vodkone.estri.net

  • Increase font size
  • Default font size
  • Decrease font size
Home LDAP Server ReteFaiX3 - Registrare un client ad OpenLdap Server (Tutorial)

ReteFaiX3 - Registrare un client ad OpenLdap Server (Tutorial)

Print

Titolo:ReteFaiX3 - Registrare un client ad OpenLdap Server (Tutorial)
Sistema:Linux XUbuntu 9.04
Pacchetti:libnss-ldap
Contenuto:Registrazione di un client su di un server openldap
 Configurazione dell'autenticazione di un client
 Configurazione dell'ambiente per l'utilizzo di account OpenLdap

Nell'ultima guida del progetto ReteFaiX3 abbiamo visto come creare un server OpenLdap e come popolarlo con account e gruppi. Ora vedremo quale e' la prassi per permettere ad un client di validare gli account sul server OpenLdap anziche' localmente. Questo permettera' agli utenti, con una abbinata user e password definita sul server, di autenticarsi su qualsiasi client presente nella nostra rete.
Prima di incominciare come consuetudine installando, andremo ad aggiungere un pezzo di configurazione alla nostra directory openldap. Nella fattispecie aggiungeremo un gruppo atto a contenere tutti gli Utenti del nostro Dominio che dovranno fare login sui client.
Colleghiamoci quindi sul server e creiamo, come fatto in precedenza, un file denominato gruppo.miodominio.ldif al cui interno inseriamo:

dn: cn=Utenti,ou=groups,dc=mioDominio
objectClass: posixGroup
cn: Utenti
gidNumber: 10000

Ovviamente voi inserirete il vostro DN nella prima riga, accertandovi di cambiare il parametro DC affinche' contenga il nome del vostro dominio. Eseguiamo quindi il comando:

ldapadd -x -D cn=admin,dc=mioDominio -W -f gruppo.miodominio.ldif

Se non avete fatto errori compilando il file, avete appena aggiunto un gruppo denominato "Utenti" nella OU "groups" del vostro dominio.
Il primo account che creammo nella guida precedente aveva gia' indicato come parametro di appartenenza ad un gruppo il valore "10000" che e' l'ID del gruppo di dominio appena aggiunto. Di conseguenza l'utente precedentemente creato e' gia' membro del nostro gruppo. Ricordate d'ora in poi di assegnare tutti gli utenti che creerete a questo gruppo.
Torniamo ora alla installazione del pacchetto. Accediamo dalla finestra di terminale (trattandosi di un client sarebbe piu' comodo utilizzare l'ambiente grafico, ma per coerenza, e soprattutto perche' in seguito questa operazione dovra' essere effettuata anche sui server, continueremo ad usare la vecchia e cara riga di comando) e digitiamo:

sudo apt-get install libnss-ldap

Verra' richiesta la solita conferma a seguito dell'elenco dei pacchetti che verranno installati. Digitiamo YES.
A questo punto incomincia il wizard di configurazione.
Nella prima finestra viene richiesta la unifrom resource identifier (URI) del nostro ldap server.

Inserisco ldap://serverUno.mioDominio, voi inserite il fully qualified domain name (FQDN) del vostro ldap server. Diamo conferma e proseguiamo.
Nella seconda finestra viene richiesto il distinguished name della base di ricerca LDAP (Ldap search base).

Inserisco dc=mioDominio, voi inserite il vostro. Qualora abbiate scelto un nome di dominio di secondo livello, inserite l'informazione nella forma dc=secondolivello, dc=primolivello. Ad esempio: se il vostro dominio e' example.org allore inserite dc=example,dc=org. Diamo conferma e proseguiamo

Nella terza finestra viene richiesta la versione del protocollo ldap da usare.

Inseriamo la versione 3 e diamo conferma.
Nella quarta finestra viene richiesto se si vuole che le password utility che utilizzano pam si comportino trasparentemente come se si stessero usando le password locali.

Digitamo si e proseguiamo.
Nella quinta finestra viene richiesto se il database di LDAP richieda una login

Per questione di sicurezza sarebbe opportuno impostare una login a cui venga consentito l'accesso al database delle informazioni, ma per il momento faremo le cose semplici e digiteremo NO. Ci occuperemo in seguito di impostare la sicurezza a dovere.
Nella sesta finestra viene richiesto quale sia l'account con privilegi da utilizzare per eseguire il cambio della password di un utente (ci vuole un account con diritti di scrittura sul db).

Inseriamo l'utenza amministrativa definita nella precedente guida, anche qui vale il discorso di sicurezza: dovremmo usare un account con permessi ridotti rispetto all'amministratore, ma per ora ci accontenteremo di vedere funzionare il nostro client. In seguito vedremo come creare un account apposito e quale diritti assegnargli.
Nella settima finestra viene richiesta la password da utilizzare per l'utenza precedentemente inserita. Viene altresi' segnalato che la password verra' memorizzata in un file separato leggibile solo da root (/etc/ldap-secret).

A questo punto, inserita la password, abbiamo teminato la configurazione dell'autenticazione del pacchetto libnss-ldap. Ora dovremo attivare la configurazione segnalando al nostro client quali modalita' e con quale priorita' di autenticazione porre in essere. Per farlo useremo il comando auth-client-config. Digitiamo:

sudo auth-client-config -t nss -p lac_ldap

dove -t indica che si deve modificare il file /etc/nsswitch.conf
-p e' il nome del profilo da abilitare
e ldac_ldap e' il profilo di auth-client-config che e' parte del pacchetto ldap-auth-config
Ora configuriamo il sisetma in modo che usi ldap insieme all'autenticazione locale digitando:

sudo pam-auth-update

Selezioniamo tutte le modalita' di accesso e confermiamo.

Ora dovremo aggiungere un pezzo di configurazione ad un file, procediamo editando la sezione common-session del file di configurazione di pam, ovvero nel caso di ubuntu /etc/pam.d/common-session. Cerchiamo la riga:

session required pam_unix.so

ed aggiungiamo subito dopo:

session required pam_mkhomedir.so skel=/etc/skel/

Questa library permette al sistema di creare la home directory dell'utente all'atto della logon qualora non esista gia', ovvero alla prima connessione assoluta al client. Se omettessimo questo passaggio il sistema ci segnalerebbe errore subito dopo aver inserito la password.
In una prossima lezione vedremo invece come centralizzare le cartelle degli utenti, salvandole all'interno di un file server e configurando pam in modo che acceda via network anziche' cercarle sul file system locale.
ATTENZIONE!!!!
Realizzando il sistema in test, mi sono accorto di un problema. Installando una versione qualsiasi della famiglia ubuntu, all'atto della installazione viene creato un utente locale a cui viene assegnato identificatore univoco UIDNumber equivalente al valore numerico 1000. Esssendo questo lo stesso UIDNumber assegnato all'account da noi creato in fase di realizzazione del openldap server, si creano alcuni conflitti nell'utilizzo della workstation. Succede infatti che, accedendo con l'utenza inserita nella directory, avente UIDNumber uguale a 1000, il sistema confonda detto account con quello creato localmente in fase di install. Per ovviare a questo inconveniente si possono seguire due vie: o creare utenze di dominio con UID superiore a 1010 (in questo modo possiamo creare fino a 10 utenze locali senza creare ambiguita'), oppure si puo' cambiare il numero UID dell'utenza locale agendo direttamente nel file /etc/passwd. Prima di farlo pero', bisognera' cambiare l'owner della cartella e di tutti i sotto-file e le sotto-directory presenti nella home directory dell'utente.
Vi lascio ora con alcune ricerche suggerite in caso di errori particolari riscontrati nella messa in opera di questo tutorial.

Per approfondire:

Informazioni generiche su autenticazione linux LDAP client(EN)
Errori in fase di installazione del client ldap linux(EN)
Configuazione di PAM per l'autenticazione al server openldap (EN)
Configurazione dell'autenticazione di un linux client ldap (EN)
Informazioni sul file di configurazione delle sessioni di un linux client ldap (EN)
Informazioni sul file di configurazione degli account di un linux client ldap (EN)
Informazioni sul file di configurazione di autenticazione di un linux client ldap (EN)



blog comments powered by Disqus
Last Updated on Sunday, 25 October 2009 18:42  


Banner top aggregator

Notizie dal mondo linux

lffl linux freedom
news dal mondo linux - ubuntu
  • Ufficiale: Meizu e Canonical annunciano il Meizu PRO 5 Ubuntu Edition

    Il produttore cinese Meizu in partnership con Canonical, celebre casa sviluppatrice della distro Linux Ubuntu, ha annunciato ufficialmente il Meizu PRO 5 Ubuntu Edition, come anticipatovi nei giorni scorsi.

    Il dispositivo rappresenta uno degli attuali top di gamma del mercato con un comparto hardware di altissimo profilo ed un design premium caratterizzato da una scocca in metallo.

    Continua a leggere...
  • Windows 10: tracce di Linux nell'ultima build?
    Secondo quanto riportato da alcuni utenti in rete, l'ultima build di Windows 10, il sistema operativo sviluppato da Microsoft, conterrebbe "tracce" di Linux.

    Nello specifico nei file di sistema della build 14251 di Windows 10 sono presenti LXCore.sys e LXss.sys.

    Continua a leggere...
  • MaruOS: Android si fonde con Debian in questa nuova "Convergence"
    Abbiamo parlato spesso della Convergence o Convergenza se vogliamo italianazzarlo, ovvero di quella funzionalità su cui sta puntando Canonical per rendere perfettamente adattabile e scalabile Ubuntu in base al dispositivo utilizzato che sia uno smartphone, un tablet o un PC.

    Di recente ha fatto la sua comparsa un nuovo competitor in questo settore. Stiamo parlando di MaruOS, un progetto che ambisce ad offrire un'alternativa a Convergence di Canonical e Continuum di Microsoft.

    Continua a leggere...
  • Aquaris M10 Tablet: finalmente arriva la Convergence di Ubuntu?
    Uno delle funzionalità più attese dagli utenti Ubuntu è sicuramente Convergence, profilo software che consente di passare dalla modalità "mobile" di un tablet o uno smartphone alla modalità Desktop semplicemente collegando il dispositivo stesso ad un monitor.

    Il nuovo tablet di Ubuntu, l'Aquaris M10, dovrebbe essere finalmente in grado di offrire tale funzionalità in maniera stabile e pienamente operativa.


    Continua a leggere...
  • Linus Torvalds annuncia la seconda RC di Linux Kernel 4.5
    Linus Torvalds ha annunciato la seconda release candidate del Linux Kernel 4.5 che apporta molteplici migliorie risultando, come dichiarato, un upgrade sicuramente maggiore rispetto alla prima release candidate.


    Continua a leggere...