Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

25-01-06 11:18
Autentikacija osnovnih servisa putem LDAP-a

piše IVAN RAKO

Za autentikaciju različitih servisa putem LDAP-a mogu se koristiti dva modula: pam_ldap i pam_radius. Preporuka AAI@EduHr službe je uporaba modula pam_radius, pa će ovaj članak biti baziran na njemu.

 

Način rada u ovom slučaju je posredan, jer pam_radius kontaktira RADIUS server, koji zatim komunicira s LDAP serverom.

 

Uz pretpostavku da se radi o Debian Linuxu, potrebno je instalirati paket libpam-radius-auth koji donosi potreban PAM modul. Instalacija je standardna:

 

# apt-get install libpam-radius-auth

 

U konfiguraciji FreeRADIUS-a prijavite poslužitelja kao klijenta:

 

# U našem slučaju je klijent na lokalnom računalu (localhost)

client 127.0.0.1 {

        secret          = neki_secret

        shortname       = localhost

}

 

Ovaj secret se treba prenijeti i u konfiguraciju pam_radius-a u datoteci /etc/pam_radius_auth.conf:

 

# server[:port] shared_secret      timeout (s)

127.0.0.1:1812  neki_secret        3

 

Time smo obavili predradnje za autentikaciju servisa preko RADIUS-a. Konfiguracijske datoteke PAM-a nalaze se u direktoriju /etc/pam.d/.

 

Ako želite sve servise autenticirati preko RADIUS-a, u datoteci /etc/pam.d/common-auth, bez diranja ostalih datoteka, zakomentirajte redak:

 

#auth    required        pam_unix.so nullok_secure

 

i dodajte:

 

auth    sufficient      pam_radius_auth.so

auth    required        pam_unix.so try_first_pass

 

Time smo postigli da se autentikacija korisnika obavlja preko RADIUS servera, a tek u slučaju neuspješne autentikacije pita se pam_unix (odnosno traži unos zaporke navedene u datoteci /etc/shadow). To je dobro, jer će se sistemac moći prijaviti na poslužitelj i u slučaju ispada RADIUS-a ili LDAP-a.

 

Svaki servis ima svoju konfiguracijsku datoteku i može se zasebno podešavati. Na primjer, za Secure shell u /etc/pam.d/ssh zakomentirajte redak:

 

#@include common-auth

 

i dodajte dva nova:

 

auth    sufficient      pam_radius_auth.so

auth    required        pam_unix.so try_first_pass

 

U /etc/pam.d nalazi se konfiguracija i za druge servise. Na isti način možete unijeti i konfiguraciju na primjer za ftp, imap, pop itd.





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr