otra entrada que es un apunte.
En esta ocasión, vamos a hacer en nuestros servers, que el login vaya centralizado contra nuestro ldap.
Primero de todo, instalamos las dependencias:
root@pbxshared:/etc/asterisk# apt-get install libpam-ldap nscd
aptitude -y install libnss-ldap libpam-ldap ldap-utils
instalamos y nos pide la url del ldap:
LDAP server URI
ldap://mi.serverldap.com
Distinguished name of the search base:
dc=exemple,dc=local
LDAP version to use:
3
Configuring libpam-ldap
his option will allow password utilities that use PAM to change local passwords.
The LDAP admin account password will be stored in a separate file which will be made readable to root only.
If /etc is mounted by NFS, this option should be disabled.
Allow LDAP admin account to behave like local root?
YES
Database requires login
YES
Configuring libpam-ldap
cn=manager,dc=example,dc=net
Configuring libpam-ldap
mipassword
Ahora editamos el fichero /etc/nsswitch.conf y dejamos tal cual:
passwd: ldap compat
group: ldap compat
shadow: ldap compat
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Editamos el fichero /etc/pam.d/common-session y añadimos al final:
session required pam_mkhomedir.so skel=/etc/skel umask=0022
reiniciamos el servicio nscd
/etc/init.d/nscd restart
Instalamos sudo si no está..
apt-get install sudo
Y modificamos el visudo
#visudo
añadimos el grupo que podrá hacer sudo su
# User privilege specification
root ALL=(ALL:ALL) ALL
%admin_users ALL=(ALL) ALL
Admin_users es el grupo LDAP donde se encuentren nuestros usuarios.
ahora vamos a reestringir a un grupo de ldap el login al server. Editamos el fichero /etc/pam.d/common-auth y añadimos:
auth required pam_access.so
Editamos el fichero /etc/security/access.conf y añadimos el grupo al cual permitiremos acceso, añadiendo al final:
-:ALL EXCEPT root (admin_users):ALL EXCEPT LOCAL