Documente Academic
Documente Profesional
Documente Cultură
libpam-ldap: Que facilitar la autenticacin con LDAP a los usuarios que utilicen PAM.
libnss-ldap: Permitir que NSS obtenga de LDAP informacin administrativa de los
usuarios (Informacin de las cuentas, de los grupos, informacin de la mquina, los
alias, etc.
nss-updatedb: Mantiene una cach local del de la informacin del usuario y grupo en el
directorio LDAP.
libnss-db: Incluye extensiones para usar bases de datos de red.
nscd: Es un demonio que ofrece una cach para muchas de las peticiones m
frecuentes del servicio de nombres.
ldap-utils: Facilita la interaccin don LDAP desde cualquier mquina de la red.
Para instalarlos todos en una sola orden, tenemos que escribir lo siguiente:
apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db nscd ldap-utils y
En el primar paso, nos solicita la direccin URi del servidor LDAP. Es importante dejar el
principio tal y como lo encontramos (ldapi:///).
En el siguiente paso, debe mos indicar el nombre global nico (Distinguished Name DN).
Inicialmente aparece en valor dc=example,dc=net pero nosotros lo sustituiremos por
dc=redes,dc=local.
A continuacin, el asistente nos pide el nmero de versin del protocolo LDAP que estamos
utilizando. De forma predeterminada aparece seleccionada la versin 3.
A continuacin, indicaremos si las utilidades que utilicen PAM debern comportarse del mismo
modo que cuando cambiamos contraseas locales. Esto har que las contraseas se guarden
en un archivo independiente que slo podr ser ledo por el superusuario.
A continuacin, el sistema nos pregunta si queremos que sea necesario identificarse para
realizar consultas en la base de datos de LDAP.
Ya slo nos queda indicar el nombre de la cuenta LDAP que tendr privilegios para realizar
cambios en las contraseas. Como antes, deberemos escribir un nombre global nico
(Distinguished Name DN), sustituyendo el valor predeterminado que nos ofrece
(cn=manager,dc=example,dc=net) por que usamos en la configuracin del servidor
(cn=admin,dc=redes,dc=local).
En el ltimo paso, el asistente nos solicita la contrasea que usar la cuenta anterior (como
siempre, habr que escribirla por duplicado para evitar errores tipogrficos). Deber coincidir
con la que escribimos en el apartado Instalar OpenLDAP en el servidor.
Como ocurra con el servidor, si ms adelante observamos algn error o necesitamos efectuar
alguna modificacin, slo tenemos que ejecutar el siguiente comando:
dpkg-reconfigure ldap-auth-config
3. Buscamos una lnea (Lnea 30) que comience por uri ldapi:///y la sustituimos por esta:
uri ldap://192.168.4.161
Recuerda que:
Lo primero ser borrar el carcter que hace que la lnea permanezca comentada (#).
Despus, cambiaremos su contenido por este otro:
Editar el archivo /etc/nsswitch.conf
Por ltimo, editamos el archivo /etc/nsswitch.conf.
gedit /etc/nsswitch.conf
Al abrir el archivo, observaremos que, algunas de sus lneas, tienen el siguiente
aspecto:
Debemos cambiar las lneas necesarias para que su contenido final sea como este:
Actualizar NSS y configurar PAM para que utilicen LDAP
Este ltimo apartado se va a encargar de resolver los dos pasos finales para que el cliente
pueda utilizar las cuentas de usuario creadas en el servidor LDAP.
Por una parte, deberemos actualizar la cach local con la informacin de usuarios y grupos
correspondientes a LDAP. Para conseguirlo, recurriremos al comando nss-updatedb que
instalamos al principio de este apartado:
nss_updatedb ldap
Como vemos en la imagen siguiente, la salida del comando ofrece al mismo tiempo
informacin sobre los usuarios locales y los usuarios LDAP.
Un par de ajustes ms
En realidad, el cliente ya est listo para que nos autentiquemos con una cuenta del servidor
LDAP. Sin embargo, si ahora nos identificamos en el cliente con la cuenta jgarcia (recuerda
que es una de las cuentas que creamos en el servidor), encontraremos que no existe su
carpeta /home/jgarcia en el equipo cliente. Lgicamente, podramos crear dicha carpeta a
mano, pero habra que repetir el proceso en cada uno de los clientes en los que el usuario
vaya a iniciar sesin.
Si queremos que la carpeta se cree automticamente cuando el usuario inicie sesin por
primera vez en un equipo, deberemos hacer uso de un mdulo PAM llamado pam_mkhomedir.
Esto lo conseguimos haciendo una pequea modificacin en el archivo /etc/pam.d/common-
session del cliente.
gedit /etc/pam.d/common-session
Cuando se abra el editor, aadiremos una nueva lnea al principio del archivo con este
contenido:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
Comprobar que funciona el inicio de sesin
La forma ms sencilla de comprobar que podemos iniciar sesin en el servidor usando LDAP
consiste en arrancar el sistema en modo texto (o arrancarlo en modo grfico y usar la
combinacin de teclas alt + ctrl + f7 para ir a una consola de texto) y escribir las credenciales
de un usuario LDAP.