| SUSE Documentación de LINUX Capítulo 45. LDAP: un servicio de directorio / 45.5. El cliente LDAP de YaST | ||||
|---|---|---|---|---|
 | 45.4. Gestión de datos en el directorio LDAP | 45.6. Configuración de los usuarios y grupos LDAP en YaST |  | |
| SUSE Documentación de LINUX Capítulo 45. LDAP: un servicio de directorio / 45.5. El cliente LDAP de YaST | ||||
|---|---|---|---|---|
| 45.4. Gestión de datos en el directorio LDAP | 45.6. Configuración de los usuarios y grupos LDAP en YaST | | |
YaST incluye un módulo para configurar la gestión de usuarios basada en LDAP. Si no ha habilitado esta función durante la instalación, inicie el módulo seleccionando + YaST habilitará automáticamente cualquier cambio relacionado con PAM y NSS que necesite LDAP (tal y como se describe a continuación) e instalará los archivos necesarios.
El conocimiento previo de los procesos que actúan en segundo plano de un equipo cliente le ayudará a entender cómo funciona el módulo del cliente LDAP de YaST. Si se activa LDAP para la autenticación de red o se llama al módulo YaST, se instalan los paquetes pam_ldap y nss_ldap y se adaptan los dos archivos de configuración correspondientes. pam_ldap es el módulo PAM responsable de la negociación entre los procesos de inicio de sesión y el directorio LDAP como origen de los datos de autenticación. El módulo dedicado pam_ldap.so se instala y la configuración de PAM se adapta (consulte el Ejemplo 45.11, “pam_unix2.conf adaptado a LDAP”).
Ejemplo 45.11. pam_unix2.conf adaptado a LDAP
auth: use_ldap account: use_ldap password: use_ldap session: none
Al configurar manualmente los servicios adicionales para usar LDAP, incluya el módulo PAM de LDAP en el archivo de configuración PAM correspondiente al servicio en /etc/pam.d. Los archivos de configuración ya adaptados a los servicios individuales se pueden encontrar en /usr/share/doc/packages/pam_ldap/pam.d/. Copie los archivos adecuados en /etc/pam.d.
La resolución de nombres de glibc mediante el mecanismo nsswitch se adapta al empleo de LDAP con nss_ldap. Se crea un archivo nsswitch.conf nuevo y adaptado en /etc/ con la instalación de este paquete. Puede obtener más información acerca del funcionamiento de nsswitch.conf en la Sección 38.5.1, “Archivos de configuración”. Las líneas siguientes deben estar presentes en nsswitch.conf para la administración y autenticación del usuario con LDAP. Consulte el Ejemplo 45.12, “Adaptaciones en nsswitch.conf”.
Ejemplo 45.12. Adaptaciones en nsswitch.conf
passwd: compat group: compat passwd_compat: ldap group_compat: ldap
Estas líneas ordenan la biblioteca Resolver de glibc primero para evaluar los archivos correspondientes en /etc y después para acceder al servidor LDAP como orígenes para los datos de autenticación y de usuarios. Compruebe este mecanismo, por ejemplo, leyendo el contenido de la base de datos del usuario con el comando getent passwd. El conjunto devuelto debe contener un informe de los usuarios locales del sistema además de todos los usuarios almacenados en el servidor LDAP.
Para impedir que usuarios normales gestionados mediante LDAP puedan iniciar sesión en el servidor con ssh o login, los archivos /etc/passwd y /etc/group deben incluir una línea adicional. Esta es la línea +::::::/sbin/nologin en /etc/passwd y +::: en /etc/group.
Después de que YaST se haya encargardo de los ajustes iniciales de nss_ldap, pam_ldap, /etc/passwd y /etc/group, podrá conectar sencillamente el cliente con el servidor y dejar que YaST se encargue de la gestión de usuarios mediante LDAP. La configuración básica está descrita en la Sección 45.5.2.1, “Configuración básica”.
Utilice el cliente LDAP de YaST para seguir configurando los módulos de configuración de usuarios y grupos de YaST. Esto incluye la manipulación de los ajustes por defecto para los nuevos grupos y usuarios y el número y la naturaleza de los atributos asignados a un usuario o a un grupo. La gestión de usuarios de LDAP le permite asignar más atributos y diferentes a los usuarios y grupos que las soluciones de gestión de usuarios o grupos tradicionales. Este aspecto se describe en la Sección 45.5.2.2, “Configuración de los módulos de administración de usuarios y grupos de YaST”.
El cuadro de diálogo de configuración básica del cliente LDAP (Figura 45.2, “YaST: configuración del cliente LDAP”) se abre durante la instalación si elige la gestión de usuarios de LDAP o cuando selecciona + en el Centro de control de YaST en el sistema instalado.
Para autenticar a los usuarios en el equipo con un servidor OpenLDAP y habilitar la gestión de usuarios mediante OpenLDAP, actúe de la siguiente manera:
Haga clic en para habilitar la utilización de LDAP. Seleccione en su lugar si desea usar LDAP para la autenticación pero no desea que otros usuarios inicien sesión en este cliente.
Introduzca la dirección IP del servidor LDAP que va a usar.
Introduzca el para seleccionar la base de búsqueda en el servidor LDAP.
Si es necesario que la comunicación de TLS o SSL con el servidor esté protegida, seleccione
Si el servidor LDAP sigue usando LDAPv2, habilite explícitamente el uso de esta versión del protocolo seleccionando
Seleccione para montar los directorios remotos en el cliente, como un directorio /home gestionado remotamente.
Haga clic en para aplicar los ajustes.
Para modificar los datos del servidor como administrador, haga clic en El siguiente cuadro de diálogo está dividido en dos pestañas. Consulte la Figura 45.3, “YaST: Configuración avanzada”:
En la pestaña defina los ajustes siguientes según sus necesidades:
Si la base de la búsqueda de usuarios, contraseñas y grupos difiere de la base de búsqueda global especificada en introduzca los distintos contextos de denominación en y
Especifique el protocolo de cambio de contraseña. El método estándar empleado siempre que se cambia una contraseña es el cifrado, lo que quiere decir que los algoritmos hash generados por crypt serán los que se usen. Para obtener más información sobre ésta y otras opciones, consulte la página Man de pam_ldap.
Especifique el grupo LDAP que se va a usar con El valor por defecto de esta opción es member.
En defina los siguientes ajustes:
Defina la base para el almacenamiento de los datos de gestión de usuarios mediante
Introduzca el valor adecuado para Este DN debe ser idéntico al valor de rootdn especificado en /etc/openldap/slapd.conf para habilitar a este usuario en concreto de modo que pueda manipular los datos almacenados en el servidor LDAP.
Marque para crear los objetos de configuración básicos en el servidor para habilitar la gestión de usuarios mediante LDAP.
Si el equipo cliente debe actuar como servidor de archivos para directorios personales por la red, marque
Haga clic en para dejar la y, a continuación, en para aplicar los ajustes.
Utilice para editar las entradas en el servidor LDAP. Se otorgará el acceso a los módulos de configuración del servidor según las ACL y ACI almacenadas en el servidor. Siga los procedimientos descritos en la Sección 45.5.2.2, “Configuración de los módulos de administración de usuarios y grupos de YaST”.
Utilice el cliente LDAP de YaST para adaptar los módulos de YaST a la administración de usuarios y grupos y para ampliarlos si fuera necesario. Defina las plantillas con los valores por defecto para los atributos individuales con objeto de simplificar el registro de datos. Los ajustes predefinidos creados aquí se almacenarán como objetos LDAP en el directorio LDAP. El registro de los datos de usuario se seguirá realizando con los módulos de YaST habituales para la gestión de usuarios y grupos. Los datos registrados se almacenan como objetos LDAP en el servidor.
El cuadro de diálogo para la configuración de módulos (Figura 45.4, “YaST: configuración de módulos”) permite la creación de módulos nuevos, la selección y modificación de los módulos de configuración existentes y el diseño y la modificación de plantillas para tales módulos.
Para crear un módulo nuevo de configuración, actúe de la siguiente manera:
Haga clic en y seleccione el tipo de módulo que crear. En el caso de un módulo de configuración de usuarios, seleccione suseuserconfiguration y para la configuración de grupos susegroupconfiguration.
Seleccione un nombre para la plantilla nueva.
La vista del contenido presenta a continuación una tabla con todos los atributos permitidos en este módulo junto con los valores asignados. Aparte de todos los atributos definidos, la lista también contiene todos los atributos permitidos por el esquema actual pero que no están actualmente en uso.
Acepte los valores predefinidos o ajuste los valores por defecto para usarlos en la configuración de usuarios y de grupos seleccionando el atributo respectivo, pulsando e introduciendo un valor nuevo. Cámbiele el nombre al módulo, simplemente modificando el atributo cn. Al hacer clic en se suprime el módulo seleccionado.
Después de hacer clic en se añade el nuevo módulo al menú de selección.
Los módulos de YaST para la administración de usuarios y grupos incrustan plantillas con valores estándar razonables. Para editar una plantilla asociada con un módulo de configuración, actúe de la siguiente manera:
En el cuadro de diálogo haga clic en
Determine los valores de los atributos generales asignados a esta plantilla según sus necesidades o deje algunos vacíos. Los atributos vacíos se suprimen del servidor LDAP.
Modifique, suprima o añada nuevos valores por defecto para los nuevos objetos (objetos de configuración de usuarios y grupos en el árbol LDAP).
Conecte la plantilla a su módulo definiendo el valor del atributo susedefaulttemplate del módulo en el DN de la plantilla adaptada.
![[Tip]](admon/tip.png) | Sugerencia |
|---|---|
Los valores por defecto de un atributo pueden crearse a partir de otros atributos mediante un estilo variable en lugar de un valor absoluto. Por ejemplo, cuando se crea un usuario nuevo, | |
Una vez que todos los módulos y plantillas se han configurado correctamente y están listos para funcionar, los nuevos grupos y usuarios se pueden registrar con YaST de la manera habitual.
