Ed eccoci alla seconda parte di questa guida all’installazione e alla configurazione di LDAP per gestire l’autenticazione centralizzata degli utenti in una rete locale.

Nella prima parte avevamo installato e configurato la parte server, assolutamente necessaria per metter su l’archivio di utenti. In questa seconda parte, vedremo come configurare la parte client. Ovviamente, il presupposto di base è quello di avere una rete locale già funzionante, in cui il client sia in grado di “vedere” il server e viceversa.

LDAPworm

Ricordo che nel nostro esempio per il server avevamo impostato i seguenti dati:

  • IP: 192.168.10.100
  • Hostname: server.red-blue.local

Detto ciò, iniziamo con l’installazione dei componenti necessari sul client (ovviamente tutti i comandi vanno dati come root):

apt-get install libnss-ldap libpam-ldap nscd

Anche in questo caso, durante l’installazione dovremo rispondere a varie domande, tra le quali ovviamente ci saranno anche l’indirizzo del server e il nostro dominio. Le risposte che ho dato io per il pacchetto libnss-ldap:

  • LDAP Server URI: ldap://192.168.10.100
  • Nome della base: dc=red-blue,dc=local
  • Versione di LDAP: 3
  • Account di amministrazione: cn=admin,dc=red-blue,cn=local
  • Password di amministrazione: fornire una password

Per il pacchetto libpam-ldap le risposte sono praticamente le stesse, da notare che verrà richiesto anche se usare l’utente root locale come admin per LDAP, non serve, quindi a tale domanda si può rispondere no; allo stesso modo, non è necessario che il database di LDAP necessiti di login, si può rispondere no anche a questa domanda.

Riconfiguriamo libnss-ldap, come root diamo:

dpkg-reconfigure libnss-ldap

Successivamente:

  • indichiamo nuovamente l’indirizzo del server: ldap://192.168.10.100
  • indichiamo nuovamente la base di LDAP: dc=red-blue,dc=local
  • confermiamo la versione 3 di LDAP
  • il database richiede login: No
  • privilegi speciale per root: No
  • file di configurazione leggibile/scrivibile solo dal proprietario: No

Ok, a questo punto editiamo /etc/ldap/ldap.conf, nel quale occorre indicare nelle righe BASE e URI rispettivamente la base inserita prima e l’indirizzo del server.

La configurazione di LDAP lato client è  fatta, ma ancora non abbiamo raggiunto il nostro scopo, infatti non abbiamo ancora istruito il sistema ad andare a cercare gli utenti nel database LDAP, oltre che nei file locali. Per fare ciò, è necessario editare il file /etc/nssswitch.conf. Cerchiamo le seguenti righe e vi aggiungiamo la chiave ldap:

[...]
 passwd: compat ldap
 group: compat ldap
 shadow: compat ldap
 [...]
 netgroup: ldap
 [...]

Dobbiamo ora riavviare il servizio:

service nscd restart

Benissimo, non resta che configurare Pam, necessario anch’esso per gestire l’autenticazione. Dobbiamo editare i seguenti files, per ognuno dei quali indicherò solo le linee di interesse e come dovrebbero apparire dopo la modifica:

/etc/pam.d/common-auth
 [...]
 auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
 auth [success=1 default=ignore] pam_ldap.so use_first_pass
 [...]
 auth requisite pam_deny.so
 [...]
 auth required pam_permit.so
 [...]
/etc/pam.d/common-account
 [...]
 account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
 account [success=1 default=ignore] pam_ldap.so
 [...]
 account requisite pam_deny.so
 [...]
 account required pam_permit.so
 [...]
/etc/pam.d/common-password
 [...]
 password [success=2 default=ignore] pam_unix.so obscure sha512
 password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
 [...]
 password requisite pam_deny.so
 [...]
 password required pam_permit.so
 [...]
/etc/pam.d/common-session
 [...]
 session required pam_mkhomedir.so
/etc/pam.d/common-session-noninteractive
 [...]
 session [default=1] pam_permit.so
 [...]
 session requisite pam_deny.so
 [...]
 session required pam_permit.so
 [...]
 session required pam_unix.so
 session optional pam_ldap.so

Non ci resta che riavviare nuovamente il servizio:

service nscd restart

Finito! Riavviamo il sistema e proviamo ad autenticarci con l’utente che avevamo creato nella guida precedente. Se tutto è andato a buon fine, riusciremo ad accedere, e avremo anche la nostra home directory già configurata!

Nella terza e ultima parte vedremo un tool capace di semplificarci la vita..

Alla prossima..

Share
Molto scarsoScarsoSufficienteBuonoOttimo (Nessun voto)
Loading...

Licenza

Creative Commons License
RedBlue's Blog di RedBlue è rilasciato sotto licenza Creative Commons 2.5 Italia.

Badges

Cionfs'Forum CMS Check PageRank

Other

Se hai trovato utile questo blog, supportalo con una piccola donazione per l'hosting..


Locations of visitors to this page