Configuração da autenticação LDAP no Ubuntu 10.04 LTS
Publicado por Vinicius Geremia em 16/10/2010
[ Hits: 25.924 ]
Configuração da autenticação LDAP no Ubuntu 10.04 LTS
Dica para configuração passo-a-passo da autenticação LDAP em um Ubuntu 10.04 LTS. Dentre as funcionalidades está a autenticação direta dos usuários de sistema na base com criação automática do /home do usuário.
Instalação do pacote para a base LDAP:
sudo apt-get install libnss-ldap
Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/
Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br
Solicitado a versão LDAP usada: 3
Colocar root como admin da base LDAP: No
Exige login na base LDAP: No
Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:
sudo dpkg-reconfigure ldap-auth-config
Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:
(alguns desses apenas estão comentados)
(adicione estes no final do arquivo)
Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:
Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:
Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:
O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:
Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:
Pronto para autenticar um Ubuntu na base da dados LDAP.
Instalação do pacote para a base LDAP:
sudo apt-get install libnss-ldap
Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/
Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br
Solicitado a versão LDAP usada: 3
Colocar root como admin da base LDAP: No
Exige login na base LDAP: No
Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:
sudo dpkg-reconfigure ldap-auth-config
Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:
(alguns desses apenas estão comentados)
timelimit 120;
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim
(adicione estes no final do arquivo)
ssl no
tls_cacertdir /etc/openldap/cacerts
tls_cacertdir /etc/openldap/cacerts
Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:
passwd: files ldap
shadow: files ldap
group: files ldap
shadow: files ldap
group: files ldap
Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:
account required pam_unix.so broken_shadow
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
Pronto para autenticar um Ubuntu na base da dados LDAP.
Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada
Sincronizando pasta em servidor externo com rsync
ONLYOFFICE Desktop Editors com interface totalmente reorganizada
Recuperando GRUB em casos extremos
Empacotamento e compressão de arquivos
Comentários
[1] Comentário enviado por joserf em 16/10/2010 - 12:45h
amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?
abraco.
amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?
abraco.
[2] Comentário enviado por vinigeremia em 16/10/2010 - 21:36h
joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço
joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço
[3] Comentário enviado por luizmarceloo em 17/10/2010 - 04:59h
josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.
Para você converter o serviço para o antigo método via slapd.conf:
Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):
SLAPD_CONF=CAMINHODOARQUIVO
Reinicie o serviço.
Dessa forma você coveverte o método on-line para o método via arquivo de configuração.
josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.
Para você converter o serviço para o antigo método via slapd.conf:
Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):
SLAPD_CONF=CAMINHODOARQUIVO
Reinicie o serviço.
Dessa forma você coveverte o método on-line para o método via arquivo de configuração.
[4] Comentário enviado por joserf em 17/10/2010 - 13:39h
olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado
olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado
[5] Comentário enviado por joserf em 19/10/2010 - 04:44h
caro luizmarceloo, funcionou perfeitamente, um abraço
caro luizmarceloo, funcionou perfeitamente, um abraço
[6] Comentário enviado por renatotec em 27/01/2011 - 16:11h
Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!
Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!
[7] Comentário enviado por brauliofelipe em 23/02/2011 - 18:45h
caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:
arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass
arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so
GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password
/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so
é isso ae ! essa configuração do PAM da acesso ao usuário local,
se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: [email protected]
caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:
arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass
arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so
GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password
/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so
é isso ae ! essa configuração do PAM da acesso ao usuário local,
se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: [email protected]
[8] Comentário enviado por brauliofelipe em 23/02/2011 - 18:54h
Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??
Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Instalação do Ambiente .NET (#C) no Slackware 15.0
Kali On The Box - Colocando o Kali para rodar no Raspberry Pi
Como contribuir com a atualização de pacotes no Void Linux
Dicas
Colocar dispositivo móvel Samsung em modo Download pela linha de comando
Instalando Slackware com btrfs
Tópicos
Instalação no Acer Nitro 5 sempre dá erro (0)
Redirecionar Cloudfront para Cloudflare (0)
Duvida sobre a Barra de tarefas (4)
Top 10 do mês
-
Xerxes
1° lugar - 91.612 pts -
Fábio Berbert de Paula
2° lugar - 73.101 pts -
Clodoaldo Santos
3° lugar - 49.891 pts -
Diego Mendes Rodrigues
4° lugar - 28.102 pts -
Mauricio Ferrari
5° lugar - 23.334 pts -
Carlos A. P. Cunha
6° lugar - 21.600 pts -
Daniel Lara Souza
7° lugar - 18.228 pts -
Alberto Federman Neto.
8° lugar - 17.162 pts -
Lisandro Guerra
9° lugar - 17.023 pts -
Robson Fernando Gomes
10° lugar - 15.460 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
