IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

IMPORTANT: Consulteu la nova pàgina Ldap#Configuraci.C3.B3_d.27un_client_GNU.2FLinux_per_autenticar_amb_Ldap

Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: SambasobreLDAP, LinuxAdministracioAvancada
Fitxers: Sessio1.pdf,

Sessio2.pdf

Repositori SVN: https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SambaSobreLDAP
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas, Lluís Pérez Vidal

Eines/paquets a utilitzar

NFS

Consulteu l'article sobre NFS.

Automount

Consulteu l'article sobre automount.

NSCD

Consulteu l'article sobre NSCD.

NSS-UPDATEDB

Consulteu l'article sobre NSS-UPDATEDB.

NSSWITCH

Consulteu l'article sobre NSSwitch.

PAM

Consulteu l'article sobre PAM.

Passos a seguir per a configurar un client

Configuració de l'autenticació amb Ldap

La configuració del client té tres fases importants.

  • La primera fase esta relacionada amb començar a utilitzar Ldap com a base de dades centralitzada d'usuaris i paraules de pas. Normalment els usuaris i les paraules de pas es guarden a fitxers locals de la carpeta /etc (fitxers groups, shadow, etc.). Es poden substituir aquestes "bases de dades"

per una base de dades centralitzada utilitzant NSSwitch.

  • La segona part consisteix en fer que les aplicacions autentiquin amb Ldap. Això es fa utilitzant PAM. Per tant, totes aquelles aplicacions que siguin PAM-aware podran autenticar-se a Ldap.
  • La tercera fase és una fase de refinament. Per millorar el funcionament utilitzem programes com NSCD.

libnss-ldap:

Instal·lació:

$ sudo apt-get install libnss-ldap

NOTA: Cal tenir en compte que hi han petites diferències entre la instal·lació d'aquest paquet a debian i a Ubuntu. Veieu l'apartat configuració a Ubuntu.

Durant la instal·lació s'executarà DebConf. Debconf ens farà unes preguntes de configuració:

En resum hem de contestar a:

  • Volem configurar Ldap amb Debconf? Si
  • IP servidor Ldap? ldaps://localhost o amb l'adreça IP ldaps://192.168.1.3
  • Versió de ldap: 3
  • Contrasenyes a Ldap: Sí
  • No login required
  • BINDDN: El nom de l'usuaris que té accés a la base de dades. Per exemple. cn=admin,dc=acacha,dc=dyndns,dc=org
  • Paraula de pas de BINDDN

Podeu trobar més detalls a l'article libnss-ldap.

libpam-ldap:

La configuració d'aquest paquet es molt similar (de fet tots dos estan fets per la mateixa companyia PADL Software Pty Ltd).

Podeu trobar els detall a l'article libpam-ldap.

En tot cas el més important és que tingueu en compte els següents detalls:

  • Els configuradors dels paquets sovint no fan el que nosaltres desitgem. Cal sempre consultar els fitxers de configuració.
  • Però precisament un dels problemes és sovint trobar els fitxers de configuració. El nom dels fitxers de configuració és confús i varia segons la distribució o la versió de la distribució

Fitxers de configuració

libpam-ldap: PADL a utilitzat sempre com a fitxer de configuració /etc/ldap.conf. El problema és que el client de Openldap utilitza un fitxer amb el mateix nom i sovint per evitar problemes el fitxer de configuració acab dient-se /etc/libpam-ldap.conf libnss-ldap: Tant el fitxer de libnss-ldap com el de libpam-ldap són molt similars i sovint tenen paràmetres de connexió al servidor Ldap comuns. per aquesta raó sovint hi ha un sol fitxer per tots dos sistemes i s'anomena /etc/ldap.conf. També però podem trobar /etc/libpam-ldap.conf.


Configuració a Ubuntu, noves versions...

Cal utilitzar el paquet ldap-auth-config. La configuració és:

$ sudo apt-get install ldap-auth-config

I contestar:

IMPORTANT: No cal proporcionar un admin dn si no volem modificar les dades dels usuaris! La configuració és més senzilla i més segura

Configuració a Ubuntu

IMPORTANT: La configuració és similar però hi ha un únic paquet ldap-auth-config i un únic fitxer de configuració /etc/ldap.conf

A Ubuntu hi ha una petita diferència respecte a Debian que cal tenir en compte. A l'instal·lar si us fixeu:

$ sudo apt-get install libnss-ldap
S'està llegint la llista de paquets... Fet
S'està construint l'arbre de dependències       
Reading state information... Fet           
S'instal·laran els següents paquets extres:
  auth-client-config ldap-auth-client ldap-auth-config libpam-ldap
Paquets recomanats:
  nscd
S'instal·laran els següents paquets NOUS:
  auth-client-config ldap-auth-client ldap-auth-config libnss-ldap libpam-ldap
0 actualitzats, 5 nous a instal·lar, 0 a eliminar i 188 no actualitzats.
Es necessita obtenir 165kB d'arxius.
Després de desempaquetar s'usaran 754kB d'espai en disc addicional.
Voleu continuar [S/n]? 

Com podeu veure s'instal·len uns paquets de dependències que no s'instal·len a Debian:

  • auth-client-config
  • ldap-auth-client
  • ldap-auth-config




Recursos:

Tunning

Consulteu Libnss-ldap#Tunning

Autenticació lenta

Consulteu slow sudo. En molts casos els problemes de logins lents són per caches o per loggings activats que penalitzen molt l rendiment.

bind_policy

Consulteu bind_policy i Ldap client.

Índexs Ldap

TODO: Que indexar?

Consulteu Índexs Ldap

Configuració del repositori central de fitxers (HOMES)

Troubleshooting

Consulteu Libnss-ldap#Troubleshooting