Cara Mengonfigurasi Klien LDAP untuk Menghubungkan Otentikasi Eksternal


LDAP (kependekan dari Lightweight Directory Access Protocol) adalah serangkaian protokol standar industri yang banyak digunakan untuk mengakses layanan direktori.

Layanan direktori secara sederhana adalah database terpusat berbasis jaringan yang dioptimalkan untuk akses baca. Ia menyimpan dan menyediakan akses ke informasi yang harus dibagikan antar aplikasi atau didistribusikan secara luas.

Layanan direktori memainkan peran penting dalam mengembangkan aplikasi intranet dan Internet dengan membantu Anda berbagi informasi tentang pengguna, sistem, jaringan, aplikasi, dan layanan di seluruh jaringan.

Kasus penggunaan umum untuk LDAP adalah menawarkan penyimpanan nama pengguna dan sandi terpusat. Hal ini memungkinkan berbagai aplikasi (atau layanan) terhubung ke server LDAP untuk memvalidasi pengguna.

Setelah menyiapkan server LDAP yang berfungsi, Anda perlu menginstal pustaka pada klien untuk menghubungkannya. Pada artikel ini, kami akan menunjukkan cara mengonfigurasi klien LDAP untuk menyambung ke sumber autentikasi eksternal.

Saya harap Anda sudah memiliki lingkungan server LDAP yang berfungsi, jika belum menyiapkan Server LDAP untuk Otentikasi berbasis LDAP.

Cara Install dan Konfigurasi LDAP Client di Ubuntu dan CentOS

Pada sistem klien, Anda perlu menginstal beberapa paket yang diperlukan agar mekanisme otentikasi berfungsi dengan benar dengan server LDAP.

Konfigurasikan Klien LDAP di Ubuntu 16.04 dan 18.04

Pertama-tama mulailah dengan menginstal paket-paket yang diperlukan dengan menjalankan perintah berikut.

sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd

Selama instalasi, Anda akan dimintai rincian server LDAP Anda (berikan nilai sesuai dengan lingkungan Anda). Perhatikan bahwa paket ldap-auth-config yang diinstal secara otomatis melakukan sebagian besar konfigurasi berdasarkan masukan yang Anda masukkan.

Selanjutnya, masukkan nama basis pencarian LDAP, Anda dapat menggunakan komponen nama domainnya untuk tujuan ini seperti yang ditunjukkan pada tangkapan layar.

Pilih juga versi LDAP yang akan digunakan dan klik Oke.

Sekarang konfigurasikan opsi untuk memungkinkan Anda membuat utilitas kata sandi yang menggunakan pam untuk berperilaku seperti Anda akan mengubah kata sandi lokal dan klik Ya untuk melanjutkan..

Selanjutnya, nonaktifkan persyaratan login ke database LDAP menggunakan opsi berikutnya.

Tentukan juga akun LDAP untuk root dan klik Ok.

Selanjutnya, masukkan sandi yang akan digunakan ketika ldap-auth-config mencoba masuk ke direktori LDAP menggunakan akun LDAP untuk root.

Hasil dialog akan disimpan dalam file /etc/ldap.conf. Jika Anda ingin melakukan perubahan apa pun, buka dan edit file ini menggunakan editor baris perintah favorit Anda.

Selanjutnya, konfigurasikan profil LDAP untuk NSS dengan menjalankan.

sudo auth-client-config -t nss -p lac_ldap

Kemudian konfigurasikan sistem agar menggunakan LDAP untuk autentikasi dengan memperbarui konfigurasi PAM. Dari menu, pilih LDAP dan mekanisme autentikasi lainnya yang Anda perlukan. Anda sekarang dapat masuk menggunakan kredensial berbasis LDAP.

sudo pam-auth-update

Jika Anda ingin direktori home pengguna dibuat secara otomatis, maka Anda perlu melakukan satu konfigurasi lagi di file PAM sesi umum.

sudo vim /etc/pam.d/common-session

Tambahkan baris ini di dalamnya.

session required pam_mkhomedir.so skel=/etc/skel umask=077

Simpan perubahan dan tutup file. Kemudian restart layanan NCSD (Name Service Cache Daemon) dengan perintah berikut.

sudo systemctl restart nscd
sudo systemctl enable nscd

Catatan: Jika Anda menggunakan replikasi, klien LDAP perlu merujuk ke beberapa server yang ditentukan di /etc/ldap.conf. Anda dapat menentukan semua server dalam formulir ini:

uri ldap://ldap1.example.com  ldap://ldap2.example.com

Artinya waktu permintaan akan habis dan jika Penyedia (ldap1.example.com) menjadi tidak responsif, maka Konsumen (ldap2 .example.com) akan berusaha dihubungi untuk memprosesnya.

Untuk memeriksa entri LDAP bagi pengguna tertentu dari server, jalankan perintah getent, misalnya.

getent passwd tecmint

Jika perintah di atas menampilkan rincian pengguna tertentu dari file /etc/passwd, mesin klien Anda sekarang dikonfigurasi untuk mengautentikasi dengan server LDAP, Anda seharusnya dapat masuk menggunakan kredensial berbasis LDAP .

Konfigurasikan Klien LDAP di CentOS 7

Untuk menginstal paket yang diperlukan, jalankan perintah berikut. Perhatikan bahwa di bagian ini, jika Anda mengoperasikan sistem sebagai pengguna administratif non-root, gunakan perintah sudo untuk menjalankan semua perintah.

yum update && yum install openldap openldap-clients nss-pam-ldapd

Selanjutnya, aktifkan sistem klien untuk mengautentikasi menggunakan LDAP. Anda dapat menggunakan utilitas authconfig, yang merupakan antarmuka untuk mengonfigurasi sumber daya autentikasi sistem.

Jalankan perintah berikut dan ganti example.com dengan domain Anda dan dc=example,dc=com dengan pengontrol domain LDAP Anda.

authconfig --enableldap --enableldapauth --ldapserver=ldap.example.com --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update

Pada perintah di atas, opsi --enablemkhomedir membuat direktori home pengguna lokal pada koneksi pertama jika tidak ada.

Berikutnya, uji apakah entri LDAP untuk pengguna tertentu dari server, misalnya pengguna tecmint.

getent passwd tecmint

Perintah di atas akan menampilkan detail pengguna tertentu dari file /etc/passwd, yang berarti mesin klien kini dikonfigurasi untuk mengautentikasi dengan server LDAP.

Penting: Jika SELinux diaktifkan di sistem Anda, Anda perlu menambahkan aturan untuk mengizinkan pembuatan direktori home secara otomatis dengan mkhomedir.

Untuk informasi lebih lanjut, lihat dokumentasi yang sesuai dari katalog dokumen Perangkat Lunak OpenLDAP.

Ringkasan

LDAP, adalah protokol yang banyak digunakan untuk menanyakan dan memodifikasi layanan direktori. Dalam panduan ini, kami telah menunjukkan cara mengkonfigurasi klien LDAP untuk terhubung ke sumber otentikasi eksternal, di mesin klien Ubuntu dan CentOS. Anda dapat meninggalkan pertanyaan atau komentar apa pun menggunakan formulir umpan balik di bawah.