Configuração da autenticação LDAP no Ubuntu 10.04 LTS

Publicado por Vinicius Geremia em 16/10/2010

[ Hits: 25.648 ]

 


Configuração da autenticação LDAP no Ubuntu 10.04 LTS



Dica para configuração passo-a-passo da autenticação LDAP em um Ubuntu 10.04 LTS. Dentre as funcionalidades está a autenticação direta dos usuários de sistema na base com criação automática do /home do usuário.

Instalação do pacote para a base LDAP:

sudo apt-get install libnss-ldap

Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/

Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br

Solicitado a versão LDAP usada: 3

Colocar root como admin da base LDAP: No

Exige login na base LDAP: No

Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:

sudo dpkg-reconfigure ldap-auth-config

Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:

(alguns desses apenas estão comentados)

timelimit 120;
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim

(adicione estes no final do arquivo)

ssl no
tls_cacertdir /etc/openldap/cacerts

Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:

passwd: files ldap
shadow: files ldap
group: files ldap

Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:

account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so
session     required      /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Pronto para autenticar um Ubuntu na base da dados LDAP.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Servidor FTP vsftpd com usuário admin

Qual minha versão do Ubuntu instalada?

Programa de Tester do Vindula

Fazendo validação de downloads em PHP

Emails da Internet para Intranet com Thunderbird

  

Comentários
[1] Comentário enviado por joserf em 16/10/2010 - 12:45h

amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?

abraco.

[2] Comentário enviado por vinigeremia em 16/10/2010 - 21:36h

joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço

[3] Comentário enviado por luizmarceloo em 17/10/2010 - 04:59h

josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.


Para você converter o serviço para o antigo método via slapd.conf:

Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):

SLAPD_CONF=CAMINHODOARQUIVO

Reinicie o serviço.


Dessa forma você coveverte o método on-line para o método via arquivo de configuração.




[4] Comentário enviado por joserf em 17/10/2010 - 13:39h

olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado

[5] Comentário enviado por joserf em 19/10/2010 - 04:44h

caro luizmarceloo, funcionou perfeitamente, um abraço

[6] Comentário enviado por renatotec em 27/01/2011 - 16:11h

Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!

[7] Comentário enviado por brauliofelipe em 23/02/2011 - 18:45h

caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:

arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so

arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass

arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so

GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password

/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so

é isso ae ! essa configuração do PAM da acesso ao usuário local,

se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: [email protected]


[8] Comentário enviado por brauliofelipe em 23/02/2011 - 18:54h

Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts