Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Gestión de usuarios de red en Linux con OpenLDAP
Existen diferentes formas de autenticar usuarios en una red Linux, pero una de las más
usadas es la combinación de tres herramientas diferentes: NSS, PAM y LDAP.
El Name Service Switch o NSS proporciona una interfaz para configurar y acceder a
diferentes fuentes de datos donde está almacenada la información de las cuentas de
usuarios y claves, como por ejemplo:
Archivos locales (/etc/passwd, /etc/group, /etc/hosts),
Directorios de datos OpenLDAP.
NIS (Network Information Service).
NISPLUS (NIS+).
Bases de datos PostgreSQL o MySQL.
…
Cuando una aplicación se configura para usar PAM, delega en PAM el proceso de
autenticación, debiendo configurar PAM para utilizar el método de autenticación
requerido.
Después de la instalación de estos paquetes se lanzará una ventana para configurar diferentes
parámetros del servicio LDAP:
2
Gestión de usuarios de red en Linux con OpenLDAP
Será necesario modificar las líneas referentes a passwd, group y shadow, indicando que
en estos casos deberá buscar primero en los archivos de usuarios locales de la máquina
y posteriormente en el servidor LDAP.
Se puede hacer una prueba de que NSS está funcionando correctamente con el comando
getent, que mostrará por pantalla la información de usuarios contenida, tanto en los
archivos locales, como en el directorio LDAP.
getent passwd
3
Gestión de usuarios de red en Linux con OpenLDAP
3 Configuración de PAM.
El siguiente paso será configurar PAM para que haga uso de la autenticación LDAP. Los
archivos de configuración de PAM se almacenan en el directorio (/etc/pam.d/). Existe
una herramienta que permitirá configurar PAM sin necesidad de editar manualmente
dichos archivos. La utilidad se llama pam-auth-update,
pam-auth-update
Después de invocar a esta aplicación, para que sea completamente operativo el acceso
desde un equipo cliente con un usuario LDAP, es necesario reiniciar el equipo.
Pasaría a ser:
Por último, otro aspecto que es aconsejable ajustar es la posibilidad de que la primera
vez que un usuario del directorio LDAP se valide en un equipo cliente se cree de forma
automática su directorio home correspondiente. Para ello es necesario modificar el
archivo de configuración /etc/pam.d/common-session y añadir como primera línea del
mismo el siguiente contenido:
Si esto no se realizara, habría que crear a mano en todos los equipos clientes los
directorios de todos los usuarios LDAP. Otra posibilidad que estudiaremos más adelante
es que el directorio home del usuario no sea un directorio local del equipo cliente, sino
un directorio compartido en el servidor, siendo posible implementar perfiles móviles.
Por defecto, en Ubuntu Desktop la pantalla inicial de login, sólo permite elegir entre los
usuarios definidos en el sistema. Si quisiéramos que permitiera logearse con cualquier
4
Gestión de usuarios de red en Linux con OpenLDAP
greeter-show-manual=true
Los perfiles móviles permiten que un usuario tenga un marco de trabajo común,
independientemente del ordenador de la red en el que inicie sesión. Para implementarlos
debemos dar los siguientes pasos:
1. Crear una carpeta en el servidor para guardar la carpeta /home de los usuarios
móviles (el equivalente a /home/usuario de cada usuario en el servidor). Por
ejemplo:
/moviles *(rw,sync,no_root_squash,no_subtree_check)
3. Crear una carpeta en los equipos cliente para montar los perfiles móviles (el
equivalente a /home/usuario de cada usuario en cada cliente). Posteriormente
le daremos permisos para que cualquier usuario pueda escribir en ella:
4. Modificar el archivo /etc/fstab de cada cliente para que monte la carpeta que
hemos creado en el paso 1 en el punto de montaje establecido en el paso 3 y
reiniciar el equipo.
5. Modificar las cuentas de usuario LDAP para indicar que la carpeta donde deben
tener su perfil. Por ejemplo, para un usuario que se llame fgarcia, tendríamos
que establecer su Home Directory a /moviles/fgarcia
Para terminar, sólo restaría reiniciar el equipo y probar a iniciar sesión con el
usuario correspondiente.