Xarxa SWL (III): Debian Wheezy i ClearOS. autenticació LDAP

Hola Amics !. Anem a fer una xarxa amb diversos equips d'escriptori, però en aquesta ocasió amb el Sistema Operatiu Debian 7 «Wheezy». Com servidor el Clear-vos. Com a dada, observem que el projecte Debian-Edu usa Debian en els seus servidors i estacions de treball. I aquest projecte ens ensenya i facilita el muntar una escola completa.

És imprescindible llegeixin abans:

• Introducció a una Xarxa amb Programari Lliure (I): Presentació de l'ClearOS

veurem:

• Xarxa d'exemple
• Configurem el client LDAP
• Arxius de configuració creats i / o modificats
• L'arxiu /etc/ldap/ldap.conf

Xarxa d'exemple

• Controlador de Domini, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Nom de l'Controlador: centos
• Nom de l'Domini: amics.cu
• IP de l'Controlador: 10.10.10.60
• ---------------
• Versió de Debian: Wheezy.
• Nom de l'equip: debian7
• adreça IP: mitjançant DHCP
  

Configurem el client LDAP

Hem de tenir a mà les dades de servidor OpenLDAP, els que obtenim de la interfície web d'administració de l'ClearOS a «Directory »->« Domain and LDAP":

LDAP Base DN: dc = amics, dc = cu LDAP Bind DN: cn = manager, cn = internal, dc = amics, dc = cu LDAP Bind Password: kLGD + Mj + ZTWzkD8W

Instal·lem paquets necessaris. Com l'usuari root executem:

aptitude install libnss-ldap nscd finger

Observi que la sortida de la comanda anterior, inclou també a el paquet libpam-ldap. Durant el procés d'instal·lació ens faran diverses preguntes, les quals hem de respondre correctament. Les respostes serien en el cas d'aquest exemple:

URI de servidor LDAP: ldap: //10.10.10.60
El nom distintiu (DN) de la base de recerques: dc = amics, dc = cu
Versió de LDAP a utilitzar: 3
Compte LDAP per root: cn = manager, cn = internal, dc = amics, dc = cu
Contrasenya per al compte LDAP de root: kLGD + Mj + ZTWzkD8W

Ara ens anuncia que l'arxiu /etc/nsswitch.conf no es gestiona de forma automàtica, i que ho hem de modificar manualment. Voleu permetre que el compte de l'administrador de LDAP es comporti com l'administrador local ?: Si
¿Cal un usuari per accedir a la base de dades LDAP ?: no
Compte de l'administrador d'LDAP: cn = manager, cn = internal, dc = amics, dc = cu
Contrasenya per al compte LDAP de root: kLGD + Mj + ZTWzkD8W

Si ens equivoquem en les respostes anteriors, executem com l'usuari root:

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

I responem adequadament les mateixes preguntes formulades abans, amb l'única addició de la pregunta:

Algorisme de xifrat local a utilitzar en les contrasenyes: md5

ull a l'respondre perquè el valor per defecte que se'ns ofereix és Cripta, I nosaltres hem de declarar que és md5. També ens mostra una pantalla en mode consola amb la sortida de la comanda pam-auth-update executat com root, La qual hem de acord.

Modifiquem el fitxer /etc/nsswitch.conf, I ho deixem amb el següent contingut:

# /Etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference 'and` info' packages installed, try: # `info libc" Name Service Switch " 'for information about this file. passwd:         compat ldap
grup:          compat ldap
ombra:         compat ldap

hosts: files mdns4_minimal [notfound = return] dns mdns4 networks: files protocols: db files serveis: db files ethers: db files rpc: db files netgroup: nis

Modifiquem el fitxer /etc/pam.d/common-session perquè creu automàticament les carpetes d'usuaris a l'iniciar sessió en cas que no hi hagi:

[----]
session required pam_mkhomedir.so skel = / etc / skel / umask = 0022

### La línia anterior s'ha d'incloure ABANS de
# Here are the per-package modules (the "Primary" block) [----]

Executem en una consola com l'usuari root, Només per Comprovar, pam-auth-update:

Reiniciem el servei nscd, I fem comprovacions:

: ~ # service nscd restart
[Ok] Restarting Name Service Cache Daemon: nscd. : ~ # finger trancaments
Login: gambades Name: Trancos El Rei Directory: / home / gambades Shell: / bin / bash Never logged in. No mail. No Pla. : ~ # getent passwd trancs
trancos: x: 1006: 63000: Trancos El Rei: / home / gambades: / bin / bash: ~ # getent passwd legoles
legolas: x: 1004: 63000: Legolas L'Elfo: / home / legolas: / bin / bash

Modifiquem la política de re connexió amb el servidor OpenLDAP.

Editem com l'usuari root i amb molt de compte, l'arxiu /etc/libnss-ldap.conf. Busquem la paraula «dur«. Eliminem el comentari de la línia #bind_policy hard i la deixem així: bind_policy soft.

El mateix canvi esmentat abans, ho fem a l'arxiu /etc/pam_ldap.conf.

Les modificacions anteriors eliminen una sèrie de missatges relacionats amb el LDAP durant l'arrencada i a el mateix temps ho agilitza (el procés d'arrencada).

Reiniciem el nostre Wheezy perquè els canvis realitzats són medul·lars:

: ~ # reiniciar

Després de reiniciar, podem iniciar sessió amb qualsevol usuari registrat en el OpenLDAP de l'ClearOS.

Recomanem que a continuació es realitzi el següent:

• Fer membre als usuaris externs als mateixos grups als quals pertany l'usuari local creat durant la instal·lació del nostre Debian.
• Mitjançant la comanda visut, Executat com root, Donar els permisos d'execució necessaris als usuaris externs.
• Crear un marcador amb la direcció https://centos.amigos.cu:81/?user en iceweasel, Per tenir accés a la pàgina personal en l'ClearOS, on podem canviar la nostra contrasenya personal.
• Instal·lar el OpenSSH-Server -si és que no ho vam seleccionar a l'instal·lar el sistema-per poder accedir al nostre Debian des d'un altre equip.

Arxius de configuració creats i / o modificats

El tema LDAP requereix de molt estudi, paciència i experiència. L'última no la tinc. Recomanem encaridament que els paquets libnss-ldap y libpam-ldap, En el suposat cas d'una modificació manual que provoqui que l'autenticació deixi de funcionar, siguin tornats a configurar correctament mitjançant la comanda dpkg-reconfigure, És a dir generat per debconf.

Els arxius de configuració relacionats són:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

L'arxiu /etc/ldap/ldap.conf

Aquest fitxer encara no ho hem tocat per a res. No obstant això, l'autenticació funciona correctament causa de la configuració dels arxius relacionats anteriorment ia la pròpia configuració de l'PAM generada per pam-auth-update. No obstant això, també ho hem de configurar adequadament. Facilita l'ús de comandaments com ldapsearch, Proporcionats pel paquet ldap-utils. La configuració mínima seria:

BASE dc = amics, dc = cu URI ldap: //10.10.10.60 SIZELIMIT 12 TIMELIMIT 15 DEREF never

Podem comprovar si el servidor OpenLDAP de l'ClearOS funciona correctament, si executem en una consola:

ldapsearch -d 5 -L "(objectclass = *)"

La sortida de la comanda és copiosa. 🙂

M'encanta Debian !. I es va acabar l'activitat per avui, Amics !!!