Configurar un equipo cliente con Ubuntu

para autenticarse en el servidor OpenLDAP

En este apartado nos centraremos en la configuracin de un cliente que est ejecutando un
sistema Ubuntu Desktop.
En Ubuntu, necesitaremos ajustar el comportamiento de los servicios NSS y PAM en cada
cliente que debamos configurar. Comenzamos por instalar los siguientes paquetes:

libpam-ldap: Que facilitar la autenticacin con LDAP a los usuarios que utilicen PAM.
libnss-ldap: Permitir que NSS obtenga de LDAP informacin administrativa de los
usuarios (Informacin de las cuentas, de los grupos, informacin de la mquina, los
alias, etc.
nss-updatedb: Mantiene una cach local del de la informacin del usuario y grupo en el
directorio LDAP.
libnss-db: Incluye extensiones para usar bases de datos de red.
nscd: Es un demonio que ofrece una cach para muchas de las peticiones m
frecuentes del servicio de nombres.
ldap-utils: Facilita la interaccin don LDAP desde cualquier mquina de la red.
Para instalarlos todos en una sola orden, tenemos que escribir lo siguiente:
apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db nscd ldap-utils y

Durante el proceso, se activa un asistente que nos permite configurar el comportamiento de

ldap-atut-config.

En el primar paso, nos solicita la direccin URi del servidor LDAP. Es importante dejar el
principio tal y como lo encontramos (ldapi:///).
En el siguiente paso, debe mos indicar el nombre global nico (Distinguished Name DN).
Inicialmente aparece en valor dc=example,dc=net pero nosotros lo sustituiremos por
dc=redes,dc=local.

A continuacin, el asistente nos pide el nmero de versin del protocolo LDAP que estamos
utilizando. De forma predeterminada aparece seleccionada la versin 3.

A continuacin, indicaremos si las utilidades que utilicen PAM debern comportarse del mismo
modo que cuando cambiamos contraseas locales. Esto har que las contraseas se guarden
en un archivo independiente que slo podr ser ledo por el superusuario.
A continuacin, el sistema nos pregunta si queremos que sea necesario identificarse para
realizar consultas en la base de datos de LDAP.

Ya slo nos queda indicar el nombre de la cuenta LDAP que tendr privilegios para realizar
cambios en las contraseas. Como antes, deberemos escribir un nombre global nico
(Distinguished Name DN), sustituyendo el valor predeterminado que nos ofrece
(cn=manager,dc=example,dc=net) por que usamos en la configuracin del servidor
(cn=admin,dc=redes,dc=local).
En el ltimo paso, el asistente nos solicita la contrasea que usar la cuenta anterior (como
siempre, habr que escribirla por duplicado para evitar errores tipogrficos). Deber coincidir
con la que escribimos en el apartado Instalar OpenLDAP en el servidor.

Como ocurra con el servidor, si ms adelante observamos algn error o necesitamos efectuar
alguna modificacin, slo tenemos que ejecutar el siguiente comando:

dpkg-reconfigure ldap-auth-config

Realizar ajustes en los archivos de configuracin.

Para completar la tarea, deberemos cambiar algunos parmetros en los archivos de
configuracin del cliente. En concreto, deberemos editar /etc/ldap.conf, /etc/ldap/ldap.conf y
/etc/nsswitch.conf. Despus, actualizaremos NSS y configuraremos PAM para que utilicen
LDAP:

Editar el archivo /etc/ldap.conf

Como hacemos siempre, modificaremos el archivo utilizando el editor gedit.
gedit /etc/ldap.conf
Las modificaciones a realizar en el archivo son estas:
1. Buscamos una lnea como esta (Lnea 72):
#bind_policy hard
y la sustituimos por esta:
bind_policy soft

(recuerda eliminar el carcter #, que hara que la lnea fuese ignorada)

2. Buscamos una lnea como esta (Lnea 129):
pam_password md5

y la sustituimos por esta:

pam_password crypt

3. Buscamos una lnea (Lnea 30) que comience por uri ldapi:///y la sustituimos por esta:
uri ldap://192.168.4.161

Recuerda que:

Puedes hacer bsquedas dentro de nano usando la combinacin de teclas Ctrl

+ f.
Debes sustituir la direccin IP 192.168.4.161 por la de tu servidor OpenLDAP.

Editar el archivo /etc/ldap/ldap.conf

Siguiendo la misma pauta del punto anterior, usamos el editor nano para editar el archivo:
gedit /etc/ldap/ldap.conf
Cuando se abra el archivo, podremos observar que, algunas de sus lneas, tienen el
siguiente aspecto:

Lo primero ser borrar el carcter que hace que la lnea permanezca comentada (#).
Despus, cambiaremos su contenido por este otro:
Editar el archivo /etc/nsswitch.conf
Por ltimo, editamos el archivo /etc/nsswitch.conf.
gedit /etc/nsswitch.conf
Al abrir el archivo, observaremos que, algunas de sus lneas, tienen el siguiente
aspecto:

Debemos cambiar las lneas necesarias para que su contenido final sea como este:
Actualizar NSS y configurar PAM para que utilicen LDAP
Este ltimo apartado se va a encargar de resolver los dos pasos finales para que el cliente
pueda utilizar las cuentas de usuario creadas en el servidor LDAP.
Por una parte, deberemos actualizar la cach local con la informacin de usuarios y grupos
correspondientes a LDAP. Para conseguirlo, recurriremos al comando nss-updatedb que
instalamos al principio de este apartado:
nss_updatedb ldap

Si al aplicar el comando anterior obtenemos un error como este

Failed to enumerate nameservice: No such file or directory

Lo ms probable es que hayamos cometido un error al escribir la direccin IP del

servidor en el archivo /etc/ldap.conf. Debes asegurarte de que dicha direccin es
correcta y de que el servidor se encuentra accesible desde el cliente (es decir, que
funciona la orden ping). Si no es as, se trata de un problema de configuracin en las
caractersticas de la red.
Si todo ha ido bien, podemos utilizar el comando getent, que nos permite obtener entradas de
varios archivos de texto del sistema, por ejemplo, de passwd y group. La ventaja es que
consolida la informacin local con la obtenida a travs de la red.
As pues, desde la consola ejecutamos el siguiente comando:
getent passwd

Como vemos en la imagen siguiente, la salida del comando ofrece al mismo tiempo
informacin sobre los usuarios locales y los usuarios LDAP.

Lo siguiente ser actualizar la configuracin de las polticas de autenticacin

predeterminadas de PAM, lo que conseguimos con el siguiente comando:
pam-auth-update

Al ejecutarlo, aparecer un asistente, que comienza mostrndonos una pantalla

informativa sobre la funcin de los mdulos PAM.
Despus, elegiremos cules de los mdulos disponibles queremos habilitar. De forma
predeterminada aparecen todos marcados

Un par de ajustes ms
En realidad, el cliente ya est listo para que nos autentiquemos con una cuenta del servidor
LDAP. Sin embargo, si ahora nos identificamos en el cliente con la cuenta jgarcia (recuerda
que es una de las cuentas que creamos en el servidor), encontraremos que no existe su
carpeta /home/jgarcia en el equipo cliente. Lgicamente, podramos crear dicha carpeta a
mano, pero habra que repetir el proceso en cada uno de los clientes en los que el usuario
vaya a iniciar sesin.
Si queremos que la carpeta se cree automticamente cuando el usuario inicie sesin por
primera vez en un equipo, deberemos hacer uso de un mdulo PAM llamado pam_mkhomedir.
Esto lo conseguimos haciendo una pequea modificacin en el archivo /etc/pam.d/common-
session del cliente.
gedit /etc/pam.d/common-session
Cuando se abra el editor, aadiremos una nueva lnea al principio del archivo con este
contenido:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
Comprobar que funciona el inicio de sesin
La forma ms sencilla de comprobar que podemos iniciar sesin en el servidor usando LDAP
consiste en arrancar el sistema en modo texto (o arrancarlo en modo grfico y usar la
combinacin de teclas alt + ctrl + f7 para ir a una consola de texto) y escribir las credenciales
de un usuario LDAP.

En esta imagen podemos comprobar varias cosas:

Que nos encontramos en el equipo cliente.

Que estamos iniciando sesin con un usuario LDAP.
Que durante el inicio de sesin se crea el directorio /home para la cuenta.
Que el inicio de sesin se produce satisfactoriamente.