Debian client login ldap server

linux

otra entrada que es un apunte.

En esta ocasión, vamos a hacer en nuestros servers, que el login vaya centralizado contra nuestro ldap.

Primero de todo, instalamos las dependencias:


root@pbxshared:/etc/asterisk# apt-get install libpam-ldap nscd


aptitude -y install libnss-ldap libpam-ldap ldap-utils

instalamos y nos pide la url del ldap:


LDAP server URI
ldap://mi.serverldap.com


Distinguished name of the search base:
dc=exemple,dc=local


LDAP version to use:
3


Configuring libpam-ldap
his option will allow password utilities that use PAM to change local passwords.
The LDAP admin account password will be stored in a separate file which will be made readable to root only.
If /etc is mounted by NFS, this option should be disabled.
Allow LDAP admin account to behave like local root?

YES


Database requires login
YES


Configuring libpam-ldap
cn=manager,dc=example,dc=net


Configuring libpam-ldap
mipassword

Ahora editamos el fichero /etc/nsswitch.conf y dejamos tal cual:

passwd: ldap compat
group: ldap compat
shadow: ldap compat

gshadow: files

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

Editamos el fichero /etc/pam.d/common-session y añadimos al final:

session required pam_mkhomedir.so skel=/etc/skel umask=0022

reiniciamos el servicio nscd

/etc/init.d/nscd restart

Instalamos sudo si no está..

apt-get install sudo

Y modificamos el visudo


#visudo

añadimos el grupo que podrá hacer sudo su

# User privilege specification
root ALL=(ALL:ALL) ALL
%admin_users ALL=(ALL) ALL

Admin_users es el grupo LDAP donde se encuentren nuestros usuarios.

ahora vamos a reestringir a un grupo de ldap el login al server. Editamos el fichero /etc/pam.d/common-auth y añadimos:

auth required pam_access.so

Editamos el fichero /etc/security/access.conf y añadimos el grupo al cual permitiremos acceso, añadiendo al final:

-:ALL EXCEPT root (admin_users):ALL EXCEPT LOCAL

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *