25.5. YaST LDAP klient

YaST obsahuje modul pro nastavení ověřování uživatelů pomocí LDAP. Pokud jste tuto vlastnost nepovolili během instalace systému, spusťte modul volbou Síťové služby+Klient LDAP. YaST automaticky povolí změny PAM a NSS vyžadované LDAP (jak je popsáno dále) a nainstaluje potřebné soubory.

25.5.1. Standardní procedura

Pro pochopení funkce YaST Klient LDAP modulu je nutné znát procedury probíhající na klientském počítači. Při aktivaci LDAP pro ověřování v síti nebo po spuštění YaST Klient LDAP modulu se nainstalují balíčky pam_ldap a nss_ldap a nastaví se dva související konfigurační soubory. pam_ldap je PAM modul odpovědný za přenos dat mezi přihlašovacím procesem a LDAP sloužícím jako zdroj autentizačních dat. Nainstaluje se modul pam_ldap.so a přizpůsobí se PAM konfigurace (viz 25.11 – „pam_unix2.conf přizpůsobený pro LDAP“).

Příklad 25.11. pam_unix2.conf přizpůsobený pro LDAP

auth:       use_ldap nullok
account:    use_ldap
password:   use_ldap nullok
session:    none

Pokud nastavujete ručně další služby, aby používaly LDAP, vložte PAM LDAP modul do PAM konfiguračního souboru odpovídajícího dané službě v adresáři /etc/pam.d. Konfigurační soubory upravené pro jednotlivé služby lze nalézt v adresáři /usr/share/doc/packages/pam_ldap/pam.d/. Zkopírujte potřebné soubory do adresáře /etc/pam.d.

glibc rozpoznávání jmen mechanismem nsswitch se nasazení LDAP přizpůsobuje pomocí nss_ldap. V adresáři /etc/ je při instalaci tohoto balíčku vytvořen nový přizpůsobený soubor nsswitch.conf. Více se o práci s nsswitch.conf dozvíte v části 18.6.1 – „Konfigurační soubory“. V souboru nsswitch.conf musí být řádky uvedené v příkladu 25.12 – „Přizpůsobení v souboru nsswitch.conf“.

Příklad 25.12. Přizpůsobení v souboru nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Tyto řádky přikazují resolver knihovně glibc nejprve vyhodnotit soubory v adresáři /etc a pak se připojit k LDAP serveru jako zdroji autentizačních a uživatelských dat. Mechanismus můžete otestovat přečtením uživatelské databáze příkazem getent passwd. Výsledek by měl obsahovat lokální uživatele vašeho systému i uživatele uložené na LDAP serveru.

Abyste zabránili běžným uživatelům spravovaným přes LDAP přihlásit se k serveru pomocí ssh nebo login, musí soubory /etc/passwd a /etc/group obsahovat následující řádek: +::::::/sbin/nologin v /etc/passwd a +::: v /etc/group.

25.5.2. Konfigurace LDAP klienta

Jakmile jsou nss_ldap, pam_ldap, /etc/passwd a /etc/group YaSTem upraveny, lze pokračovat v konfiguraci za pomocí prvního dialogu modulu YaST. Viz obrázek 25.2 – „YaST: Konfigurace LDAP klienta“.

Obrázek 25.2. YaST: Konfigurace LDAP klienta

YaST: Konfigurace LDAP klienta

V prvním dialogu aktivujte použití LDAP pro autentizaci uživatelů. V položce Základna DN pro LDAP zadejte prohledávací základnu, ve které jsou na serveru uložená data. IP adresu LDAP serveru zadejte v položce Adresy serverů LDAP. Můžete zadat více serverů oddělených mezerou. Chcete-li automaticky připojovat adresáře, zaškrtněte Spustit automounter. Chcete-li jako administrátor upravit data na serveru, klikněte na Pokročilá konfigurace. Viz obrázek 25.3 – „YaST: Pokročilá konfigurace“.

Obrázek 25.3. YaST: Pokročilá konfigurace

YaST: Pokročilá konfigurace

Další dialog má dvě části: V horní části lze provést obecné nastavení uživatelů a skupin. V dolní části se nastavují data potřebná pro přístup k LDAP serveru. Nastavení uživatelů a skupin obsahuje následující položky:

Souborový server

Pokud je aktuální systém souborový server pro uživatelské adresáře (/home), povolte tuto volbu.

Povolit přihlášení LDAP uživatelů

Povolením této volby umožníte uživatelům spravovaným přes LDAP přihlásit se do vašeho systému.

Vlastnosti členství skupiny

Zde nastavte typ LDAP skupiny. Výchozí je member, další možností je uniquemember.

V dolní části nastavte údaje potřebné pro konfiguraci a přístup k LDAP serveru, tj. Základna DN pro konfiguraci, pod kterou jsou uloženy všechny konfigurační objekty, a Administrační DN.

Chcete-li editovat položky na serveru, klikněte na Konfigurace správy nastavení uživatelů. V dialogu, který se objeví, zadejte heslo pro autentizaci na serveru. Bude vám umožněn přístup ke konfiguračním modulům na serveru v souladu s ACL a ACI.

[Important]Použití YaST klienta

YaST LDAP klienta použijte k přizpůsobení YaST modulů pro správu uživatelů a skupin a k jejich případnému rozšíření. Navíc je možné definovat předlohy s výchozími hodnotami jednotlivých atributů pro usnadnění registrace údajů. Tato nastavení jsou sama uložena jako LDAP objekty v LDAP adresáři. Registrace uživatelských dat je stále prováděna pomocí běžných YaST formulářů. Údaje se ukládají jako objekty v LDAP adresáři.

Obrázek 25.4. YaST: Konfigurace modulu

YaST: Konfigurace modulu

V dialogu pro konfiguraci modulu (25.4 – „YaST: Konfigurace modulu“) lze vybírat a upravovat existující konfigurační moduly a vytvářet a upravovat šablony. Chcete-li upravit hodnotu v konfiguračním modulu nebo modul přejmenovat, vyberte příslušný modul v nabídce. Objeví se seznam všech jeho povolených atributů i s hodnotami. Obsahuje i atributy povolené schématem, ale nepoužité.

Chcete-li změnit hodnotu atributu, vyberte atribut ze seznamu a klikněte na Upravit. Provedené změny potvrdíte tlačítkem OK.

Chcete-li přidat nový modul, klikněte na Nový. Zadejte jméno a objektovou třídu nového modulu (buď suseuserconfiguration nebo susegroupconfiguration). Uzavřením dialogu tlačítkem OK přidáte nový modul do seznamu existujících modulů. Kliknutím na Smazat vybraný modul smažete.

Pokud byly předem definovány, obsahují YaST moduly pro správu uživatelů a skupin šablony se smysluplnými výchozími hodnotami. Chcete-li šablonu upravit, klikněte na Nastavit šablonu. Dialog pro nastavení šablon je rozdělen na dvě části. Horní část obsahuje obecné atributy šablony. Upravte je podle potřeby a nebo nechte prázdné. Prázdné atributy budou na LDAP serveru smazány.

Obrázek 25.5. YaST: Konfigurace šablony objektu

YaST: Konfigurace šablony objektu

Druhá část (Výchozí hodnoty pro nové objekty) obsahuje všechny atributy odpovídajícího LDAP objektu (v tomto případě konfigurace uživatelů či skupin), pro které se definuje standardní hodnota. Lze přidávat nové a mazat již existující atributy a jejich standardní hodnoty, případně je měnit či mazat. Šablonu zkopírujete změnou hodnoty cn. Šablonu spojíte s modulem nastavením hodnoty atributu susedefaulttemplate příslušného modulu na DN upravené šablony.

[Tip]Tip

Výchozí hodnoty lze vytvářet z jiných atributů pomocí proměnných místo přímého zadání hodnoty. Například při vytváření nového uživatele lze použít cn=%sn %givenName a vytvářet tak automaticky hodnotu z sn a givenName.

Jsou-li moduly a šablony správně nastaveny, můžete registrovat nové uživatele a skupiny běžným způsobem v nástroji YaST.

25.5.3. Uživatelé a skupiny — Konfigurace pomocí YaST

Registrace údajů o uživatelích a skupinách se od postupu bez použití LDAP liší jen minimálně. Následující text se vztahuje k registraci uživatelů. Registrace skupin je analogická.

Spusťte YaST modul pro administraci uživatelů pomocí Bezpečnost a uživatelé+Správce uživatelů. Chcete-li prohlížet, přidávat či upravovat LDAP uživatele, klikněte na tlačítko Nastavit filtr vpravo dole a vyberte LDAP uživatelé. Při úpravě údajů o stávajícím uživateli nebo při zakládání nového uživatele pak máte v dialogu k dispozici kartu Pluginy. Kliknete-li v ní na Upravit další vlastnosti LDAP uživatele a pak na tlačítko Spustit, objeví se formulář pro zadání údajů specifických pro LDAP (25.6 – „YaST: Další LDAP nastavení“). Vyberte atributy, jejichž hodnotu chcete upravit, a klikněte na Upravit. Zavřením dialogu, který se objeví po kliknutí na Přijmout, se vrátíte k hlavnímu dialogu správy uživatelů.

Obrázek 25.6. YaST: Další LDAP nastavení

YaST: Další LDAP nastavení

První dialog správy uživatelů obsahuje nabídku LDAP volby. Ta umožňuje použít vyhledávací LDAP filtry a nebo přejít do modulu pro konfiguraci LDAP uživatelů a skupin výběrem Správa LDAP uživatelů a skupin.