Autentikacija osnovnih servisa putem LDAP-a i RADIUS-a

Za autentikaciju različitih servisa putem LDAP-a mogu se koristiti dva modula: pam_ldap i pam_radius. Preporuka AAI@EduHr službe je uporaba modula pam_radius, pa će ovaj članak biti baziran na njemu.

Način rada u ovom slučaju je posredan, jer pam_radius kontaktira RADIUS server, koji zatim komunicira s LDAP serverom.

 

Uz pretpostavku da se radi o Debian Linuxu, potrebno je instalirati paket libpam-radius-auth koji donosi potreban PAM modul. Instalacija je standardna:

 

# apt-get install libpam-radius-auth

 

U konfiguraciji FreeRADIUS-a prijavite poslužitelja kao klijenta:

 

# U našem slučaju je klijent na lokalnom računalu (localhost)

 

client 127.0.0.1 {
        secret          = neki_secret
        shortname       = localhost
}

 

Ovaj secret se treba prenijeti i u konfiguraciju pam_radius-a u datoteci /etc/pam_radius_auth.conf:

 

# server[:port] shared_secret      timeout (s)
127.0.0.1:1812  neki_secret        3

 

Time smo obavili predradnje za autentikaciju servisa preko RADIUS-a. Konfiguracijske datoteke PAM-a nalaze se u direktoriju /etc/pam.d/.

Ako želite sve servise autenticirati preko RADIUS-a, u datoteci /etc/pam.d/common-auth, bez diranja ostalih datoteka, zakomentirajte redak:

 

#auth    required        pam_unix.so nullok_secure

 

i dodajte:


auth    sufficient      pam_radius_auth.so
auth    required        pam_unix.so try_first_pass

 

Time smo postigli da se autentikacija korisnika obavlja preko RADIUS servera, a tek u slučaju neuspješne autentikacije pita se pam_unix (odnosno traži unos zaporke navedene u datoteci /etc/shadow). To je dobro, jer će se sistemac moći prijaviti na poslužitelj i u slučaju ispada RADIUS-a ili LDAP-a.

 

Svaki servis ima svoju konfiguracijsku datoteku i može se zasebno podešavati. Na primjer, za Secure shell u /etc/pam.d/ssh zakomentirajte redak:

 

#@include common-auth

 

i dodajte dva nova:


auth    sufficient      pam_radius_auth.so
auth    required        pam_unix.so try_first_pass

 

U /etc/pam.d nalazi se konfiguracija i za druge servise. Na isti način možete unijeti i konfiguraciju na primjer za ftp, imap, pop itd.

sri, 2006-01-25 13:29 - Uredništvo
Kuharice: 
Za sistemce
Kategorije: 
Servisi
Vote: 
3
Vaša ocjena: Nema Average: 3 (2 votes)