Configuración do cliente LDAP

De Manuais Informática - IES San Clemente.
Ir a la navegación Ir a la búsqueda

Introdución

  • Neste apartado veremos os pasos que temos que seguir para configurar un equipo como cliente LDAP, de forma que o equipo tomará os usuarios e grupos do LDAP como usuarios e grupo do propio sistema, e autenticará os usuarios que inicien sesión validándose contra o servidor LDAP.
  • Polo tanto, teremos que realizar esta configuración en todos os equipos que pertenzan ao noso dominio, incluíndo (e moi especialmente) o servidor de dominio (no que se executa o servidor LDAP), xa que senón os usuarios e grupos do LDAP non serán válidos para el mesmo, aínda que sexa el quen almacena a información do directorio.

Instalar os paquetes necesarios

  • En moitos manuais vese que se instala o seguinte paquete libnss-ldap. E funciona para autenticar os usuarios, pero cos contrasinais hoxe en día hai que configurar varias cousas para que os usuarios os poidan cambiar.
  • O paquete máis moderno e sinxelo é nslcd (ollo coa "d" final). Para instalalo imos instalar outro paquete que necesitamos: libpam-ldapd e que depende de nslcd.
sudo apt-get install libpam-ldapd
  • Este novo paquete fai toda a configuración dun modo moi sinxelo por nós, con moitos menos pasos que o paquete que se menciona ao principio.

A instalación deste paquete obrigará tamén a instalación do paquete ldap-auth-config, que permite configurar a autenticación do equipo contra un servidor LDAP. Lanzarase automaticamente un asistente para configurar a conexión co servidor LDAP:

Se cometésemos algún erro introducindo os datos de conexión pódese reconfigurar o paquete "nslcd" co mesmo asistente introducindo o seguinte comando:

sudo dpkg-reconfigure nslcd

Ficheiro de configuración /etc/nslcd.conf

  • O proceso anterior configurou ademais de todo o anterior o ficheiro /etc/nslcd.conf.
  • No ficheiro /etc/nslcd.conf pódese ver e modificar a configuración do cliente ldap.
  • Observar as seguintes entradas:
    • uri
    • base
 1 # /etc/nslcd.conf
 2 # nslcd configuration file. See nslcd.conf(5)
 3 # for details.
 4 
 5 # The user and group nslcd should run as.
 6 uid nslcd
 7 gid nslcd
 8 
 9 # The location at which the LDAP server(s) should be reachable.
10 uri ldap://172.16.5.10/
11 
12 # The search base that will be used for all queries.
13 base dc=iescalquera,dc=local
14 
15 # The LDAP protocol version to use.
16 #ldap_version 3
17 
18 # The DN to bind with for normal lookups.
19 #binddn cn=annonymous,dc=example,dc=net
20 #bindpw secret
21 
22 # The DN used for password modifications by root.
23 #rootpwmoddn cn=admin,dc=example,dc=com
24 
25 # SSL options
26 #ssl off
27 #tls_reqcert never
28 
29 # The search scope.
30 #scope sub

Probar o funcionamento do cliente

  • Recoméndase reiniciar o ordenador cliente para asegurarase que se aplican os cambios.


  • Temos dúas formas sinxelas de comprobar que a configuración do cliente é correcta e toma realmente os usuarios do servidor:
  • A primeira xa a vimos con getent passwd:
    • Como se indicou, este comando mostra pola pantalla todos os usuarios do sistema, tomándoos das diversas fontes que pode ter configuradas. No noso caso, deberían aparecer ao final os usuarios LDAP. A continuación pódese ver a última parte do resultado deste comando, no que aparecen os usuarios do LDAP:
...
sol:x:10000:10000:Profe - Sol Lua:/home/sol:/bin/bash
noe:x:10001:10000:Profe - Noe Ras:/home/noe:/bin/bash
  • Tamén con getent group, observamos os grupos que usuarios os teñen como grupos secundarios.
...
g-usuarios:*:10000:
g-profes:*:10001:noe,sol
g-dam1-profes:*:10002:sol
g-dam2-profes:*:10003:noe,sol


  • A segunda forma é iniciar sesión no equipo cliente con un usuario do LDAP:
    • Deberemos iniciar a sesión en modo de texto, non en modo gráfico, iso verase na parte III do curso.
    • Utilizando por exemplo unha consola virtual, premendo nas teclas Control+Alt+F1 (En VirtualBox CTRL_DEREITA+F1), e poderemos volver ao contorno gráfico premendo Control+Alt+F7), xa que ao non existir no equipo cliente a carpeta persoal do usuario (/home/usuario), se intentamos iniciar unha sesión en modo gráfico produciranse unha serie de erros impedirán o inicio de sesión (Solucionaremos este problema con NFS máis adiante).
    • Tamén o podemos facer dende o contorno gráfico entrando como uadmin e pasándonos a un dos usuarios de LDAP.
  • Antes de nada imos reiniciar os sevizos cliente de ldap:
sudo service nslcd restart
sudo service nscd restart

Configuración cliente LDAP en dserver00 e uclient02

  • Queda para o/a lector/a configurar o cliente LDAP nos seguintes equipos:
    • dserver00 (Ollo que servidor dserver00, por agora só é servidor de LDAP, pero aínda non é cliente de si mesmo).
    • uclient02


-- Antonio de Andrés Lema e Carlos Carrión Álvarez