Instalación de un cliente LDAP

Describiremos como como configurar un cliente para que acceda a la información almacenada en el directorio de LDAP del servidor

Tres pasos:
1. Indicar en el fichero /etc/ldap/ldap.conf la información sobre el servidor LDAP y el URI
2. Instalar y configurar el Name Service Switch (fichero /etc/nsswitch.conf)
3. Instalar y configurar el módulo de autenticación (PAM, Pluggable Authentication Modules)
Los módulos necesarios para esta configuración pueden descargarse de la página de PADL (www.padl.com) o directamente como paquetes Debian
- Descargar los paquetes libnss-ldap, libpam-ldap (como dependencia, se instala también el paquete nscd)
- En la configuración indicar como URI ldap://ip_del_servidor/, el DN de la base del directorio LDAP, versión 3 de LDAP, y el password del administrador LDAP
- Estas configuraciones se guardan en los ficheros /etc/libnss-ldap.conf y /etc/pam_ldap.conf (ver man libnss-ldap.conf y man pam_ldap.conf)
- En la instalación nos pide la clave del administrador de LDAP:
  - esta clave se guarda en plano en los ficheros /etc/pam_ldap.secret y /etc/libnss-ldap.secret, y se usa para que el root del sistema pueda modificar directamente las contraseñas de los usuarios
  - si no se quiere tener ese fichero con la clave, no indicar ninguna clave cuando nos la pide y en los ficheros /etc/libnss-ldap.conf y /etc/pam_ldap.conf comentar la línea que empieza por rootbinddn
En algunas distros (RedHat) existe la herramienta authconfig que facilita esta configuración

Configurar el Name Service Switch

El NSS se encarga, entre otras, de realizar la correspondencia entre los números y nombres de usuario

permite gestionar los permisos de acceso de usuarios a ficheros
se configura a través del fichero /etc/nsswitch.conf
la configuración de ese fichero la vimos en el tema 3

Pasos (despues de haber instalado el paquete libnss-ldap):

Modificar las líneas de passwd, group y shadow del fichero nsswitch.conf
passwd: files ldap group: files ldap shadow: files ldap
- esto indica al NSS que busque la información primero en los ficheros y, si no la encuentra, en el servidor LDAP
Probar que funciona:
1. Crear el directorio /home/pepe y cambiarle el propietario y grupo a pepe
2. Hacer un su - pepe para ver que podemos cambiar al usuario pepe en el cliente

Configurar el módulo de autenticación

Aunque el usuario es válido en el cliente, todavía no podemos autenticarnos (entrar en la cuenta)

Debemos configurar el servicio PAM

PAM (Pluggable Authentication Module)

biblioteca de autentificación genérica que cualquier aplicación puede utilizar para validar usuarios, utilizando por debajo múltiples esquemas de autentificación alternativos (ficheros locales, Kerberos, LDAP, etc.)

permite añadir nuevos mecanismos de autentificación (Kerberos, LDAP,...) sin tener que modificar los servicios de entrada al sistema como login, ftp, ssh, etc.
PAM utiliza módulos que proporcionan autentificación en los servicios de entrada al sistema:
- Módulos de autentificación (auth): comprobación de contraseñas (utilizado por el proceso de login para averiguar si las credenciales tecleadas por el usuario (nombre y contraseña) son correctas)
- Módulos de cuentas (account): controlan que la autenticación sea permitida (que la cuenta no haya caducado, que el usuario tenga permiso de iniciar sesiones a esa hora del día, etc.)
- Módulos de contraseña (password): permiten cambiar contraseñas
- Módulos de sesión (session): configuran y administran sesiones de usuarios (tareas adicionales que son necesitadas para permitir acceso, como el montaje de directorios, actualización del fichero lastlog, etc.)
Las librerías de PAM están en /lib/security y los ficheros de configuración en /etc/pam.d/
Existe un fichero de configuración para cada servicio que usa PAM
También existen ficheros comunes que son incluidos por los ficheros de configuración: common-auth, common-account, common-password y common-session
Versiones recientes de PAM gestionan estos ficheros mediante el comando pam-auth-update y los ficheros en /usr/share/pam-configs

Configuración de PAM para usar LDAP

el proceso de instalación del paquete libpam-ldap ya modifica de forma adecuada los ficheros de configuración de PAM, pero da algunos problemas

En el fichero /usr/share/pam-configs/ldap, borra la opción use_authtok (con esta opción, no permite que los usuarios cambien su contraseña) y ejecuta pam-auth-update
Si queremos crear directorios home ``al vuelo'' (el home del usuario se crea al entrar por primera vez en su cuenta), crear el fichero /usr/share/pam-configs/my_mkhomedir con el siguiente contenido
```
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
        required      pam_mkhomedir.so umask=0022 skel=/etc/skel
```
y ejecutar pam-auth-update (Nota: el directorio solo se va a crear cuando el usuario se conecta en servidor)
Probar que funciona:
1. Entrar en la cuenta como un usuario LDAP
2. Cambiar la contraseña del usuario

Paquete `nscd`

Se trata del Name Service Cache Daemon

Hace caché para los nombres leidos del servidor LDAP para aumentar la eficiencia

Administración de Sistemas e Redes <ASR.USC[at]gmail.com>
Tomás Fernández Pena <tf.pena[at]usc.es>
Última actualización: 24-11-15 17:44 por tomas

Curso de Administración de Sistemas y Redes por Tomás Fernández Pena se distribuye bajo la licencia Creative Commons Recoñecemento-Compartir baixo a mesma licenza. 3.0 España.
Trabajo original en persoal.citius.usc.es/tf.pena/ASR.