Integración de equipos con LDAP
Esta vez nos vamos a centrar en explicar qué cambios se deben realizar para que una máquina Linux/Unix se autentique contra un servidor LDAP previamente configurado. No vamos a entrar en la configuración del servidor -quizá otro día-, solamente en conseguir que la autenticación se haga contra LDAP. Nos centraremos como siempre en Debian, pero debería ser válido para otras distribuciones.
En primer lugar debemos instalar los siguientes paquetes:
libpam-ldap libnss-ldap ldap-utils
Ahora debemos tocar varios ficheros del sistema y añadir lineas o editar las ya existentes, hasta que estén como se indica. Las configuraciones específicas del servidor LDAP debéis pedírselas al administrado (y si sois vosotros deberíais saberlas). Aquí están las que yo he utilizado o las configuraciones por defecto.
/etc/ldap/ldap.conf
BASE dc=example,dc=com
URI ldaps://miservidorldap.es/
*La siguiente linea indica la situación del certificado.
TLS_CACERT /etc/ldap/ca-cert.pem
/etc/pam_ldap.conf
port 636
rootbinddn cn=admin,dc=example,dc=com
base dc=example,dc=com
uri ldaps://miservidorldap.es
/etc/libnss-ldap.conf
base dc=example,dc=com
uri ldaps://miservidorldap.es
port 636
tls_cacertfile /etc/ldap/ca-cert.pem
/etc/nsswitch.conf
passwd: files ldap
group: files ldap
shadow: files ldaphosts: files dns
networks: filesprotocols: db files
services: db files
ethers: db files
rpc: db filesnetgroup: nis
/etc/pam.d/common-auth
auth [success=1 default=ignore] pam_unix.so
auth required pam_ldap.so use_first_pass
auth required pam_permit.so
/etc/pam.d/common-password
password required pam_cracklib.so retry=3 minlen=6 difok=3
password [success=1 default=ignore] pam_unix.so use_authtok md5
password required pam_ldap.so use_first_pass use_authtok md5
password required pam_permit.so
/etc/pam.d/common-account
account [success=1 default=ignore] pam_unix.so
account required pam_ldap.so
account required pam_permit.so
Estos son los ficheros que debemos modificar para que la autenticación se realice en primera instancia contra el servidor LDAP, y en caso de no responder, contra el sistema de manera tradicional. Hay un paquete que es interesante mencionar, y es nscd. Se trata de una caché de peticiones LDAP, que agiliza el rendimiento notablemente.
Puede ser que además queramos que el servidor LDAP nos exporte por NFS el /home o la ruta que esté configurada en el servidor. Para ello debemos instalar el paquete autofs y editar el fichero /etc/auto.master para que contenga la siguiente linea:
/home /etc/auto.home
Para que esto funcione, aún debemos crear el fichero /etc/auto.home con la linea (las x son la ip del servidor LDAP):
xxx.xx.xx.xx:/home/&
Con esto estaría todo funcionando. Sé que no hemos explicado detenidamente qué significa cada linea de cada fichero o qué función realiza. Esto es más bien un how-to rápido para configuraciones similares a esta. De todos modos tenéis los comentarios para dejar preguntas que os hayan podido quedar sin responder.
