Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
Implantando autenticação centralizada e segura usando Openldap - PAM e LDAP
Colaboração: Alexandro Silva
Data de Publicação: 02 de agosto de 2010
Com o servidor configurado e seguro podemos integrar todas as soluções existentes a nossa base LDAP como por exemplo Apache, Squid, Postfix, Bind, sudo, ssh e todos os serviços com suporte a autentição via PAM ou direto no LDAP.
Agora apresentarei como autenticar os usuários das estações de trabalho, evitando assim a criação de usuários e grupos locais.
Instale os pacotes necessários
aptitude install libnss-ldap libpam-ldap nscd
LDAP server Uniform Resource Identifier: ldaps://[ IP_LDAP_MASTER ] Distinguished name of the search base: dc=acme,dc=local LDAP version: 3 LDAP account for root: cn=admin,dc=acme,dc=local LDAP root account password: [ SENHA_ADMIN ] nsswitch.conf not managed automatically: Ok Make local root Database admin: Yes Does the LDAP database require login: No LDAP account for root: cn=admin,dc=acme,dc=local
Edite as seguintes linhas do arquivo /etc/libnss-ldap.conf
host [ IP_LDAP_MASTER ] uri ldaps://[ IP_LDAP_MASTER ]/ base ou=People,dc=acme,dc=local bind_policy soft nss_base_passwd ou=People,dc=acme,dc=local?one nss_base_shadow ou=People,dc=acme,dc-local?one nss_base_group ou=Group,dc=acme,dc=local?one
Edite as seguintes linhas do arquivo /etc/pam_ldap.conf
host [ IP_LDAP_MASTER ] uri ldaps://[ IP_LDAP_MASTER ]/ base ou=People,dc=acme,dc=local bind_policy soft nss_base_passwd ou=People,dc=acme,dc=local?one nss_base_shadow ou=People,dc=acme,dc-local?one nss_base_group ou=Group,dc=acme,dc=local?one
Edite os seguintes arquivos no diretório /etc/pam.d/
common-account
account sufficient pam_ldap.so account required pam_unix.so session required pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent
common-auth
auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass
common-password
password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5
common-session
session sufficient pam_ldap.so session required pam_unix.so
Edite o arquivo /etc/nsswitch.conf
vim /etc/nsswitch.conf
passwd: files ldap group: files ldap shadow: files ldap
Remova os usuários cadastrados localmente
adduser [usuário]
Reinicie a máquina
init 6
Após reiniciar a máquina logue com um usuário existente no LDAP
Agora tudo será feito pelo LDAP (ssh, sudo e etc) não sendo necessário a craição de usuários ou grupos locais.
Administração do LDAP via WEB
Phpldapadmin - http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page
Scripts para criação de usuários e grupos
Diradm - http://directory.fsf.org/project/diradm/
Referências
Fonte: http://blog.alexos.com.br/?p=1913&lang=en
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
Avalie esta dica
Opinião dos Leitores
Wagner Elvio
02 Ago 2010, 10:43
Bom dia Alexandro Silva, ótima dica.
Só uma pergunta: Esses usuarios que estao agora autenticando no sistema (através do base LDAP) ja possuem acesso ou direitos de disponibilizar uma home page pessoal(por exemplo: /home/usuario/~public_html) ou preciso instalar o pacote
libapache2-mod-ldap-userdir, que é um modulo que fornece acesso a home pages para usuarios autenticados em base LDAP?
Esse pacote eu encontrei com o seguinte comando:
Linux_Debian5% apt-cache search ldap | grep userdir
libapache2-mod-ldap-userdir - Apache module that provides UserDir lookups via LDAP
Desde de já agradeço pela sua resposta.
Wagner.
02 Ago 2010, 10:43
Bom dia Alexandro Silva, ótima dica.
Só uma pergunta: Esses usuarios que estao agora autenticando no sistema (através do base LDAP) ja possuem acesso ou direitos de disponibilizar uma home page pessoal(por exemplo: /home/usuario/~public_html) ou preciso instalar o pacote
libapache2-mod-ldap-userdir, que é um modulo que fornece acesso a home pages para usuarios autenticados em base LDAP?
Esse pacote eu encontrei com o seguinte comando:
Linux_Debian5% apt-cache search ldap | grep userdir
libapache2-mod-ldap-userdir - Apache module that provides UserDir lookups via LDAP
Desde de já agradeço pela sua resposta.
Wagner.
Alexandro
02 Ago 2010, 10:26
02 Ago 2010, 10:26
Olá Nelson,
Obrigado. Erro de digitação.
Abs,
Alexos
Obrigado. Erro de digitação.
Abs,
Alexos
Nelson
02 Ago 2010, 01:39
02 Ago 2010, 01:39
Remover os usuários locais com "deluser" e não com "adduser" ;-)
Powered by Scriptsmill Comments Script
