Dica para configuração passo-a-passo da
autenticação LDAP em um
Ubuntu 10.04 LTS. Dentre as funcionalidades está a autenticação direta dos usuários de sistema na base com criação automática do /home do usuário.
Instalação do pacote para a base LDAP:
sudo apt-get install libnss-ldap
Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP:
ldap://servidor-ldap/
Será solicitado o nome do domínio:
cn=qualquer,cn=com,cn=br
Solicitado a versão LDAP usada:
3
Colocar root como admin da base LDAP:
No
Exige login na base LDAP:
No
Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:
sudo dpkg-reconfigure ldap-auth-config
Obs.: O arquivo de configuração fica em
/etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:
(alguns desses apenas estão comentados)
timelimit 120;
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim
(adicione estes no final do arquivo)
ssl no
tls_cacertdir /etc/openldap/cacerts
Agora edite o arquivo
/etc/nsswitch.conf, edite as seguintes linhas:
passwd: files ldap
shadow: files ldap
group: files ldap
Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo
/etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:
account required pam_unix.so broken_shadow
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
Agora o próximo a ser editado é o
/etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
O próximo arquivo a ser editado é
/etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
Por último edite o arquivo
/etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
Pronto para autenticar um Ubuntu na base da dados LDAP.
caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:
arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass
arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so
GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password
/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so
é isso ae ! essa configuração do PAM da acesso ao usuário local,
se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar:
[email protected]