Configuração da autenticação LDAP no Ubuntu 10.04 LTS
Publicado por Vinicius Geremia em 16/10/2010
[ Hits: 26.570 ]
Configuração da autenticação LDAP no Ubuntu 10.04 LTS
Dica para configuração passo-a-passo da autenticação LDAP em um Ubuntu 10.04 LTS. Dentre as funcionalidades está a autenticação direta dos usuários de sistema na base com criação automática do /home do usuário.
Instalação do pacote para a base LDAP:
sudo apt-get install libnss-ldap
Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/
Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br
Solicitado a versão LDAP usada: 3
Colocar root como admin da base LDAP: No
Exige login na base LDAP: No
Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:
sudo dpkg-reconfigure ldap-auth-config
Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:
(alguns desses apenas estão comentados)
(adicione estes no final do arquivo)
Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:
Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:
Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:
O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:
Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:
Pronto para autenticar um Ubuntu na base da dados LDAP.
Instalação do pacote para a base LDAP:
sudo apt-get install libnss-ldap
Algumas perguntas serão feitas. Será solicitado o nome ou ip do servidor LDAP: ldap://servidor-ldap/
Será solicitado o nome do domínio: cn=qualquer,cn=com,cn=br
Solicitado a versão LDAP usada: 3
Colocar root como admin da base LDAP: No
Exige login na base LDAP: No
Se errou na hora de responder as perguntas, você pode fazer o seguinte comando:
sudo dpkg-reconfigure ldap-auth-config
Obs.: O arquivo de configuração fica em /etc/ldap.conf, abra esse arquivo e edite o seguinte parâmetro: descomentar a linha "bind_policy hard" e alterar para "bind_policy soft", adicione mais os seguintes parâmetros:
(alguns desses apenas estão comentados)
timelimit 120;
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim
bind_timelimit 120;
idle_timelimit 3600;
pam_password md5; #caso já não esteja assim
(adicione estes no final do arquivo)
ssl no
tls_cacertdir /etc/openldap/cacerts
tls_cacertdir /etc/openldap/cacerts
Agora edite o arquivo /etc/nsswitch.conf, edite as seguintes linhas:
passwd: files ldap
shadow: files ldap
group: files ldap
shadow: files ldap
group: files ldap
Após isso edite os arquivos pam, de alta importância. Em ordem, entre primeiro no arquivo /etc/pam.d/common-account comentando os comandos existentes (todos!), e insira os seguintes comandos:
account required pam_unix.so broken_shadow
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
Agora o próximo a ser editado é o /etc/pam.d/common-auth, repita a inserção dos comentários em todos os comandos e no final do arquivo insira estes:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
O próximo arquivo a ser editado é /etc/pam.d/common-password, comentando todos os comandos existentes e inserindo estes:
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
Por último edite o arquivo /etc/pam.d/common-session, colocando os comandos existentes em comentário e adicionando estes comandos novos:
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
Pronto para autenticar um Ubuntu na base da dados LDAP.
Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada
Livro grátis (em inglês) para quem está iniciando no GNU/Linux!
Conectar a internet discada por modo texto
Emerald no Ubuntu 11.10 - Como instalar e ativar
Comentários
[1] Comentário enviado por joserf em 16/10/2010 - 12:45h
amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?
abraco.
amigo tenho o ubuntu server 8.04 rodando com ldap, estou querendo migrar para o 10.04 como faco para configurar pois nao existe mais o arquivo slapd.conf em /etc/ldap, sabe alguma maneira ?
abraco.
[2] Comentário enviado por vinigeremia em 16/10/2010 - 21:36h
joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço
joserf. Tente o comando dpkg-reconfigure ou procure pelo arquivo: /etc/ldap.conf
Pois nesta dica, é para cliente e não servidor, desculpe não poder ajudar mais.
Abraço
[3] Comentário enviado por luizmarceloo em 17/10/2010 - 04:59h
josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.
Para você converter o serviço para o antigo método via slapd.conf:
Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):
SLAPD_CONF=CAMINHODOARQUIVO
Reinicie o serviço.
Dessa forma você coveverte o método on-line para o método via arquivo de configuração.
josef, no 10.04 o openLDAP vem por default configurado via cn=config. Esse método dispensa os arquivo slapd.conf e armazena suas configuraṍes em uma árvore on-line.
Para você converter o serviço para o antigo método via slapd.conf:
Crie um arquivo vazio com o nome slapd.conf e edite o arquivo com as conf. do serviço;
Edite o arquivo "/etc/dafault/slapd" e altere a diretiva abaixo (normalmente encontrada logo no começo do arquivo):
SLAPD_CONF=CAMINHODOARQUIVO
Reinicie o serviço.
Dessa forma você coveverte o método on-line para o método via arquivo de configuração.
[4] Comentário enviado por joserf em 17/10/2010 - 13:39h
olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado
olá luizmarceloo obrigado pela dica, eu vou testar aqui e até terça dou uma resposta, obrigado
[5] Comentário enviado por joserf em 19/10/2010 - 04:44h
caro luizmarceloo, funcionou perfeitamente, um abraço
caro luizmarceloo, funcionou perfeitamente, um abraço
[6] Comentário enviado por renatotec em 27/01/2011 - 16:11h
Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!
Amigos, primeiramente gostaria de parabenizar o autor pelo excelente tópico! Mas me deparei com um problema que tentei resolver de algumas formas mas sem sucesso. Seguindo o tuto acima, minhas estações Xubuntu logam normalmente no servidor LDAP, porém se este estiver fora do ar, não consigo fazer logon nem com usuário local! O servidor teoricamente nunca estará fora do ar, mas se o problema estiver em uma placa de rede ou cabeamento, não consigo logar nem para manutenção. Como buscar no PAM usuário local antes? Mas uma vez parabéns a todos que detém o conhecimento e o compartilham! Desde já obrigado!
[7] Comentário enviado por brauliofelipe em 23/02/2011 - 18:45h
caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:
arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass
arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so
GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password
/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so
é isso ae ! essa configuração do PAM da acesso ao usuário local,
se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: brauliofelipe@hotmail.com
caro renatotec segue as configurações utilizadas por mim para o acesso do Cliente ao Diretorio (ldap), Ubuntu 10.04:
arquivo /etc/pam.d/common-account
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
arquivo /etc/pam.d/common-auth
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth required pam_mount.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
arquivo /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md
password sufficient pam_ldap.so use_first_pass
arquivo /etc/pam.d/common-session
session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mount.so
GDM
#%PAM-1.0
auth optional pam_group.so
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
@include common-password
/etc/pam.d/gnome-screensaver
@include common-auth
auth optional pam_gnome_keyring.so
é isso ae ! essa configuração do PAM da acesso ao usuário local,
se faltou algum arquivo posto pra vc depois ! se tiver alguma duvida e eu puder ajudar: brauliofelipe@hotmail.com
[8] Comentário enviado por brauliofelipe em 23/02/2011 - 18:54h
Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??
Dei uma observada no Tópico ae .. e ta faltando algumas coisas, quando o usuario loga não é criado a pasta home ?? cade a configuração do arquivo SLAPD.CONF ? os certificados ?? não existem ? so indica o local da pasta e nada ??
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.460 pts -
Fábio Berbert de Paula
2° lugar - 48.874 pts -
Buckminster
3° lugar - 18.483 pts -
Mauricio Ferrari
4° lugar - 14.716 pts -
Alberto Federman Neto.
5° lugar - 13.508 pts -
Diego Mendes Rodrigues
6° lugar - 12.717 pts -
Daniel Lara Souza
7° lugar - 12.622 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.953 pts -
Andre (pinduvoz)
9° lugar - 10.772 pts -
edps
10° lugar - 10.392 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
