Como configurar o cliente LDAP para conectar a autenticação externa

LDAP (abreviatura de Protocolo de acesso ao diretório leve) é um padrão do setor, amplamente utilizado, conjunto de protocolos para acessar serviços de diretório.

Um serviço de diretório em termos simples é um banco de dados centralizado baseado em rede otimizado para acesso de leitura. Ele armazena e fornece acesso a informações que devem ser compartilhadas entre aplicativos ou são altamente distribuídos.

Os serviços de diretório desempenham um papel importante no desenvolvimento de aplicativos de intranet e Internet, ajudando você a compartilhar informações sobre usuários, sistemas, redes, aplicativos e serviços em toda a rede.

Um caso de uso típico para LDAP é oferecer um armazenamento centralizado de nomes de usuário e senhas. Isso permite que vários aplicativos (ou serviços) se conectem ao servidor LDAP para validar usuários.

Depois de configurar um trabalho LDAP Servidor, você precisará instalar bibliotecas no cliente para se conectar a ele. Neste artigo, mostraremos como configurar um cliente LDAP para se conectar a uma fonte de autenticação externa.

Espero que você já tenha um ambiente de servidor LDAP em funcionamento, se não for configurado para o servidor LDAP para autenticação baseada em LDAP.

Como instalar e configurar o cliente LDAP no Ubuntu e no CentOS

Nos sistemas clientes, você precisará instalar alguns pacotes necessários para fazer o mecanismo de autenticação funcionar corretamente com um servidor LDAP.

Configure o cliente LDAP no Ubuntu 16.04 e 18.04

Primeiro começo instalando os pacotes necessários executando o seguinte comando.

$ sudo apt update && sudo apt install libnss-ldap libpam-ldap ldap-utils nscd 

Durante a instalação, você será solicitado para obter detalhes de seu LDAP servidor (forneça os valores de acordo com o seu ambiente). Observe que o LDAP-Auth-Config O pacote que é instalado automaticamente faz a maior parte das configurações com base nas entradas que você insere.

Digite URI do servidor LDAP

Em seguida, insira o nome da base de pesquisa LDAP, você pode usar os componentes de seus nomes de domínio para esse fim, como mostrado na captura de tela.

Digite a base de pesquisa do LDAP

Escolha também a versão LDAP para usar e clique OK.

Selecione a versão LDAP

Agora configure a opção para permitir que você faça utilitários de senha que usam Pam para se comportar como se você estivesse mudando de senhas locais e clique Sim continuar…

Faça o administrador do banco de dados raiz local

Em seguida, desative o requisito de login no banco de dados LDAP usando a próxima opção.

Desative o login no banco de dados LDAP

Defina também a conta LDAP para root e clique em OK.

Definir conta LDAP para raiz

Em seguida, digite a senha a ser usada quando LDAP-Auth-Config tenta fazer login no diretório LDAP usando a conta LDAP para raiz.

Digite a senha do LDAP Root

Os resultados da caixa de diálogo serão armazenados no arquivo /etc/ldap.conf. Se você quiser fazer alguma alteração, abra e edite este arquivo usando seu editor de linha de comando favorito.

Em seguida, configure o perfil LDAP para NSS executando.

$ sudo auth -client -config -t nss -p lac_ldap 

Em seguida, configure o sistema para usar o LDAP para autenticação, atualizando as configurações do PAM. No menu, escolha LDAP e quaisquer outros mecanismos de autenticação que você precisa. Agora você deve poder fazer login usando credenciais baseadas em LDAP.

$ sudo pam-auth-update 

Configurar mecanismo de autenticação PAM

Caso você queira que o diretório inicial do usuário seja criado automaticamente, você precisa executar mais uma configuração no arquivo PAM de sessão comum.

$ sudo vim /etc /pam.d/sessão comum 

Adicione esta linha nela.

Sessão necessária PAM_MKHOMEDIR.Então skel =/etc/skel umask = 077 

Salve as alterações e feche o arquivo. Em seguida, reinicie o NCSD (Nome Service Cache Daemon) Serviço com o seguinte comando.

$ sudo systemctl reiniciar nscd $ sudo systemctl atability nscd 

Observação: Se você estiver usando a replicação, os clientes LDAP precisarão se referir a vários servidores especificados em /etc/ldap.conf. Você pode especificar todos os servidores neste formulário:

Uri ldap: // ldap1.exemplo.com ldap: // ldap2.exemplo.com 

Isso implica que a solicitação será interrompida e se o Fornecedor (LDAP1.exemplo.com) se torna sem resposta, o Consumidor (LDAP2.exemplo.com) tentará ser alcançado para processá -lo.

Para verificar as entradas do LDAP para um determinado usuário do servidor, execute o comando getent, por exemplo.

$ getent passwd tecmint 

Se o comando acima exibir detalhes do usuário especificado do /etc/passwd Arquivo, sua máquina cliente agora está configurada para autenticar com o servidor LDAP, você poderá fazer login usando credenciais baseadas em LDAP.

Configure o cliente LDAP no CentOS 7

Para instalar os pacotes necessários, execute o seguinte comando. Observe que nesta seção, se você estiver operando o sistema como um usuário administrativo sem raios, use o Comando sudo Para executar todos os comandos.

# yum update && yum install openldap openldap-clients nss-pam-LDAPD 

Em seguida, permita que o sistema do cliente se autentique usando o LDAP. Você pode usar o AuthConfig Utilitário, que é uma interface para configurar recursos de autenticação do sistema.

Execute o seguinte comando e substitua exemplo.com com seu domínio e dc = exemplo, dc = com com seu controlador de domínio LDAP.

# authconfig --enableldap --enableldapauth --ldapsserver = ldap.exemplo.com --ldapBasedn = "dc = exemplo, dc = com" --enablemkhomedir -update 

No comando acima, o --Enablemkhomedir a opção cria um diretório local de usuário local na primeira conexão se não existir.

Em seguida, teste se as entradas do LDAP para um usuário em particular do servidor, por exemplo, usuário Tecmint.

$ getent passwd tecmint 

O comando acima deve exibir detalhes do usuário especificado do /etc/passwd arquivo, o que implica que a máquina cliente agora está configurada para autenticar com o servidor LDAP.

Importante: Se o Selinux estiver ativado no seu sistema, você precisará adicionar uma regra para permitir a criação de diretórios domésticos automaticamente por Mkhomedir.

Para obter mais informações, consulte a documentação apropriada do Catalog de documentos do Software OpenLDAP.

Resumo

LDAP, é um protocolo amplamente utilizado para consultar e modificar um serviço de diretório. Neste guia, mostramos como configurar um cliente LDAP para conectar -se a uma fonte de autenticação externa, nas máquinas clientes do Ubuntu e do CentOS. Você pode deixar perguntas ou comentários que pode ter usando o formulário de feedback abaixo.