|
|
Configuración de un cliente y servidor OpenLDAP para autentificación
(73358 lectures)
Por Carles Pina i Estany
cpina
(http://pinux.info)
Creado el 07/03/2004 11:15 modificado el 07/03/2004 11:15
|
En este artículo veremos como instalar un servidor LDAP para autentificar a los clientes y también como configurar los clientes LDAP para que se autentifiquen contra este servidor
Recordar que LDAP es un "Directorio Ligero", que puede servir tanto para autentificar a los clientes como para recopilar otros tipos de información (desde colecciones de distribuciones Linux a resolver nombres).
Versió en català disponible aquí (Catux)
|
Pagina1/1 |
Introducción
Usaremos la implementación OpenLDAP, que podemos encontrar en http://www.openldap.com. De todas formas aquí nos basaremos en los paquetes Debian (sid, pero es parecido a todas) para hacerlo.
Como nota general, no soy un experto de LDAP sinó que he tenido que instalarlo un par de veces y esos son mis apuntes para conseguirlo, espero que sean útiles a alguien.
Podemos ver a LDAP como una base de datos optimizada para hacer un número muy alto de lecturas y muy pocas escrituras o modificaciones. Además está organizado de modo jerárquico.
Muchas veces (como en este artículo) se usa LDAP para guardar información de los usuarios. Podemos guardar lo típico de login, UID, GID, contraseña, etc. y además añadirle una foto, teléfono de casa u otras informaciones qué queramos. Recalcar que en este artículo guardaremos la información necesaria para un servidor de autentificación; no para un servidor de ficheros. Si necesitamos un servidor de ficheros tendremos que usar NFS (o Coda, Intermezzo, etc.)
Instalación del servidor
En el servidor necesitaremos los paquetes libldap2 slapd. Podemos instalar también el paquete ldap-utils que nos servirá para hacer ciertas pruebas.
Una vez instalado el servidor OpenLDAP iremos al directorio /etc/ldap y modificaremos el fichero slapd.conf.
En este fichero modificaremos al menos el suffix poniendo por ejemplo nuestro dominio (no hace falta que esté registrado, es para referirnos a él desde LDAP). Lo pondremos con el formato suffix "dc=pinux,dc=info".
Añadiremos también:
rootdn "cn=admin,dc=pinux,dc=info" #para autentificar al administrador
rootpw secret #la contraseña
(la contraseña la podemos encriptar, al final del documento vemos como)
En el resto del fichero de configuración sólo tendremos que cambiar el cn= y el dc=pinux,dc=info donde veamos que hace falta.
En este momento podremos hacer un /etc/init.d/slapd restart para reiniciar el servidor LDAP.
Si ejecutamos slapcat nos tendría que dar información sobre nuestro LDAP (normalmente imprime por pantalla todoo el LDAP, de momentos sólo veremos algo de estructura).
Alta, búsqueda y eliminación de usuarios
Ahora lo que tendremos que hacer es dar de alta a algunos usuarios para después poder usarlos en la autentificación.
Antes de dar de alta a los usuarios y grupos, tendremos que dar de alta al administrador, un usuario para "buscar" la información sin privilegios y ya después algun usuario normal para verificar que nos funciona correctamente el sistema.
La forma de dar de alta a usuarios (o datos en general) en LDAP suele ser mediante ficheros .ldif. Un fichero .ldif es un fichero que contiene la información que vamos a añadir, para después añadirla a nuestro directorio.
antes de empezar a dar de alta a los usuarios crearemos la "estructura" mediante este fichero .ldif:
dn: ou=Group,dc=pinux,dc=info
objectClass: top
objectClass: organizationalUnit
ou: Group
dn: ou=People,dc=pinux,dc=info
objectClass: top
objectClass: organizationalUnit
ou: People
De esta forma tenemos a dos "Organization Units" que son los grupos (Groups) y los usuarios (People).
Vemos que estamos usando el objectClass: organizationalUnit, de esa forma LDAP ya sabe qué campos tendrás nuestros usuarios/grupos.
Para decirle a LDAP que inserte los datos del fichero .ldif en la base de datos ejecutaremos:
ldapadd -x -D 'cn=admin,dc=pinux,dc=info' -w secret -f fichero.ldif
Notas:
- Con -x nos autentificamos de forma simple a LDAP sin usar SASL
- Al -D le decimos el Distinguised Name, el mismo que le pusimos en el fichero de configuración
- Al -w le pasaremos la contraseña. Con -W nos la pediría de forma interactiva
- Al -f sirve para pasarle el fichero de configuración
Seguidamente, daremos de alta un usuario. Seguiremos el mismo esquema que hasta ahora, haciendo un fichero .ldif y después ejecutando la utilidad ldapadd. El fichero .ldif para dar de alta a un usuario puede ser uno como este:
#
# New Tester user
#
dn: uid=tester,ou=People,dc=pinux,dc=info
objectClass: top
objectClass: account
objectClass: posixAccount
uid: tester
cn: Test User
userPassword: hola
gecos: Test User
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/tester
loginShell: /bin/bash
Y a continuación:
ldapadd -x -D 'cn=admin,dc=pinux,dc=info' -w secret -f fichero.ldif
Ahora sí que podemos ejecutar slapcat y ver si el usuario tester está correctamente listado.
Al hacer un slapcat él mismo nos está haciendo un listado en format .ldif (lo podriamos aprovechar para lo que haga falta).
Ya que estamos dando de alta a usuarios, aprovechamos y damos de alta a un grupo. Para hacerlo, crearemos un fichero .ldif con este contenido:
#
# Testing Group#
dn: cn=testing,ou=Group,dc=pinux,dc=info
objectClass: top
objectClass: posixGroup
cn: testing
gidNumber: 2000
Ahora ya tenemos a un grupo con GID 2000.
También podemos aprovechar para hacer búsuqedas:
ldapsearch -x -b 'uid=tester,ou=People,dc=pinux,dc=info'
Y por último, si queremos eliminar un usuario podemos hacerlo de esa forma:
ldapdelete -x -D 'cn=admin,dc=pinux,dc=info' -w secret\
'cn=Local Root,ou=People,dc=pinux,dc=info'
Configurando un cliente LDAP
El objetivo de esta parte es poder hacer un slapcat desde una máquina que no sea el servidor y funcione correctamente.
Para conseguir eso tendremos que intalar al menos los paquetes libldap2, ldap-utils.
Una vez instalados estos paquetes, editaremos el fichero /etc/ldap/ldap.conf. Este fichero es el de configuración del cliente LDAP, no lo tenemos que confundir confundir con el fichero slapd.conf, que es de la configuración del servidor.
El fichero podemos dejarlo así:
host 192.168.1.2
base dc=pinux,dc=info
De esa forma le decimos donde tiene que conectarse y el dc.
Ahora desde la máquina cliente podemos hacer uso del slapcat igual que antes. La configuración por defecto permite la lectura de varios campos por "todo el mundo", así que aunque no veremos la contraseña podremos ver otra información del usuario.
Configurando un cliente, parte nsswitch
Para esta parte necesitaremos instalar el paquete libnss-ldap.
Cuando trabajamos con el sistema (ls -l, p. ej.) normalmente vemos los nombres de los usuarios propietarios de los ficheros. En cambio guardado en el disco hay el "número" (UID) del usuario.
Para que los programas sepan el nombre que corresponde a los UID's (y otras cosas, como grupos, hosts, etc.) hacen unas llamadas a funciones de la librería GLIBC, y es esta quien "averigua" la relación.
Es en el fichero /etc/nsswitch.conf donde le decimos al sistema de donde averiguar el propietario sabiendo el UID. Normalmente contiene algo como:
passwd: compat
group: compat
shadow: compat
hosts: files dns
networks: files
Lo que más nos interesa es la parte de passwd, group y shadow.
Ahora lo dejaremos así:
passwd: compat ldap
group: compat ldap
shadow: compat ldap
Por tanto cuando un programa le pide a la GLIBC "dime el nombre del usuario 1005", la GLIBC primero mira en /etc/passwd y sinó hará la consula al servidor LDAP.
Para que el nsswitch pueda hacer las consultas en el LDAP tendremos el fichero /etc/libnss-ldap.conf algo como:
host 192.168.1.2
base dc=pinux,dc=info
Es decir, la información necesaria para llegar a nuestro servidor LDAP y lanzar la consulta.
Si hacemos man libnss-ldap.conf veremos las opciones que podemos ponerle (p. ej. port, ldap_versions, etc.)
Entre otras cosas, a veces necesitaremos que se haga una conexión autentificada contra el servidor. Para eso se usará la contraseña que encuentre en /etc/ldap.secret (tiene que estar con permisos 600, propietario y grupo root)
Configurando el cliente PAM
Para poder configurar el cliente PAM tendremos que instalar el paquete libpam-ldap
Hay varios programas que pueden usar (y usan por defecto) un método de autentificación "centralizado" y por módulos llamado PAM (Pluggable Authentication Modules). Eso son unas librerias que los programas pueden soportar que sirven de "interfaz" contra varios métodos de autentificación (p. ej. LDAP)
La configuración en Debian es en el directorio /etc/pam.d/ y tenemos un fichero de configuración por cada servicio.
Si es necesario que la conexión sea con privilegios, se usará la contraseña que se encuentre en /etc/ldap.secret, y que estará con permisos 600 (como el punto anterior).
Tener la contraseña para autentificarse es necesario, con la configuración por defeto del slapd.conf, cuando el usuario root quiere cambiar la contraseña de otro usuario: si no es conexión autentificada, el servidor LDAP no le deja cambiarla. De otra forma cualquier usuario podría cambiar la contraseña de cualquier otro, solo lanzando la consulta al servidor LDAP.
Seguidamente, dejaremos el fichero /etc/pam_ldap.conf de forma parecida:
host 192.168.1.2
base dc=pinux,dc=info
ldap_version 3
rootbinddn cn=admin,dc=pinux,dc=info
# don't forget /etc/ldap.secret
Ahora ya tenemos la configuración general de PAM para funcionar con LDAP.
Pasemos a la parte específica de cada servicio (ssh, su, passwd, etc.).
Estaremos tocando los ficheros de configuración del cliente para que se autentifique contra el servidor.
ssh
Tenemos que ir al fichero /etc/pam.d/ssh y al menos añadir esas líneas:
auth sufficient pam_ldap.so
account sufficient pam_ldap.so
session sufficient pam_ldap.so
password sufficient pam_ldap.so
al inicio del fichero.
En el caso del ssh tendremos seguramente que modificar en el fichero /etc/ssh/sshd_configel parámetro PAMAuthenticationViaKbdInt a yes. De otra forma no autentificaría de forma correcta.
su
Sirve para poder ejecutar el su con usuarios que están dados de alta en el LDAP.
En el fichero /etc/pam.d/su lo dejaremos parecido a:
auth sufficient pam_rootok.so
auth sufficient pam_ldap.so
auth required pam_unix.so use_first_pass
account sufficient pam_ldap.so
account required pam_unix.so
session sufficient pam_ldap.so
session required pam_unix.so
passwd
Este es para permitir cambiar las contraseñas de los usuarios. Lo podemos dejar así:
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8
Es bastante útil dar de alta a los usuarios de forma normal y cambiarles la contraseña con el mismo passwd como root (si son pocos usuarios de pruebas, claro)
login
Lo dejaremos parecido a este:
auth required pam_nologin.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
Hay otras maneras de dejarlo, pero tenemos que ir con cuidado con el use_first_pass: si no lo ponemos los usuarios que estan dados de alta en LDAP se les pediría dos veces la contraseña (una validaría con /etc/passwd, y al no encontrar el usuario se lo pediría otra vez para validarlo contra LDAP.
Con los ejemplos vistos hasta ahora sería fácil hacer lo mismo en otros servicios (p. ej. proftpd, xlock, etc.)
También es relativamente fácil modificar los ficheros common-account common-auth common-password common-session para no tener que tocar el fichero de cada servicio, a costa de tener menos "personalización" por servicio.
Podemos mejorar
Tenemos varias cosas a hacer, sólo comento algunas.
- Primero de todo, la contraseña "secret" que tenemos en texto "llano" en el fichero ponerla encriptada (y una contraseña de verdad). Para hacerlo ejecutaremos
slappasswd y la que nos diga la pondremos en el fichero. Por ejemplo: {SSHA}xAR4MvR0AByRx0gYCZGKeWUFAhNGZIud.
- También deberíamos usar certificados para que nadie pueda suplantar nuestro servidor. Y ya que nos ponemos, que los datos transferidos de forma segura. El mismo OpenLDAP puede hacerlo, lo podemos leer en este otro artículo de Bulma. Eso nos interesará sobretodo si clientes LDAP y servidor LDAP no están en la misma red (o que esa no sea de confianza). Otra forma de hacer eso mismo sería con freeswan (una implementación de IPSEC) o haciendo túneles seguros con otras aplicaciones.
- Un caso bastante normal es querer migrar los usuarios que ya teniamos en el sistema a OpenLDAP. Lo podemos conseguir con el paquete migrationtools
- Un último apunte importante, es instalar el paquete
nscd. Este paquete hará de caché para OpenLDAP en la máquina local. De otra forma, cada vez que hagamos un "ls -l" el sistema irá a preguntar al servidor LDAP "¿este UID, qué nombre tiene?" (hecho que carga el servidor, la red y además el cliente responde más lento)
Enlaces
Varios enlaces interesantes:
|
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
| 1. Muy interesante (08/03/2004 11:56, #20065)
Por: Juanjo (http://blackshell.usebox.net/) |
LDAP es una de esas cosas que todo el mundo entiende para qué sirve y aun así es necesario preguntar: ¿para qué sirve? ;)
Excelente artículo.
Se echan de menos unos pequeños scripts shell que automatizen algo más el proceso (tipo adduser-ldap pepito, que genere un fichero temporal y simplifique el proceso).
También añadiría algunos enlaces a programas para administrar LDAP, que hay muchos y buenos (por ejemplo en Java). |
|
2. Re: Muy interesante (08/03/2004 19:25, #20071)
Por: cpina (http://pinux.info) |
| Hola,
Me alegro que te haya gustado el articulo.
Los scripts los tengo hechos de forma tan cutre que es más fácil que alguien haga los suyos en lugar que adapte los míos, creo.
Por otro lado, para administrar LDAP he probado (aunque muy poco) gq, que está disponible para Debian Sid (no sé en otras).
Probé algun otro pero ya no sé cual era, si tienes alguno interesante comentalo :-)
Gracias! |
|
3. Programas para administrar LDAP (08/03/2004 22:22, #20072)
Por: Juanjo (http://blackshell.usebox.net/) |
La verdad es que la memoria me ha jugado una mala pasada. Recordaba un manager bastante usable en Java, pero NO es Software Libre.
Sí hay un bridge de LDAP a JDBC que parece interesante, JDBC-LDAP Bridge Driver, bajo licencia OpenLDAP Public License, que según la FSF es Software Libre.
También he ojeado alguna vez el LDAP Account Manager, un fronted web para OpenLDAP. Tiene buena pinta y se ajusta de perlas a tu artículo. Este es GPL. |
|
4. Re: Muy interesante (09/03/2004 11:05, #20086)
Por: dmc |
Yo he probado (y todavía utilizo) el GQ y la verdad es que está muy bien. También he probado la herramienta del Sun-One (no recuerdo el nombre) y apenas hay cambios en lo que a opciones se refiere. Sun aporta mucho más diseño y usabilidad, pero GQ tiene eso llamado "velocidad" :)
saludos |
|
5. Re: Muy interesante (09/03/2004 21:32, #20092)
Por: Eduardo |
Yo utilizo ldapbrowser.
Un artículo muy bueno.
Saludos. |
|
|
|
6. Re: Muy interesante (26/06/2004 12:56, #22071)
Por: Anónimo |
Para administrar, una manera muy completa puede ser esta..
https://gosa.gonicus.de/
La unica pega es que parece no haber mucha documentacion y en aleman.. |
|
|
7. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (09/03/2004 02:23, #20080)
Por: caravena (http://pagci.unap.cl/gallery/srl) |
| Gracias es lo que estaba buscando. Pero que pensais de phpLDAPadmin? es buena esta aplicacion para administrar la base de datos. Existe otra mejor que se base en web, ojalas con soporte ssl. Supongamos que administrara una 5000 usuarios que me recomendarías?
Salu2 |
|
8. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (10/03/2004 08:47, #20101)
Por: Anònim |
| Para administrar no hay nada mejor que una consola ;P Pero para hacer varias gestiones phpldapadmin es bastante útil, además te puedes programar tus propias plantillas para altas personalizadas. SSL? Eso es cuestion de como configures Apache, yo uso SSL siempre para herramientas de administración via web y con autenticación con mod_auth_ldap ;) |
|
|
9. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (10/03/2004 12:05, #20103)
Por: xvila |
| Molt bo l'article Carles, ben explicat i ben comentat, només comentar que depen de la versio de debina que estiguis utilitzant el paquet de migrationtools nomes porta el fitxer de configuració(comprovat)...
La solucio es baixar-se les migrationtools directament de la pagina del creador...
PD:ja has parlat amb en vix? |
|
10. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (24/03/2006 09:10, #31590)
Por: Anónimo |
| Gracias por ponerlo fácil a los que no sabemos mallorquí. |
|
11. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (24/02/2007 17:26, #38696)
Por: Anónimo |
| jajaja, muy bueno
jajaja, molt bó
yeah, very good
v56 (great shot) en idioma del juego Enemy Territory :P |
|
|
|
12. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (15/03/2004 05:54, #20140)
Por: Anónimo |
| Qué pensais/sabeis sobre la aceptación de LDAP en la infraestructura de las empresas y las redes. Se está imponiendo actualmente como una tecnología interesante? |
|
13. Error en Ldap (15/03/2004 17:12, #20147)
Por: Julio |
| Cuando quiero agregar un grupo me da el siguiente error
ldap_bind: Invalid credentials (49) |
|
14. Re: Error en Ldap (15/03/2004 19:52, #20155)
Por: cpina (http://pinux.info) |
Hola,
Lo he probado y me ha ido bien.
Comprueba que el cn esté bien (en el ejemplo hay "admin", le llamaste así?)
También que la contraseña la pongas bien, en el ejemplo hay "secret" de contraseña. Pusiste esta en el fichero de configuración?
Me imagino, que te da error en el grupo pero también en People, etc., no?
Es una Debian? (más que nada, curiosidad) |
|
15. Re: Error en Ldap (16/03/2004 09:55, #20165)
Por: nachete |
| Eso es porque tienes que hacer el bind como un usuario privilegiado (aunque lo normal en estos casos es q te de el error 50 InsufficientAccessRight) o porque la clave la es incorrecta |
|
16. Re: Error en Ldap (07/05/2006 19:59, #32411)
Por: Yippikaye |
| Yo tb tengo el mismo problema y estan correctos los ficheros de config, alguna ayuda? |
|
|
|
17. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (20/03/2004 08:06, #20228)
Por: >@)> |
¿Cual es más recomendable como sistema de autenticación cliente servidor, NIS, NIS+, LSAP WINS+SAMBA o kerberos?
¿Porqué es poco difundido Kerberos?
Gracias ... |
|
18. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (20/03/2004 13:41, #20229)
Por: cpina (http://pinux.info) |
Depende de lo qué necesites y demás. En pocas palabras, NIS es _sólo_ autenticación (bueno, podriamos hacer hosts y otras cosillas). Pero, no tendrá nada más tipo guardar fotos de la gente, DNI's, teléfonos, etc. (bueno, hay un campo que se podría aprovechar, pero fotos está difícil)
NIS+ es lo mismo pero cifrado, así que si quieres NIS y que pase por una red insegura es necesario (aunque podrías montar una VPN).
LDAP comentado, que además de usuarios podemos poner recetas de cocina :-) o por ejemplo, Outlook tiene soporte para directorios LDAP para las libretas de direcciones.
WINS+SAMBA que yo sepa no es un sistema de auntetificación, detrás tiene que ir LDAP (y normalmente veo SAMBA + LDAP, no SAMBA + NIS, no sé si está implementado)
Sobre Kerberos, no lo he usado ni me he documentado mucho así que no comento nada. |
|
19. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (21/03/2004 06:36, #20245)
Por: >@)> |
| Gracias cpina |
|
|
|
20. Problema al querer agregar un nuevo Grupo (20/03/2004 22:07, #20239)
Por: Leandro Racak |
| Estoy siguiendo los pasos que describen para configurar el LDAP pero estoy teniendo problema al querer agregar un grupo al LDAP (Red Hat 8, OPENLDAP 2.0.23, BerkeleyDB 4.0.14)
El archivo de slapd.conf es:
database ldbm
suffix "dc=pinux,dc=com"
#suffix "o=My Organization Name,c=US"
rootdn "cn=admin,dc=pinux,dc=com"
#rootdn "cn=Manager,o=My Organization Name,c=US"
rootpw secret
El archivo ldif es:
dn: ou=Group,dc=pinux,dc=com
objectClass: top
objectClass: organizationalUnit
ou: Group
el error que me da es el siguiente:
[root@locura libexec]# ldapadd -v -x -D 'cn=admin,dc=pinux,dc=com' -w secret -
f /root/kk.ldif
ldap_initialize( )
add objectClass:
top
organizationalUnit
add ou:
Group
adding new entry "ou=Group,dc=pinux,dc=com"
ldap_add: Operations error
Agradeceria si me puedan dar una mano con este problema.
Muchas gracias.....
Saludos |
|
21. Re: Problema al querer agregar un nuevo Grupo (20/03/2004 22:13, #20240)
Por: Anónimo |
| Pido Disculpas pero no se porque me lo pone todo seguido
cualquier cosa me mandan un mail a mi cuenta y trato de ponerme en contacto. De nuevo muchas gracias.... |
|
22. Re: Problema al querer agregar un nuevo Grupo (21/03/2004 00:11, #20241)
Por: cpina (http://pinux.info) |
Hola Julio,
Me alegro que te haya gustado el artículo.
Seguramente te ha quedado todo en una línea porqué has dejado "Formato: HTML" y debería haber puesto "Texto Plano".
Sobre LDAP, y para empezar, has puesto en el ejemplo "- f /root/kk.ldif", prueba con "-f /root/kk.ldif", es decir, sin el espacio entre guión y f.
Además, haz un slapcat y comprueba que no esté dado de alta el Group o algo así (a ver si RedHat ya lo incluye de serie).
Ya dirás.
Hasta pronto! |
|
|
|
23. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (21/03/2004 06:33, #20244)
Por: >@)> |
Otra pregunta;
¿LDAP sifra los datos en la red? |
|
24. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (21/03/2004 09:39, #20247)
Por: cpina (http://pinux.info) |
| Hola,
Por defecto no, aunque puedes hacer que lo haga. Aquí explican como: http://www.openldap.org/doc/ admin22/tls.html. Yo no lo he hecho, pero se puede hacer :-) |
|
25. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (21/03/2004 09:40, #20248)
Por: cpina (http://pinux.info) |
| Que por cierto, siempre puedes montar una VPN de alguna forma y cifrarlo para LDAP y todos los protocolos entre las máquinas. |
|
|
|
26. muy bueno el articulo (06/04/2004 20:28, #20548)
Por: Anónimo |
| Gracias! por fin un articulo que se puede entender!
Llevo días intentando que me funcione esto y solo puedo decir... MUCHAS GRACIAS! :D |
|
27. OpenLDAP y Windows XP (21/05/2004 04:56, #21369)
Por: MANUEL |
| Hola, quiero poner open LDAP en mi servidor mas que nada para autenticacion, estoy utilizando Slackware, pero tengo tambien si es necesaria la instalacion de Red hat 9, quiero saber si puedo tener mis clientes con WINDOWS XP???, si es asi seria sumamente util para mi este sistema.
Nunca he trabajado con open LDAP pero este articulo parece muy completo. |
|
28. Re: OpenLDAP y Windows XP (04/06/2004 17:35, #21732)
Por: Anónimo |
| WinXP solo se autenticará contra un SAMBA pero este a su vez lo hará contra LDAP, se entiende ? WinXP es cliente de Samba no de LDAP.
Corrijanme si existe otra posibilidad.
Saludos
Jose. |
|
|
29. Herramienta para configuración de ldap (18/06/2004 00:27, #21963)
Por: Besbello |
| Para gestionar las cuentas de usuario almacenadas en un servidor LDAP (unix+samba3) existe una herramienta hecha en php que se llama LAM. Es lo mejor que he encontrado |
|
30. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (27/08/2004 16:23, #23040)
Por: igayoso |
| Hola, he intentado configurar el servidor LDAP, pero a la hora de verificarme en el servidor con cualquier usuario creado en LDAP me dice: "Authentication service cannot retrieve authentication info". No sé a que es debido, tampoco me loguea en una máquina que va a ir conectada al servido, en la máquina simplemente me dice: "usuario no válido", como si no existiera, ¿a qué es debido?, gracias! |
|
31. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (05/09/2004 10:10, #23161)
Por: Eskali (http://www.eskali.com.ar/) |
| Mira, me pasaba lo mismo, solo me basto con agregar la siguiente linea a /etc/pam.d/login:
account sufficient pam_ldap.so
es decir, el archivo quedaria mas o menos asi:
auth required pam_securetty.so
auth required pam_nologin.so
auth sufficient pam_ldap.so
auth required pam_unix.so use_first_pass
account sufficient pam_ldap.so
account required pam_unix_acct.so
session optional pam_lastlog.so
Espero te sirva, saludos
Benja. |
|
|
32. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (08/02/2005 21:59, #25253)
Por: J_J |
| Holas. Estoy intentando adicionar manualmente usuarios al servidor OpenLDAP, sin embargo me devuelve el error:
"objectClass: value #0 invalid per syntax". Supongo que la entrada "dn: uid=usuario, ou=grupo, dc=dominio, dc=com" es la que genera este error, pero cualquier absolución a este problema será muy agradecida. |
|
33. Autentificación kdm con Ldap (06/09/2005 18:09, #28212)
Por: Hiroshi |
El articulo me fue muy util. Configure el servidor y el cliente. Yo soy todo un novato en esto de Linux y considero que el manual esta muy entendible y explicativo.
Ahora al problema que tengo.
Todo marcha muy bien, puedo hacer login desde consola con la autentificaciòn. Pero en el momento que intento entrar con el kdm con una cuenta ldap se reinician las X.
Yo uso debian Sarge y configure los archivos common-... para no tener que configurar cada uno de los servicios. si alguien puede decirme que tengo que hacer para terminar la configuracion de la maquina le estarè totalmente agradesido
pues necesito esto para una tarea de la universidad |
|
34. Password de clientes LDAP (21/11/2005 12:17, #29542)
Por: Anónimo |
| Buenas el articulo me ha parecido muy bueno y de gran utilidad.Queria hacer una pregunta haber si alguien me podria ayudar con lo que intento hacer.Queria controlar la password por ejemplo elegir que como mucho sean password de 8 digitos de longitu y que esta no pueda ser igual al uid. Un Saludo, Gracias de antemano |
|
35. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (19/12/2005 06:43, #30101)
Por: Anònim |
| Creo que falta un buen manual (o tutorial) sobre la configuracion de NIS con o sin LDAP, pues he tratado de, en la Universidad, crear una pequena red, con algo de seguridad a traves de linea de comando, y no he encontrado nada que me sirva o me oriente, para configurar NFS y NIS... |
|
36. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (09/04/2006 17:23, #31886)
Por: Gilbert |
| En realidad no es un comentario sobre el articulo si no una duda en la configuracion...
Cuando ejecuto el comando ldapadd para agregar datos de un fichero prueba.ldif, me resulta un "error (80)" que no se que significa y no me permite seguir la configuracion...
Agradeceria me saquen de este bloqueo gracias...
Si me pueden contestar directamente a gilbertgol@gmail.com |
|
37. Re: Configuración de un cliente y servidor OpenLDAP para autentificación (16/08/2006 23:55, #34373)
Por: Aleks |
| Excelente el articulo y una muy buena ayuda para novatos como yo.
TENGO algunas dudas con SAMBA-LDAP o mas especificamente, necesito que en algun lado o de alguna manera se registre los accesos de los usuarios, es decir cuando un usuario se valide al DOminio y/o cuando un usuario use su cuenta para ingresar a ver el correo.
Veo que en ldap hay un item llamada SambaLogonTime, pero en mi ldap siempre esta en cero, y me imagino que solo sirve cuando alguien se valida al dominio, pero como registro los ingresos cuando alguien ingresa via webmail
Mil gracias y disculpen |
|
38. Rellenar dos campos de forma masiva y recurrente en arbol ldap (19/09/2006 22:02, #35125)
Por: Sebastian |
Hola, tengo un arbol ldap ya creado pero necesito rellenarle a cada usuario los campos mailQuotaSize y mailQuotaMax. Pero la verdad que son una gran cantidad de usuarios por lo que quiero hacer un script que me modifique los mismo.
El problema es que por mas que he buscado, no encuentro una forma de hacerlo, por eso es que recurro a su ayuda.
Desde ya muchas gracias. |
|
|
|
|
|---|
|
|
|
|
Calificacion
 
Vots: 39 |
Danos tu opinion:
|
|
|
|
|
|
|
|
