Cliente Linux no servidor LDAP

[helldanger1]

Aplicar as configurações necessárias à inclusão de clientes Linux em servidores LDAP. Incluir os pacotes necessários, ajustar adequadamente os arquivos de configuração do cliente LDAP e da política de restrição do PAM (testado no Kurumin 6.0 e 7.0, Debian 3.1 e 4.0, Ubuntu 7.04 e 8.04).

Por: lourival araujo da silva

Introdução
Pacotes necessários
Adicione os pacotes relacionados abaixo nas versões correspondentes à sua distribuição:
libnss-ldap
libpam-ldap
libldap2
ldap-utils
nscd
ldap-clients (incorporado ao pacote ldap-utils nas versões mais recentes)

Observação: O cliente ldap depende da instalação previa do cliente samba.

$ apt-cache search ldap (verifica a existência dos pacotes correspondentes no repositório)
$ apt-get install samba sambafs smbclient (caso não estejam instalados)
$ apt-get install libnss-ldap libpam-ldap libldap2 ldap-utils nscd

 

[helldanger1]

Arquivos criados durante a instalação do cliente LDAP
A instalação dos pacotes criará os arquivos abaixo relacionados, os quais deverão ser editados após a instalação:
/etc/libnss-ldap.conf (libnss-ldap)
/etc/pam_ldap.conf (libpam-ldap)
/etc/ldap/ldap.conf (ldap-utils)

O arquivo /etc/ldap/ldap.conf poderá não ser criado durante a instalação, podemos, para fins práticos, copiar um dos outros dois arquivos renomeando no destino correspondente.


Arquivos a serem editados após a instalação
Os arquivos editados devem adequar o cliente LDAP e as formas de autenticação local e remota.

Arquivos de configuração do cliente LDAP:
/etc/nsswitch.conf
/etc/libnss-ldap.conf
/etc/pam_ldap.conf
/etc/ldap/ldap.conf

Arquivos de configuração da autenticação do cliente Linux:
/etc/pam.d/common-auth
/etc/pam.d/common-account
/etc/pam.d/common-session
/etc/pam.d/common-password
/etc/pam.d/kdm ou /etc/pam.d/gdm-session
/etc/pam.d/login (opcional)
/etc/pam.d/kscreensaver (opcional)

 

[helldanger1]

Alterações realizadas nos arquivos correspondentes ao cliente LDAP
Edite os arquivos de configuração do cliente LDAP:

# vim /etc/nsswitch.conf

passwd: files ldap
shadow: files ldap
group: files ldap
protocols: files ldap
services: files ldap
netgroup: files ldap
automount: files ldap
ethers: files ldap
rpc: files ldap
hosts: files dns
network: files

O parâmetro "files" refere-se a consultas realizadas nos arquivos de configuração locais e o parâmetro "ldap" refere-se a consultas realizadas no servidor remoto. Portanto, para cada parâmetro, será feita a consulta local antes de realizar-se a consulta via rede.

# vim /etc/libnss-ldap.conf (exibindo somente parâmetros alterados)

host 10.0.0.1 # endereço ip do servidor LDAP
base dc=empresa,dc=com,dc=br # domínio do servidor LDAP
ldap-version 3
pam_password crypt # padrão de autenticação utilizado no servidor
nss_base_passwd ou=usuários,dc=empresa,dc=com,dc=br # conforme base de usuários criada no servidor
nss_base_shadow ou=usuários,dc=empresa,dc=com,dc=br # conforme base de usuários criada no servidor
nss_base_group ou=grupos,dc=empresa,dc=com,dc=br # conforme base de usuários criada no servidor

Caso seja permitida consulta anônima ao servidor, os parâmetros sobre autenticação devem permanecer comentados.

#bindpw secret
#rootbinddn cn=manager,dc=empresa,dc=com,dc=br

/etc/ldap/ldap.conf: a configuração desse arquivo poderá ser realizada, para fins práticos, por meio de cópia do arquivo anterior.

 

[helldanger1]

Arquivos dos módulos do PAM do cliente
Arquivos de autenticação comum a todas as aplicações
# vim /etc/pam.d/common-auth

auth sufficient pam_unix.so
auth required pam_ldap.so use_first_pass

# vim /etc/pam.d/common-account

account sufficient pam_unix.so
account required pam_ldap.so use_first_pass

# vim /etc/pam.d/common-password

password sufficient pam_unix.so
password required pam_ldap.so try_first_pass

# vim /etc/pam.d/common-session

session sufficient pam_unix.so
session required pam_ldap.so use_first_pass
session optional pam_mkhomedir.so skel=/etc/skel umask=0022
session optional pam_limits.so

A autenticação "sufficient", em um módulo de "common-auth", indica que o usuário deverá ser buscado em outra base caso não seja encontrado na base local. Se houver a correspondência entre usuário e senha na base local (pam_unix.so), este será autenticado e realizará logon no sistema local, caso contrário será consultada a base remota (pam_ldap.so). O parâmetro use_first_pass aproveita a senha e o usuário da consulta local na consulta remota.

 

[helldanger1]

O parâmetro "try_first_pass" do módulo de gerenciamento de senhas é utilizado para que seja solicitada a senha anterior quando for haver a troca da senha atual.

Os parâmetros do módulo "pam_mkhomedir.so" são utilizados para criar o home dos usuários no servidor quando estes efetuam o primeiro logon. Estes parâmetros devem possuir a prioridade opcional para evitar que o usuário seja proibido de efetuar logon por já possuir um home criado.

O módulo "pam_limits.so" utiliza a configuração existente em /etc/security/limits.conf para criar restrições aos recursos do sistema por parte de aplicações ou usuários.


Arquivos de autenticação para os gerenciadores gráficos kdm e gdm e para o programa login
# vim /etc/pam.d/kdm

@include common-auth
@include common-account
@include common-session
@include common-password
auth required pam_nologin.so
auth required pam_env.so

# vim /etc/pam.d/kscreesaver

auth sufficient pam_ldap.so
auth required pam_unix.so shadow nullok

# vim /etc/pam.d/gdm-session

@include common-auth
@include common-account
@include common-session
@include common-password
auth required pam_nologin.so
auth required pam_env.so

# vim /etc/pam.d/login (opcional)

@include common-auth
@include common-account
@include common-session
@include common-password
auth required pam_securetty_so
auth required pam_nologin.so
auth required pam_env.so

 

[helldanger1]

O módulo pam_nologin.so é utilizado pelo PAM na consulta sobre a existência do arquivo /etc/nologin, se esse arquivo existir, nenhum usuário comum realiza logon na máquina.



O módulo pam_securetty.so é utilizado pelo PAM na consulta sobre a existência de terminal seguro para logon do usuário root, se houver terminal listado no arquivo /etc/securetty, o root poderá realizar logon no sistema, do contrário não poderá haver logon de root na máquina.



A configuração realizada no arquivo /etc/pam.d/kscreesaver, conforme observado por Carlos Morimoto, possibilita que o usuário já logado possa destravar o console na proteção de tela. Caso contrário, seria necessário realizar outro logon na máquina.



Bom trabalho a todos

 

[helldanger1]

Não mostrar o tamanho da pasta, sempre que passas o rato por cima



1. Abre o explorador do windows.


2. Clicas no Organize, para mostrar o menu. E depois clica em Folder and Search options.



3. Vai para a aba View. Desactiva a opção: Display file size information in folder tips