Gestión de usuarios de red en Linux con OpenLDAP

Gestión de usuarios de red en Linux con OpenLDAP

1 CONFIGURACIÓN DE UN CLIENTE LDAP.............................................................................. 2

2 CONFIGURACIÓN DEL SERVICIO NSS. .................................................................................. 3
3 CONFIGURACIÓN DE PAM. ........................................................................................................ 4
4 CONFIGURACIÓN DE LA PANTALLA DE LOGIN EN UBUNTU PARA PERMITA
ACCEDER CON CUALQUIER USUARIO ............................................................................................ 4
5 PERFILES MÓVILES DE USUARIO USANDO NFS Y LDAP ................................................. 5

1
Gestión de usuarios de red en Linux con OpenLDAP

1 Configuración de un cliente LDAP.

Existen diferentes formas de autenticar usuarios en una red Linux, pero una de las más
usadas es la combinación de tres herramientas diferentes: NSS, PAM y LDAP.

La idea consiste en disponer de un servidor que facilite la acción de autenticar

usuarios, de modo, que se recurra a ese servidor cada vez que un cliente necesite
identificarse. De esta forma, la cuenta de usuario no es específica de un equipo cliente,
sino que será válida en cualquier equipo de la red que haya sido debidamente
configurado.

El Name Service Switch o NSS proporciona una interfaz para configurar y acceder a
diferentes fuentes de datos donde está almacenada la información de las cuentas de
usuarios y claves, como por ejemplo:
 Archivos locales (/etc/passwd, /etc/group, /etc/hosts),
 Directorios de datos OpenLDAP.
 NIS (Network Information Service).
 NISPLUS (NIS+).
 Bases de datos PostgreSQL o MySQL.
 …

NSS se configura a través del fichero de configuración /etc/nsswitch.conf en el que se

especifica de qué fuentes de datos vamos a obtener los usuarios y en qué orden se hará
la comprobación.

A la hora de identificar a un usuario dentro de un sistema existen diferentes métodos,

como por ejemplo la clásica contraseña, los sistemas biométricos, las claves de un solo
uso, etc. Pluggable Authentication Modules (PAM) proporciona un mecanismo para
independizar a las aplicaciones de los distintos procesos de identificación, estableciendo
un interfaz común sobre el que trabajar. De esta manera, los sistemas que necesitan
identificar usuarios como sistemas operativos, servidores de correo, servidores web,
servidores de bases de datos, etc., pueden trabajar de forma independiente del módulo
de identificación utilizado, ya que trabajan directamente sobre ese interfaz común.

Cuando una aplicación se configura para usar PAM, delega en PAM el proceso de
autenticación, debiendo configurar PAM para utilizar el método de autenticación
requerido.

A la hora de configurar un equipo para que permita la validación de usuarios de red a

través de OpenLDAP, será necesario instalar los siguientes paquetes:

apt-get -y install libnss-ldap libpam-ldap ldap-utils

Después de la instalación de estos paquetes se lanzará una ventana para configurar diferentes
parámetros del servicio LDAP:

2
Gestión de usuarios de red en Linux con OpenLDAP

1. En la primera ventana se debe anotar la dirección IP del servidor LDAP

utilizando el prefijo ldap:// en lugar del que te propone ldapi:/// (fíjate que son
dos barras y no tres).

2. A continuación se especifica el nombre de nuestro dominio, expresado con la

sintaxis propia de LDAP.

3. Posteriormente, se debe seleccionar la versión del protocolo LDAP utilizado.

Normalmente será la versión 3.

4. En el paso 4 le indicaremos que “Sí”

5. En la siguiente opción debemos indicarle si es necesario autenticarse para

acceder a la base de datos. Normalmente no es necesario, por lo que debemos
responder que ‘No’.

6. En este punto le indicaremos cuál es el usuario administrador del dominio con

su DN. Por ejemplo dn=admin,dc=prueba,dc=local

7. Por último, habrá que especificar la contraseña del usuario administrador.

Toda la configuración del cliente LDAP se almacena en el fichero (/etc/ldap.conf). Para

poder hacer cambios posteriores en la configuración del cliente LDAP se puede ejecutar
el comando:

sudo dpkg-reconfigure ldap-auth-config

2 Configuración del servicio NSS.

Para ello, hay que editar su fichero de configuración (/etc/nsswitch.conf). En este

archivo se especifica el orden de búsqueda de la diferente información que pueda
gestionar el servicio NSS.

Será necesario modificar las líneas referentes a passwd, group y shadow, indicando que
en estos casos deberá buscar primero en los archivos de usuarios locales de la máquina
y posteriormente en el servidor LDAP.

passwd: files ldap

group: files ldap
shadow: files ldap

Se puede hacer una prueba de que NSS está funcionando correctamente con el comando
getent, que mostrará por pantalla la información de usuarios contenida, tanto en los
archivos locales, como en el directorio LDAP.

getent passwd

3
Gestión de usuarios de red en Linux con OpenLDAP

3 Configuración de PAM.

El siguiente paso será configurar PAM para que haga uso de la autenticación LDAP. Los
archivos de configuración de PAM se almacenan en el directorio (/etc/pam.d/). Existe
una herramienta que permitirá configurar PAM sin necesidad de editar manualmente
dichos archivos. La utilidad se llama pam-auth-update,

pam-auth-update

Después de invocar a esta aplicación, para que sea completamente operativo el acceso
desde un equipo cliente con un usuario LDAP, es necesario reiniciar el equipo.

La configuración llevada a cabo por la utilidad pam-auth-update suele ser válida en la

mayor parte de los casos, pero puede ocurrir que haya que realizar algunos ajustes. Por
ejemplo, la configuración por defecto no permite el cambio de contraseñas desde la
propia cuenta de usuario de LDAP validada en un cliente, a través de herramientas como
passwd. Para que PAM permita el cambio de contraseñas hay que editar el fichero
etc/pam.d/common-password y modificar la línea donde aparezca el módulo
pam_ldap.so eliminando la opción use-authok. Por ejemplo, la línea:

password [success=1 user_unknow=ignore default=die] pam_ldap.so use_authtok

Pasaría a ser:

password [success=1 user_unknow=ignore default=die] pam_ldap.so

Por último, otro aspecto que es aconsejable ajustar es la posibilidad de que la primera
vez que un usuario del directorio LDAP se valide en un equipo cliente se cree de forma
automática su directorio home correspondiente. Para ello es necesario modificar el
archivo de configuración /etc/pam.d/common-session y añadir como primera línea del
mismo el siguiente contenido:

session required pam_mkhomedir.so skel=/etc/skel umask=0022

A continuación, reiniciaríamos el servicio nscd:

$ sudo service nscd restart

Si esto no se realizara, habría que crear a mano en todos los equipos clientes los
directorios de todos los usuarios LDAP. Otra posibilidad que estudiaremos más adelante
es que el directorio home del usuario no sea un directorio local del equipo cliente, sino
un directorio compartido en el servidor, siendo posible implementar perfiles móviles.

4 Configuración de la pantalla de login en Ubuntu para permita

acceder con cualquier usuario

Por defecto, en Ubuntu Desktop la pantalla inicial de login, sólo permite elegir entre los
usuarios definidos en el sistema. Si quisiéramos que permitiera logearse con cualquier

4
Gestión de usuarios de red en Linux con OpenLDAP

usuario, deberíamos editar /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf y añadir

al final la línea:

greeter-show-manual=true

Por último, habría que reiniciar la máquina.

5 Perfiles móviles de usuario usando NFS y LDAP

Los perfiles móviles permiten que un usuario tenga un marco de trabajo común,
independientemente del ordenador de la red en el que inicie sesión. Para implementarlos
debemos dar los siguientes pasos:

1. Crear una carpeta en el servidor para guardar la carpeta /home de los usuarios
móviles (el equivalente a /home/usuario de cada usuario en el servidor). Por
ejemplo:

sudo mkdir /moviles

sudo chown nobody:nogroup /moviles

2. Modificar el archivo /etc/exports para compartir la carpeta mediante NFS con

todos los usuarios:

/moviles *(rw,sync,no_root_squash,no_subtree_check)

3. Crear una carpeta en los equipos cliente para montar los perfiles móviles (el
equivalente a /home/usuario de cada usuario en cada cliente). Posteriormente
le daremos permisos para que cualquier usuario pueda escribir en ella:

sudo mkdir /moviles

sudo chmod 777 /moviles

4. Modificar el archivo /etc/fstab de cada cliente para que monte la carpeta que
hemos creado en el paso 1 en el punto de montaje establecido en el paso 3 y
reiniciar el equipo.

IPServidor:/moviles /móviles nfs defaults 0 0

5. Modificar las cuentas de usuario LDAP para indicar que la carpeta donde deben
tener su perfil. Por ejemplo, para un usuario que se llame fgarcia, tendríamos
que establecer su Home Directory a /moviles/fgarcia

Para terminar, sólo restaría reiniciar el equipo y probar a iniciar sesión con el
usuario correspondiente.