informatica:linux:ssh_contra_ldap
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatica:linux:ssh_contra_ldap [2013/08/20 14:36] – javi | informatica:linux:ssh_contra_ldap [2015/08/24 18:34] – [sudo como grupo LDAP] javi | ||
---|---|---|---|
Line 15: | Line 15: | ||
* Requiere TLS, pero el certificado esta autofirmado, | * Requiere TLS, pero el certificado esta autofirmado, | ||
* Detalle de los usuarios y grupos que usaremos en el ejemplo:\\ | * Detalle de los usuarios y grupos que usaremos en el ejemplo:\\ | ||
+ | |||
+ | ==== Servidor de LDAP ==== | ||
**Usuarios** | **Usuarios** | ||
+ | |||
+ | MUY IMPORTANTE QUE ESTÉN CREADOS ASÍ!!! (tiene que tener el campo uid) | ||
+ | |||
< | < | ||
dn: ou=people, | dn: ou=people, | ||
Line 53: | Line 58: | ||
===== Procedimiento ===== | ===== Procedimiento ===== | ||
+ | ==== Cliente | ||
1. Instalar paquetes: | 1. Instalar paquetes: | ||
Line 93: | Line 99: | ||
# The location at which the LDAP server(s) should be reachable. | # The location at which the LDAP server(s) should be reachable. | ||
- | uri ldaps:// | + | uri ldaps:// |
# The search base that will be used for all queries. | # The search base that will be used for all queries. | ||
Line 116: | Line 122: | ||
6. Probamos: | 6. Probamos: | ||
+ | Para ver los usuarios del LDAP que no estén en / | ||
+ | getent passwd | ||
+ | Probamos de conectar: | ||
ssh -l user1 servidor1.example.com | ssh -l user1 servidor1.example.com | ||
- | | + | |
+ | === Método 2 === | ||
+ | Actualmente se configura al instalar el paquete: | ||
+ | #apt-get install libpam-ldapd | ||
+ | Ponemos el servidor de LDAP, el dominio (por ejemplo dc=matarosensefils, | ||
+ | passwd | ||
+ | group | ||
+ | shadow | ||
====== sudo como grupo LDAP ====== | ====== sudo como grupo LDAP ====== | ||
| | ||
Line 123: | Line 140: | ||
* Crear un grupo en LDAP que se llame por ejemplo " | * Crear un grupo en LDAP que se llame por ejemplo " | ||
+ | |||
+ | < | ||
+ | # LDIF Export for cn=ldapsudo, | ||
+ | # Server: | ||
+ | # Search Scope: sub | ||
+ | # Search Filter: (objectClass=*) | ||
+ | # Total Entries: 1 | ||
+ | # | ||
+ | # Generated by phpLDAPadmin (http:// | ||
+ | # Version: 1.2.3 | ||
+ | |||
+ | version: 1 | ||
+ | |||
+ | # Entry 1: cn=ldapsudo, | ||
+ | dn: cn=ldapsudo, | ||
+ | cn: ldapsudo | ||
+ | gidnumber: 10003 | ||
+ | memberuid: javier.legido | ||
+ | objectclass: | ||
+ | objectclass: | ||
+ | </ | ||
+ | |||
* Que ese grupo sea el que determine que un usuario pertenece al selecto grupo de los " | * Que ese grupo sea el que determine que un usuario pertenece al selecto grupo de los " | ||
Line 173: | Line 212: | ||
**TODO**: hacer que funcione con grupos LDAP de tipo " | **TODO**: hacer que funcione con grupos LDAP de tipo " | ||
+ | |||
**NOTA**: mientras estamos haciendo pruebas nos aseguramos de que el demonio ' | **NOTA**: mientras estamos haciendo pruebas nos aseguramos de que el demonio ' | ||
Line 199: | Line 239: | ||
Y dejamos la linea asi: | Y dejamos la linea asi: | ||
- | auth required | + | auth required |
+ | auth required | ||
+ | |||
+ | **NOTA**: si solo dejamos "pam_access.so" las tareas cron dejan de funcionar. Con esa configuracion los efectos en mi caso son los deseados: cron funciona y los usuarios que no son miembros del grupo LDAP (se hace mas adelante) no pueden iniciar sesion por SSH | ||
3. (Servidor SSH) Nos aseguramos que los [[http:// | 3. (Servidor SSH) Nos aseguramos que los [[http:// | ||
Line 212: | Line 255: | ||
4. (Servidor SSH) Comprobamos que los netgroup tambien los toma del servidor LDAP: | 4. (Servidor SSH) Comprobamos que los netgroup tambien los toma del servidor LDAP: | ||
- | sudo getent netgroup | + | sudo getent netgroup |
Salida esperada: | Salida esperada: | ||
Line 226: | Line 269: | ||
< | < | ||
- | + : @ldaptest | + | + : @ldapssh |
- : ALL : ALL | - : ALL : ALL | ||
</ | </ |
informatica/linux/ssh_contra_ldap.txt · Last modified: 2015/08/24 19:35 by jose