AUTENTICACIN OPENLDAP CENTOS 6.

POR: Anderson Herrera Duran

http://andersongestionredes.blogspot.com/

En esta parte vamos a realizar la autenticacion del cliente openldap (tanto por consola su, como grfica), no debemos tocar ningun archivo de configuracin del servidor, solo modificaremos el de los clientes, lo vamos a hacer de forma manual, no grfica, para poder saber que es lo que se esta haciendo, se parte teniendo en cuenta que la instalacin y configuracin del servicio openldap ya esta hecha, y que el cliente openldap ya esta instalado, si aun no esta instalado se instalara con el comando yum install openldap-clients. Ahora instalaremos los paquetes necesarios para trabajar con los modulos pam del ldap. Para esto instalamos el paquete nss-pam-ldapd.

Nos instalara las dependencias necesarias, en este caso tambien necesitamos el pam_ldap.

Vemos que ya tenemos instalado el openldap-cliens.

Ahora vamos a ver qu archivos de configuracin traen los paquetes nss-pam-ldap y pam_ldap, para esto damos el comando rpm qc y el nombre del paquete.

Ahora iremos a configurar el cliente open-ldap, est en /etc/openldap/ldap.conf, en la URI podemos poner el nombre completo del host (FQDN). Ejemplo= ldap://ns1.blueskillers.com/, el cual ya debemos tner configurado en el DNS del servidor.

Ahora iremos a configurar las tarjetas de red, de forma esttica.

Ahora aremos una bsqueda de un usuario, para ver sus atributos.

Ahora entraremos con la cuenta de ese usuario, por medio de la consola con el comando su, y miramos si todo est bien, con los comandos id y whoami.

Ahora miraremos otro usuario que este en la estructura del openldap.

Ahora entraremos con el usuario ander1, y desde all, entraremos al otro usuario. Vemos que hay una falla de autenticacin, pese a que la contrasea est bien escrita, ahora lo que hay que hacer s ir a configurar los mdulos pam.

Primero aremos una configuracin de autenticacin por consola, con el comando authconfig, podemos mirar que opciones trae con authconfig --help.

Ahora vamos a habilitar algunas configuraciones necesarias, dentro de estas habilitaremos la sentencia que nos permite que el usuario valla a su home automticamente cuando inicie sesin (enablemkhomedir), tambin se habilitara la autenticacin ldap, y se especificara la direccin del host (ldapserver), tambin podemos poner en vez de la IP el FQDN (nombre + dominio) del servidor.

Ahora iremos al archivo de configuracin del paquete nss-pam-ldap, para ver si todo est bien configurado, lo importante es el uri, y la base.

Ahora iremos a configurar el archivo del paquete pam_ldap, debemos poner el host.

Este rootbinddn no es necesario, solo es para mayor seguridad.

Ac le decimos que loguee por medio del atributo uid.

Le vamos a decir que filtre por medio de la clase de objeto inetOrgPerson, lo podramos hacer con cualesquier otro tipo de objeto, o no hacerlo si no lo requiere el administrador.

En la parte final del archivo, miramos que si est bien la direccin del servidor ldap.

Ahora iremos al directorio que contiene los mdulos pam (/etc/pam.d), y los listaremos para ver lo que contiene.

Ahora vamos a configurar el system-auth, vemos que3 est trabajando con el pam_sss_so, bien podramos reemplazarlo por el pam_ldap_so, e incluir los dems archivos el system-auth, en esta

ocasin se har la configuracin de cada archivo de forma individual, para as saber los archivos que interfieren en la autenticacin.

Primero iremos a configurar el archivo su, el cual nos permite la autenticacin por consola, agregaremos a cada tipo de servicio (auth=>autenticacin, account=>permisos, password=>contraseas, sessin=>sesiones del usuario) el pam_ldap_so.

Ahora iremos a probar que la autenticacin est funcionando, desde un usuario del ldap nos loguearemos como otro usuario, para que nos pida la contrasea, luego vemos que ya la autenticacin funciona.

Ahora iremos al archivo que nos permitir la autenticacin de forma grfica gdm, agregaremos a cada tipo de servicio el pam del ldap.

Por ltimo iremos al archivo del password-auth, el cual es el principal de las contraseas, all incluiremos a cada tipo de servicio el pam_ldap_so, podramos tambin, reemplazar el pam_sss_so por el del ldap, en este caso haremos un pam_ldap por aparte.

Ahora probaremos que la autenticacin grfica funciona, cambiamos de usuario, y le damos en la opcin otro, para de esta forma poder introducir el usuario ldap.

Ahora ponemos el nombre de usuario y le damos en loguear.

Luego introduciremos la contrasea del usuario.

Ahora vemos que todo funcion de forma correcta, vemos que tiene sus propios directorios, los comandos id y whoami nos muestran el usuario con el cual se est trabajando.

Vamos a abrir un administrador grfico del openldap, para ver que configuracin tiene el usuario con el cual nos logueamos grficamente.

Vemos que el usuario se autenticaba con una contrasea de tipo SSHA, el administrador puede cambiar el tipo de contrasea si lo desea.

Para que cuando vallamos a cambiar la contrasea de un usuario ldap el cambio se pueda realizar con xito desde la conexin con el openldap, en el archivo passwd hacemos las modificaciones pertinentes al pam-ldap.