Ubuntu 10.04 OpenLDAP NFS QUOTA
Pergunta-se: Como LDAP e NFS podem juntos permitir que uma pessoa, ao digitar seu login e sua senha em qualquer computador conectado à rede, possa ter acesso a sua conta particular que fica armazenada remotamente em um computador central?
A resposta é simples: o NFS permite o compartilhamento de arquivos, enquanto o LDAP fica responsável pela autenticação de usuários.[ Hits: 58.757 ]
Por: Anderson Francisco da Silva em 07/05/2011
LDAP no Servidor
Para instalar o OpenLDAP bastam os pacotes "slapd" e "ldap-utils" e suas dependências. Após a instalação, verifique se o serviço está funcionando.
# apt-get install slapd ldap-utils
# /etc/init.d/slapd status
OpenLDAP is running
Caso algo dê errado e seja necessário reconfigurar o LDAP, fica a dica:
# dpkg-reconfigure slapd
Caso algo dê mais errado ainda e seja necessário reinstalar o LDAP, fica a dica:
# aptitude purge slapd ldap-utils
# cat /dev/null > /var/log/debug
# rm /var/lib/ldap/*
# rm -rf /etc/ldap
# apt-get install slapd ldap-utils
"Ponto de Vista:" O LDAP é um labirinto a parte. Costuma-se demorar algum tempo até que um banco de dados hierárquico deixe de ser um minotauro. Recomenda-se ânimo, pois utilizar LDAP para controlar apenas contas POSIX (acrônimo para: Portable Operating System Interface), pode ser um bom começo.
Note que durante a instalação do LDAP nenhuma informação foi solicitada, inclusive a senha de acesso. Além disso, também não foi criado o arquivo "/etc/ldap/slapd.conf".
# updatedb
# locate slapd.conf
/usr/share/man/man5/slapd.conf.5.gz
/var/lib/dpkg/info/slapd.conffiles
/var/lib/dpkg/info/slapd.config
O duelo entre "cn=config" e "sladp.conf" pode ser apreciado em 5.4. Converting old style slapd.conf(5) file to cn=config format . Basicamente, o modelo antigo "slapd.conf" exigia a reinicialização do serviço para que as novas configurações começassem a ter efeito. No novo modelo "cn=config", modificações nas configurações passam a ter efeito imediato.
Novamente, na estação de trabalho não custa verificar se o servidor LDAP está sendo reconhecido. Para isso, é válido tentar um telnet para checar se o servidor LDAP responde nas portas 389 e 636. Lembre que o carácter de escape é "CTRL+]" (+ENTER) e para sair do prompt "telnet>" use "quit". Um cliente "ssh" também pode ser usado para checar o LDAP.
# id aluno
id: aluno: Usuário inexistente
...
# telnet 192.168.0.254 389
Trying 192.168.0.254...
Connected to 192.168.0.254.
Escape character is '^]'.
...
Connection closed by foreign host.
...
telnet>quit
...
# telnet 192.168.0.254 636
Trying 192.168.0.254...
telnet: Unable to connect to remote host: Connection refused
Uma olhadela no arquivo "/etc/ldap.conf" também pode ajudar no futuro:
# apt-get install slapd ldap-utils
# /etc/init.d/slapd status
OpenLDAP is running
Caso algo dê errado e seja necessário reconfigurar o LDAP, fica a dica:
# dpkg-reconfigure slapd
Caso algo dê mais errado ainda e seja necessário reinstalar o LDAP, fica a dica:
# aptitude purge slapd ldap-utils
# cat /dev/null > /var/log/debug
# rm /var/lib/ldap/*
# rm -rf /etc/ldap
# apt-get install slapd ldap-utils
"Ponto de Vista:" O LDAP é um labirinto a parte. Costuma-se demorar algum tempo até que um banco de dados hierárquico deixe de ser um minotauro. Recomenda-se ânimo, pois utilizar LDAP para controlar apenas contas POSIX (acrônimo para: Portable Operating System Interface), pode ser um bom começo.
Note que durante a instalação do LDAP nenhuma informação foi solicitada, inclusive a senha de acesso. Além disso, também não foi criado o arquivo "/etc/ldap/slapd.conf".
# updatedb
# locate slapd.conf
/usr/share/man/man5/slapd.conf.5.gz
/var/lib/dpkg/info/slapd.conffiles
/var/lib/dpkg/info/slapd.config
O duelo entre "cn=config" e "sladp.conf" pode ser apreciado em 5.4. Converting old style slapd.conf(5) file to cn=config format . Basicamente, o modelo antigo "slapd.conf" exigia a reinicialização do serviço para que as novas configurações começassem a ter efeito. No novo modelo "cn=config", modificações nas configurações passam a ter efeito imediato.
Novamente, na estação de trabalho não custa verificar se o servidor LDAP está sendo reconhecido. Para isso, é válido tentar um telnet para checar se o servidor LDAP responde nas portas 389 e 636. Lembre que o carácter de escape é "CTRL+]" (+ENTER) e para sair do prompt "telnet>" use "quit". Um cliente "ssh" também pode ser usado para checar o LDAP.
# id aluno
id: aluno: Usuário inexistente
...
# telnet 192.168.0.254 389
Trying 192.168.0.254...
Connected to 192.168.0.254.
Escape character is '^]'.
...
Connection closed by foreign host.
...
telnet>quit
...
# telnet 192.168.0.254 636
Trying 192.168.0.254...
telnet: Unable to connect to remote host: Connection refused
Uma olhadela no arquivo "/etc/ldap.conf" também pode ajudar no futuro:
...
# The port.
# Optional: default is 389.
#port 389
...
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
#ssl on
...
# The port.
# Optional: default is 389.
#port 389
...
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
#ssl on
...
Páginas do artigo
1. Introdução2. Instalação do Ubuntu e NFS no Servidor e Cliente
3. LDAP no Servidor
4. LDAP - Esquemas, Senhas e Base de Dados
5. LDAP - Raiz, Administrador, Grupos, Usuários e Máquinas
6. LDAP Scripts
7. LDAP no Cliente
10. Quota de Usuário
11. Conclusão e Bibliografia
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Converter uma distribuição Linux para rodar no coLinux
Servidor de email: Postfix + Courier IMAP + RoundCube e usuários virtuais (Debian e derivados)
Notebook HP Pavilion DV (família)
Red Hat e Fedora - Um guia básico de configuração
Comentários
[1] Comentário enviado por ricardoolonca em 12/05/2011 - 11:32h
Parabéns pelo artigo. Muito bem detalhado. Só não está perfeito porque faltam as páginas 8 e 9 rsrsrsr.
Parabéns pelo artigo. Muito bem detalhado. Só não está perfeito porque faltam as páginas 8 e 9 rsrsrsr.
[2] Comentário enviado por roberto06 em 02/08/2011 - 16:21h
Excelente artigo. Eu só queria saber como faço para não logar com o mesmo usuário em máquinas diferentes. Pq aqui, com qualquer usuario, eu consigo logar com ele em varias maquinas ao mesmo tempo.
Excelente artigo. Eu só queria saber como faço para não logar com o mesmo usuário em máquinas diferentes. Pq aqui, com qualquer usuario, eu consigo logar com ele em varias maquinas ao mesmo tempo.
[3] Comentário enviado por anderson.pocos em 02/08/2011 - 16:32h
olá Roberto, obrigado pelo comentário! Temo que talvez você esteja pensando na contramão! A ideia é que se um computador zuar, o usuário possa ir para a máquina do lado. No mais qual é o problema de uma pessoa usar a máquina da outra se o que verá é sempre o próprio desktop? Estamos usando essa solução aqui a 6 meses e já estamos com 700 usuários e uns 130 computadores... emocionante véi...!!!
olá Roberto, obrigado pelo comentário! Temo que talvez você esteja pensando na contramão! A ideia é que se um computador zuar, o usuário possa ir para a máquina do lado. No mais qual é o problema de uma pessoa usar a máquina da outra se o que verá é sempre o próprio desktop? Estamos usando essa solução aqui a 6 meses e já estamos com 700 usuários e uns 130 computadores... emocionante véi...!!!
[4] Comentário enviado por roberto06 em 03/08/2011 - 15:40h
Anderson, acho que não entendeu minha pergunta. Exemplo: Eu logo com o usuario aluno na máquina 1. Depois sem encerrar a sessão, eu consigo logar com o mesmo usuário aluno na maquina 2 ao mesmo tempo. só queria que isso não fosse possível,. Mas no resto, isso tá perfeito. Valeu cara!!!
Anderson, acho que não entendeu minha pergunta. Exemplo: Eu logo com o usuario aluno na máquina 1. Depois sem encerrar a sessão, eu consigo logar com o mesmo usuário aluno na maquina 2 ao mesmo tempo. só queria que isso não fosse possível,. Mas no resto, isso tá perfeito. Valeu cara!!!
[5] Comentário enviado por anderson.pocos em 03/08/2011 - 15:54h
olá Roberto, sua tem ideia tem fundamento sim... bloquear dois logins da mesma pessoa, né? entendi! aqui ainda não tentamos bloquear isso não mas obrigado pela dica!
olá Roberto, sua tem ideia tem fundamento sim... bloquear dois logins da mesma pessoa, né? entendi! aqui ainda não tentamos bloquear isso não mas obrigado pela dica!
[6] Comentário enviado por roberto06 em 03/08/2011 - 15:57h
valeu cara, vo contiuar caçando aki na net como eu posso fazer isso. obrigado
valeu cara, vo contiuar caçando aki na net como eu posso fazer isso. obrigado
[7] Comentário enviado por roberto06 em 12/09/2011 - 10:22h
gostaria de saber, como faz o backup de tudo ...
gostaria de saber, como faz o backup de tudo ...
[8] Comentário enviado por anderson.pocos em 12/09/2011 - 10:56h
### BACKUP ###
root@dell:/# /etc/init.d/slapd stop
root@dell:/# ldapsearch -x -D cn=admin,dc=example,dc=com -w SENHAADMINLDAP -b dc=example, dc=com -LLL > backup-2011-09-12.ldif
root@dell:/# /etc/init.d/slapd start
### RESTORE ###
root@dell:/# /etc/init.d/slapd stop
root@dell:/# slapadd -l backup-2011-09-12.ldif
root@dell:/# slapindex -v
root@dell:/# chown openldap: /var/lib/ldap/*
root@dell:/# /etc/init.d/slapd start
"_ eu posso invocar espíritos!"
"_ mas eles virão se você os chamar?"
### BACKUP ###
root@dell:/# /etc/init.d/slapd stop
root@dell:/# ldapsearch -x -D cn=admin,dc=example,dc=com -w SENHAADMINLDAP -b dc=example, dc=com -LLL > backup-2011-09-12.ldif
root@dell:/# /etc/init.d/slapd start
### RESTORE ###
root@dell:/# /etc/init.d/slapd stop
root@dell:/# slapadd -l backup-2011-09-12.ldif
root@dell:/# slapindex -v
root@dell:/# chown openldap: /var/lib/ldap/*
root@dell:/# /etc/init.d/slapd start
"_ eu posso invocar espíritos!"
"_ mas eles virão se você os chamar?"
[10] Comentário enviado por roberto06 em 15/09/2011 - 09:37h
Mas está dando o seguinte erro!!! Can't contact LDAP server (-1)
Mas está dando o seguinte erro!!! Can't contact LDAP server (-1)
[13] Comentário enviado por Paulo Oliveira em 22/09/2011 - 12:49h
Roberto06,
Algumas observações muito importantes:
Para o comando ldapsearch a base deverá estar funcionando, já para o ldapcat é desaconselhável.
1º - tente startar a base (/etc/init.d/slapd start) e depois execute (ldapsearch -x -D cn=admin,dc=example,dc=com -w SENHAADMINLDAP -b dc=example, dc=com -LLL > backup-2011-09-12.ldif)
2º Caso o erro ainda persista, verifique os parâmetros da sua base no comando ldapsearch.
Roberto06,
Algumas observações muito importantes:
Para o comando ldapsearch a base deverá estar funcionando, já para o ldapcat é desaconselhável.
1º - tente startar a base (/etc/init.d/slapd start) e depois execute (ldapsearch -x -D cn=admin,dc=example,dc=com -w SENHAADMINLDAP -b dc=example, dc=com -LLL > backup-2011-09-12.ldif)
2º Caso o erro ainda persista, verifique os parâmetros da sua base no comando ldapsearch.
[14] Comentário enviado por fetc em 17/12/2011 - 15:08h
Cara, parabéns, muito bem e explicativo o artigo, só um problema, gerei a senha em MD% com o slapdpasswd, porém quando vou verificar a senha com o ldapsearch e a digito, aparece ldap_bind: Invalid credentials (49), tentei com a senha secret e o seu MD5 e também não deu, sabe o que pode ser amigo?
Obrigado!
Cara, parabéns, muito bem e explicativo o artigo, só um problema, gerei a senha em MD% com o slapdpasswd, porém quando vou verificar a senha com o ldapsearch e a digito, aparece ldap_bind: Invalid credentials (49), tentei com a senha secret e o seu MD5 e também não deu, sabe o que pode ser amigo?
Obrigado!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Instalar o Apache, MySQL e PHP no Oracle Linux 8
Bloqueando telemetria no Deepin 23.1
Como converter imagens PNG/JPEG para SVG em linha de comando
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 74.288 pts -
Fábio Berbert de Paula
2° lugar - 56.153 pts -
Buckminster
3° lugar - 18.978 pts -
Mauricio Ferrari
4° lugar - 17.301 pts -
Alberto Federman Neto.
5° lugar - 15.132 pts -
Daniel Lara Souza
6° lugar - 14.055 pts -
Diego Mendes Rodrigues
7° lugar - 13.631 pts -
edps
8° lugar - 13.477 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.340 pts -
Andre (pinduvoz)
10° lugar - 10.744 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
