1

Agregar Ubuntu desktop 22.04 como cliente del dominio OpenLDAP

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s, en este post vamos a ver como añadir una máquina Ubuntu Desktop 22.04 como cliente del dominio OpenLDAP.

  • Para empezar, vamos a ajustar el comportamiento de los servicios NSS y PAM en cada cliente que tengamos que configurar, comenzamos por instalar los siguientes paquetes:
  • libnss-ldap, permite que NSS obtenga de LDAP información administrativa de los usuarios (Información de las cuentas, de los grupos, información de la máquina, los alias…)
  • libpam-ldap, facilita la autenticación con LDAP a los usuarios que utilicen PAM.
  • ldap-utils, facilita la interacción con LDAP desde cualquier máquina de la red.
  • Para instalarlos ejecutamos, apt-get install libnss-ldap libpam-ldap ldap-utils -y:

  • Durante el proceso de instalación, se activa un asistente que nos permite configurar el comportamiento de ldap-auth-config.
  • Nos solicita la dirección URi del servidor LDAP, debemos de poner ldap://IPServidorLDAP:

  • Indicamos el dn de nuestro dominio:

  • A continuación, nos pide el número de versión del protocolo LDAP que estamos utilizando, en nuestro caso la 3:

  • Ahora le indicaremos si las utilidades que utilicen PAM deberán comportarse del mismo modo que cuando cambiamos contraseñas locales, esto hará que las contraseñas se guarden en un archivo independiente que sólo podrá ser leído por el superusuario, le indicamos que Sí:

  • El sistema nos pregunta si queremos que sea necesario identificarse para realizar consultas en la base de datos de LDAP, elegimos la opción No:

  • Le indicamos el nombre de la cuenta LDAP que tendrá privilegios para realizar cambios en las contraseñas, deberemos escribir un dn:

  • Le indicamos la password:

  • Una vez que se ha instalado todo correctamente, habremos terminado la configuración básica del cliente LDAP:

  • Para completar la configuración, debemos cambiar algunos parámetros en los archivos de configuración del cliente, en concreto, deberemos editar /etc/nsswitch.conf, /etc/pam.d/common-password y /etc/pam.d/common-session.
  • Editamos el archivo nano /etc/nsswitch.conf y localizamos las líneas que comienzan por passwd, group y shadow y les añadimos el texto ldap, para indicar el nuevo origen para autenticar las cuentas:

  • Editamos el archivo nano /etc/pam.d/common-password que proporciona un conjunto común de reglas PAM para la comprobación de contraseñas, la opción use_authtok, impide utilizar un segundo método de autenticación cuando ya ha sido aplicado otro anterior, aunque éste haya sido insatisfactorio, para evitar este comportamiento, deberemos eliminar la opción use_authtok:

  • Editamos el archivo nano /etc/pam.d/common-session que ofrece un conjunto de reglas PAM para el inicio de sesión, aquí será donde indiquemos que se debe crear un directorio home durante el primer inicio de sesión, también para los usuarios autenticados mediante LDAP, este comportamiento lo conseguiremos añadiendo al final del archivo la siguiente línea, session optional    pam_mkhomedir.so skel=/etc/skel umask=077:

  • Una vez completados los pasos anteriores, ya estamos listos para activar el servicio libnss-ldap, sin embargo, para lograrlo necesitaremos instalar el programa sysv-rc-conf, para ello, ejecutamos, apt-get install sysv-rc-conf:

  • Vemos que nos nos ha dejado instalarlo, porque no localiza el paquete, nos descargamos el paquete a través de este link y lo instalamos ejecutando dpkg -i sysv-rc-conf_0.99-7_all.deb, como vemos nos da errores de dependencia:

  • Para solucionarlo, ejecutamos apt install -f:

  • Si sigue dando problemas ejecutamos apt –fix-broken install
  • Si el paquete se isntala correctamente ya podemos iniciar sesión con los usuarios del ldap:

  • Como podemos ver, ya estoy logueado con el usuario del dominio:

 

Saludos y espero que os sea de ayuda 😉

 

 

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Un comentario

  1. Pingback: Administración de servicios de directorios – RAGASYS SISTEMAS

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.