Red Hat Linux 7.0: The Official Red Hat Linux Reference Guide | ||
---|---|---|
Anterior | Capítulo 7. El Lightweight Directory Access Protocol (LDAP) | Siguiente |
Este apartado ofrece una supervisión de como configurar su sistema Red Hat Linux para autenticarse con el uso de OpenLDAP OpenLDAP. A menos que usted sea un experto de OpenLDAP, necesitará más documentación de la proporcionada. Para obtenerla remítase a la sección de nombre Recursos LDAP en la Web.
En primer lugar asegurese de que los paquetes apropiados son instalados tanto en el servidor LDAP como en las máquinas cliente LDAP. El servidor LDAP necesita del paquete openldap.
Las máquinas cliente LDAP necesitan de la instalación de los siguientes paquetes: openldap, auth_ldap y nss_ldap.
El fichero slapd.conf, situado en /etc/openldap, contiene la información sobre la configuración que necesita su servidor LDAP slapd. Debe controlar este fichero para adaptarlo a su dominio y a su servidor.
La línea suffix asigna el dominio para el que el servidor LDAP proporcionará información. La línea suffix debería ser cambiada:
suffix "dc=your-domain, dc=com" |
de manera que refleje su nombre de dominio. Por ejemplo:
suffix "dc=izquierdo, dc=com" |
o
suffix "dc=UniversidadValladolid, dc=org" |
La entrada rootdn es el DN para un usuario que no está limitado por el control de acceso o por los parámetros administrativos limitados para las operaciones en el directorio LDAP. El usuario rootdn puede ser visto como el usuario root para el directorio LDAP. La línea rootdn debe ser cambiada desde:
rootdn "cn=root, dc=your-domain, dc=com" |
a lo siguiente similar a:
rootdn "cn=root, dc=redhat, dc=com" |
o
rootdn "cn=kant, dc=UVA, dc=org" |
Cambie la línea rootpw:
rootpw secret |
a
rootpw {crypt}s4L9sOIJo4kBM |
En este ejemplo, se usa una contraseña de root encriptada, mejor solución que usar un contraseñas de root en texto plano en el fichero slapd.conf. Para hacer este array encriptado, deberá o copiarlo desde un fichero passwd, o usar Perl:
perl -e "print crypt('passwd','a_salt_string');" |
En la línea Perl precedente, salt_string ha utilizado un criterio de dos caracteres, y passwd es la versión texto de la contraseña.
También puede copiar una entrada passwd desde /etc/passwd, pero esto no funciona si la entrada passwd es una contraseña MD5 (por defecto en Red Hat Linux 7.0).
Modifique los ficheros ldap.conf en /etc y en /etc/openldap sobre el servidor LDAP y sobre los clientes.
Modifique /etc/ldap.conf, el fichero de configuración para nss_ldap y pam_ldap, para reflejar su base de organización y búsqueda. El fichero /etc/openldap/ldap.conf es el fichero de configuración para las herramientas en línea de comandos como ldapsearch, ldapadd, etc., y deberá ser modificado para la configuración de su LDAP. Las máquinas cliente necesitarán que ambos ficheros estén modificados para su sistema.
Para usar nss_ldap, debe añadir ldap en los campos apropiados en /etc/nsswitch.conf. (Ponga mucha atención cuando cambie este fichero; aseguresé de lo que está haciendo). Por ejemplo:
passwd: files ldap shadow: files ldap group: files ldap |
Para tener las aplicaciones estándar con la librería PAM, ejecutar authconfig y seleccionar Usar LDAP. (PAM va más allá de realizar esta supervisión de LDAP, por lo que si necesita ayuda consulte la sección de nombre Autenticación de Usuario con PAM en Capítulo 2 y/o las man page(manual de ayuda) PAM.)
El directorio /usr/share/openldap/migration contiene un conjunto de script de shell y Perl para cambiar su viejos métodos de autentificación al formato LDAP. Deberá haber instalado Perl en su sistema para usar estos scripts.
En primer lugar deberá modificar el fichero migrate_common.ph de manera que refleje su dominio. El dominio DNS por defecto debería cambiarse desde:
$DEFAULT_MAIL_DOMAIN = "padl.com"; |
a:
$DEFAULT_MAIL_DOMAIN = "your_company.com"; |
También la base por defecto debería ser cambiada, desde:
$DEFAULT_BASE = "dc=padl,dc=com"; |
a:
$DEFAULT_BASE = "dc=your_company,dc=com"; |
Después, debe decidir que script utilizar. La siguiente tabla debería decirle:
Tabla 7-1. Script de migracion a LDAP
Nombre actual del servicio | ¿LDAP está activo? | Utilice este script: |
---|---|---|
/etc flat files | si | migrate_all_online.sh |
/etc flat files | no | migrate_all_offline.sh |
NetInfo | si | migrate_all_netinfo_online.sh |
NetInfo | no | migrate_all_netinfo_offline.sh |
NIS (YP) | si | migrate_all_nis_online.sh |
NIS (YP) | si | migrate_all_nis_offline.sh |
Elija el script apropiado para su nombre de servicio.
Los ficheros README y migration-tools.txt en /usr/share/openldap/migration proporcionan más detalles.