Vous êtes sur la page 1sur 4

Cliente Linux no servidor LDAP [Artigo]

Page 1 of 4

Introduo

Pacotes necessrios
Adicione os pacotes relacionados abaixo nas verses correspondentes sua distribuio:
z z z z z z

libnss-ldap libpam-ldap libldap2 ldap-utils nscd ldap-clients (incorporado ao pacote ldap-utils nas verses mais recentes)

Observao: O cliente ldap depende da instalao previa do cliente samba. $ apt-cache search ldap (verifica a existncia dos pacotes correspondentes no repositrio) $ apt-get install samba sambafs smbclient (caso no estejam instalados) $ apt-get install libnss-ldap libpam-ldap libldap2 ldap-utils nscd

Arquivos criados durante a instalao do cliente LDAP


A instalao dos pacotes criar os arquivos abaixo relacionados, os quais devero ser editados aps a instalao:
z z z

/etc/libnss-ldap.conf (libnss-ldap) /etc/pam_ldap.conf (libpam-ldap) /etc/ldap/ldap.conf (ldap-utils)

O arquivo /etc/ldap/ldap.conf poder no ser criado durante a instalao, podemos, para fins prticos, copiar um dos outros dois arquivos renomeando no destino correspondente.

Arquivos a serem editados aps a instalao


Os arquivos editados devem adequar o cliente LDAP e as formas de autenticao local e remota. Arquivos de configurao do cliente LDAP:
z z z z

/etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam_ldap.conf /etc/ldap/ldap.conf

Arquivos de configurao da autenticao do cliente Linux:


z

/etc/pam.d/common-auth

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=8811

03/02/2013

Cliente Linux no servidor LDAP [Artigo]

Page 2 of 4

z z z z z z

/etc/pam.d/common-account /etc/pam.d/common-session /etc/pam.d/common-password /etc/pam.d/kdm ou /etc/pam.d/gdm-session /etc/pam.d/login (opcional) /etc/pam.d/kscreensaver (opcional)

Alteraes realizadas nos arquivos correspondentes ao cliente LDAP Edite os arquivos de configurao do cliente LDAP: # vim /etc/nsswitch.conf passwd: files ldap shadow: files ldap group: files ldap protocols: files ldap services: files ldap netgroup: files ldap automount: files ldap ethers: files ldap rpc: files ldap hosts: files dns network: files O parmetro "files" refere-se a consultas realizadas nos arquivos de configurao locais e o parmetro "ldap" refere-se a consultas realizadas no servidor remoto. Portanto, para cada parmetro, ser feita a consulta local antes de realizar-se a consulta via rede. # vim /etc/libnss-ldap.conf (exibindo somente parmetros alterados) host 10.0.0.1 # endereo ip do servidor LDAP base dc=empresa,dc=com,dc=br # domnio do servidor LDAP ldap-version 3 pam_password crypt # padro de autenticao utilizado no servidor nss_base_passwd ou=usurios,dc=empresa,dc=com,dc=br # conforme base de usurios criada no servidor nss_base_shadow ou=usurios,dc=empresa,dc=com,dc=br # conforme base de usurios criada no servidor nss_base_group ou=grupos,dc=empresa,dc=com,dc=br # conforme base de usurios criada no servidor Caso seja permitida consulta annima ao servidor, os parmetros sobre autenticao devem permanecer comentados. #bindpw secret #rootbinddn cn=manager,dc=empresa,dc=com,dc=br /etc/ldap/ldap.conf: a configurao desse arquivo poder ser realizada, para fins prticos, por meio de cpia do arquivo anterior.

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=8811

03/02/2013

Cliente Linux no servidor LDAP [Artigo]

Page 3 of 4

Arquivos dos mdulos do PAM do cliente

Arquivos de autenticao comum a todas as aplicaes


# vim /etc/pam.d/common-auth auth sufficient pam_unix.so auth required pam_ldap.so use_first_pass # vim /etc/pam.d/common-account account sufficient pam_unix.so account required pam_ldap.so use_first_pass # vim /etc/pam.d/common-password password sufficient pam_unix.so password required pam_ldap.so try_first_pass # vim /etc/pam.d/common-session session sufficient pam_unix.so session required pam_ldap.so use_first_pass session optional pam_mkhomedir.so skel=/etc/skel umask=0022 session optional pam_limits.so A autenticao "sufficient", em um mdulo de "common-auth", indica que o usurio dever ser buscado em outra base caso no seja encontrado na base local. Se houver a correspondncia entre usurio e senha na base local (pam_unix.so), este ser autenticado e realizar logon no sistema local, caso contrrio ser consultada a base remota (pam_ldap.so). O parmetro use_first_pass aproveita a senha e o usurio da consulta local na consulta remota. O parmetro "try_first_pass" do mdulo de gerenciamento de senhas utilizado para que seja solicitada a senha anterior quando for haver a troca da senha atual. Os parmetros do mdulo "pam_mkhomedir.so" so utilizados para criar o home dos usurios no servidor quando estes efetuam o primeiro logon. Estes parmetros devem possuir a prioridade opcional para evitar que o usurio seja proibido de efetuar logon por j possuir um home criado. O mdulo "pam_limits.so" utiliza a configurao existente em /etc/security/limits.conf para criar restries aos recursos do sistema por parte de aplicaes ou usurios.

Arquivos de autenticao para os gerenciadores grficos kdm e gdm e para o programa login
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=8811 03/02/2013

Cliente Linux no servidor LDAP [Artigo]

Page 4 of 4

# vim /etc/pam.d/kdm @include common-auth @include common-account @include common-session @include common-password auth required pam_nologin.so auth required pam_env.so # vim /etc/pam.d/kscreesaver auth sufficient pam_ldap.so auth required pam_unix.so shadow nullok # vim /etc/pam.d/gdm-session @include common-auth @include common-account @include common-session @include common-password auth required pam_nologin.so auth required pam_env.so # vim /etc/pam.d/login (opcional) @include common-auth @include common-account @include common-session @include common-password auth required pam_securetty_so auth required pam_nologin.so auth required pam_env.so O mdulo pam_nologin.so utilizado pelo PAM na consulta sobre a existncia do arquivo /etc/nologin, se esse arquivo existir, nenhum usurio comum realiza logon na mquina. O mdulo pam_securetty.so utilizado pelo PAM na consulta sobre a existncia de terminal seguro para logon do usurio root, se houver terminal listado no arquivo /etc/securetty, o root poder realizar logon no sistema, do contrrio no poder haver logon de root na mquina. A configurao realizada no arquivo /etc/pam.d/kscreesaver, conforme observado por Carlos Morimoto, possibilita que o usurio j logado possa destravar o console na proteo de tela. Caso contrrio, seria necessrio realizar outro logon na mquina.

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=8811

03/02/2013