth.log, chúng ta s
ẽ
th
ấ
y nguyên nhân
c
ủ
a l
ỗ
i:
“
Unable to create directory /home/users/ktm/tthai
”
;
“
couldn
’
t open session for tthai

”
.
3. Tạo tài khoản đăng nhập với phpLDAPadmin
Đểđơ
n gi
ả
n trong vi
ệ
c qu
ả
n lý OpenLDAP server, chúng ta s
ửd
ụ
ng phpLDAPadmin.
Đ
ây là
ứ
ng d
ụng
web
đượ
c s
ửd
ụng
để
thao tác v
ớ
i OpenLDAP server.
Các bướ
c sau

đ
ây s
ẽ
giúp chúng ta cài
đặ
t và s
ửd
ụ
ng phpLDAPadmin trên máy tr
ạ
m Ubuntu
để
qu
ả
n lý
LDAP server.
Cài đặt phpLDAPadmin vớ
i l
ệnh
:
root@ubuntu-desktop01:~# apt-get install phpldapadmin
Cấu hình phpLDAPadmin
:
root@ubuntu-desktop01:~# cp -
R /usr/share/phpldapadmin /var/www/myphpldapadmin
root@ubuntu-desktop01:~#
cp /etc/phpldapadmin/config.php /etc/phpldapadmin/first.config.php
root@ubuntu-desktop01:~# rm /var/www/myphpldapadmin/config/config.php
root@ubuntu-desktop01:~# ln –
s /etc/phpldapadmin/first.config.php /var/www/myphpldapadmin/config/config.php

root@ubuntu-desktop01:~# chmod +r /etc/phpldapadmin/first.config.php
Truy cập phpLDAPadmin
:
●
T
ừcử
a s
ổ
trình duy
ệ
t, nh
ập
đị
a ch
ỉ
http://localhost/myphpldapadmin.
Nhấ
n vào nút Login
ở
panel bên trái, nh
ậ
p thông tin tài kho
ả
n root:
●
Login DN: cn=admin,dc=bits,dc=com,dc=vn
●
Password: ******
Nhấ
n nút Authenticate

đểđă
ng nh
ập.
Nế
u
đă
ng nh
ậ
p vào LDAP server thành công, h
ệ
th
ố
ng s
ẽ
thông báo:
Tạo tài khoản trên phpLDAPadmin
:
●
Kích vào m
ụ
c ou=users, ch
ọ
n Create new entry here, ch
ọ
n User Account. Nh
ấ
n nút Process>>.
●
Đ
i

ề
n thông tin liên quan
đế
n tài kho
ả
n và nh
ấ
n nút Process>>.
●
Xem l
ạ
i thông tin. Sau khi
đ
ã ch
ắ
c ch
ắ
n, nh
ấ
n nút Create Object.
●
Sau khi t
ạ
o xong, màn hình hi
ể
n th
ị
thông tin c
ủ
a tài kho

ả
n v
ừ
a t
ạo sẽ
xu
ấ
t hi
ệ
n.
●
Nh
ấ
n nút Add new attribute
để
thêm thu
ộ
c tính LoginShell.
Nhấ
n nút Add
để
hoàn thành thao tác t
ạ
o và hi
ệ
u ch
ỉ
nh tài kho
ả
n.

Đế
n b
ướ
c này, chúng ta nh
ấ
n nút
Logout và b
ắ
t
đầ
u ki
ể
m tra kh
ả
n
ă
ng ho
ạ
t
độ
ng c
ủ
a h
ệ
th
ố
ng LDAP trên Ubuntu.
3.3. Cấ
u hình ubuntu
-

desktop02
Th
ự
c hi
ệ
n các b
ướ
c t
ươ
ng t
ự
nh
ư
v
ớ
i máy tính ubuntu
-desktop01.
4. Kiể
m tra h
ệthống
Để
ki
ể
m tra h
ệ
th
ố
ng sau khi hoàn thành các b
ước cấ
u hình, t

ừ
máy tr
ạ
m ubuntu, chúng ta
đă
ng nh
ập
bằ
ng tài kho
ả
n
đượ
c t
ạ
o ra trên LDAP server. Trong tr
ườ
ng h
ợ
p c
ủ
a mình, trên máy ubuntu
-desktop01,
sau khi h
ệ
th
ố
ng kh
ở
i
độ

ng, chúng ta nh
ậ
p:
●
Username: tthai
●
Password: ******
H
ệ
th
ố
ng s
ẽ
thông báo:
“
Creating directory
‘
/
home/users/ktm/tthai
’”
,
chúng ta nh
ấ
n nút OK
để
hoàn
thành thao tác
đă
ng nh
ập.

Kết luận
Sửd
ụ
ng LDAP
để
xây d
ự
ng m
ạ
ng n
ộ
i b
ộ
theo mô hình client/server, v
ớ
i các máy tính Ubuntu là m
ộ
t gi
ả
i
pháp qu
ả
n lý t
ậ
p trung hi
ệ
u qu
ả
và ti
ế

t ki
ệ
m chi phí. V
ớ
i các b
ướ
c cài
đặ
t
đơ
n gi
ả
n, c
ấ
u hình d
ễ
dàng,
vi
ệ
c thi
ế
t k
ế
h
ệ
th
ố
ng m
ạ
ng n

ộ
i b
ộ
v
ớ
i LDAP và Ubuntu là hoàn toàn kh
ả
thi.
Phụlục 1 – Một sốthao tác hữu ích khi cấu hình LDAP trên Ubuntu
1. Cấu hình máy tính Ubuntu đểcho phép account trên LDAP server có thểchuyển sang
(sudo) account quản trịhệthống root
Để
cho phép account tthai trên LDAP server có th
ể
chuy
ể
n sang account root, trên máy tr
ạ
m Ubuntu,
chúng ta th
ự
c hi
ệ
n nh
ư
sau:
M
ở
file /etc/group, b
ổ

sung user01 vào dòng admin
…
# gedit /etc/group
Tìm
đế
n dòng admin:x:117:ctbach,administrator
B
ổ
sung user01 vào cu
ố
i dòng. Sau khi b
ổ
sung, chúng ta nh
ậ
n
được kế
t qu
ả
t
ươ
ng t
ự
nh
ư
sau:
admin:x:117:ctbach,administrator,tthai
Ti
ếp đế
n, c
ầ

n c
ậ
p nh
ậ
t password LDAP server
để
h
ệ
th
ố
ng Ubuntu có th
ể
hi
ể
u
đượ
c password
này:
root@ubuntu-server:~# passwd tthai
Enter login (LDAP) password: ******
New password: ******
Re-enter new password: ******
2. Sửdụng đĩa USB trên Ubuntu server
Để
s
ửd
ụng
được các
đĩ
a USB trên Ubuntu server (giao di

ệ
n dòng l
ệ
nh), chúng ta ph
ả
i th
ự
c hi
ệ
n thao tác
mount
đĩ
a USB vào Ubuntu server.
●
Đố
i v
ớ
i
đĩ
a USB thông th
ườ
ng (không có MP3):
root@ubuntu-server:~# mkdir /usb-disk
root@ubuntu-server:~# mount -t vfat /dev/sdb1 /usb-disk

●
Đố
i v
ớ
i

đĩ
a USB có tính n
ă
ng nghe nh
ạ
c MP3:
root@ubuntu-server:~# mkdir /usbmp3-disk
root@ubuntu-server:~# mount -t vfat /dev/sdb /usbmp3-disk

●
Khi
đ
ã s
ửd
ụ
ng xong, chúng ta nên ng
ắ
t k
ế
t n
ố
i gi
ữ
a Ubuntu server và
đĩ
a USB m
ộ
t cách an toàn
bằ
ng cách:

root@ubuntu-server:~# umount /usb-disk
root@ubuntu-server:~# umount /usbmp3-disk
3. Xem lỗi đăng nhập trên máy trạm Ubuntu
Để
xem
đượ
c các l
ỗ
i
đă
ng nh
ậ
p trên máy tr
ạ
m Ubuntu nh
ằ
m giúp chúng ta xác
đị
nh nguyên nhân phát
sinh l
ỗ
i trong quá trình Ubuntu
đă
ng nh
ậ
p qua LDAP, chúng ta m
ở
file /var/log/auth.log
Tài li
ệu tham khảo

1. OpenLDAP Server

2. LDAP Client Authentication

3. OpenLDAP Client Configuration Guide

4. Ubuntu User Document (good)

5. DNS Server Setup Using Bind in Ubuntu

/>using

bind

in
ubuntu.html
6. BIND9 Administrator Reference Manual

7. Installing phpLDAPadmin

8. An Introduction to LDAP

9. Introduction to LDAP (good)

10. LDAP mini HOWTO (good)

11. OpenLDAP 2.2 Administrator
’
s Guide

12. OpenLDAP Everywhere

13. LDAP Attributes

14. Berkeley v4.2 Database Utility
/>util

15. Berkeley Database

16. Berkeley Database

17. Performing Backup and Recovery with Berkeley DB

18. Chapter 19. I/O Redirection (Advanced Bash
–
Scripting Guide)

19. /etc/nsswitch.conf

Name Service Switch File

Tô Thanh H
ả
i
-

Email:

Phòng K
ỹ
thu
ật Mạ
ng Trung tâm Công ngh
ệ
Thông tin Th
ừ
a Thiên Hu
ế06 Lê Lợ
i, TP.
Hu
ế

Các bài m
ớ

i nh
ấ
t:
Mã t
ấ
n công Excel xu
ấ
t hi
ệ
n trên Internet

-

26/3

Yahoo gia nh
ậ
p n
ề
n t
ả
ng Google OpenSocial

-

26/3

Chính ph
ủ
t

ă
ng c
ườ
ng làm vi
ệ
c qua m
ạ
ng

-

26/3

Đ
ã cấ
p gi
ấ
y ch
ứ
ng nh
ậ
n
đầ
u t
ư
cho Samsung

-

26/3

Indonesia: Xem web "sex" s
ẽb
ị
ph
ạ
t 100.000USD và 6 n
ă
m tù

-

26/3

Microsoft có th
ể
nâng m
ứ
c giá mua l
ạ
i Yahoo

-

26/3

Intel ra m
ắ
t dòng chip máy ch
ủ

m
ớ
i

-

26/3

Hanel tr
ở
thành OEM c
ủ
a Intel

-

26/3

Tháng 6, Dell ra m
ắ
t laptop tích h
ợ
p GPS
-

26/3

Tháng 4, Windows XP SP3 s
ẽ
ra m

ắ
t

-

26/3

Chu
ộ
t "m
ả
nh" cho Netbook

-

26/3

Google thành 'gã kh
ổ
ng l
ồ'
nh
ờă
n ngon

-

26/3

Netbook c

ủ
a Intel
đượ
c ti
ế
t l
ộ
v
ớ
i tên 2go PC

-

25/3

Microsoft h
ỗ
tr
ợ
Vista SP1 mi
ễ
n phí 100%

-

25/3

Thâm nh
ậ
p ch

ố
n thác lo
ạ
n c
ủ
a gi
ớ
i tr
ẻ
nghi
ề
n net

-

25/3

Le lói ánh sáng cho qu
ả
ng cáo di
độ
ng

-

25/3

Xây d
ự
ng các

ứ
ng d
ụ
ng b
ả
o m
ậ
t: nh
ấ
t quán b
ả
n ghi

-

25/3

Nh
ữ
ng clip xu
ấ
t s
ắ
c nh
ất 2007 c
ủ
a YouTube

-

25/3

"Kh
ắ
c tinh" c
ủ
a EEE PC xu
ấ
t hi
ệ
n

-

25/3

Ấ
n
Độ
:
BlackBerry
đố
i m
ặ
t v
ớ
i l
ệ
nh c
ấ

im
ộ
tm
ạngkhôngdây 3/13/2008 9:09:00 AM

Beryl

L
ớpvỏhàonhoángc
ủ
aLinux
3/5/2008 9:06:00 AM
Th
ủ
thuậtcàiofflinecácgóiphầ
nm
ềmtrongUbuntu 2/2/2008 4:47:00 PM

Cài
đặtvàcấ
uhình
đ
i
ề
ukhi
ểntruycậ
pm
ạngvớiPacketFence 1/4/2008 10:11:00 AM
Tăngbả
om

ậtchoLinux:Hạnchếcácd
ị
chv
ụ
khôngcầnthiết 12/28/2007 11:17:00 AM

Ng
ănchặntruycậ
pm
ạngtráiphépvớiPacketFence 12/24/2007 1:43:00 PM
ch oKonect
mvi
cv
i
c ng
ngGoogle
12/13/2007 9:09:00 AM

Tìmhi
ểuvềhoánđổ
ikhônggianb
ộ
nh
ớ
Linux
12/10/2007 6:53:00 AM
Funcđưaquả
nlým
ạngvàođ
i

ề
ukhi
ểnc
ủ
aquảntr
ị
h
ệthống 12/6/2007 10:02:00 AM

B
ảncàiđặttrựctiếpopenSUSEđượ
cram
ắt 11/29/2007 11:44:00 AM
Cộngđồ
ngngu
ồ
nm
ởchàođónFedora8 11/17/2007 9:51:00 AM
Fedora8
–
Videohướngdẫncàiđặt 11/14/2007 10:28:00 AM

B
ả
om
ậttruycậptừ
xa
đố
iv
ớicácmáytrạ

m
10/9/2007 9:42:00 AM

3b
ướccàiđặtUbuntutừWindows 7/30/2007 8:06:00 AM

H
ướngdẫncàiđặtLAMPtrênUbuntuchongườ
im
ớ
ib
ắtđầ
u
7/14/2007 1:06:00 PM
TừngbướccàiđặtFedora7 6/23/2007 3:07:00 PM
Ubuntu7.10cógìmớ
i?
6/21/2007 4:58:00 PM
Mộtsốbả
nLinuxd
ễsửd
ụ
ng 5/14/2007 9:29:00 AM
Sửd
ụ
ngổcứngngoàiUSBchosaolưudự
phòngtrongLinux
5/4/2007 4:27:00 PM

Cài

Tài liệu Thiết lập hệ thống mạng Ubuntu quản lý tập trung với LDAP doc

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về