Autenticación LDAP de Linux

Este artículo se centrará en usar un servidor Linux para autenticarse con el directorio de Linux. Los directorios LDAP en entornos de Linux pueden ser directorios locales o de red. En particular, los directorios de red son útiles donde y cuándo se necesita una autenticación central, mientras que los directorios locales operan dentro de la misma computadora y no en una red.

Si bien nos centraremos en el protocolo LDAP, discutir una autenticación LDAP de Linux es imposible sin incluir NSS y PAM en el tutorial. Por lo tanto, también discutiremos cómo configurar los módulos NSS y PAM para trabajar con las computadoras del cliente a través del proceso de autenticación. Esta guía se centra en la autenticación en línea.

Paso 1: Instale el servidor OpenLDAP

No se autenticará con LDAP si no lo tiene instalado en sus sistemas. Entonces, el primer paso es asegurarse de que haya instalado OpenLDAP en su sistema. Ya discutimos el proceso de instalación elaboradamente en nuestro artículo anterior.

Este comando debería ayudarlo a instalar OpenLDAP en Ubuntu 22:04:

Paso 2: Establezca controles de acceso

Una vez que se complete el proceso de instalación, continúe para configurar los controles de acceso. Configurar los controles de acceso asegura que nadie pueda acceder y leer ninguna contraseña cifrada desde el servidor LDAP. Sin embargo, los usuarios aún pueden editar algunos de sus atributos, como contraseñas y fotos personales.

Puede lograr esta configuración creando e importando el siguiente archivo LDIF. Y una vez hecho, puedes reiniciar el abatimiento.servicio.

Paso 3: Agregue datos base al árbol LDAP

Crear una base temporal.Archivo LDIF que contiene los siguientes detalles:

Puede personalizar los detalles reemplazando el ejemplo y la organización con sus credenciales de dominio reales. Una vez hecho esto, agregue los detalles anteriores a su Tee OpenLDAP usando este comando:

Pruebe utilizando el siguiente comando para confirmar si la importación de datos fue exitosa:

Paso 3: Agregar usuarios

Para agregar un usuario, debe crear un .Archivo LDIF como el siguiente. Nuestro usuario para esta demostración es Kenbrian y nuestra credencial de dominio es Linhint.comunicarse.

El *********** presente en la entrada de la palabra de usuario de usuario representa su contraseña, que es el valor de slappasswd o /etc/sombra. Ahora puede agregar el usuario una vez que tenga el .Archivo LDIF utilizando el siguiente comando:

También puede usar el comando LDAPADD para agregar más de un usuario al directorio creando sus diversas credenciales a la vez y agregándolas utilizando la utilidad anterior. Una lista de credenciales puede verse así:

Paso 4: Configure el servidor LDAP del cliente

Puede configurar un servidor OpenDLAP y asegurarse de consultar con éxito el servidor utilizando el ldapsearch dominio. Una vez configurado, puede decidir si continuar con la autenticación en línea y fuera de línea o solo en línea.

A continuación se muestra la línea de comando o sintaxis básica de Ldapsearch:

Paso 5: Configurar NSS

NSS, también conocido como Servicio de Servicio de Names, es un sistema a menudo utilizado para administrar bases de datos de configuración de diferentes fuentes. Por lo tanto, lo encontrará vital en una variedad de aplicaciones LDAP. Los siguientes pasos serán vitales para configurar NSS:

• Instalar NSS con el nss-pam-ldapd paquete.
• Editar el archivo de configuración central nss, que es el /etc/nsswitch.confusión. Este archivo informa a NSS de los archivos que se utilizarán para las respectivas bases de datos del sistema. La edición del archivo requerirá que agregue directivas LDAP a las bases de datos de grupo, PASSWD y Shadow. Asegúrese de que su archivo editado se vea así:

1. También necesitará editar el /etc/nsswitch.confusión. Archivo para cambiar el URI y las líneas base para que se ajusten a la configuración de su servidor LDAP.
2. Si su servidor LDAP solicita una contraseña, edite ambos bindpw y binddn secciones. Continúe reemplazando su /etc/nsswitch.confusión permiso de nslcd a 0600 Para un comienzo adecuado.
3. Use el comando SystemD para iniciar el nslcd.servicio. Con eso, sus usuarios de LDAP deben ser visibles cuando se ejecute Getent passwd comandar en su servidor cliente.

Paso 6: Configurar PAM

Discutimos cómo configurar PAM en un entorno de Linux en un artículo anterior. Pero para esta ilustración, asegúrese de configurar el módulo de autenticación conectable utilizando el pam_ldap.entonces. Mientras que en eso, edite el /etc /pam.archivo d/system-autor de PAM.d. El resultado debe ser como en la siguiente figura:

Proceder a editar el /etc/pam.D/SU así como el /etc/pam.D/SU-L archivos. El /etc/pam.D/SU-L el archivo es útil cada vez que el /etc/pam.D/SU El inicio de sesión es ejecutado por el usuario. Lugar pam_ldap.entonces suficiente por encima de cada sección excepto el pam_rootok.

Ahora, permita a los usuarios editar sus contraseñas haciendo ediciones para el /etc/pam.D/PASSWD archivo.

Paso 7: Crear carpetas de inicio en el inicio de sesión

Puede elegir crear carpetas de inicio en el inicio de sesión en caso de que su sistema no use NFS para almacenar carpetas. Cree una carpeta de inicio al inicio de sesión editando /etc/pam.D/System-Login Y luego agregando pam_mkhomedir.entonces a la sesión secciones sobre todo suficiente elementos.

Paso 8: Habilitar sudo

Habilitar sudo del usuario LDAP editando /etc /pam.d/sudo y modificarlo adecuadamente.

Agregue el comando a continuación al/etc/openLDAP/LDAP.Archivo Conf:

Conclusión

Los pasos anteriores deben ayudarlo a implementar una autenticación en línea de Linux LDAP junto con PAM y NSS. Este sistema es útil para asegurar sus sistemas. Más importante aún, puede usarlo para consultar y administrar la información de su empresa.