Instalada a base de dados do serviço de diretório do OpenLDAP, prossegue-se com a configuração do ambiente. Para que o serviço de autenticação de usuários possa funcionar (e assim se tenha um sistema funcional), se faz necessária a instalação de dois serviços adicionais, ao que é conhecido como INTEGRAÇÃO.
Esses serviços são o NSS (pacote libnss-ldap) e PAM (pacote libpam-ldap). Em um ambiente de rede
Linux/Unix a integração permite que os serviços NSS/PAM busquem informações de autenticação na árvore de diretórios, isto é, a base de dados do LDAP.
NSS - O NSS ou Name Service Switch é um serviço encarregado de realizar pesquisas em diferentes bases de dados para resolução de nomes, como arquivos de configuração locais (/etc/passwd, /etc/group e /etc/hosts), DNS, o Serviço de Informação de Rede (NIS) e o próprio LDAP. Ele é utilizado por outros serviços (uma máquina cliente ou uma aplicação) para consulta de informações de usuários e grupos, entre outras informações da rede. Um exemplo de cliente do NSS é o "ls" e o "id". O arquivo de configuração é normalmente econcontrado em "/etc/nsswitch.conf".
PAM - O PAM (Pluggable Authentication Modules) é um conjunto de bibliotecas/funções responsável por fornecer um serviço de autenticação centralizada de usuários. Imagine a seguinte situação: o ambiente de uma empresa XYZ possoui 200 estações de trabalho. Sem o serviço de autenticação do PAM, diante da necessidade de criação de um novo usuário para um colaborador recém contratado, seria necessário que o administrador logasse em cada uma das 200 estações e criasse uma conta de usuário local para uso do funcionário. Em caso de troca da senha, a situação se repetiria. A autenticação via PAM permite que toda a gestão de contas e grupos de usuário seja centralizada na base LDAP, dispensando o uso de contas de usuário locais.
Instalando e Configurando o NSS
O NSS será utilizado para definir ou obter informações da base de dados do LDAP. Para utilizar o LDAP como fonte de dados do NSS, é necessária a instalação do pacote "libnss-ldap".
sudo apt-get install ldap-client libnss-ldapsu
A configuração do pacote "libnss-ldap" iniciará automaticamente. Caso isso não aconteça, ou caso seja necessário repetir o processo depois, basta utilizar o comando:
sudo dpkg-reconfigure libnss-ldap
A primeira ação a fazer, é indicar o endereço do servidor LDAP. Pode-se utilizar o FQDN, ou endereço IP do servidor. A escolha do endereço IP traz a vantagem de o serviço NSS não ser prejudicado em caso de falha no serviço de resolução de nomes, DNS.
Em seguida, deve-se informar a raiz do diretório. Neste exemplo há dois componentes de domínio (DC): "segredes" e "local" (segredes.local).
A versão 3 do LDAP deve ser escolhida:
Aqui deve-se escolher qual conta será utilizada para as solicitações NSS com privilégios root. A conta escolhida deve permissão de acesso aos atributos contidos na árvore de diretórios:
Inserir a senha da conta de administrador do LDAP:
O programa de instalação informa que a configuração do arquivo
/etc/nsswitch.conf deve ser feita manualmente (o que faremos mais adiante).
Na tela seguinte, a menos que pasta
/etc esteja montada em uma unidade NFS, escolha a opção "Sim":
A base de dados não necessita autenticação para leitura:
Informe a conta administrativa do LDAP:
Configurando o /etc/nsswitch.conf
Para que o NSS utilize o módulo "libsnss-ldap", utilizando assim a base de dados LDAP como fonte de pesquisa, é preciso configurar manualmente o arquivo
/etc/nsswitch.conf. Devemos adicionar o módulo ldap como fonte de pesquisa para as bases "passwd", "group" e "shadow".
# vi /etc/nsswitch.conf