SUSE Linux Enterprise Desktop dokument�ci� 35. fejezet - LDAP – c�mt�rszolg�ltat�s�/�35.3. LDAP-kliens be�ll�t�sa YaST seg�ts�g�vel
	35.2. Az LDAP-c�mt�rfa szerkezete		35.4. LDAP felhaszn�l�k �s csoportok be�ll�t�sa a YaST seg�ts�g�vel

LDAP-kliens be�ll�t�sa YaST seg�ts�g�velLDAP-kliens be�ll�t�sa YaST seg�ts�g�vel

A YaST tartalmaz egy modult az LDAP alap� felhaszn�l�fel�gyelet be�ll�t�s�hoz. Ha nem enged�lyezi ezt a szolg�ltat�st a telep�t�s sor�n, akkor ind�tsa el a modult a H�l�zati szolg�ltat�sok+LDAP-kliens men�pont kiv�laszt�s�val. A YaST automatikusan enged�lyezi a PAM �s NSS megfelelő m�dos�t�sait, amelyekre az LDAP haszn�lat�hoz sz�ks�g van �s telep�ti a sz�ks�ges f�jlokat.

Szok�sos elj�r�sSzok�sos elj�r�s

Ahhoz, hogy meg�rts�k, hogyan műk�dik a YaST LDAP-kliensmodulja, ismerni kell a kliensg�p h�tt�rben műk�dő folyamatait is. Ha az LDAP be lett kapcsolva a h�l�zati hiteles�t�shez vagy a YaST-modul megh�v�sra ker�lt, akkor a rendszer telep�tette a pam_ldap �s az nss_ldap csomagot, �s m�dos�totta a k�t vonatkoz� konfigur�ci�s f�jlt. A pam_ldap a bejelentkez�si folyamat �s az LDAP-c�mt�r – mint a hiteles�t�si adatok forr�sa – k�z�tti egyeztet�s�rt felelős PAM-modul. Telep�t�sre ker�lt a dedik�lt pam_ldap.so modul �s megt�rt�ntek a sz�ks�ges m�dos�t�sok a PAM-konfigur�ci�n (l�sd: 35.2. p�lda - Az LDAP-hoz �talak�tott pam_unix2.conf).

35.2. p�lda - Az LDAP-hoz �talak�tott pam_unix2.conf

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Ha k�zzel �ll�t be tov�bbi szolg�ltat�sokat az LDAP haszn�lat�ra, akkor adja meg a PAM LDAP-modult az /etc/pam.d k�nyvt�rban, a szolg�ltat�snak megfelelő a PAM konfigur�ci�s f�jlban. Az /usr/share/doc/packages/pam_ldap/pam.d/ k�nyvt�rban tal�lhat�k bizonyos szolg�ltat�sokhoz m�r �talak�tott konfigur�ci�s f�jlok. M�solja �t a megfelelő f�jlokat az /etc/pam.d k�nyvt�rba.

Az nsswitch mechanizmuson kereszt�li glibc n�vfelold�s hozz� lett alak�tva az LDAP haszn�lat�hoz az nss_ldap seg�ts�g�vel. A csomag telep�t�se ut�n egy �j, megfelelően m�dos�tott nsswitch.conf f�jl j�n l�tre az /etc k�nyvt�rban. Az nsswitch.conf műk�d�s�vel kapcsolatban tov�bbi inform�ci�: 30.6.1. szakasz - Konfigur�ci�s f�jlok. Az al�bbi soroknak szerepelni�k kell az nsswitch.conf f�jlban az LDAP-n kereszt�li felhaszn�l�i adminisztr�ci�hoz �s hiteles�t�shez. L�sd: 35.3. p�lda - M�dos�t�sok az nsswitch.conf f�jlban.

35.3. p�lda - M�dos�t�sok az nsswitch.conf f�jlban

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Ezek a sorok elősz�r megh�vj�k a glibc felold� f�ggv�nyt�r�t az /etc k�nyvt�r megfelelő f�jljainak ki�rt�kel�s�hez, valamint a hiteles�t�si �s felhaszn�l�i adatok forr�sak�nt el�rik az LDAP-kiszolg�l�t is. Pr�b�lja ki a mechanizmust p�ld�ul a felhaszn�l�i adatb�zis elolvas�s�val, a getent passwd parancs seg�ts�g�vel. A visszaadott halmaznak tartalmaznia kell a rendszer helyi felhaszn�l�inak, valamint az LDAP-kiszolg�l�n t�rolt �sszes felhaszn�l�nak az adatait.

Annak megakad�lyoz�s�ra, hogy az LDAP-n kereszt�l fel�gyelt felhaszn�l�k az ssh vagy login paranccsal bejelentkezzenek a kiszolg�l�ra, az /etc/passwd �s az /etc/group f�jlnak tartalmaznia kell egy tov�bbi sort. Az /etc/passwd f�jlban ez a sor a +::::::/sbin/nologin, az /etc/group f�jlban pedig a +:::.

Az LDAP-kliens be�ll�t�saAz LDAP-kliens be�ll�t�sa

Miut�n a YaST a sz�ks�ges m�don m�dos�totta az nss_ldap, pam_ldap, /etc/passwd �s /etc/group f�jlt, egyszerűen csatlakoztathatja a klienst a kiszolg�l�hoz, �s hagyja, hogy a YaST LDAP-n kereszt�l fel�gyelje a felhaszn�l�kat. Az alapvető be�ll�t�s le�r�sa: 35.3.2.1. szakasz - Alapkonfigur�ci�.

A YaST LDAP-kliens seg�ts�g�vel �talak�thatja a felhaszn�l�i �s csoportadminisztr�ci�ra szolg�l� YaST-modulokat. Ez mag�ban foglalja az �j felhaszn�l�k �s csoportok alap�rtelmezett be�ll�t�sainak, valamint a felhaszn�l�hoz vagy csoporthoz rendelt attrib�tumok sz�m�nak �s viselked�s�nek m�dos�t�s�t. Az LDAP felhaszn�l�fel�gyelet l�nyegesen t�bb, m�sf�le attrib�tumok hozz�rendel�s�t teszi lehetőv� a felhaszn�l�khoz �s csoportokhoz, mint a hagyom�nyos felhaszn�l�- �s csoportfel�gyeleti megold�sok. Ennek le�r�sa: 35.3.2.2. szakasz - YaST csoport- �s felhaszn�l�fel�gyeleti moduljainak be�ll�t�sa.

Alapkonfigur�ci�Alapkonfigur�ci�

Az alap LDAP klienskonfigur�ci� p�rbesz�dablak (35.2. �bra - YaST: LDAP-kliens be�ll�t�sa) megjelenik a telep�t�s sor�n, ha az LDAP felhaszn�l�fel�gyeletet v�lasztja, vagy ha a telep�tett rendszeren kiv�lasztja a YaST vez�rlők�zpont H�l�zati szolg�ltat�sok+LDAP-kliens men�pontot.

35.2. �bra - YaST: LDAP-kliens be�ll�t�sa

A g�p felhaszn�l�inak OpenLDAP-kiszolg�l�n t�rt�nő hiteles�t�s�hez �s az OpenLDAP-n kereszt�li felhaszn�l�fel�gyelet enged�lyez�s�hez tegye a k�vetkezőket:

Az LDAP haszn�lat�nak enged�lyez�s�hez kattintson az LDAP haszn�lata lehetős�gre. Ha LDAP-hiteles�t�st k�v�n haszn�lni, de nem szeretn�, hogy m�s felhaszn�l�k bejelentkezzenek a kliensre, akkor v�lassza ink�bb az LDAP haszn�lata letiltott bejelentkez�sekkel lehetős�get.
Adja meg a haszn�land� LDAP-kiszolg�l� IP-c�m�t.
Az LDAP-kiszolg�l�n a keres�si alap kiv�laszt�s�hoz adja meg az LDAP alap DN-t. Az alap DN automatikus lek�r�s�hez kattintson a DN lek�r�se men�pontra. A YaST ezut�n a fent megadott kiszolg�l�c�men LDAP-adatb�zist keres. A YaST �ltal biztos�tott keres�si eredem�nyek k�z�l v�lassza ki a megfelelő alap DN-t.
Ha a kiszolg�l�val TLS-sel vagy SSL-lel v�dett kommunik�ci�t k�v�n kialak�tani, akkor v�lassza ki az LDAP TLS/SSL lehetős�get.
Ha az LDAP-kiszolg�l� tov�bbra LDAPv2-t haszn�l, akkor explicit m�don enged�lyezze a protokollv�ltozat haszn�lat�t az 2-es LDAP verzi� lehetős�g kiv�laszt�s�val.
V�lassza ki az Az automounter aktiv�l�sa men�pontot a t�voli k�nyvt�rak - mint p�ld�ul a t�volr�l fel�gyelt /home - felcsatol�s�hoz a kliensen.
V�lassza ki a Saj�t k�nyvt�r l�trehoz�sa bejelentkez�skor men�pontot, hogy a felhaszn�l� saj�t k�nyvt�ra automatikusan l�trej�jj�n a felhaszn�l� első bejelentkez�sekor.
A be�ll�t�sok alkalmaz�s�hoz kattintson a Befejez�s gombra.

35.3. �bra - YaST: Szak�rtői be�ll�t�s

A kiszolg�l� adatainak m�dos�t�s�hoz adminisztr�tor felhaszn�l�k�nt kattintson a Szak�rtői be�ll�t�sok gombra. A k�vetkező p�rbesz�dablak k�t r�szből �ll: L�sd:35.3. �bra - YaST: Szak�rtői be�ll�t�s

A Kliensbe�ll�t�sok lapon a k�vetkező be�ll�t�sokat az ig�nyeinek megfelelően adja meg:
1. Ha a felhaszn�l�k, jelszavak �s csoportok keres�si alapja elt�r a LDAP alap DN r�szben megadott glob�lis keres�si alapt�l, akkor itt adja meg ezeket az elt�rő n�vkontextusokat a Felhaszn�l� lek�pez�se, Jelsz� lek�pez�se �s Csoport lek�pez�se mezőkben.
2. Adja meg a jelsz�m�dos�t�si protokollt. A jelsz�v�ltoz�sakor alkalmazand� szabv�nyos met�dus a crypt, ami azt jelenti, hogy a crypt �ltal elő�l�tott jelsz� hash �rt�kek ker�lnek felhaszn�l�sra. Ezzel �s m�s be�ll�t�sokkal kapcsolat r�szletek�rt tekintse meg a pam_ldap k�zik�nyvoldalt.
3. Adja meg a Csoporttag attrib�tum-hoz haszn�land� LDAP-csoportot. Ennek alap�rtelmezett �rt�ke a member.
A Fel�gyeleti be�ll�t�sok men�pontban adja meg a k�vetkező be�ll�t�sokat:
1. Adja meg a felhaszn�l�fel�gyeleti adatok t�rol�s�nak alapj�t a Be�ll�t�s alap DN men�pontban.
2. Adja meg az Adminisztr�tori DN megfelelő �rt�k�t. Ennek a DN-nek meg kell egyeznie az /etc/openldap/slapd.conf f�jlban megadott rootdn �rt�kkel annak enged�lyez�s�hez, hogy ez az adott felhaszn�l� m�dos�tani tudja az LDAP-kiszolg�l�n t�rolt adatokat. Adja meg a teljes DN-t (p�ld�ul: cn=Administrator,dc=example,dc=com) vagy aktiv�lja a Alap DN hozz�fűz�se lehetős�get ahhoz, hogy az alap DN automatikusan hozz�ad�sra ker�lj�n a cn=Administrator be�r�sakor.
3. Jel�lje be az Alap�rtelmezett konfigur�ci�s objektumok l�trehoz�sa lehetős�get az alap konfigur�ci�s objektumok l�trehoz�s�hoz a kiszolg�l�n az LDAP-n kereszt�li felhaszn�l�fel�gyelet enged�lyez�s�hez.
4. Ha a kliensg�pnek a saj�t k�nyvt�rak f�jlkiszolg�l�jak�nt kell műk�dnie a h�l�zatban, akkor jel�lje be a Saj�t k�nyvt�rak ezen a g�pen lehetős�get.
5. A Jelsz�ir�nyelv r�szben kiv�laszthatja, hozz�adhatja, t�r�lheti vagy m�dos�tja a haszn�land� jelsz�ir�nyelvet. A jelsz�ir�nyelvek YaST seg�ts�g�vel t�rt�nő konfigur�ci�ja az LDAP-kiszolg�l�be�ll�t�s r�sze.
6. Kattintson az Elfogad�s gombra a Szak�rtői be�ll�t�s elhagy�s�hoz, majd a Befejez�s gombra a be�ll�t�sok alkalmaz�s�hoz.

A Felhaszn�l�kezel�si konfigur�ci� be�ll�t�sa men�pont seg�ts�g�vel m�dos�thatja az LDAP-kiszolg�l� bejegyz�seit. A kiszolg�l�n l�vő konfigur�ci�s modulok el�r�se a kiszolg�l�n t�rolt ACL-ek �s ACI-k szerint biztos�tott. K�vesse a k�vetkező elj�r�sokat: 35.3.2.2. szakasz - YaST csoport- �s felhaszn�l�fel�gyeleti moduljainak be�ll�t�sa.

YaST csoport- �s felhaszn�l�fel�gyeleti moduljainak be�ll�t�saYaST csoport- �s felhaszn�l�fel�gyeleti moduljainak be�ll�t�sa

A YaST LDAP-kliens seg�ts�g�vel a YaST modulok m�dos�that�k a felhaszn�l�- �s csoportfel�gyelethez, valamint ezek sz�ks�g szerint kiterjeszthetők. Adjon meg sablonokat alap�rtelmezett �rt�kekkel az egy�ni attrib�tumokhoz az adatregisztr�ci� egyszerűs�t�se �rdek�ben. Az itt l�trehozott előre megadott be�ll�t�sokat az LDAP-c�mt�r LDAP-objektumokk�nt t�rolja. A felhaszn�l�i adatok regisztr�ci�ja tov�bbra is a felhaszn�l�- �s csoportkezel�sre szolg�l� norm�l YaST modulokkal t�rt�nik. A regisztr�lt adatok LDAP-objektumok form�j�ban ker�lnek t�rol�s�ra a kiszolg�l�n.

35.4. �bra - YaST: modul be�ll�t�sa

A modulkonfigur�ci�hoz tartoz� p�rbesz�dablak (35.4. �bra - YaST: modul be�ll�t�sa) lehetőv� teszi �j modulok l�trehoz�s�t, a megl�vő konfigur�ci�s modulok kiv�laszt�s�t �s m�dos�t�s�t, valamint az ilyen modulok sablonjainak tervez�s�t �s m�dos�t�s�t.

�j konfigur�ci�s modul l�trehoz�s�hoz tegye a k�vetkezőket:

Kattintson az �j lehetős�gre, �s v�lassza ki a l�trehozand� modul t�pus�t. A felhaszn�l�i konfigur�ci�s modulhoz v�lassza ki a suseuserconfiguration, a csoportkonfigur�ci�hoz pedig a susegroupconfiguration lehetős�get.
Az �j sablonhoz v�lasszon nevet. A tartalom n�zetben ezut�n megjelenik egy t�bl�zat, amelyben a modulban enged�lyezett �sszes attrib�tum l�that� a hozz�juk rendelt �rt�kekkel. Az �sszes be�ll�tott attrib�tumon t�l a lista tartalmazza az aktu�lis s�ma �ltal enged�lyezett, de jelenleg nem haszn�lt egy�b attrib�tumokat is.
Fogadja el az előre be�ll�tott �rt�keket, vagy m�dos�tsa a csoport- �s felhaszn�l�konfigur�ci� alap�rtelmez�seit: v�lassza ki a k�v�nt attrib�tumot, nyomja meg a Szerkeszt�s gombot, majd �rja be az �j �rt�ket. A modul �tnevez�s�hez egyszerűen csak a modul cn attrib�tum�t kell m�dos�tani. A T�rl�s gomb megnyom�s�ra a jelenleg kiv�lasztott modul t�rlődik.
Az Elfogad�s gomb megnyom�sa ut�n az �j modul beker�l a kiv�laszt�s men�be.

A csoport- �s felhaszn�l�adminisztr�ci�s YaST-modulok �rtelmes alap�rt�kekkel kit�lt�tt sablonokat tartalmaznak. Egy konfigur�ci�s modulhoz rendelt sablon szerkeszt�se:

A Modul be�ll�t�sa p�rbesz�dablakban kattintson a Sablon be�ll�t�sa men�pontra.
Ig�ny szerint hat�rozza meg a sablonhoz rendelt �ltal�nos attrib�tumok �rt�keit. �resen is hagyhat k�z�l�k n�h�nyat. Az �res attrib�tumok t�rlődnek az LDAP-kiszolg�l�r�l.
M�dos�tsa, t�r�lje vagy vegye fel az �j objektumok (az LDAP-c�mt�rfa felhaszn�l�- vagy csoportkonfigur�ci�s objektumainak) �j alap�rtelmezett �rt�keit.

35.5. �bra - YaST: Objektumsablon be�ll�t�sa

Csatlakoztassa a sablont a modulj�hoz: �ll�tsa a modul susedefaulttemplate attrib�tum�nak �rt�k�t a m�dos�tott sablon DN-j�re.


Az attrib�tum alap�rtelmezett �rt�kei l�trehozhat�k m�sik attrib�tumokb�l is, ha abszol�t �rt�k haszn�lata helyett egy v�ltoz�t haszn�l. �j felhaszn�l� l�trehoz�sakor p�ld�ul a `cn=%sn %givenName` automatikusan l�trej�n az `sn` �s `givenName` attrib�tum�rt�k�ből.

Ha az �sszes modul �s sablon megfelelően be van �ll�tva �s fut�sra k�sz, akkor a YaST seg�ts�g�vel az �j csoportok �s felhaszn�l�k a szok�sos m�don bejegyezhetők.