|
|
Autentificación de un cliente linux a través de LDAP
(55311 lectures)
Por Jesús Roncero Franco
golan
(http://www.roncero.org)
Creado el 13/06/2002 02:17 modificado el 13/06/2002 02:17
|
Con este artículo veremos cómo configurar un cliente linux para que se autentifique
a partir de un directorio LDAP en vez de usar los ficheros locales. Esto nos puede
permitir tener un número de ordenadores que se autentifiquen contra una base de
usuarios centralizada. |
Pagina1/1 |
Tal como vimos en el artículo sobre la creación de un directorio LDAP, en este veremos
cómo hacer que un cliente linux se autentifique usando el LDAP, es decir, no usará
/etc/passwd para validar a los usuarios.
Configuración Básica
Supondremos en este paso que tenemos un servidor LDAP que está funcionando y que tiene
los datos de los usuarios, logins, claves, etc. Este servidor puede estar funcionando en
modo seguro SSL, pero, para esta parte, no nos hace falta.
La configuración en este caso es sencilla, tendremos que modificar dos ficheros del sistema.
El primero de ellos es el fichero
/etc/ldap.conf. Este fichero sirve para indicar los parámetros globales del sistema
para utilizar el servidor LDAP como cliente.
En él indicaremos el servidor ldap y sobre qué
parte del directorio nos vamos a autentificar. básicamente debemos añadir esto:
host bulma.net
base dc=bulmalug,dc=net
siendo host la dirección de la máquina, y base el nombre distinguido que usaremos para
la localizar la base de datos de los usuarios.
En el fichero /etc/nsswitch.conf vamos a indicar cómo queremos que se autentifique el linux. Para ello lo editamos y
y colocamos estos tres parámetros así:
passwd: files ldap
shadow: files ldap
group: files ldap
De esta forma le estamos indicando el orden que debe utilizar linux para hacer la autentificación. Primero
que mire en los ficheros locales, segundo en el directorio ldap. La manera recomendable es hacerlo así. Se
tiene en los ficheros locales el usuario root exclusivamente, y el resto en el directorio, de manera que el
usuario root tiene siempre acceso y el resto, serán autentificados a través del LDAP. No es recomendable tener
el usuario root en el servidor LDAP o invertir el orden de la autentificación, ya que, en el caso de
un fallo del servidor ldap, nos podemos quedar sin poder acceder a la máquina.
NOTA Es conveniente probar la autentificación teniendo varias consolas de root abiertas
para que en caso de fallo no haya problemas para entrar en la máquina y poder modificar estos ficheros. Ten en cuenta que, al estar modificando
el proceso de autentificación, cualquier fallo en la configuración te puede dejar sin acceso a la máquina, teniendo
que arrancar desde disquetes. ¡Quedas advertido! ;-)
Básicamente es esto lo único que se necesita hacer para que la autentificación se lleve a cabo a través
del LDAP, en modo no seguro.
Conviene indicar también que los usuarios de redhat tienen disponible una herramienta llamada authconfig que hace todo esto, es
decir, modificar estos ficheros.
Y, por supuesto, haced man nsswitch.conf y man ldap.conf para ver todas las opciones.
Configuración en modo seguro SSL
Una vez que ya tenemos configurado el sistema, añadir el modo seguro es relativamente fácil, partiendo de que tenemos
soporte OpenSSL.
En el fichero /etc/ldap.conf añadiremos estas entradas:
port 636
ssl yes
sslpath /usr/local/ssl/certs
Indicandole que queremos usar ssl, el puerto del ssl y el directorio dónde se encuentran los
certificados.
Para instalar los certificados usaremos un pequeño truco ;-)
Utilizaremos Netscape 4.5, e intentaremos acceder a la dirección dónde tengamos el servidor
pero a través de su puerto seguro, es decir, https://bulma.net:636/ . Ojo con el https.
De esta forma, el netscape creerá que se está conectado
a un servidor web seguro e iniciará el proceso de aceptación del certificado. Deberemos
decirle que confiamos en el certificado y que queremos aceptarlo para esta y sucesivas
sesiones. Una vez hecho esto, al darle a terminar, el netscape nos informará de que se
ha producido un error ya que, al no ser un servidor web en ese puerto, no se recibirán datos. Pero
por otro lado, habremos aceptado el certificado en un fichero dentro del directorio
de netscape, que es lo que queremos usar.
Bien, este fichero es cert7.db que se encuentra en $HOME/.netscape y hay que colocarlo
en /usr/local/ssl/certs
Una vez hecho este paso, ya está preparado el sistema para usar los certificados
y autentificarse a través del OpenLDAP en modo seguro.
Para terminar
Por último, señalar que esto sólo realiza la autentificación. Otra cosa de la que debereis aseguraros, según la
configuración que tengais, es realizar el montaje de los directorios de los usuarios, dónde teneis varias opciones, como
NFS o samba. Pero eso ya os lo dejo como ejercicio ;-).
Un agradecimiento especial a José Moguer Maestre, mi compañero en las prácticas en empresa dónde investigamos a fondo sobre OpenLDAP.
Jesús Roncero. |
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
| 1. Re: Autentificación de un cliente linux a través de LDAP (13/06/2002 17:34, #6713)
Por: El cobarde anónimo |
| Muy interesante, si señor. Ya me gustaría a mi que la empresa en la que trabajo funciosase así, pero como son parners Mocochoft, los muy capullos usan Active Direcoty :( Ya se configurar Samba para que use el servidor de dominio para la autentificación a la hora de acceder a los recursos compartidos pero ahora sería interesante poder hacer algo similar a la autentificación usando LDAP, pero usando el Active Directory del servidor Windows ;^). Otra cosa que me podría interesar es que el HOME funcionase "a la Windows", es decir, fuesen directorios locales y se fuesen creando según se accediese por primera vez a la estación de trabajo. |
|
2. Re: Autentificación de un cliente linux a través de LDAP (15/06/2002 13:25, #6747)
Por: golan (http://www.roncero.org) |
| Otra cosa que me podría interesar es que el HOME funcionase "a la Windows", es decir, fuesen directorios locales y se fuesen creando según se accediese por primera vez a la estación de trabajo.
¿A qué te refieres? a que un usuario nuevo, cuando entre nuevo, se le cree automáticamente un directorio HOME y su clave, como cuando entras en windows 9x? Entonces, ¿para qué quieres una autentificación, si no lo puedes controlar? O si no, ¿qué es lo que quieres decir? ;-)
|
|
3. Re: Autentificación de un cliente linux a través de LDAP (19/06/2002 19:26, #6853)
Por: El cobarde anónimo |
Supongo que lo que quiere decir es que si un usuario tiene una cuenta en el servidor LDAP , cada vez que entre por primera vez en uno de los clientes, al autentificarse se cree automáticamente un home para él. Pero, evidentemente, sólo si tiene una cuenta de red (no local).
Yo también estoy buscando algo así para centralizar las cuentas, a ser posible combinando linux y w2k en los clientes. |
|
4. Re: Autentificación de un cliente linux a través de LDAP (21/05/2003 19:35, #14563)
Por: cj |
| a ver, creo que estas equivocado en un punto, veras aun cuando estes usando win9x si puedes hacer algo por el estilo, pero es un poco complicado, de hecho en mi trabajo tengo algo por el estilo. por razones de software que se usa (especificamente soft educacional que solo corre bajo win9x y que no he logrado echar andar bajo linux como la gente via wine), estamos obligados y circunscritos al win9x, sin embargo, tengo un linux corriendo el samba configurado para que trabaje como servidor de autentificacion, a su vez, una vez hecho la configuracion correspondiente, modificas el registro del windows. la idea es la siguiente, configuras el win9x para que sea parte de un dominio el cual es servido por el samba, luego usando el poledit configuras el registro para que el windows este obligado para poder arrancar que se autentifique en el servidor samba, y asi si mismo que se actualize desde alli, luego, configuras el windows para que acepte politicas de grupos (eso viene aparte en el windows), configuras para que cada usuario tenga su propio perfil, y le dejas una copia de todo, ya sabes, escritorio, mis documentos, etc. una vez hecho esto, lo que sucedera es lo siguiente, a menos que el usuario este en el linux, el windows no arrancara (no sirve apretar el boton de escape, de hecho lo unico que sirve es entrar en modo prueba de fallo), una vez que el usuario es validado, se bajara y se sincronizara sus carpetas personalizadas desde el servidor samba, los cuales seran copiados en su home. si el usuario en esa maquina cliente en cuestion no tiene su carpeta local, te pregunta si acaso deseas crear su home en la maquina, eso solo lo preguntara la primera vez. al apagarse o cerrar la sesion de usuario, sus carpetas vuelven a ser copiados al servidor samba para que sean llamados y esten sincronizados. el unico problema que te tienes que fijar es que tienes que hacerte un script para asegurarte que la maquina cliente tenga el mismo horario y fecha que el servidor samba. la misma documentacion dice como hacerlo. no es dificil, esto por que si no estan al mismo horario solo sincronizara los archivos los cuales sean posteriores o mas nuevos que la copia que tiene en su disco, de manera tal que si no estan sincronizados en el horario no es seguro que se copien o mantengan sincronizados los archivos. claro que tiene una serie de desventajas, por ejemplo, el arranque se demora un poco mas, si el usuario se valida en dos lados, la copia que quedara en el servidor es de aquel donde se cerro ultimo, por lo cual el trabajo del primero en cerrar se pierde. otro problema es la cantidad de espacio que te empieza a chupar en el disco del servidor, de manera tal, que si mantienes una copia de todos los directorios del usuario en el servidor, la cantidad de disco es bastante, ya que copia por ejemplo cosas como el menu de inicio, los archivos temporales de internet, el historial, etc. aunque esto depende de tu configuracion, es muy facil cometer el error, y despues encontrarte con que no te queda espacio en el servidor para tanta basura.
en fin, no es una solucion ideal, pero creo que es a eso donde apuntaba el amigo. y a diferencia de lo que opinaba recien, si tienes activo y centralizado el manejo de los usuarios.
salu2 |
|
5. Re: Autentificación de un cliente linux a través de LDAP (09/06/2007 16:33, #42739)
Por: juano |
| Estoy configurando cliente para que se conecten aun servidor ldap, pero no puedo autentificarse.
hago id usuario, desde el servidor donde estoy instalando cliente y lo trae del servidor donde esta el ldap.
Pero no puedo incresar con mi contraseña que tengo en el servidor ldap.
He revisado y recontrarevisado, login.,su,passwd, system-auth y creo el ldap.conf pero nada.
Alguien me puede ayudar para saber que me falta..
desde ya se lo agradezco.
juano |
|
|
6. Re: Autentificación de un cliente linux a través de LDAP (19/06/2002 22:09, #6858)
Por: indy (http://perso.wanadoo.es/antoni.reus/) |
| Otra cosa que me podría interesar es que el HOME funcionase "a la Windows", es decir, fuesen directorios locales y se fuesen creando según se accediese por primera vez a la estación de trabajo.
Usa el modulo pam_mkhomedir
Por ejemplo, en redhat coges el fichero /etc/pam.d/login
i le metes:
session required /lib/security/pam_mkhomdir.so skel=/etc/skel umask=0022
Si en lugar de /etc/pam.d tienes un fichero /etc/pam.conf seria algo así como:
login session required pam_mkhomdir.so skel=/etc/skel umask=0022
El /lib/security no es estandard, lo usa solo (creo) redhat.
|
|
|
7. Re: Autentificación de un cliente linux a través de LDAP (16/10/2002 17:50, #9189)
Por: Neyger |
| Una pregunta:
¿Es posible autentificar la entrada de un usuario de un cliente Windows con el Servidor LDAP? |
|
8. Re: Autentificación de un cliente linux a través de LDAP (27/02/2003 21:53, #12487)
Por: Earelin |
| No es posible ya que Active Directory es unha implementación a la Microsoft de LDAP, o sea, mucho código propietario y compatible con sigo mismo. Se puede autentificar clientes Linux contra Active Directory mediante un añadido del AD llamado AD4UNIX (a lo mejor me equivoco en el nombre), pero los clientes de 2000 emplean protocolos propios en la autentificación, según Microsoft para mantener compatibilidad con anteriores sistemas (NT). Estos protocolos no tienen nada que ver con LDAP por lo que ya sabes, si quieres un servidor para tus Profesional te compras el Server, a ver que va a ser esto de inmolar las redes de Microsoft con la mierda esa del Software Libre XD. |
|
9. Re: Autentificación de un cliente linux a través de LDAP (07/09/2003 07:56, #16958)
Por: El cobarde anónimo |
| es posible con samba-ldap (al contrario de lo que dicen en la otra respuesta) . Saludos :) |
|
10. Re: Autentificación de un cliente linux a través de LDAP (28/11/2003 19:00, #18322)
Por: Anónimo |
| 1 BESO !!! desde el grupo de Parcticas de la Modalidad I de la ETSII !!!!..... |
|
|
|
11. Re: Autentificación de un cliente linux a través de LDAP (10/12/2003 11:51, #18502)
Por: Anónimo |
En primer lugar felicitarte por los 2 articulos sobre ldap. Y en segundo, comentarte que yo tengo configurado la auteticación de usuarios con ldap en mi empresa y en los clientes el fichero '/etc/ldap.conf' no existe. Dicho fichero está emplazado en '/etc/ldap/ldap.conf' y está todo comentado. Y yo me pregunto... si no le indico donde está el servidor ni el basename, por que funciona todo perfectamente???
Muchas Gracias.
Saludos. Sergio Villegas (delirium) |
|
12. Re: Autentificación de un cliente linux a través de LDAP (12/12/2003 16:15, #18570)
Por: Golfo |
| Pues a mi tambien me paso eso, y la respuesta es que tienes en el /etc/nsswitch.conf las entradas:
passwd files ldap
shadow files ldap
groups files ldap
y en tu red no hay mas que ese servidor ldap, y por supuesto esta en tu red, quiero decir, si tu maquina es 192.168.0.2, el servidor ldap sera la 192.168.0.1...
Por tanto busca al servidor ldap (que pille primero) dentro de tu red. |
|
|
13. Re: Autentificación de un cliente linux a través de LDAP (23/04/2004 11:13, #20863)
Por: sathan |
| Una cuestion si la autentificacion se hace a traves del servidor ldap, quien es el root?!?!?! como se aplican permisos a todos los usuarios del p.e. directorio activo?!?! |
|
14. Re: Autentificación de un cliente linux a través de LDAP (23/04/2004 11:27, #20864)
Por: golan (http://www.roncero.org) |
Del artículo:
Se tiene en los ficheros locales el usuario root exclusivamente, y el resto en el directorio, de manera que el usuario root tiene siempre acceso y el resto, serán autentificados a través del LDAP.
O sea, el usuario root siempre va a ser local. Aunque también se podría tener en el ldap el usuario root. Mira este artículo.http://aqua.subnet.at/~max/ldap |
|
|
15. Re: Autentificación de un cliente linux a través de LDAP (26/04/2004 18:30, #20905)
Por: Brijan |
| Soy un administrador W2K que quiere migrar tanto los clientes como los servidores a linux. mi pregunta es ¿se puede centralizar con openldap los permisos de los grupos, ou o usuarios del dominio de modo que a tal grupo se le ejecute tal script... o a tal otro se le ponga tal fondo de escritorio... o tales permisos a los archivos y demas? Gracias de antemano. |
|
16. Re: Autentificación de un cliente linux a través de LDAP (29/09/2004 17:16, #23591)
Por: Anónimo |
| muy bien los articulos de ldap, pero me encuentro en que si tengo un usuario creado en local ya y otro en el directorio ldap con el mismo nombre, cuando logeo con el usuario en cuestion solo me permite entrar con la passwd local y no con la de ldap, aunque en nsswitch tengo antes ldap y luevo local, si logeo con un usuario solo del directorio ldap si funciona. ¿ sabeis de que peude ser? |
|
17. Re: Autentificación de un cliente linux a través de LDAP (23/11/2004 04:52, #24419)
Por: Anónimo |
| Eres consciente que el artículo se escribió hace dos años?? |
|
|
18. Re: Autentificación de un cliente linux a través de LDAP (13/12/2005 21:25, #30004)
Por: Anónimo |
| sería hace dos meses no? igual que este comentario, un año después. |
|
19. Re: Autentificación de un cliente linux a través de LDAP (10/04/2006 06:53, #31908)
Por: hpex_udp |
| Hola a todos. yo he tenido buena experiencia con el sistema de autenticacion openldap, sin embargo no he podido configurar un solaris 8,9,10 como cliente ldap.
he visto un monton de documentos que hablan al respecto. sin embargo no he podido hacer correr las configuraciones correctamente.
alguien tiene alguna pagina en la cual pueda encontrar claramente como se realiza esta tarea?.
muchas gracias, saludos a todos. |
|
20. Re: Autentificación de un cliente linux a través de LDAP (27/12/2006 15:41, #37411)
Por: azamax |
| hola...
yo he podido configurar un solaris 10 (6/06) a traves del "cliente nativo" que posee, para ello utilizas el comando ldapclient y el man está bastante claro.
Salu2 |
|
|
21. Re: Autentificación de un cliente linux a través de LDAP (19/06/2006 18:43, #33305)
Por: Anónimo |
| EL articulo es muy bueno y confortable por que ha resuelto un poco de dudas donde yo no conocia, soy recien un principiante en el mundo de linux y asi me estoy superando poco a poco por que hay que acabar ya con eso monopolio de Windows, pero mi pregunta es si se puede configurar LDAP con autenticacion de Kerberos, y como se lo hace |
|
22. Re: Autentificación de un cliente linux a través de LDAP (30/06/2006 16:37, #33520)
Por: carlos |
Yo he realizado lo siguiente para autenticar un ubuntu 6.06 contra un AD w2k3:
Documentación obtenida de:
http://www.ssl.ull.es/search/node/winbind
http://www.ssl.ull.es/node/82
h ttp://www.ssl.ull.es/node/70
0.- entrar con el usuario que se ha instalado ubuntu
1.- Descomentar de /etc/apt/source.list los UNIVERSE
#pico /etc/apt/source.list
#apt-get update
2.- Intalar paquetes
# apt-get install winbind
# apt-get install samba
# apt-get install krb5-kdc
3.- Copiar los archivos de la carpeta "archivos" a sus correspondientes directorios (como root)
Para ello abrir una ventana del navegador desde root
#nautilus &
4.- Cambiar nombre de equipo en /etc/samba/smb.conf y al equipo
en la linea que pone NOMBRE_EQUIPO
#pico /etc/samba/smb.conf
#hostname
6.- Unir el equipo al dominio
#net rpc join -S ntpdc -U administrador
si nos da error, reiniciar los servicios samba y winbind y volver a probar
#/etc/init.d/samba restart
#/etc/init.d/winbind restart
luego podemos ver en la consola de administracion de windows en computer como esta el equipo agregado
7.- reiniciar los servicios
#/etc/init.d/samba restart
#/etc/init.d/winbind restart
8.- realizar pruebas de conexión
#winfo -D cebancdea.edu
#winfo -u
9.- cerrar la sesión y probar a entrar con un usario del dominio
10.- para mapear una carpeta de windows ir a Lugares: conexión con un servidor
Los archivos que he tocado son estos:
###### /etc/smb.conf
[global]
## Browsing/Identification ###
security = ADS
realm = DOMINIO.ORG
#KDC en este caso es el mismo que el AD
password server = ELSERVIDORAD.DOMINIO.ORG
# Change this to the workgroup/NT-domain name your Samba server will part of
# workgroup = MSHOME
workgroup=EL_DOMINIO
# server string is the equivalent of the NT Description field
server string = %h server (Samba, Ubuntu)
# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no
winbind use default domain = yes
netbios name = NOMBRE_EQUIPO
winbind separator = '\'
#para que arranque el winbindd
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
############# /etc/krb5.conf
[realms]
DOMINIO.ORG = {
kdc = servidorAD.domino.org
admin_server = servidorAD.domino.org
default_domain = domino.org
}
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns mdns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account sufficient pam_winbind.so
account required pam_unix.so try_first_pass
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure try_first_pass
#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
password sufficient pam_winbind.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive). The default is pam_unix.
#
session sufficient pam_winbind.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session required pam_unix.so try_first_pass
#session optional pam_foreground.so
Funciona (bueno a medias), los usuarios de windows se pueden validar desde un equipo con ubuntu, pero a la hora de crear su home nos da un error de que no existe el directorio /home/winnt/NOMBREDOMINIO/NOMBREUSER y no puede crearlo. ¿sabéis alguna solución al respecto? He intentado poner un directorio común para todos y darle permisos al grupo de usuarios #chmod g+wrx /home/winnt/dominio/users -R , pero no ha funcionado ¿que puedo hacer?
si le hago propietario al usuario antes de entrar #chown usuario_windows /hone/winnt -R y luego me logeo me da un error del $HOME/.dmrc pero me deja entrar
Si el usuario no es propietario: /etc/gdm/PreSession/Default: Registering your session with wtmp and utmp /etc/gdm/PreSession/Default: running: /usr/bin/sessreg -a -w /var/log/wtmp -u /var/run/utmp -x “/var/lib/gdm/:0.Xservers” -h “” -l “:0” “elusuario” /etc/gdm/Xsession: Beginning session setup… No se ha podido establecer el modo 0700 en el directorio privado de configuración por cada usuario /home/winnt/CEBANCDEA/users/.gnome2_private/ del directorio de configuración «Operación no permitida»
y me vuelve a la pantalla de login
¿alguna solución?
gracias a todos |
|
23. Re: Autentificación de un cliente linux a través de LDAP (31/10/2006 09:42, #36117)
Por: Roberto (http://www.proyectoret.es) |
Hola, los paquetes que he instalado yo no son exáctamente los mismo, ni he configurado nada en samba, pero inicio sesión con ubuntu y se crean los directorios home incluso conecto con la carpeta de red smb.
Lo que veo es que los permisos en el archivo common-session son 0022 y los mios son 0077
De todas maneras te dejo un link para ver si te sirve:
http://www.proyectoret . es/mod/wiki/view.php?id=444
Bien tras muchos intentos con Lliurex, sin conseguir nada aquí está el proceso para la integración de un linux en una red Windows.
En primer lugar aclarar que es integración para mí:
Integración es poder iniciar sesión como un usuario existente, en este caso en el Directorio Activo (D.A.) de windows, y tener acceso al directorio personal de cada usuario, de tal forma que se siente donde se siente el usuario disponga de los archivos personales.
Antes de hacer nada en el ubuntu hay que decir que en el D.A. hay que hacer algún cambio, básicamente un cambio en el esquema del D.A., esto se hace mediante una herramienta gráfica, pero os pongo el link donde los explican muy bien: http://fferrer.dsic.upv.es/cursos/Integracion/html/ch05s03.html
Ferna ndo es operador del dsic en la Universidad Politécnica de Valencia, una persona con muchos conocimientos, que ha puesto en marcha en el dsic lo que explica en esta lección.
Tras realizar los cambios en el D.A. lo que tenemos que hacer en nuestro ubuntu, ojo que hablo de la versión Daper o 6.06 en las anteriores no lo he intentado, es:
* Activar todos los repositorios existentes en el synaptic.
* Recargar tras la activación.
* Marcar para la instalación los siguientes paquetes:
o krb5-user (usuario kerberos)
o libpam-krb5 (librería para autentificación por kerberos)
o libpam-mount (librería para montaje de directorio en la autentificación)
o libnss-ldap (librería para lectura de datos mediante nss sobre LDAP)
o smbfs (paquete para el montaje de directorios smb utilizando atenticación por kerberos)
* Modificar los siguientes archivos de configuración:
o /etc/krb5.conf
o /etc/nsswitch.conf
o /etc/libnss-ldap.conf
o /etc/pam.d/common-auth
o /etc/pam.d/common-account
o /etc/pam.d/common-passwd
o /etc/pam.d/common-session
o /etc/security/pam-mount
* Comprobar que se leen los usuarios utilizando:
o getent passwd
* Reiniciar el equipo.
Ficheros de configuración os pongo los ficheros de configuración que tengo, salvo dos el resto son copiar y pegar:
* /etc/krb5.conf
* /etc/nsswitch.conf
* /etc/libnss-ldap.conf
* /etc/pam.d/common-auth
* /etc/pam.d/common-account
* /etc/pam.d/common-password
* /etc/pam.d/common-session
* /etc/security/pam_mount.conf
NOtas:
En la instalación de ubuntu se crea un usuario "administrador", que pertenece a una serie de grupos que le dan unas características, que en windows denominan, de usuario avanzado. Este usuario tiene el uid y gid = 1000 por lo que en D.A. no debería existir ningún usuario con ese uid y gid, para que no sea el usuario avanzado, ya digo que no es el root, y que si quiere hacer algo de administración de la máquina se le pide la contraseña, que es la misma que la del usuario avanzado, pero no será igual que la del usuario del D.A., (sería mucha casualidad). Recomendaciones, cambiar el uid y gid del usuario avanzado, a 500 por ejemplo, ojo que también habrá que cambiar el gid del grupo. Y tras esto cambiar los permisos del directorio home del usuario avanzado para que puede volver a iniciar sesión, hacer esto como root:
vi /etc/passwd (cambiar uid y gid)
vi /etc/group (cambiar gid del grupo)
chown -R usuario_avanzado.usuario_avanzado /home/usuario_avanzado (esto sólo es válido si en el nombre del usuario no hay ningún . de esta manera se cambia el usuario y el grupo)
|
|
|
24. Re: Autentificación de un cliente linux a través de LDAP (15/12/2006 17:42, #37156)
Por: Marivi |
Interezante el articulo ...
Te comento que estoy intentando centralizar la autentificacion de todos los servicios (actualmente todos son independiente) ,desarrollados en php/mysql, usando OpenLDAP ... ya lo he instalado y configurado en mi servidor (CentOS 4) incluso he ingresado datos y hasta he logrado hacer la validacion desde php ... pero No se si eso es todo ... que mas podria hacer para tener una autenticacion segura?
Muchas gracias por la orientacion que podrias darme.
Saludos, |
|
25. Re: Autentificación de un cliente linux a través de LDAP (19/12/2006 18:01, #37255)
Por: telematico |
| Hola,
Soy un estudiante de Telematica y estoy informandome sobre LDAP, porque tengo que realizar un proyecto de fin de carrera sobre ello. Es para integrar Linux, Solaris y Windows sobre un servidor LDAP, y poder autentificar usuarios en los 3 sistemas operativos. Tengo algo confuso el tema de los clientes. Tendría que tener 3 clientes diferentes para cada S.O?? que programas o herramientas me recomendais usar?? Si sabeis de alguna documentación sobre esto o alguna bibliografía os lo agradecería.
Muchas gracias. Un saludo |
|
26. Re: Autentificación de un cliente linux a través de LDAP (07/03/2012 20:32, #67959)
Por: Anonimo |
| comparateur forfait | sans engagement | forfait mobile illimite | forfait sms illimite | forfait mobile internet | forfait bloque | rio bouygues | rio orange | rio sfr | numero rio bouygues | rio virgin | imc | portabilite du numero |
|
|
|
|
|---|
|
|
|
|
Calificacion
 
Vots: 35 |
Danos tu opinion:
|
|
|
|
|
|
|
|
