Configuração da autenticação LDAP no Ubuntu 10.04 LTS

Publicado por Vinicius Geremia em 16/10/2010

[ Hits: 25.312 ]

0 0

Denuncie Favoritos Indicar Impressora

Configuração da autenticação LDAP no Ubuntu 10.04 LTS

Dica para configuração passo-a-passo da autenticação LDAP em um Ubuntu 10.04 LTS. Dentre as funcionalidades está a autenticação direta dos usuários de sistema na base com criação automática do /home do usuário.

Instalação do pacote para a base LDAP:

sudo apt-get install libnss-ldap

Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/

Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br

Solicitado a versão LDAP usada: 3

Colocar root como admin da base LDAP: No

Exige login na base LDAP: No

Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:

sudo dpkg-reconfigure ldap-auth-config

Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:

(alguns desses apenas estão comentados)

timelimit 120;
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim

(adicione estes no final do arquivo)

ssl no
tls_cacertdir /etc/openldap/cacerts

Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:

passwd: files ldap
shadow: files ldap
group: files ldap

Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:

account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so
session     required      /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Pronto para autenticar um Ubuntu na base da dados LDAP.

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Comandos rápidos para Mozilla/Firefox

Revolution OS - O Linux nas telas!

Criptografando senha do GRUB

Apt-spy - Otimizando o sources.list

Peanut Linux - Guia de instalação

Comentários

[1] Comentário enviado por joserf em 16/10/2010 - 12:45h

amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?

abraco.

0 0

[2] Comentário enviado por vinigeremia em 16/10/2010 - 21:36h

joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço

0 0

[3] Comentário enviado por luizmarceloo em 17/10/2010 - 04:59h

josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.

Para você converter o serviço para o antigo método via slapd.conf:

Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):

SLAPD_CONF=CAMINHODOARQUIVO

Reinicie o serviço.

Dessa forma você coveverte o método on-line para o método via arquivo de configuração.

0 0

[4] Comentário enviado por joserf em 17/10/2010 - 13:39h

olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado

0 0

[5] Comentário enviado por joserf em 19/10/2010 - 04:44h

caro luizmarceloo, funcionou perfeitamente, um abraço

0 0

[6] Comentário enviado por renatotec em 27/01/2011 - 16:11h

Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!

0 0

[7] Comentário enviado por brauliofelipe em 23/02/2011 - 18:45h

caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:

arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so

arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass

arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so

GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password

/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so

é isso ae ! essa configuração do PAM da acesso ao usuário local,

se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: [email protected]

0 0

[8] Comentário enviado por brauliofelipe em 23/02/2011 - 18:54h

Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??

0 0