Autentificacin del sistema con OpenLDAP

Una de las utilidades ms importantes de un servidor LDAP es como servidor de autentificacin.

Autentificarse es necesario para entrar en un sistema linux. Tambin para acceder a algunos
servicios como un servidor FTP o a pginas privadas en un servidor web. Aqu veremos las
modificaciones que hay que realizar en un sistema Linux para que autentifique a los usuarios en un
servidor LDAP en lugar de utilizar los clsicos archivos /etc/passwd, /etc/group y /etc/shadow.

Instalacin de ldap-auth-client
Para que el PC cliente se autentifique por LDAP, instalaremos el meta-paquete que instalar los
paquetes y herramientas necesarias para configurar el cliente. Tambin instalaremos el paquete nscd
que es un cach de nombres y acelerar todas las operaciones de autentificacin:
$sudo apt-get install ldap-auth-client nscd
Despus instalaremos y configuraremos libpam-ldapd para que conecte con nuestro servidor
LDAP cuando haya que realizar alguna operacin de autentificacin. La librera libpamldapd permite que las aplicaciones que utilizan PAM para autentificarse, puedan hacerlo
mediante un servidor LDAP. Para que el sistema linux se autentifique mediante un servidor
LDAP es necesario instalar esta librera ya que utiliza PAM. El archivo de configuracin de
sta librera es /etc/nslcd.conf. pero no ser necesario editarlo ya que al instalar el paquete, se
iniciar el asistente de configuracin.
$sudo apt-get install libpam-ldapd
Despus se iniciar el asistente de configuracin de libpam-ldapd al que tendremos que
proporcionar los datos bsicos como quin es el servidor LDAP (nombre o IP):

URI del servidor LDAP

Despus debemos indicar cul es la base de nuestro directorio LDAP (base DN):

Base DN del directorio LDAP

Nos pedir que que indiquemos la versin de LDAP que estamos utilizando, en nuestro caso
la 3.

Versin LDAP utilizada

Por ltimo debemos indicar un usuario root y su contrasea.

Ahora debemos editar el archivo /etc/nsswitch.conf

Como una misma informacin puede proceder de varias fuentes. Este archivo nos permite
buscar cierto tipo de informacin administrativa (hosts, passwd, group, shadow,
networks, etc.), especificando que fuentes queremos comprobar (que Base de Datos) y en
que orden se harn estas comprobaciones.
Archivo antes de ser editado:

Debemos agregarle la opcin de ldap para que nos permita autentificarnos con la misma.
El archivo deber quedar as:

Lo siguiente que haremos ser editar el archivo /etc/ldap/ldap.conf para decirle donde se
encuentra nuestro servidor LDAP (IP o host) y la base de nuestro directorio LDAP (base DN).
Para esto debemos descomentar los campos de BASE y URI:

Y completar los campos con los datos de nuestro servidor LDAP:

El siguiente paso ser editar el archivo /etc/pam.d/common-session" para colocar la lnea

"session required
pam_mkhomedir.so". sta lnea crea un directorio para el usuario que
se loguea (/home/usuario), esto ocurre si el directorio no existe.

Por ltimo debemos editar el archivo /etc/lightdm/lightdm.conf para de esta forma

modificar el gestor de sesiones y que nos pida al iniciar secin usuario y contrasea.
Debemos introducir al final del archivo: greeter-show-manual-login=true.
De est forma el gestor de sesiones quedar: