Безопасность/доступ
Requirements
- Устанавливаем необходимое ПО: aptitude install libpam-ldap libnss-ldap
Авторизация на сервере каталогов (Active Directory)
/etc/ldap/ldap.conf
Прописываем необходимые параметры:
...
BASE dc=you,dc=domain,dc=com
URI ldap://you.domain.com/
...
/etc/pam_ldap.conf
Прописываем необходимые параметры:
base dc=you,dc=domain,dc=com
uri ldap://you.domain.com/
ldap_version 3
binddn ldapuser@you.domain.com
bindpw ********
scope one
bind_policy hard
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_objectclass posixGroup Group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30uidNumber
nss_map_attribute gidNumber msSFU30gidNumber
nss_map_attribute gecos cn
nss_map_attribute homeDirectory msSFU30homeDirectory
nss_map_attribute loginShell msSFU30loginShell
nss_map_attribute uniqueMember msSFU30PosixMember
pam_login_attribute sAMAccountName
pam_filter objectclass=User
nss_base_passwd ou=users,dc=you,dc=domain,dc=com?sub
nss_base_group ou=users,dc=you,dc=domain,dc=com?sub
pam_password ad
ssl no
/etc/libnss-ldap.conf
- mv /etc/libnss-ldap.conf /etc/libnss-ldap.conf.orig – переименовываем файл
- ln /etc/pam_ldap.conf /etc/libnss-ldap.conf – делаем хард-линк
/etc/nsswitch.conf
Прописываем необходимые параметры:
...
passwd: compat ldap [UNAVAIL=return]
group: compat ldap [UNAVAIL=return]
shadow: compat ldap
...
/etc/pam.d/common-account
Прописываем необходимые параметры:
...
account required pam_access.so
account sufficient pam_unix.so
account required pam_ldap.so
...
/etc/pam.d/common-auth
Прописываем необходимые параметры:
...
auth sufficient pam_unix.so nullok_secure
auth required pam_ldap.so use_first_pass
...
/etc/pam.d/common-password
Прописываем необходимые параметры:
...
password required pam_unix.so nullok obscure min=4 max=8 md5
...
/etc/pam.d/common-session
Прописываем необходимые параметры:
...
session optional pam_mkhomedir.so skel=/etc/skel
session sufficient pam_unix.so
session required pam_ldap.so
...
Создаем домашний каталог для доменных аккаунтов
mkdir /home/LDAP
Списки доступа (Access Lists)
Requirements
- На сервере каталогов должны быть заведены соответствующие группы
/etc/security/access.conf
Прописываем необходимые параметры:
...
-:ALL EXCEPT root srvname.srv: ALL
...
/etc/sudoers
Прописываем необходимые параметры:
...
%srvname.srv ALL=(ALL) ALL
...
В
отдельной консоли проверяем доменной аккаунт и наличие прав sudo,
только после этого удаляем локального пользователя заведенного на этапе инсталляции.