Differences

This shows you the differences between two versions of the page.

--- informatica:linux:ssh_contra_ldap [2013/09/05 14:00] – [Procedimiento] javi
+++ informatica:linux:ssh_contra_ldap [2015/08/24 19:35] (current) – jose
@@ Line 15: / Line 15: @@
 * Requiere TLS, pero el certificado esta autofirmado, por lo que el error debe ser ignorado por el cliente\\
 * Detalle de los usuarios y grupos que usaremos en el ejemplo:\\
+==== Servidor de LDAP ====
 **Usuarios**
+MUY IMPORTANTE QUE ESTÉN CREADOS ASÍ!!! (tiene que tener el campo uid)
 <code>
 dn: ou=people,dc=example,dc=com
@@ Line 53: / Line 58: @@
 ===== Procedimiento =====
+==== Cliente  SSH ====
 . Instalar paquetes:
@@ Line 116: / Line 122: @@
 . Probamos:
+Para ver los usuarios del LDAP que no estén en /etc/passwd:
+  getent passwd
+Probamos de conectar:
   ssh -l user1 servidor1.example.com
+=== Método 2 ===
+Actualmente se configura al instalar el paquete:
+  #apt-get install libpam-ldapd
+Ponemos el servidor de LDAP, el dominio (por ejemplo dc=matarosensefils,dc=net) y marcamos los servicios:
+  passwd
+  group
+  shadow
 ====== sudo como grupo LDAP ======
@@ Line 123: / Line 140: @@
 * Crear un grupo en LDAP que se llame por ejemplo "ldapsudo"\\
+<code>
+# LDIF Export for cn=ldapsudo,ou=groups,dc=jamgo,dc=org
+# Server:  (ldap.local.jamgo.org)
+# Search Scope: sub
+# Search Filter: (objectClass=*)
+# Total Entries: 1
+#
+# Generated by phpLDAPadmin (http://phpldapadmin.sourceforge.net) on August 24, 2015 8:36 pm
+# Version: 1.2.3
+version: 1
+# Entry 1: cn=ldapsudo,ou=groups,dc=jamgo,dc=org
+dn: cn=ldapsudo,ou=groups,dc=jamgo,dc=org
+cn: ldapsudo
+gidnumber: 10003
+memberuid: user1.surename1
+memberuid: user2.surename2
+objectclass: posixGroup
+objectclass: top
+</code>
 * Que ese grupo sea el que determine que un usuario pertenece al selecto grupo de los "sudoers"
@@ Line 173: / Line 213: @@
 **TODO**: hacer que funcione con grupos LDAP de tipo  "posixGroup" en lugar de "nisNetgroup"
 **NOTA**: mientras estamos haciendo pruebas nos aseguramos de que el demonio 'nscd' esta parado
@@ Line 191: / Line 232: @@
 El usuario 'user1' es un usuario LDAP de tipo 'posixAccount'
+TODO: para poder  añadir mas de un usuario he tenido que modificar el schema de nis:
+  olcAttributeTypes: {12}( 1.3.6.1.1.1.1.14 NAME 'nisNetgr
+   oupTriple' DESC 'Netgroup triple' SYNTAX 1.3.6.1.1.1.0.0 )
+Por:
+  olcAttributeTypes: {12}( 1.3.6.1.1.1.1.14 NAME 'nisNetgroupTriple' DESC 'Netgr
+   oup triple' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
 . (Servidor SSH) Editamos:
@@ Line 199: / Line 249: @@
 Y dejamos la linea asi:
-  auth required    pam_access.so
+  auth    required                        pam_access.so
+  auth    required                        pam_permit.so
+**NOTA**: si solo dejamos "pam_access.so" las tareas cron dejan de funcionar. Con esa configuracion los efectos en mi caso son los deseados: cron funciona y los usuarios que no son miembros del grupo LDAP (se hace mas adelante) no pueden iniciar sesion por SSH
 . (Servidor SSH) Nos aseguramos que los [[http://linux.die.net/man/5/netgroup|netgroups]] de esta maquina se van a consultar tambien del servidor LDAP. Editamos:
@@ Line 212: / Line 265: @@
 . (Servidor SSH) Comprobamos que los netgroup tambien los toma del servidor LDAP:
-  sudo getent netgroup ldaptest
+  sudo getent netgroup ldapssh
 Salida esperada:
@@ Line 226: / Line 279: @@
 <code>
-+ : @ldaptest localuser : ALL
++ : @ldapssh localuser : ALL
 - : ALL : ALL
 </code>