GuaparaconfiguracindeOpenLDAPusando SambacomoPDCenDebianGNU/Linux

Estaguaestaelaboradaconelobjetivodepoderconfigurarymontarunserviciodeautenticacin LdapatravsdeunservidorOpenLdapinstaladoenladistribucinDebianGNU/Linuxderama estable(Etch). Luegodefinalizadoestaguapodr: AutenticarseatravsdesistemasDebianyderivados,comoporejemploUbuntu. Administracindeusuariosygrupos. Elprocesodeconfiguracindeesteservicioesmuylargo,asqueaconsejoponersecmodoytener bastantepaciencia. DanielAlbertoHerreraGuadrn daniel.herrera@creativaconsultores.com kryptonite84sv@gmail.com Grupodeusuariosdesoftwarelibre/UES,FacultadMultidisciplinariadeOccidente ElSalvador,C.A. 22Enerode2009

InstalacindelservidorLdap
YaqueestamosusandoDebianseramuyfcilinstalarlapaqueteraatravsdelgestoraptget,as queprocedemosainstalareldemonioslapdylasherramientasldaputils. #aptgetinstallslapdldaputils DebemosejecutardenuevoelasistentedeconfiguracinSlapd #dpkgreconfigureslapd Nosaparecernlassiguientespreguntas Pregunta Deseaomitirlaconfiguracindel servidorOpenLDAP? Contraseadeladministrador Respuesta Obviamente no queremos omitir el asistente de configuracin de nuestro servidor OpenLdap, as que elegimosNO. Debemos asignar la contrasea de administracin para nuestroservidorLdap.

IntroduzcaelnombrededominioDNS Ahora debemos construir el DN base para ello usualmenteseutilizaelmismonombrededominiopor ejemplo si utilizaremos midomio.com entonces el asistentearmaraelDNbaseas: dc=midominio,dc=com O si fuera subdominio.miempresa.com el DN base quedaraasdc=subdominio,dc=miempresa,dc=com Peroparaefectosprcticossimplementelenombraremos mildap,paraqueluegosepamosquenuestroDNbase essimplementedc=mildap. Introduzcaelnombredela organizacin Motordelabasededatos Deseaqueseborrelabasededatos cuandosepurgueelpaqueteslapd? PermitirelprotocoloLDAPv2? Contraseadeladministrador Enestapartesepuedeescribirloqueseaporejemplo puedenescribirGrupoOpenLDAP ElegimosBDB,yaqueeslamasextendida. No

Deseamoverlabasededatosantigua? S S Paraefectopracticopodemosasignarle12345

Hastaaqulaconfiguracindelomasesencialquenecesitaelservidorestahecha. Paracomprobarqueestafuncionandodebemosejecutarlasiguienteorden: #ldapsearchxbdc=mildap

InstalacindeSambacomoPDC
SeprocedeainstalarSamba #aptgetinstallsambasambadocsmbldaptools Respondemosalassiguientespreguntasluegodeinstaladodelasiguientemanera Nombrededominio:mildap Modificarsmb.confparaqueuselaconfiguraciondeWINSprovenientedeldhcp:No CopiamoselarchivodeesquemaparaelLdapqueseencuentraeneldocdesamba #cd/usr/share/doc/sambadoc/examples/LDAP #cpsamba.schema/etc/ldap/schema Yeditamoselarchivodeconfiguracindelslapd #nano/etc/ldap/slapd.conf AlfinaldelosltimosIncludedebemosagregarlasiguientelinea: Include/etc/ldap/schema/samba.schema Deberiadequedarasi: include/etc/ldap/schema/core.schema include/etc/ldap/schema/cosine.schema include/etc/ldap/schema/nis.schema include/etc/ldap/schema/inetorgperson.schema include/etc/ldap/schema/samba.schema ParapoderconfigurarSambacomoPDC,esnecesarioactualizarelarchivodeconfiguracionde Sambacomoadjuntoenestedocumento. Lasletrasenazulsehanmarcadoparahacerreferenciaaloquesedebedemodificarsegnlas preferenciasdeladministradordelOpenLdap.
#/etc/samba/smb.conf #archivodeconfiguraciondesamba [global] #configuracionbasicadelservidor workgroup=MILDAP netbiosname=linuxpdc serverstring=SambaPDCVersion%v socketoptions=TCP_NODELAYIPTOS_LOWDELAYSO_SNDBUF=8192SO_RCVBUF=8192 #configuracionparaquelamaquinaseaelPDCmaster

oslevel=65 preferredmaster=yes localmaster=yes domainmaster=yes domainlogons=yes #configuraciondeseguridadyconexion security=user guestok=no encryptpasswords=yes nullpasswords=no #hostsallowesparaquesolopermitalasmaquinasdelaLAN(192.168.0.x) hostsallow=127.0.0.1192.168.0.1/255.255.255.0 winssupport=yes nameresolveorder=winslmhostshostbcast dnsproxy=no #otrasconfiguracionesvariasparaSAMBA logfile=/var/log/samba/log.%m loglevel=2 maxlogsize=50 hideunreadable=yes hidedotfiles=yes #parametrosparaelsoportedeLDAP passdbbackend=ldapsam:ldap://127.0.0.1 ldapsuffix=dc=mildap ldapmachinesuffix=ou=machines ldapusersuffix=ou=users ldapgroupsuffix=ou=groups ldapadmindn=cn=admin,dc=mildap ldapdeletedn=no enableprivileges=yes #parapermitiralosusuarioscambiarsuclavedesdeWindows ldappasswordsync=yes #perfilesmovilesdeusuario,carpetahomeyscriptdeinicio logonhome=\\%L\%U\.profile logondrive=H: logonpath=\\%L\profiles\%U logonscript=logon.batOR%U.bat #scriptparaautomatizarlaadiciondecuentasdemaquinas #alarbolLDAPcuandoestasseunanporprimeravezaldominio addmachinescript=/usr/sbin/smbldapuseraddw"%u" unixcharset=ISO885915 #rutaendondesealojaranel(los)script(s)deinicio [netlogon] path=/home/samba/netlogon guestok=no readonly=yes browseable=no #carpetashomedelosusuarios [homes] path=/home/%U comment=CarpetasHOME

browseable=no writeable=yes validusers=%S readonly=no guestok=no inheritpermissions=yes #carpetaendondeseguardanlosperfilesdelosusuarios [profiles] path=/home/samba/profiles writeable=yes browseable=no defaultcase=lower preservecase=no shortpreservecase=no casesensitive=no hidefiles=/desktop.ini/ntuser.ini/NTUSER.*/ createmask=0600 directorymask=0700 cscpolicy=disable

smb.confbasadodetutoriales:sambaldapPer

InstalacinPhpLdapAdmin
HechonecesitamosconfigurarunadministradorgrficoparaelOpenLdap,asquenosdescargamos laherramientaphpldapadmin. #aptgetinstallphpldapadmin Hechoestonadamasdebemosingresaralaaplicacinmedianteladireccin http://ipohostname/phpldapadmin Parapoderingresar,debemosingresarconlossiguientesdatos: LoginDN:cn=admin,dc=mildap Password:ContraseadelservidorLdap LuegodehaberingresadonosdebeaparecersolamenteelusuarioAdministradordeldirectorioyun dominiodeSamba(sambaDomainName)ennuestrocasoserasambaDomainName=MILDAPenla razdeldirectorio.

CreacindeldirectorioOpenLDAP
AhoradebemoscreartresUnidadesorganizativas(OrganisationalUnits)enlarazdeldirectorio, paraqueluegopormediodesmbldappopulatenoscreelosgruposyusuariosquenecesitasamba. users groups machines

Eldirectoriodebequedarnosas,porelmomentoyaqueannoestatotalmentecompleto

Ahoradebemosobtenerlosarchivossmbldap.confysmblap_bind.confparaquelaherramienta smbldappopulatenoscreelosgruposyusuariospordefecto. Seprocedeaobtenerlosarchivosatravsdeldocdesmbldaptools #cd/usr/share/doc/smbldaptools/examples #gunzipsmbldap.conf.gz #cpsmbldap.conf/etc/smbldaptools #cpsmbldap_bind.conf/etc/smbldaptools Antesdemodificarelarchivosmbldap.confdebemossaberelnumerodeidentificacinde seguridad(SIG) #netgetlocalsid Deberadearrojarnosunasalidasimilaraesta: SIDfordomainMIDOMINIOis:S1521109197553732925448334201755667 CopiamoselnumerodeSIDparaluegopodereditarelarchivosmbldap.confqueadjuntoymarcare conazullasseccionesquesedebedemodificar.

#nano/etc/smbldaptools/smbldap.conf
#$Source:/opt/cvs/samba/smbldaptools/smbldap.conf,v$ #$Id:smbldap.conf,v1.182005/05/2714:28:47jtournierExp$ # #smbldaptools.conf:Q&Dconfigurationfileforsmbldaptools #ThiscodewasdeveloppedbyIDEALX(http://IDEALX.org/)and #contributors(theirnamescanbefoundintheCONTRIBUTORSfile). # #Copyright(C)20012002IDEALX # #Thisprogramisfreesoftware;youcanredistributeitand/or #modifyitunderthetermsoftheGNUGeneralPublicLicense #aspublishedbytheFreeSoftwareFoundation;eitherversion2 #oftheLicense,or(atyouroption)anylaterversion. # #Thisprogramisdistributedinthehopethatitwillbeuseful, #butWITHOUTANYWARRANTY;withouteventheimpliedwarrantyof #MERCHANTABILITYorFITNESSFORAPARTICULARPURPOSE.Seethe #GNUGeneralPublicLicenseformoredetails. # #YoushouldhavereceivedacopyoftheGNUGeneralPublicLicense #alongwiththisprogram;ifnot,writetotheFreeSoftware #Foundation,Inc.,59TemplePlaceSuite330,Boston,MA021111307, #USA. #Purpose: #.betheconfigurationfileforallsmbldaptoolsscripts ############################################################################## # #GeneralConfiguration # ############################################################################## #PutyourownSID.Toobtainthisnumberdo:"netgetlocalsid". #Ifnotdefined,parameteristakingfrom"netgetlocalsid"return SID="S1521109197553732925448334201755667" #DomainnametheSambaserverisincharged. #Ifnotdefined,parameteristakingfromsmb.confconfigurationfile #Ex:sambaDomain="IDEALXNT" sambaDomain="MILDAP" ############################################################################## # #LDAPConfiguration # ############################################################################## #Notes:tousetodualldapserversbackendforSamba,youmustpatch #SambawiththedualheadpatchfromIDEALX.Ifnotusingthispatch #justusethesameserverforslaveLDAPandmasterLDAP. #Thosetwoserversdeclarationscanalsobeusedwhenyouhave #.onemasterLDAPserverwhereallwritingoperationsmustbedone #.oneslaveLDAPserverwhereallreadingoperationsmustbedone #(typicallyareplicationdirectory) #SlaveLDAPserver

#Ex:slaveLDAP=127.0.0.1 #Ifnotdefined,parameterissetto"127.0.0.1" slaveLDAP="127.0.0.1" #SlaveLDAPport #Ifnotdefined,parameterissetto"389" slavePort="389" #MasterLDAPserver:neededforwriteoperations #Ex:masterLDAP=127.0.0.1 #Ifnotdefined,parameterissetto"127.0.0.1" masterLDAP="127.0.0.1" #MasterLDAPport #Ifnotdefined,parameterissetto"389" masterPort="389" #UseTLSforLDAP #Ifsetto1,thisoptionwillusestart_tlsforconnection #(youshouldalsousedtheport389) #Ifnotdefined,parameterissetto"1" #ldapTLS="1" #Howtoverifytheserver'scertificate(none,optionalorrequire) #see"manNet::LDAP"instart_tlssectionformoredetails #verify="require" #CAcertificate #see"manNet::LDAP"instart_tlssectionformoredetails #cafile="/etc/opt/IDEALX/smbldaptools/ca.pem" #certificatetousetoconnecttotheldapserver #see"manNet::LDAP"instart_tlssectionformoredetails #clientcert="/etc/opt/IDEALX/smbldaptools/smbldaptools.pem" #keycertificatetousetoconnecttotheldapserver #see"manNet::LDAP"instart_tlssectionformoredetails #clientkey="/etc/opt/IDEALX/smbldaptools/smbldaptools.key" #LDAPSuffix #Ex:suffix=dc=IDEALX,dc=ORG suffix="dc=mildap" #WherearestoredUsers #Ex:usersdn="ou=Users,dc=IDEALX,dc=ORG" #Warning:if'suffix'isnotsethere,youmustsetthefulldnforusersdn #usersdebeserlaunidadorganizativaquesecreoenelphpldapadmin usersdn="ou=users,${suffix}" #WherearestoredComputers #Ex:computersdn="ou=Computers,dc=IDEALX,dc=ORG" #Warning:if'suffix'isnotsethere,youmustsetthefulldnforcomputersdn #machinesdebeserlaunidadorganizativaquesecreoenelphpldapadmin computersdn="ou=machines,${suffix}" #WherearestoredGroups #Ex:groupsdn="ou=Groups,dc=IDEALX,dc=ORG" #Warning:if'suffix'isnotsethere,youmustsetthefulldnforgroupsdn #groupsdebeserlaunidadorganizativaquesecreoenelphpldapadmin groupsdn="ou=groups,${suffix}"

#WherearestoredIdmapentries(usedifsambaisadomainmemberserver) #Ex:groupsdn="ou=Idmap,dc=IDEALX,dc=ORG" #Warning:if'suffix'isnotsethere,youmustsetthefulldnforidmapdn #idmapdn="ou=Idmap,${suffix}" #WheretostorenextuidNumberandgidNumberavailablefornewusersandgroups #Ifnotdefined,entriesarestoredinsambaDomainNameobject. #Ex:sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" #Ex:sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" #DefaultscopeUsed scope="sub" #Unixpasswordencryption(CRYPT,MD5,SMD5,SSHA,SHA,CLEARTEXT) hash_encrypt="MD5" #ifhash_encryptissettoCRYPT,youmaysetasaltformat. #defaultis"%s",butmanysystemswillgenerateMD5hashed #passwordsifyouuse"$1$%.8s".Thisparameterisoptional! crypt_salt_format="%s" ############################################################################## # #UnixAccountsConfiguration # ############################################################################## #Logindefs #DefaultLoginShell #Ex:userLoginShell="/bin/bash" userLoginShell="/bin/bash" #Homedirectory #Ex:userHome="/home/%U" userHome="/home/%U" #DefaultmodeusedforuserhomeDirectory userHomeDirectoryMode="700" #Gecos userGecos="SystemUser" #DefaultUser(POSIXandSamba)GID defaultUserGid="512" #DefaultComputer(Samba)GID defaultComputerGid="20003" #Skeldir skeletonDir="/etc/skel" #Defaultpasswordvalidationtime(timeindays)Commentthenextlineif #youdon'twantpasswordtobeenablefordefaultMaxPasswordAgedays(be #carefultothesambaPwdMustChangeattribute'svalue) defaultMaxPasswordAge="45" ############################################################################## #

#SAMBAConfiguration # ############################################################################## #TheUNCpathtohomedriveslocation(%Uusernamesubstitution) #Justsetittoanullstringifyouwanttousethesmb.conf'logonhome' #directiveand/ordisableroamingprofiles #Ex:userSmbHome="\\PDCSMB3\%U" #userSmbHome="\\PDCSRV\%U" #TheUNCpathtoprofileslocations(%Uusernamesubstitution) #Justsetittoanullstringifyouwanttousethesmb.conf'logonpath' #directiveand/ordisableroamingprofiles #Ex:userProfile="\\PDCSMB3\profiles\%U" #userProfile="\\PDCSRV\profiles\%U" #ThedefaultHomeDriveLettermapping #(willbeautomaticallymappedatlogontimeifhomedirectoryexist) #Ex:userHomeDrive="H:" userHomeDrive="H:" #Thedefaultusernetlogonscriptname(%Uusernamesubstitution) #ifnotused,willbeautomaticallyusername.cmd #makesurescriptfileiseditedunderdos #Ex:userScript="startup.cmd"#makesurescriptfileiseditedunderdos #userScript="logon.bat" #Domainappendedtotheusers"mail"attribute #whensmbldapuseraddMisused #Ex:mailDomain="idealx.com" #mailDomain="idealx.com" ############################################################################## # #SMBLDAPTOOLSConfiguration(defaultareokforaRedHat) # ############################################################################## #Allowsnottousesmbpasswd(ifwith_smbpasswd==0insmbldap_conf.pm)but #preferCrypt::SmbHashlibrary with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" #Allowsnottouseslappasswd(ifwith_slappasswd==0insmbldap_conf.pm) #butpreferCrypt::libraries with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" #commentoutthefollowinglinetogetridofthedefaultbanner #no_banner="1"

Ahoradebemosconfigurarelarchivosmbldap_bind.conf,deberiaquedaras slaveDN="cn=admin,dc=mildap" slavePw="12345"#AcacontraseadelservidorOpenLDAP masterDN="cn=admin,dc=mildap" masterPw="12345"#AcacontraseadelservidorOpenLDAP

LuegodeestodebemosproporcionarleaSambalacontraseadeadministracindeLdap #smbpasswdW Aparecerunmensajesimilaraeste. Settingstoredpasswordfor"cn=admin,dc=mildap"insecrets.tdb NewSMBpassword: YahechoestodebemosreiniciarSamba #/etc/init.d/sambarestart Ahoracreamoslasunidadesorganizativasconfiguradasenelsmbldap.confhaciendousodela siguienteorden: #smbldappopulate NospedirlacontraseadelservidorOpenLDAP,asquelaingresamosynoscrearalasunidades organizativas.

CreacindeUsuarios
Ahorasolobastaconcrearlosusuarios Expandirelrboldeusuarios. SeleccionarlaopcinCreatenewentryhere. SeleccionarlaplantillaSamba3Account SepresionaelbotnProceed>>. EnloscamposFirstNameyLastName,obviamentedebemosllenarloconelnombredel usuarioquesevaacrear. CommonnameyUserIddebencontenerelmismovalorysealmacenaraellogindelnuevo usuario. ParaloscamposdePasswordyverificacindeestedebedejarsecomoMD5. ElUIDNumbersegeneraautomticamente. En los campos Samba SID debemos colocar el nmero de grupo del usuario correspondientealcampoqueaparecemasadelanteGIDNumber,tambinsecolocael mismonombreparaelcampoquetambienestaadelantedeGIDNumberqueesPrimary groupId,sinodefinimosestostrescamposnopodremoshacerloginparaunasesinde Windows. ComodeseamoscrearunacuentadeoperadordesistemaenGidNumberseleccionamosel grupo Account Operators, que por lo general viene seleccionada por defecto de lo contrarioseeligeotra. Debemosindicarelhomeparaelusuarioporlogeneralpodemosasignarleconelsiguiente formato/home/nombreusuario. En el login shelllanica opcinqueestaes /bin/false,mas adelanteexplicarecomo

cambiaresevalor. PorultimohacerclicenelbotnProceedyCreateObject. Hechoestoyatenemoscreadonuestrousuarioenelgrupousers,sideseamoscambiarleellogin shellhacemosclicsobreelusuarioybuscarlapropiedadloginShell,yescribimos/bin/bashy guardamoselcambiohaciendoclicenelbotnSaveChanges. Ahora cada vez que creemos un nuevo usuario en el campo loginShell aparecer tambin /bin/bash. HastaestemomentolaconfiguracindelservidorOpenLdapestahecha,ahoraprocedemosacrear laautentificarondelosClientesenmaquinasLinux,yaseaenlamismadondeestaelservidorLdap ascomotambindelosclientesremotos.

AutentificacindeclientesLinux
ElmtodoqueexplicareacontinuacinsehaprobadoconUbuntuGNU/Linux8.04y8.10. DebemosinstalarlaslibrerasnssypamparasistemasDebianoUbuntudeprimeraentradame centrareenUbuntuyaqueeselsistemamaspopularporelmomentoparausuariosfinales. #aptgetinstalllibnssldaplibpamldap UbuntutraeunasistenteparaconfigurarLdapenelsistemaclientedenominadoldapauthconfig, masquetodosirvesoloparasabereldominioyusuarioadministradordeldirectorioLdap. Luego de instalado los libreras nss y pam, es necesario volver a ejecutar el asistente para configuracindelLdapenelsistemacliente,estonossirveparadarunpocomasdeinformacin adicionalquenecesitaelsistema. #dpkgreconfigureldapauthconfig Ahoradebemoscontestarunaseriedepreguntas.
Pregunta ShoulddebconfmanageLDAP configuration? Respuesta S

LDAPserveruniformResourceIdentifier CuandoingresamoslafuenteparaelclienteLdapdebemos escribirlodelamaneracorrectaporejemploldap://127.0.0.1 Puescomosemuestraenelasistentepordefectomuestra ldapi:///127.0.0.1silodejamosasnosepodrautentificaryno podremosingresaralamaquina. Distinguishednameofthesearchbase LDAPversiontouse MakelocalrootDatabaseadmin DoestheLDAPdatabaserequirelogin EnnuestrocasoingresamoselDNbasequeesdc=mildap EsrecomendableutilizarlaultimaversindeLdapenestecaso la3 S No

LDAPaccountforroot LDAProotaccountpassword Localcrypttousewhenchanging passwords

cn=admin,dc=mildap Ennuestrocasoingresamos12345 DebemosseleccionarMD5,yaqueconestaencriptacinsehan definidolosarchivosdeconfiguracinanterior.

Luegodebemosirarevisarelarchivoldap.confubicadoenetc #nano/etc/ldap.conf Enelarchivodebemoschequearqueestahabilitadalaopcinhostconlaipohostnamedelservidor OpenLDAP.Yquequelaopcinurildap,estebienescrita. Loesencialdelarchivosonestaslineas. hostipohostaname urildap://ipohostaname basedc=mildap ldap_version3 pam_passwordmd5 rootbinddncn=admin,dc=webserver nss_initgroups_ignoreusersavahi,avahi autoipd,backup,bin,daemon,dhcp,games,gdm,gnats,haldaemon,hplip,irc,klog,libuuid,list,lp,mail,m an,messagebus,news,nx,polkituser,proxy,pulse,root,sshd,sync,sys,syslog,uucp,wwwdata Ahoradebemoseditarelarchivonsswitch.conf,paraqueelsistemapuedareconocerlosusuariosy gruposdelservidorOpenLDAP. #nano/etc/nsswitch.conf Alaslineaspasswd,shadowygroupleagregamosfilesantesdecompatyldapdespusdecompat deberadequedaras passwd:filescompatldap group:filescompatldap shadow:filescompatldap Seleagregafiles,paracuandosecaigaosedesconectelamaquinadelservidorldapsepueda autenticarporelusuariopropiodelsistema. Paracorroborarquetodoestabienejecutamoslosiguiente #getentgroup NosdebededesplegarlosgruposdelservidorOpenLDAP #getentpasswd ConlaordenanteriorsedebendepodervisualizarlosusuarioscreadosenelservidorOpenLDAP, sienalgunadelasdosordenesnosevisualizaloesperadoesnecesariorevisarlospasosanteriores

delaconfiguracindelldapauthconfig. AhoradebemosconfigurarelPAM(PluggableAuthenticationModules),quesirvepara autentificacinflexibleparaotrasaplicacionesquenecesitenprocesodeidentificacin. Paracumplirconestatareadebemoseditarcuatroarchivos. commonauth commonaccount commonsession commonpassword IMPORTANTE:Antesdeempezarconlaconfiguracindelosarchivosesnecesariodejaren unattyunloginderootporsinopudisemosingresarconlanuevaconfiguracinpodemos restablecerlaconfiguracinacomoestaba. Instalaremosssh,paraposteriormentepoderhacerunapruebadelaautentificacin. #aptgetinstallssh Paralosarchivosantesmencionadossedebeagregarlassiguienteslneasenelrespectivoarchivo, todolodemsqueseencuentreenelarchivosedebecomentar. #nano/etc/pam.d/commonauth authsufficientpam_unix.sonulloklikeauth authsufficientpam_ldap.souse_first_pass authrequiredpam_deny.so #nano/etc/pam.d/commonaccount accountsufficientpam_unix.so accountsufficientpam_ldap.so accountrequiredpam_permit.so #nano/etc/pam.d/commonpassword passwordsufficientpam_unix.sonullokmd5shadowobscuremin=4max=8 passwordsufficientpam_ldap.so passwordrequiredpam_permit.so #nano/etc/pam.d/commonsession #Estalneaseutilizaparacuandounusuarioingreseporprimeravez #alsistemaselecreesurespectivohome. sessionoptional/lib/security/pam_mkhomedir.soskel=/etc/skelumask=0022 sessionsufficientpam_unix.so sessionsufficientpam_ldap.so

Comprobacindeautentificacin
Elcambiotieneefectosinnecesidaddereiniciarelsistema,nidereiniciarningndemoniosepuede probardeinmediato. $sshlunusuarioldaplocalhost SihaslogradologueartefelicidadesyatienesconfiguradotuclienteconLDAP.!!!! PeroannoacabalacosaesnecesariotambinconfigurarelPAMparaqueelGDMnosdeje ingresaranuestroentornodeescritorio,enelcasodeKDMnomehasidonecesarioconfigurar nadasimplementeentro. Puesbien,paraconfigurarGDMparapermitirloginporLDAP. #nano/etc/pam.d/gdm AcadjuntoloquecomenteymodifiquedemiUbuntu,paraquedejarahacerloginporLDAP #%PAM1.0 authrequisitepam_nologin.so authrequiredpam_env.so #authrequiredpam_env.soreadenv=1 #authrequiredpam_env.soreadenv=1envfile=/etc/default/locale @includecommonauth #authoptionalpam_gnome_keyring.so @includecommonaccount sessionrequiredpam_limits.so @includecommonsession #sessionoptionalpam_gnome_keyring.soauto_start @includecommonpassword HechoestosolobastareiniciarelGDMporcualquiercosa,aunqueenteoranoharafalta. #/etc/init.d/gdmrestart HeingresamosanuestroescritorioGNOMEpormediodeLoginLDAP.

AutenticacindeclientesWindows
EnmicasoparticularyonoheconfiguradounservidorDNSpararesolverelnombredelservidor OpenLDAP asi que simplemente edite el archivo hosts de windows que se encuentra en la ubicacinC:\WINDOWS\system32\drivers\etcyagregarenlaltimalnealaIpyelnombreporel cualseleindicaawindowsseresolveraparaesaIp. Nadamasseguardanloscambiosenelarchivo,selepuedehacerpingalanuevaentradaquesele agrego alarchivoparacorrobarquetodoestabien,luegosiseprocedeaconfigurarelcliente Windows. EnelcasodeestarutilizandoWindowsXPprofesional,laformaparaconfigurarlaautenticacinde usuarioseslasiguienteymuysimple. DarclicderecohalaiconodeMiPcyseleccionarpropiedadesdelmendesplegable. DarclicenlapestaaNombredeequipo. DarclicenelbotnCambiar. EnelcuadrodeopcioneselegimoslaopcionDominioyescribimoselnombrededominio queseagregoelarchivohostsysedaclicenelbotnAceptar. Al momento de dar aceptar se nos pedira un usuario y contrasea de la cuenta administradoradenuestroservidorOpenLDAP,queennuestrocasoesrootylacontrasea esladenuestroservidorOpenLDAP. Despues de ingresar la contrasea si todo ha tenido xito se desplegara una mensaje Bienvenidoaldominioxxxdondexxxeselnombrededominioalquesehaunido. Luegodeestodebemosreiniciarelequipoeintentarhacerloginconunacuentayacreadaen elphpldapadmin. Estemanualestasujetoamejoras,cualquierobservacinserabienrecibida. DanielAlbertoHerreraGuadrn daniel.herrera@creativaconsultores.com kryptonite84sv@gmail.com Grupodeusuariosdesoftwarelibre/UES,FacultadMultidisciplinariadeOccidente ElSalvador,C.A. 22Enerode2009