Kategória: Linux a sieť

Zmenené: 13. február 2011

Prihlasovanie a LDAP

Ako sa vaša sieť postupne rozrastá a pribúda serverov i služieb, skôr alebo neskôr zistíte, že by sa zišiel nejaký spôsob centrálnej autentifikácie používateľov, aby nebolo treba udržiavať ich prihlasovacie údaje na viacerých miestach. Možno ako prvé narazíte na NIS, ale čo takto LDAP?

V prípade, že sa rozhodnete vo svojej sieti používať na autentifikáciu používateľov LDAP a začnete hľadať nejaký návod, zistíte síce, že o návody nie je núdza, ale až na jeden, všetky popisujú starý spôsob nastavenia. Rozhodol som sa teda napísať jednoduchý návod ako nainštalovať a nastaviť centrálnu autentifikáciu používateľov pomocou servera OpenLDAP.

Rada

Tento návod si nekladie za cieľ vysvetliť čo to LDAP je a nezahŕňa popis princípov LDAP, ale vyžaduje aby ste aspoň tušili čo to adresárový strom je.

LDAP je skratka pre Lightweight Directory Access Protocol, ktorý je zjednodušenou verziou protokolu X.500. Zjednodušene možno LDAP chrakterizovať tým, že všetky informácie sú uložené v stromovej štruktúre. OpenLDAP poskytuje pri definovaní adresárového stromu (DIT Directory Information Tree) úpnú voľnosť.

Pre potreby autentifikácie postačí základný strom, ktorý v koreni obsahuje dva uzly:

  • uzol People, v ktorom sú uložení používatelia;
  • uzol Group, v ktorom sú uložené používateľské skupiny.

Pred tým ako začnete, potrebujete sa rozhodnúť, čo bude reprezentovať koreň adresára LDAP. Predvolene bude strom určený z úplného doménového mena stroja (FQDNFully Qualified Domain Name). Ak je teda meno stroja napríklad doma.skk, bude koreňom základného stromu adresára dc=skk.

Inštalácia servera

Ako úplne prvý krok je inštalácia potrebných nástrojov. Ja v tomto prípade dávam, ak je to čo len trochu možné, prednosť použitiu distribučných balíkov a v tomto prípade sú dostupné. Nainštalovať môžete virtuálne balíky:

aptitude install ldap-server openldap-utils

Namiesto virtuálnych balíkov sú samozrejme inštalované balíky reálne, takže ich môžete tiež nainštalovať priamo:

aptitude install slapd ldap-utils

Oba spôsoby nainštalujú rovnaké balíky. Počas inštalácie budete vyzvaný na zadanie administrátorského hesla (2×) servera LDAP, ostatné informácie sú odvodené buď z predvolených vlastností alebo z doménového mena stroja. V mojom prípade je doménové meno stroja debserver.skk, preto inštalátor vybral ako koreň základného stromu skk.

Ak chcete použiť iné pomenovanie, môžete znova spustiť konfiguráciu pomocou dpkg-reconfigure, ale konfiguračný skript zlyhá, ak už existuje adresár /etc/ldap/slapd.d. Treba ho teda najprv zmazať a napokon server LDAP reštartovať:

rm -rf /etc/ldap/slapd.d
dpkg-reconfigure slapd
invoke-rc.d slapd restart

Pri tomto nastavovaní už konfigurátor položí viac otázok (zmeňte podľa vlastnej potreby), napríklad:

  • DNS názov domény: skk
  • Názov organizácie: Domov
  • Administrátorské heslo: 2×
  • Typ databázy: HDB
  • Zmazanie databázy: Áno (opatrne, ak už máte v databáze údaje)
  • Presun databázy: Áno
  • Povoliť LDAPv2: Nie

Nástroje ldap-utils pri inštalácii nespúšťajú žiadny konfiguračný dialóg, ale konfiguráciu majú a je uložená v súbore /etc/ldap/ldap.conf. Predvolene sú všetky voľby zakomentované, ale je dobré (nie však nutné) nastaviť aspoň BASE a URI:

URI ldap://127.0.0.1
BASE dc=skk

Konfigurácia servera

Server OpenLDAP používa dynamickú konfiguráciu démona slapd, ktorá je uložená v samostatnom adresári /etc/ldap/slapd.d. Tento adresár obsahuje adresár cn=config, ktorý predvolene obsahuje základnú konfiguráciu, ktorú možno použiť na správu používateľských účtov a skupín bez väčších zmien.

Hlavnou výhodou dynamickej konfigurácie je fakt, že nastavenia možno meniť za chodu servera, tieto sú automaticky premietnuté do jeho funkcií, a tak odpadá potreba reštartovania (a teda nedostupnosti) servera LDAP. Za menšiu nevýhodu považujem to, že používateľ, ktorý nie je celkom oboznámený s prácou v adresárovom strome, môže mať zo začiatku problémy s tým, ako nastavenia meniť.

Prístupové práva

Pri inštalácii bol vytvorený používateľ cn=admin,dc=skk (pretože moja doméne je len skk), pomocou ktorého možno pristupovať s právom zápisu do celej databázy LDAP. Tomuto používateľovi bolo priradené heslo, ktoré si pýtal inštalátor. Na prístup ku konfigurácii bol vytvorený používateľ cn=admin,cn=config, ktorému však heslo priradené nebolo. Toto, pre niekoho podivné, nastavenie je kvôli bezpečnosti, pretože takto možno meniť nastavenia servera len z lokálneho stroja. Takže výpis konfigurácie možno získať pomocou:

ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config

alebo zápis zmien napríklad pomocou:

ldapadd -Y EXTERNAL -H ldapi:// -f file

Rada

Samozrejme, môžete nastaviť heslo a upraviť prístupové práva, ale nezabudnite, že tým vnášate zbytočné bezpečnostné riziko.

Zobrazenie zoznamu prístupových práv (ACLAccess Control List) konfiguračného stromu (cn=config) poskytne nástroj ldapsearch:

ldapsearch -Y EXTERNAL -H ldapi:/// -LLL -b cn=config olcDatabase=config olcAccess

Obdobný postup je aj na zobrazenie ACL štandardného stromu (frontend):

ldapsearch -Y EXTERNAL -H ldapi:/// -LLL -b cn=config olcDatabase={1}hdb olcAccess

Ale predvolené nastavenie práv je plne postačujúce a nie je potrebné ho meniť

Schémy

Predvolene sú v Debiane integrované schémy:

  • core.schema
  • cosine.schema
  • nis.schema
  • inetorgperson.schema

Ak to vaša implementácia vyžaduje, môžete doinštalovať aj ďalšie schémy, viacero ich je dostupných v adresári /etc/ldap/schema, ďalšie sú dostupné v iných balíkoch, ako napríklad schéma pre Sambu, či implementáciu prístupu podľa mena stroja. Postup inštalácie novej schémy popíšem práve na tom druhom prípade. Príslušná schéma je súčasťou balíka libpam-ldap a je v súbore /usr/share/doc/libpam-ldap/ldapns.schema. Na integráciu schémy do servera LDAP je potrebné najprv schému skonvertovať do formátu LDIF a potom tento LDIF načítať do bežiaceho servera.

Začnite tým, že vytvoríte súbor, napríklad /tmp/ldapns.conf, do ktorého vložte nasledujúce direktívy:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema

include /usr/share/doc/libpam-ldap/ldapns.schema

Prvé dve položky sú schémy, ktoré konvertovaná schéma vyžaduje a sú už súčasťou konfigurácie servera LDAP, v prípade inej schémy môžu byť závislosti iné. Tento konfiguračný súbor bude konvertovaný do dynamickej konfigurácie, preto treba adresár, do ktorého bude vygenerovaný výstup a potom možno spustiť konverziu do LDIF pomocou nástroja slaptest. Hoci sú nástroje slap* určené na prácu s databázou pri vypnutom serveri, v tomto prípade nie je potrebné server zastavovať a možno konverziu rovno spustiť:

mkdir /tmp/ldif_output
slaptest -f /tmp/ldapns.conf -F /tmp/ldif_output

Ak bol príkaz úspešne vykonaný, sú LDIF súbory schém uložené v pripravenom adresári /tmp/ldif_output/cn=config/cn=schema/, pričom schéma ldapns je v súbore cn=2ldapns.ldif. Takto vytvorený súbor ešte treba upraviť a prispôsobiť položky dn: a cn: takto:

dn: cn=ldapns,cn=schema,cn=config
...
cn: ldapns

Vo vygenerovanom súbore sú riadky, ktoré netreba, takže odstrániť riadky (ich hodnoty môžu byť rôzne, preto ich tu ani neuvádzam), ktoré začínajú na:

structuralObjectClass:
entryUUID:
creatorsName:
createTimestamp:
entryCSN:
modifiersName:
modifyTimestamp:

No a nakoniec súbor pridať do konfigurácie spusteného servera:

ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/ldif_output/cn\=config/cn\=schema/cn\=\{2\}ldapns.ldif
...
adding new entry "cn=ldapns,cn=schema,cn=config"

Tento postup je možné použiť na akúkoľvek schému, len stačí prispôsobiť parametre a prípadne aj meno súboru LDIF, do ktorého je príslušná schéma uložená. Konkrétne túto, práve importovanú schému, využijete neskôr, pri nastavovaní prístupu.

Indexovanie

Na zrýchlenie vyhľadávania v databáze slúžia indexy. Predvolene je nastavený len jeden index, a to pre pole objectClass. Aby server LDAP indexoval aj iné, často používané polia stačí vytvoriť súbor /tmp/indexy.ldif s obsahom:

dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcDbIndex
olcDbIndex: objectClass eq
olcDbIndex: cn,sn,uid pres,sub,eq
olcDbIndex: displayName pres,sub,eq
olcDbIndex: default sub
olcDbIndex: uidNumber,gidNumber eq
olcDbIndex: dc eq
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: uniqueMember pres,eq

Vytvorený súbor LDIF poslúži na pridanie parametrov (indexov) do konfigurácie servera:

ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/indexy.ldif

I v tomto prípade možno pridať i ďalšie indexy, stačí ich prosto pridať do súboru LDIF, či vytvoriť súbor nový a znova ho importovať.

Zmena nastavení

V predchádzajúcich popisoch som ukazoval ako do konfigurácie direktívy pridávať. Častou úlohou je však nie len ich pridávanie, ale aj ich zmena, či odstraňovanie alebo ich výpis. Všetko to ukážem na nastavení úrovne zaznamenávania, ktorá je nastavená pomocou parametra olcLogLevel.

Na prácu s adresárom LDAP slúžia nástroje ldap*, najmä:

  • ldapadd – na pridávanie do stromu;
  • ldapmodify – na zmenu stromu;
  • ldapdelete – na odstraňovanie zo stromu;
  • ldapsearch – na vyhľadávanie v strome.

Začnem od konca a pozriem sa aká je východzia hodnota zaznamenávania:

ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config cn=config olcLogLevel
dn: cn=config
olcLogLevel: none

Hoci som zadal meno hľadaného parametra presne v tvare podľa dokumentácie, hľadanie parametra neberie ohľad na veľkosť písmen. Všimnite si, že som definoval -b cn=config, to je dôležité, pretože udáva, že hľadanie má byť urobené práve v konfiguračnom strome. Na konci je definované cn=config olcLogLevel a udáva kde a čo treba hľadať. Parameter -LLL udáva koľko dodatočných informácií (ne)má byť zobrazených.

Nástroj ldapadd som už ukazoval a v tomto prípade by aj bol zbytočný, pretože parameter olcLogLevel už v konfigurácii existuje. Ako ho však zmeniť? Tu pomôže súbor LDIF, napríklad:

dn: cn=config
replace: olcLogLevel
olcLogLevel: stats

Tento jednoduchý súbor LDIF možno načítať do nastavenia (a tým nastavenie zmeniť) pomocou ldapmodify:

ldapmodify -Y EXTERNAL -H ldapi:/// -f cesta/k/ldif

Pomocou ldapsearch si možno pozrieť, že sa hodnota parametra zmenila. Rovnaký príkaz poslúži aj na odstránenie položky, len v súbore LDIF slovo replace nahradí slovo delete:

dn: cn=config
delete: olcLogLevel
olcLogLevel: stats

Ak parameter v nastavení neexistuje, nemožno ho modifikovať, ale je potrebné pridať ho, takže na pridanie položky by súbor LDIF mohol vyzerať takto:

dn: cn=config
add: olcLogLevel
olcLogLevel: none

A hodnota úrovne záznamu je nastavená na pôvodnú hodnotu…

Rada

Nástroj ldapdelete je vhodný skôr na odstraňovanie celých položiek záznamu, napríklad odstránenie konkrétneho používateľa, ak ho skúsite použiť napríklad na odstránenie schémy, nebudete úspešný.

Napĺňanie databázy

Samozrejme, celé nastavenie servera LDAP je zbytočné, ak nebude obsahovať používateľské účty (prípadne aj né informácie). Na naplnenie databázy treba najprv pripraviť jej štruktúru, pre potreby prihlasovania stačia nasledujúce dve vetvy:

dn: ou=People,dc=skk
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=skk
ou: Group
objectClass: top
objectClass: organizationalUnit

Uložte to do súboru, napríklad zaklad.ldif, a importujte, tentoraz však už aj pomocou zadania používateľa, ktorý má právo zápisu (cn=admin,dc=skk):

ldapadd -W -x -D cn=admin,dc=skk -f zaklad.ldif

Po vytvorení štruktúry možno pridať vzorovú skupinu:

dn: cn=ldapgroup,ou=Group,dc=skk
objectClass: posixGroup
objectClass: top
cn: ldapgroup
gidNumber: 10000
description: Ukážková skupina

A po skupine vzorového používateľa, ktorý poslúži na overenie funkčnosti:

dn: uid=testus,ou=People,dc=skk
uid: testus
cn: Vzorový pooužívateľ
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {MD5}XXXXXXXXXXXXXXXXXXXXXX==
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/testus
gecos: ,,,
host: debserver.skk

Všimnite si atribút userPassword, ktorý udáva heslo používateľa. V ukážkovom príklade je len jeho šablóna a reálne heslo je treba najprv vygenerovať pomocou:

slappasswd -h {MD5}

Výstupom, po zadaní požadovaného hesla, je odtlačok hesla, ktorý potom treba do parametra userPassword každému používateľovi prekopírovať, napríklad:

userpassword: {MD5}4QrcOUm6Wau+VuBX8g+IPg==

Oba pripravené súbory LDIF potom možno importovať rovnako, ako bol importovaný súbor zaklad.ldif. Dokonca ich ani netreba dávať do samostatných súborov, ale môžu byť všetky zlúčené do jedného súboru LDIF a vložené do databázy naraz.

Existujú samozrejme aj iné spôsoby ako naplniť strom adresárovej služby, za všetky spomeniem:

  • konverzia existujúcich súborov passwd, shadow (a podobných) pomocou nástrojov balíka migrationtools,
  • konzolové nástroje, ako ldap-utils, či ldapscripts,
  • grafické nástroje, ako luma, či jXplorer,
  • webové nástroje, ako GOsa, LAM či phpLDAPadmin.

Tip

Mimochodom, mohou voľbou je LAMLDAP Account Manager.

Nastavenie klienta

Po nastavení a príprave servera LDAP možno pristúpiť k nastaveniu systému (klienta) tak, aby umožňoval prihlásenie na účty konfigurované v LDAP. Tento krok je treba urobiť na každom stroji, ktorý má umožňovať prihlásenie prostredníctvom účtov uložených v adresári LDAP. Aby bolo možné prihlásenie cez účty v LDAP je potrebné nastaviť NSS (Name Service Switch) a PAM (Pluggable Authentication Modules). Túto úlohu poskytnú nástroje balíka libnss-ldap a libpam-ldap, ktoré poskytujú knižnice na autentifikáciu pomocou LDAP.

Varovanie

Odporúčaným riešením v Sqeeze je práve použitie balíkov libnss-ldapd a libpam-ldapd.

NSS

Najprv teda príprava NSS:

aptitude install libnss-ldap

Rada

Podobné služby poskytne aj balík libnss-ldapd.

Pri inštalácii položí konfigurátor niekoľko otázok:

  • adresa servera LDAP: ldap://IP.AD.RE.SA (použitie mena je možné, ale nie je to dobrý nápad)
  • základné DN: dc=skk
  • verzia LDAP: 3
  • Vyžadovanie prihlásenia: Nie
  • Špeciálne nastavenia root: Áno
  • LDAP účet pre root: cn=admin,dc=skk

Heslo, ktoré zadáte, bude uložené v súbore /etc/libnss-ldap.secret, takže ak sa pomýlite nie je potrebné znova spúšťať konfiguráciu balíka, ale stačí jeho zmena v tomto súbore.

Po nastavení libnss-ldap je treba manuálne nastaviť NSS, teda upraviť súbor /etc/nsswitch.conf tak, aby čerpal informácie aj z LDAP. Pre autentifikáciu sú postačujúce tieto voľby (dajte pozor aby ldap bolo za compat):

passwd: compat ldap
group:  compat ldap
shadow: compat ldap

Ostatné položky možno nechať nezmenené. Týmto nastavením budú autentifikačné údaje získavané najprv z lokálnych súborov (passwd, groups a shadow) a až potom z LDAP.

Teraz možno overiť funkčnosť:

getent passwd

Tento príkaz vypíše všetkých používateľov a ak je všetko správne, mal by vypísať aj používateľov definovaných v LDAP (ak existujú), teda v tomto prípade aj účet testus.

PAM

Po nastavení NSS možno pristúpiť k nastaveniu PAM, ktoré je možné zaistiť dvoma spôsobmi, a to buď pomocou modulu pam_ldap alebo pam_unix, ja popíšem ten prvý, pretože:

  • umožňuje obmedzenie prihlásenia podľa parametrov používateľa v adresári (napr. len používatelia z časti stromu a pod);
  • vyžaduje menšie oprávnenia k adresáru LDAP;
  • neodhaľuje odtlačky hesla.
aptitude install libpam-ldap

Tip

Podobné služby poskytne aj balík libpam-ldapd.

I v tomto prípade položí konfigurátor niekoľko otázok:

  • Umožniť správcovskému LDAP účtu správať sa ako lokálny root: Áno
  • Vyžaduje adresár LDAP prihlásenie: Nie
  • Účet správcu LDAP: cn=admin,dc=skk
  • a nakoniec heslo správcovského účtu (uložené do /etc/pam_ldap.secret).

Myslím, že v tomto okamihu sa možno prihlásiť k účtu, ktorý je uložený v LDAP (testus). Nevidím dôvod, prečo by sa prihlásenie nemalo podariť (okrem preklepu v hesle), ale sami zistíte, že to nie je celkom v poriadku. Za všetky problémy spomeniem dva, ktoré iste udrú do očí aj vám:

  • používateľ nemá domovský adresár (HOME),
  • používateľ nie je členom lokálnych skupín,
  • používateľ si nemôže zmeniť heslo.

Posledný spomenutý vlastne nie je problém, ale vlastnosť a aby správne fungoval príkaz passwd, treba správne nastaviť IP adresu servera LDAP v parametri host v súboroch /etc/libnss-ldap.conf a /etc/pam_ldap.conf (ktoré sú predvolene zakomentované).

Varovanie

Inštalátor síce umiestnil heslá do správnych súborov ( *.secret), ale aj vrátane znaku konca riadku. Ak sa stretnete s problémami ohľadom neplatných prihlasovacích údajov, skúste:

echo -n HESLO > /etc/pam_ldap.secret
echo -n HESLO > /etc/libnss-ldap.secret

Ďalšie možnosti

Domovské adresáre

Prvý problém, ktorý je riešiteľný veľmi jednoducho, je problém s neexistujúcimi domovskými adresármi. Jeho riešenie spočíva v použití modulu pam_mkhomedir, ktorý dokáže domovský adresár automaticky vytvoriť a stačí k tomu pridať na koniec súboru /etc/pam.d/common-session riadok:

session required pam_mkhomedir.so skel=/etc/skel umask=0022

Nebojte sa prispôsobiť si parametre vlastným potrebám, tie v príklade sú vlastne zbytočné, pretože používajú východzie hodnoty, ktorá by bol použité i bez ich zadania…

Tento riadok pridajte až za koniec časti, ktorá je spravovaná pomocou pam-auth-update (označený komentárom).

Členstvo v skupine

Iným, nie však väčším, problémom je členstvo v skupinách. Samozrejme, v strome LDAP možno nastavovať nie len východziu skupinu, ale aj členstvo v iných skupinách, napriek tomu je potrebné riešiť i členstvo v lokálnych (systémových) skupinách. I tu však možno použiť PAM, konkrétne modul pam_group. Nastavenie tohoto modulu je v súbore /etc/security/group.conf a nastavenie možno urobiť napríklad takto:

*; *; !root; Al0600-1800;audio,cdrom,plugdev,video

Tento riadok udáva (v uvedenom poradí), že pre všetky služby, na všetkých TTY, budú všetci používatelia okrem root, v dobe medzi 06:00 a 18:00 priradený do vymenovaných skupín. Dajte pozor len na to, aby vymenované skupiny existovali a nebojte sa prispôsobiť si príklad vlastným potrebám. Aby to celé fungovalo, je ešte treba zaistiť použitie modulu pam_group, ktorý je predvolene zahrnutý len pre lokálne prihlásenie. Aby to fungovalo aj pri vzdialenom prihlásení cez ssh je treba pridať riadok aj do súboru /etc/pam.d/sshd:

auth optional pam_group.so

Riadenie prístupu

Ostalo vyriešiť ešte jeden problém, ktorým je, že sa vlastne každý používateľ v LDAP môže prihlásiť na každý stroj, ktorý používa LDAP, a to iste nie je to čo naozaj chcete. Existuje však možnosť, ktorú som už čiastočne použil, ako definovať na ktoré stroje sa daný používateľ prihlásiť môže a na ktoré nie.

Dokumentácia Debianu popisuje tento postup ako veľmi jednoduchý a skladá sa z troch krokov:

  • import schémy ldapns (popísaný vyššie);
  • nastavenie parametra pam_check_host_attr na yes v /etc/pam_ldap.conf;
  • odstránenie ldap pre shadow v /etc/nsswitch.conf.

Má to len jednu drobnú chybku nefunguje to! Nie som až taký odborník na nastavenie PAM, ale inšpiráciu som našiel v profile nuno-ldap. Keďže ani tento profil nefungoval bez problémov, tak som si ho trochu upravil. Celý postup je jednoduchý, vytvorte súbor /usr/share/pam-configs/slavko-ldap s obsahom:

Name: Nuno LDAP Authentication
Default: yes
Priority: 257
Auth-Type: Primary
Auth-Initial:
        [success=end default=ignore]  pam_ldap.so
Auth:
        [success=end default=ignore]  pam_ldap.so use_first_pass
Account-Type: Primary
Account:
        [success=end default=bad user_unknown=ignore]   pam_ldap.so
Password-Type: Primary
Password-Initial:
        [success=end user_unknown=ignore default=die]   pam_ldap.so
Password:
        [success=end user_unknown=ignore default=die]   pam_ldap.so use_authtok try_first_pass
Session-Type: Additional
Session:
        [optional                     pam_ldap.so

A potom spusťte nástroj pam-auth-update, ktorý sa pomocou dialógu spýta, ktoré profily PAM použiť. Ťažko mi je predvídať aké profily máte nainštalované, dôležité ale je zvoliť Nuno LDAP Authentification a nezvoliť LDAP Autentification.

Varovanie

Aby som bol úplný, použitím tohoto profilu som sa dostal do problémov so zmenou lokálneho hesla, kvôli čomu som musel odstrániť parameter use_authtok modulu pam_unix.so v časti pre autentifikáciu hesla ( common-password).

Prístup potom udáva parameter host daného používateľa, ktorý musí obsahovať meno stroja (preložiteľné pomocou DNS) na ktorý sa používateľ chce prihlásiť. Každý používateľ môže mať viac hodnôt host, takže sa bude môcť prihlásiť na viac strojov. Môže mať parameter host s hodnotou * (hviezdička), a tak sa môže prihlásiť na akýkoľvek stroj, ktorý používa autentifikáciu pomocou LDAP. Prípadne možno zadať hodnotu tohoto parametra začínajúcu výkričníkom, takže k tomuto stroju bude prístup zakázaný, ale k ostatným povolený.

Existujú aj ďalšie modely obmedzovania prístupu, napríklad:

  • prístup na základe skupín – pam_access;
  • filtrovanie na základe atribútu – pam_filter.

Záver

Ak ste dočítali až tu a postupovali podľa návodu, mali by ste mať nastavený server i klienta tak, aby umožňoval centrálu autentifikáciu. je to však iba základné nastavenie a využitie LDAP poskytuje omnoho viac možností, ktoré ostávajú zatiaľ na štúdium z iných zdrojov. Za všetky ďalšie možnosti spomeniem šifrovanú komunikáciu. Prajem teda veľa úspechov pri ldapovaní…