إعداد الاستيثاق باستخدام LDAP

إعداد الاستيثاق باستخدام LDAP على Red Hat Enterprise Linux

مقدمة

يعتبر بروتوكول LDAP (Lightweight Directory Access Protocol) واحدًا من البروتوكولات الأساسية في نظم إدارة الشبكات، والذي يستخدم للوصول إلى البيانات الموجودة في الدليل المركزي. يعد LDAP أداة أساسية في عمليات الاستيثاق والإدارة المركزية للمستخدمين في العديد من بيئات العمل، خاصة عندما يتعلق الأمر بتوفير وصول موحد وآمن إلى التطبيقات والخدمات. في هذا المقال، سنتناول كيفية إعداد الاستيثاق باستخدام LDAP على نظام Red Hat Enterprise Linux (RHEL).

ما هو LDAP؟

LDAP هو بروتوكول لتخزين واسترجاع البيانات من دليل مركزي. يعمل LDAP على استخدام بنية شجرية لتخزين البيانات ويتيح للمستخدمين الوصول إليها من خلال عمليات الاستعلام (search) والإدخال (add) والتعديل (modify). يشيع استخدام LDAP في بيئات المؤسسات لإدارة المستخدمين والصلاحيات، كما يتم دمجه مع أنظمة الاستيثاق لتوحيد عملية تسجيل الدخول عبر العديد من الأنظمة والخدمات.

الأهمية الرئيسية لاستخدام LDAP في إدارة الاستيثاق

تتمثل الفائدة الأساسية لاستخدام LDAP في تسهيل إدارة حسابات المستخدمين والصلاحيات في بيئات كبيرة. بدلاً من أن يكون لكل خدمة قاعدة بيانات مستقلة للمستخدمين، يمكن تخزين كل هذه البيانات في دليلك المركزي، مما يبسط عملية الإدارة. يسمح ذلك بتمكين الاستيثاق الموحد حيث يمكن للمستخدمين تسجيل الدخول باستخدام نفس بيانات الاعتماد عبر أنظمة متعددة.

خطوات إعداد LDAP للاستيثاق على Red Hat Enterprise Linux

1. تثبيت الحزم المطلوبة

لبدء عملية إعداد LDAP للاستيثاق على RHEL، نحتاج أولاً إلى تثبيت الحزم المناسبة. يمكن استخدام مدير الحزم yum لتثبيت الحزم المطلوبة.

bash
CopyEdit
sudo yum install openldap-clients nss_ldap

ستقوم هذه الأوامر بتثبيت الحزم اللازمة للتفاعل مع خوادم LDAP من خلال بروتوكولات الاستيثاق.

2. تكوين ملف LDAP في النظام

بعد تثبيت الحزم، ستحتاج إلى تكوين إعدادات LDAP في النظام باستخدام ملف الإعدادات nsswitch.conf وملفات الإعدادات الأخرى. أول خطوة هي تعديل ملف nsswitch.conf لتمكين دعم LDAP للاستيثاق.

افتح الملف nsswitch.conf باستخدام محرر النصوص المفضل لديك:

bash
CopyEdit
sudo vi /etc/nsswitch.conf

ابحث عن الأسطر التي تتعلق بـ passwd و shadow و group، ثم قم بتعديلها لتشمل LDAP كما يلي:

bash
CopyEdit
passwd:     files ldap
shadow:     files ldap
group:      files ldap

3. تكوين PAM (Pluggable Authentication Modules)

يعد PAM عنصرًا أساسيًا في نظام RHEL لإدارة طرق المصادقة المتعددة. لتكوين PAM للاستيثاق عبر LDAP، يجب تعديل ملفات PAM لتضمين الإعدادات المناسبة.

افتح الملف system-auth في دليل /etc/pam.d/:

bash
CopyEdit
sudo vi /etc/pam.d/system-auth

أضف الأسطر التالية لتفعيل استيثاق LDAP:

bash
CopyEdit
auth        required      pam_ldap.so
account     required      pam_ldap.so
password    required      pam_ldap.so
session     required      pam_ldap.so

4. تكوين ملف ldap.conf

الخطوة التالية هي تكوين ملف ldap.conf لربط النظام بخادم LDAP. هذا الملف يحتوي على جميع الإعدادات الخاصة بالخادم والمصادقة. يجب أن يحتوي الملف على معلومات مثل عنوان الخادم وDN (Distinguished Name) وبيانات اعتماد المستخدم إذا لزم الأمر.

افتح الملف /etc/ldap.conf أو /etc/openldap/ldap.conf (حسب توزيعتك)، ثم قم بإضافة الإعدادات التالية:

bash
CopyEdit
sudo vi /etc/ldap.conf

أضف المعلومات الأساسية لخادم LDAP:

bash
CopyEdit
URI ldap://ldap.example.com
BASE dc=example,dc=com
BINDDN cn=admin,dc=example,dc=com
BINDPW password

• URI: عنوان خادم LDAP.

• BASE: قاعدة البحث التي تحتوي على المستخدمين.

• BINDDN: Distinguished Name المستخدم لتسجيل الدخول إلى LDAP.

• BINDPW: كلمة المرور الخاصة بالمستخدم BINDDN.

5. اختبار الاتصال بخادم LDAP

بمجرد الانتهاء من تكوين خادم LDAP على النظام، يمكنك اختبار الاتصال به باستخدام الأداة ldapsearch. على سبيل المثال، لاختبار الاتصال بخادم LDAP باستخدام حساب admin، يمكنك تشغيل الأمر التالي:

bash
CopyEdit
ldapsearch -x -b "dc=example,dc=com" -D "cn=admin,dc=example,dc=com" -W

سيطلب منك إدخال كلمة المرور الخاصة بحساب admin للتحقق من الاتصال.

6. تكامل استيثاق LDAP مع خدمات أخرى

بعد أن أصبح LDAP مكونًا أساسيًا للاستيثاق على نظام RHEL، يمكنك تكامل خدمات أخرى مثل SSH وSUDO وNFS للاستفادة من المصادقة المركزية عبر LDAP.

• SSH: لتكوين SSH للاستيثاق باستخدام LDAP، تأكد من تمكين الاستيثاق باستخدام PAM وLDAP في ملف الإعدادات /etc/ssh/sshd_config.

• SUDO: لإعداد استخدام LDAP للتحقق من صلاحيات المستخدمين مع sudo، قم بتعديل ملف الإعداد /etc/sudoers لتمكين التحكم في الوصول عبر LDAP.

7. إعادة تشغيل الخدمات

بمجرد إتمام التكوينات، يجب إعادة تشغيل بعض الخدمات لتطبيق التغييرات. على سبيل المثال، يجب إعادة تشغيل خدمة SSH لتطبيق تغييرات PAM:

bash
CopyEdit
sudo systemctl restart sshd

وأيضًا يجب التأكد من أن خدمة nslcd تعمل بشكل صحيح:

bash
CopyEdit
sudo systemctl start nslcd

8. مراقبة واختبار المصادقة

بعد إتمام عملية التكوين، من الضروري اختبار عملية الاستيثاق عبر LDAP باستخدام أوامر مثل id أو getent للتحقق من أن المستخدمين يمكنهم تسجيل الدخول بنجاح عبر LDAP.

bash
CopyEdit
id username

إذا تم تكوين LDAP بشكل صحيح، يجب أن ترى معلومات المستخدم من خادم LDAP بدلاً من خادم محلي.

خاتمة

من خلال هذه الخطوات، يكون قد تم إعداد الاستيثاق باستخدام LDAP على نظام Red Hat Enterprise Linux بنجاح. يُعد LDAP أداة قوية ومرنة توفر حلولاً متكاملة وآمنة لإدارة حسابات المستخدمين والأنظمة في بيئات متعددة. بعد إتمام إعدادات LDAP، يصبح بإمكان المؤسسات إدارة المصادقة بطريقة موحدة وآمنة، مما يسهل عمليات الإدارة ويقلل من التعقيد في بيئات العمل المتعددة.