PPTP+RADIUS+LDAP VPN 2.


LDAP

Az ldap beállítása nem túl összetett feladat, hiszen csak alapvető funkciókra van szükség ebben az esetben.

A működéshez a /etc/ldap/ldap.conf fájlba a következőket kell elhelyezni:

HOST 127.0.0.1
BASE dc=company,dc=hu
Ennél több adatot kell megadni a /etc/ldap/slapd.conf konfigurációs fájlban, ami az LDAP fő konfigurációit tartalmazza.

A már említett samba konfiguráció itt is megmutatja magát, egy schema fájlt kell a konfigurációba belinkelni. Ezt a schema fájlt a samba-doc csomaggal lehet telepíteni. Ez a schema fájl teszi lehetővé, hogy a PPTP és a Radius számára elfogadható módon legyenek titkosítva a felhasználók jelszavai.
A konfigurációs fájlban további néhány módosításra volt szükség, így nyerte el a következő formáját:
moduleload syncprov
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 0
modulepath /usr/lib/ldap
moduleload back_bdb
sizelimit 500
tool-threads 1
backend bdb
database bdb
suffix "dc=company,dc=hu"
checkpoint 512 30
directory "/var/lib/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index objectClass,entryCSN,entryUUID eq
lastmod on
access to *
by dn="cn=admin,dc=company,dc=hu" write
by group.exact="cn=ldapadmins,ou=Groups,dc=company,dc=hu" write
by dn="cn=replicator,dc=company,dc=hu" write
by dn="uid=root,dc=company,dc=hu" write
by self write
by * read
by anonymous auth
overlay syncprov
syncprov-checkpoint 100 10
Tesztelés során a loglevel -t tanácsos 1-re állítani, így a syslogban bőbeszédű formában mutatja magát az ldap.

Az ldap tesztelésére a következő parancs jó lehetőség:
ldapsearch –x
A parancs hatására a teljes fa a konzolra kerül, ez lehetőség lehet az ldap fa mentésére is.
Ha a parancs a fa tartalmát mutatja, akkor az ldap működik és localhoston kommunikál. Ehhez nincs szükség autentikációra. Az ldap távoli elérésére az ldaps szolgáltatás szolgál.
Az ldap és ldaps beállításait, hogy mely címekről fogadják a kérést a /etc/default/slapd fájl tárolja.
A SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///" sor azt jelenti, hogy localhoston a 389-es porton az ldap szolgál ki, távolról pedig az ldaps, ami a 636-os TCP portot használja.

SAMBA

A samba hagyományosan fájl és nyomtató megosztására szolgál, de jelen esetben a radius ldappal való kommunikációjában van szerepe. Ehhez a következő konfiguráció nyújt lehetőséget:
# Global parameters
[global]
client ntlmv2 auth = yes
password server = localhost
security = domain
realm = company.hu
workgroup = company.hu

dos charset = CP852
unix charset = ISO8859-2
workgroup = company.hu
netbios name = PDCx
server string = PDCx
smb ports = 139
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1
enable privileges = Yes
username map = /etc/samba/smbusersmap
log file = /var/log/samba/log.%m
max log size = 1000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
add user script = /usr/sbin/smbldap-useradd -m .%u.
add group script = /usr/sbin/smbldap-groupadd -p .%g.
add user to group script = /usr/sbin/smbldap-groupmod -m .%u. .%g.
delete user from group script = /usr/sbin/smbldap-groupmod -x .%u. .%g.
set primary group script = /usr/sbin/smbldap-usermod -g .%g. .%u.
add machine script = /usr/sbin/smbldap-useradd -w .%u.
logon script = %G.bat
logon drive = S:
domain logons = Yes
os level = 240
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
ldap admin dn = cn=admin,dc=company,dc=hu
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Users
ldap machine suffix = ou=Computers
ldap passwd sync = Yes
ldap suffix = dc=company,dc=hu
ldap ssl = no
ldap user suffix = ou=Users
panic action = /usr/share/samba/panic-action %d
printing = cups
print command =
lpq command = %p
lprm command =

A fenti konfigot a /etc/samba/smb.conf tartalmazza.

Mint látható a konfiguráció az ldap adatbázis eléréséről is tartalmaz információkat.


Új hozzászólás: