autenticacion openldap modulos pam_ldap centos 6.2
Post on 03-Aug-2015
1.238 Views
Preview:
DESCRIPTION
TRANSCRIPT
AUTENTICACIÓN OPENLDAP
CENTOS 6.2
POR:
Anderson Herrera Duran
http://andersongestionredes.blogspot.com/
En esta parte vamos a realizar la autenticacion del cliente openldap (tanto por consola “su”, como
gráfica), no debemos tocar ningun archivo de configuración del servidor, solo modificaremos el de
los clientes, lo vamos a hacer de forma manual, no gráfica, para poder saber que es lo que se
esta haciendo, se parte teniendo en cuenta que la instalación y configuración del servicio
openldap ya esta hecha, y que el cliente openldap ya esta instalado, si aun no esta instalado se
instalara con el comando “yum install openldap-clients”.
Ahora instalaremos los paquetes necesarios para trabajar con los modulos pam del ldap. Para
esto instalamos el paquete nss-pam-ldapd.
Nos instalara las dependencias necesarias, en este caso tambien necesitamos el pam_ldap.
Vemos que ya tenemos instalado el openldap-cliens.
Ahora vamos a ver qué archivos de configuración traen los paquetes nss-pam-ldap y pam_ldap,
para esto damos el comando “rpm –qc” y el nombre del paquete.
Ahora iremos a configurar el cliente open-ldap, está en “/etc/openldap/ldap.conf”, en la URI
podemos poner el nombre completo del host (FQDN). Ejemplo= “ldap://ns1.blueskillers.com/”, el
cual ya debemos tner configurado en el DNS del servidor.
Ahora iremos a configurar las tarjetas de red, de forma estática.
Ahora aremos una búsqueda de un usuario, para ver sus atributos.
Ahora entraremos con la cuenta de ese usuario, por medio de la consola con el comando “su”, y
miramos si todo está bien, con los comandos “id“ y “whoami”.
Ahora miraremos otro usuario que este en la estructura del openldap.
Ahora entraremos con el usuario ander1, y desde allí, entraremos al otro usuario.
Vemos que hay una falla de autenticación, pese a que la contraseña está bien escrita, ahora lo
que hay que hacer s ir a configurar los módulos pam.
Primero aremos una configuración de autenticación por consola, con el comando “authconfig”,
podemos mirar que opciones trae con “authconfig --help”.
Ahora vamos a habilitar algunas configuraciones necesarias, dentro de estas habilitaremos la
sentencia que nos permite que el usuario valla a su home automáticamente cuando inicie sesión
(enablemkhomedir), también se habilitara la autenticación ldap, y se especificara la dirección del
host (ldapserver), también podemos poner en vez de la IP el FQDN (nombre + dominio) del
servidor.
Ahora iremos al archivo de configuración del paquete nss-pam-ldap, para ver si todo está bien
configurado, lo importante es el “uri”, y la “base”.
Ahora iremos a configurar el archivo del paquete pam_ldap, debemos poner el host.
Este “rootbinddn” no es necesario, solo es para mayor seguridad.
Acá le decimos que loguee por medio del atributo “uid”.
Le vamos a decir que filtre por medio de la clase de objeto “inetOrgPerson”, lo podríamos hacer
con cualesquier otro tipo de objeto, o no hacerlo si no lo requiere el administrador.
En la parte final del archivo, miramos que si está bien la dirección del servidor ldap.
Ahora iremos al directorio que contiene los módulos pam (/etc/pam.d), y los listaremos para ver lo
que contiene.
Ahora vamos a configurar el system-auth, vemos que3 está trabajando con el pam_sss_so, bien
podríamos reemplazarlo por el pam_ldap_so, e incluir los demás archivos el system-auth, en esta
ocasión se hará la configuración de cada archivo de forma individual, para así saber los archivos
que interfieren en la autenticación.
Primero iremos a configurar el archivo “su”, el cual nos permite la autenticación por consola,
agregaremos a cada tipo de servicio (auth=>autenticación, account=>permisos,
password=>contraseñas, sessión=>sesiones del usuario) el pam_ldap_so.
Ahora iremos a probar que la autenticación está funcionando, desde un usuario del ldap nos
loguearemos como otro usuario, para que nos pida la contraseña, luego vemos que ya la
autenticación funciona.
Ahora iremos al archivo que nos permitirá la autenticación de forma gráfica “gdm”, agregaremos a
cada tipo de servicio el pam del ldap.
Por último iremos al archivo del password-auth, el cual es el principal de las contraseñas, allí
incluiremos a cada tipo de servicio el pam_ldap_so, podríamos también, reemplazar el
pam_sss_so por el del ldap, en este caso haremos un pam_ldap por aparte.
Ahora probaremos que la autenticación gráfica funciona, cambiamos de usuario, y le damos en la
opción otro, para de esta forma poder introducir el usuario ldap.
Ahora ponemos el nombre de usuario y le damos en loguear.
Luego introduciremos la contraseña del usuario.
Ahora vemos que todo funcionó de forma correcta, vemos que tiene sus propios directorios, los
comandos “id“ y “whoami” nos muestran el usuario con el cual se está trabajando.
Vamos a abrir un administrador gráfico del openldap, para ver que configuración tiene el usuario
con el cual nos logueamos gráficamente.
Vemos que el usuario se autenticaba con una contraseña de tipo SSHA, el administrador puede
cambiar el tipo de contraseña si lo desea.
Para que cuando vallamos a cambiar la contraseña de un usuario ldap el cambio se pueda
realizar con éxito desde la conexión con el openldap, en el archivo passwd hacemos las
modificaciones pertinentes al pam-ldap.
top related