Red SWL (II): Ubuntu 12.04 y ClearOS. Autenticación LDAP

¡Hola Amigos!. Se trata de hacer una red con varios equipos de escritorio con el Ubuntu 12.04 Precise Pangolin, y el versátil servidor ClearOS. O sea, una red con Software Libre exclusivamente.

Es imprescindible lean antes:

  • Introducción a una Red con Software Libre (I): Presentación del ClearOS

Veremos:

Red de ejemplo

  • Controlador de Dominio, DNS, DHCP: ClearOS Enterprise 5.2sp1.
  • Nombre del Controlador: centos
  • Nombre del Dominio: amigos.cu
  • IP del Controlador: 10.10.10.60
  • ——————————————-
  • Versión de Ubuntu: Ubuntu Desktop 12.04.2 Precise.
  • Nombre del equipo: precise
  • Dirección IP: Mediante DHCP

precise-dhcp-ip

Preparamos nuestro Ubuntu

Modificamos el archivo /etc/lightdm/lightdm.conf para que acepte inicio de sesión manual, y lo dejamos con el siguiente contenido:

[SeatDefaults]
greeter-session=unity-greeter
user-session=ubuntu
greeter-show-manual-login=true
greeter-hide-users=true
allow-guest=false

Después de guardar los cambios, reiniciamos el Lightdm en una consola invocada mediante Ctrl + Alt + F1 y en ella ejecutamos, después de iniciar sesión, sudo service lightdm restart.

Configuramos el cliente LDAP

Debemos tener a mano los datos del servidor OpenLDAP, los que obtenemos de la interfaz web de administración en «Directory» –> «Domain and LDAP«:

LDAP Base DN: dc=amigos,dc=cu
LDAP Bind DN: cn=manager,cn=internal,dc=amigos,dc=cu
LDAP Bind Password: kLGD+Mj+ZTWzkD8W

Instalamos paquetes necesarios:

sudo apt-get install ldap-auth-client finger

Durante el proceso de instalación nos harán varias preguntas, las cuales debemos responder correctamente. Las respuestas serían en el caso de éste ejemplo:

LDAP server Uniform Resource Identifier: ldap://10.10.10.60
Distinguished name of the search base: dc=amigos,dc=cu
LDAP version to use: 3
Make local root Database admin: Si
Does the LDAP database require login? No
LDAP account for root: cn=manager,cn=internal,dc=amigos,dc=cu
LDAP root account password: kLGD+Mj+ZTWzkD8W

Si nos equivocamos en las respuestas anteriores, ejecutamos:

dpkg-reconfigure ldap-auth-config
## Respuestas
LDAP server Uniform Resource Identifier: ldap://10.10.10.60
Distinguished name of the search base: dc=amigos,dc=cu
LDAP version to use: 3
Make local root Database admin: Si
Does the LDAP database require login? No
LDAP account for root: cn=manager,cn=internal,dc=amigos,dc=cu
LDAP root account password: kLGD+Mj+ZTWzkD8W
Local crypt to use when changing passwords: md5

Modificamos el archivo /etc/nsswitch.conf, y lo dejamos con el siguiente contenido:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Modificamos el archivo /etc/pam.d/common-session para que cree automaticamente las carpetas de usuarios al iniciar sesión, en caso de que no existan:

[----]
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

### La línea anterior se debe incluir ANTES de
# here are the per-package modules (the "Primary" block)
[----]

Ejecutamos en una consola, Sólo para Comprobar, pam-auth-update:

precise-pam-auth-update

Hacemos comprobaciones:

:~$ finger trancos
Login: trancos                    Name: Trancos El Rey
Directory: /home/trancos                Shell: /bin/bash
Never logged in.
No mail.
No Plan.
:~$ sudo getent passwd trancos
trancos:x:1006:63000:Trancos El Rey:/home/trancos:/bin/bash
:~$ sudo getent passwd legolas
legolas:x:1004:63000:Legolas El Elfo:/home/legolas:/bin/bash

Reiniciamos nuestro Ubuntu porque los cambios realizados son medulares:

sudo reboot

Después de reiniciar, podemos iniciar sesión con cualquier usuario registrado en el OpenLDAP del ClearOS. Puede que demore en cerrar la sesión cuando la terminamos por vez primera.

Recomendamos que a continuación se realice lo siguiente:

  • Hacer miembro a los usuarios externos a los mismos grupos a los que pertenece el usuario local creado durante la instalación de nuestro Ubuntu.
  • Mediante el comando visudo, ejecutado como root, dar los permisos de ejecución necesarios a los usuarios externos.
  • Crear un marcador con la dirección https://centos.amigos.cu:81/?user en Firefox, para tener acceso a la página personal en el ClearOS, y poder, además de cambiar nuestra contraseña, modificar o adicionar datos a nuestro perfil de usuario.
  • Instalar el OpenSSH-Server para poder acceder a nuestro Ubuntu desde otro equipo.

Unas preguntas finales a los usuarios de Ubuntu:

  • ¿Por qué se instala por defecto con el usuario root sin contraseña?
  • ¿Por qué en su versión Servidor, por defecto, puedo usar aptitude o apt-get, mientras que por defecto en su versión de Escritorio, sólo puedo usar apt-get, y si deseo usar aptitude lo debo instalar?
  • ¿Por qué el AppArmor se instala activado por defecto?. Red Hat y derivados permiten seleccionar Selinux activado o no.
  • ¿Por qué no utiliza el archivo /etc/inittab muy aceptado por otras distribuciones GNU/Linux y muy cómodo cuando necesitamos implementar un Servidor de Acceso Remoto?

Y se acabó la actividad por hoy, Amigos !!!

pipin


16 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   O_Pixote_O dijo

    Me has dado curiosidad por probarlo, hasta ahora habia probado solo Zentyal.

    PD:Los links de «veremos:» no funcionan o no me funcionan.

  2.   Federico Antonio Valdés Toujague dijo

    Al parecer, éste blog no es muy visitado por usuarios de Ubuntu. 🙂

    1.    eliotime3000 dijo

      Pues, los usuarios de Ubuntu, en su mayoría son usuarios provenientes de Windows. de allí, la tremenda ausencia.

      Y por cierto, buen artículo.

      1.    Federico Antonio Valdés Toujague dijo

        Gracias por la compañía, Elio !!!. La verdad que con éste nivel de lectura, creo que no intentaré repetir la experiencia de nuevo. Y observa que repito que considero válido al Ubuntu. Veremos.

  3.   mario dijo

    responderé como usuario debian y ubuntu ya que ambos comparten muy por debajo cierto parecido:
    1. root está deshabilitado (si no tiene contraseña), se lo puede activar con passwd, o escribir sudo bash, que es algo parecido. Quizá está deshabilitado por razones de comodidad. Cuando existe root se mejora la seguridad, con la contra (y pro a la vez) de que sus archivos generados le pertenecen a él. Ve a explicarle a un novato chmod (y los números), chgrp y chown para que los usuarios normales puedan compartir archivos con root. Por eso se usa sudo para impedir frustraciones al usuario y estrés al sysadmin.
    Aún así en las instalaciones netinstall de debian como ubuntu se puede elegir ¿desea crear usuario root? con identicos resultados (no se activa sudo, editar /etc/sudoers).
    2. por la misma razón de que ya no se incluye synaptic o traceroute. Algunos dicen que por falta de espacio (en la epoca que se ditribuía en cds de 700mb) , otros que poca gente (de escritorio) los usa. Yo siempre me acuerdo de instalar a los tres.
    3. SElinux y Apparmor vienen activado o por instalar por defecto en distros como fedora, centos y ubuntu. Volviendo al punto 1, activarlos puede ser un dolor de cabeza para el usuario o el sysadmin, pero se gana seguridad. En ubuntu es bastante permisivo Apparmor. Pero la vez que probe SElinux en Centos, se hacia muy complicado que otros usuarios entren y manejen archivos a través de samba.
    4. Sysvinit ya esta siendo reemplazado en varias distros, y hace bastantes años. Debian y Gentoo los conservan, no asi RHEL, Fedora (systemd) o ubuntu (upstart). En http://0pointer.de/blog/projects/why.html puede verse otras alternativas y por qué el cambio. Justamente systemd junto con udev son los responsables de que ahora eth0 se llame algo parecido a enp2s1 (no me gusta), se van abandonando viejos conceptos.

    1.    Federico Antonio Valdés Toujague dijo

      Mario: Comentarios como el tuyo son los que esperamos y son los que hacen falta para esclarecer a muchos. Personalmente me has aclarado algunos detalles. Cuando he usado Ubuntu -poco, excepto la 8.04- siempre le pongo la contraseña al root; instalo aptitude y demás, así como el Synaptic en las últimas versiones. Y cierto que se abandonan viejos conceptos. La Modernidad. Muchas Gracias por Comentar !!!.

      1.    mario dijo

        no hay problema, son esas preguntas inteligentes que hacen a buscar mucho en la memoria conceptos que casi habia olvidado (gentoo), saludos!

        1.    eliotime3000 dijo

          Bueno, me encanta usar tanto Debian como Slackware y Arch. Aunque debo admitir que el SystemD es una maravilla en los arranques.

  4.   Euphoria dijo

    Muchas gracias por los articulos, no suelo comentar aunque leo casi todos los articulos y este me parece muy interesante, haber si empiezo una configuracion asi en mi casa:)

    Saludos y gracias de nuevo.

    1.    Federico A. Valdés Toujague dijo

      Gracias a ti por comentar !!!.

  5.   manuelperezf dijo

    una duda, las aplicaciones se ejecutan el cliente o en el servidor LDAP. Supongo que en el cliente sino tendría que sobre dimensionar el servidor… Es una pequeña duda

    1.    Federico A. Valdés Toujague dijo

      Lee en el artículo anterior las características principales del ClearOS. No está concebido para ser un clásico servidor de aplicaciones. Más bien de Infraestructura y Servicios Básicos de Redes. Por supuesto que puedes desarrollar una aplicación web basada en el Apache que lo puedes instalar. Y personalmente no recomiendo ese tipo de solución. Prefiero tener uno o varios servidores de aplicaciones aparte.

      Lo normal es que las aplicaciones se ejecuten del lado del cliente.

      Desconozco si las últimas versiones del ClearOS tienen un servidor para Clientes Ligeros. Me parece que no es su filosofía.

      1.    manuelperezf dijo

        Ok, lo probe hace muchos años cuando era Clarkconnect… y creo que como dices es mas un servidor de red e infraestructura. Seguire de momento con mi Zentyal… y seguire buscando el servidor de aplicaciones.

      2.    martin dijo

        muy interesante tu articulo soy usuario de ubuntu pero ultimamente estoy empezando a ver cosas algo mas tecnicas ahora mismo tengo una maquina algo vieja y andaba pensando en algo asi para sacarle provecho real gracias me has ayudado sobre que buscar

        1.    Federico A. Valdés Toujague dijo

          Nuestro principal objetivo es ayudar en el uso del SWL. Ojalá y encuentres alguna utilidad para la máquina vieja a partir de éste post.

  6.   Euphoria dijo

    Una duda, teneis algun tutorial de como usar un dominio comprado (en este caso en bluehost) con una ip dinamica para hacerlo montar algo parecido con servidor propio?

    Saludos