Red SWL (III): Debian Wheezy y ClearOS. Autenticación LDAP

¡Hola Amigos!. Vamos a hacer una red con varios equipos de escritorio, pero en ésta ocasión con el Sistema Operativo Debian 7 «Wheezy». Como servidor el ClearOS. Como dato, observemos que el proyecto Debian-Edu usa Debian en sus servidores y estaciones de trabajo. Y ese proyecto nos enseña y facilita el montar una escuela completa.

Es imprescindible lean antes:

• Introducción a una Red con Software Libre (I): Presentación del ClearOS

Veremos:

• Red de ejemplo
• Configuramos el cliente LDAP
• Archivos de configuración creados y/o modificados
• El archivo /etc/ldap/ldap.conf

Red de ejemplo

• Controlador de Dominio, DNS, DHCP, OpenLDAP, NTP: ClearOS Enterprise 5.2sp1.
• Nombre del Controlador: centos
• Nombre del Dominio: amigos.cu
• IP del Controlador: 10.10.10.60
• ——————————————-
• Versión de Debian: Wheezy.
• Nombre del equipo: debian7
• Dirección IP: Mediante DHCP
  

Configuramos el cliente LDAP

Debemos tener a mano los datos del servidor OpenLDAP, los que obtenemos de la interfaz web de administración del ClearOS en «Directory» –> «Domain and LDAP«:

LDAP Base DN: dc=amigos,dc=cu
LDAP Bind DN: cn=manager,cn=internal,dc=amigos,dc=cu
LDAP Bind Password: kLGD+Mj+ZTWzkD8W

Instalamos paquetes necesarios. Como el usuario root ejecutamos:

aptitude install libnss-ldap nscd finger

Observe que la salida del comando anterior, incluye también al paquete libpam-ldap. Durante el proceso de instalación nos harán varias preguntas, las cuales debemos responder correctamente. Las respuestas serían en el caso de éste ejemplo:

URI del servidor de LDAP: ldap://10.10.10.60
El nombre distintivo (DN) de la base de búsquedas: dc=amigos,dc=cu
Versión de LDAP a utilizar: 3
Cuenta LDAP para root: cn=manager,cn=internal,dc=amigos,dc=cu
Contraseña para la cuenta LDAP de root: kLGD+Mj+ZTWzkD8W

Ahora nos anuncia que el archivo /etc/nsswitch.conf no se gestiona
de forma automática, y que lo debemos modificar manualmente.

¿Desea permitir que la cuenta del administrador de LDAP se comporte como  
el administrador local?: Si
¿Hace falta un usuario para acceder a la base de datos LDAP?: No
Cuenta del administrador de LDAP: cn=manager,cn=internal,dc=amigos,dc=cu
Contraseña para la cuenta LDAP de root: kLGD+Mj+ZTWzkD8W

Si nos equivocamos en las respuestas anteriores, ejecutamos como el usuario root:

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

Y respondemos adecuadamente las mismas preguntas formuladas antes, con la única adición de la pregunta:

Algoritmo de cifrado local a utilizar en las contraseñas: md5

Ojo al responder porque el valor por defecto que se nos ofrece es Crypt, y nosotros debemos declarar que es md5. También nos muestra una pantalla en modo consola con la salida del comando pam-auth-update ejecutado como root, la cual debemos Aceptar.

Modificamos el archivo /etc/nsswitch.conf, y lo dejamos con el siguiente contenido:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Modificamos el archivo /etc/pam.d/common-session para que cree automáticamente las carpetas de usuarios al iniciar sesión en caso de que no existan:

[----]
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

### La línea anterior se debe incluir ANTES de
# here are the per-package modules (the "Primary" block)
[----]

Ejecutamos en una consola como el usuario root, Sólo para Comprobar, pam-auth-update:

Reiniciamos el servicio nscd, y hacemos comprobaciones:

:~# service nscd restart
[ ok ] Restarting Name Service Cache Daemon: nscd.
:~# finger trancos
Login: trancos                    Name: Trancos El Rey
Directory: /home/trancos                Shell: /bin/bash
Never logged in.
No mail.
No Plan.
:~# getent passwd trancos
trancos:x:1006:63000:Trancos El Rey:/home/trancos:/bin/bash
:~# getent passwd legolas
legolas:x:1004:63000:Legolas El Elfo:/home/legolas:/bin/bash

Modificamos la política de re conexión con el servidor OpenLDAP.

Editamos como el usuario root y con mucho cuidado, el archivo /etc/libnss-ldap.conf. Buscamos la palabra «hard«. Eliminamos el comentario de la línea #bind_policy hard y la dejamos así: bind_policy soft.

El mismo cambio mencionado antes, lo hacemos en el archivo /etc/pam_ldap.conf.

Las modificaciones anteriores eliminan una serie de mensajes relacionados con el LDAP durante el arranque y al mismo tiempo lo agiliza (el proceso de arranque).

Reiniciamos nuestro Wheezy porque los cambios realizados son medulares:

:~# reboot

Después de reiniciar, podemos iniciar sesión con cualquier usuario registrado en el OpenLDAP del ClearOS.

Recomendamos que a continuación se realice lo siguiente:

• Hacer miembro a los usuarios externos a los mismos grupos a los que pertenece el usuario local creado durante la instalación de nuestro Debian.
• Mediante el comando visudo, ejecutado como root, dar los permisos de ejecución necesarios a los usuarios externos.
• Crear un marcador con la dirección https://centos.amigos.cu:81/?user en Iceweasel, para tener acceso a la página personal en el ClearOS, donde podemos cambiar nuestra contraseña personal.
• Instalar el OpenSSH-Server -si es que no lo seleccionamos al instalar el sistema- para poder acceder a nuestro Debian desde otro equipo.

Archivos de configuración creados y/o modificados

El tema LDAP requiere de mucho estudio, paciencia y experiencia. La última no la tengo. Recomendamos encarecidamente que los paquetes libnss-ldap y libpam-ldap, en el supuesto caso de una modificación manual que provoque que la autenticación deje de funcionar, sean vueltos a configurar correctamente mediante el comando dpkg-reconfigure, o sea generado por DEBCONF.

Los archivos de configuración relacionados son:

• /etc/libnss-ldap.conf
• /etc/libnss-ldap.secret
• /etc/pam_ldap.conf
• /etc/pam_ldap.secret
• /etc/nsswitch.conf
• /etc/pam.d/common-sessions

El archivo /etc/ldap/ldap.conf

Éste archivo aun no lo hemos tocado para nada. Sin embargo, la autenticación funciona correctamente debido a la configuración de los archivos relacionados anteriormente y a la propia configuración del PAM generada por pam-auth-update. No obstante, también lo debemos configurar adecuadamente. Facilita el uso de comandos como ldapsearch, proporcionados por el paquete ldap-utils. La configuración mínima sería:

BASE    dc=amigos,dc=cu
URI     ldap://10.10.10.60

SIZELIMIT       12
TIMELIMIT       15
DEREF           never

Podemos comprobar si el servidor OpenLDAP del ClearOS funciona correctamente, si ejecutamos en una consola:

ldapsearch -d 5 -L "(objectclass=*)"

La salida del comando es copiosa. 🙂

¡Me encanta Debian!. Y se acabó la actividad por hoy, Amigos !!!