| SUSEDocumentazione LINUX Capitolo 45. LDAP - Un servizio directory / 45.5. Client LDAP YaST | ||||
|---|---|---|---|---|
 | 45.4. Gestione dei dati nella directory LDAP | 45.6. Configurazione di utenti e gruppi LDAP in YaST |  | |
| SUSEDocumentazione LINUX Capitolo 45. LDAP - Un servizio directory / 45.5. Client LDAP YaST | ||||
|---|---|---|---|---|
| 45.4. Gestione dei dati nella directory LDAP | 45.6. Configurazione di utenti e gruppi LDAP in YaST | | |
YaST comprende un modulo per la configurazione della gestione utenti basata su LDAP. Se questa funzionalità non è stata abilitata durante l'installazione, avviare il modulo selezionando +. YaST abilita automaticamente qualunque modifica correlata a PAM e NSS come richiesto da LDAP (descrizione di seguito) e installa i file necessari.
La conoscenza dei processi che si svolgono in background sui client aiuta a comprendere il funzionamento del modulo client LDAP di YaST. Se viene attivato LDAP per l'autenticazione di rete oppure richiamato il modulo YaST, verranno installati i pacchetti pam_ldap e nss_ldap e i due file di configurazione corrispondenti modificati. pam_ldap è il modulo PAM responsabile della negoziazione tra processi di login e LDAP directory come origine dei dati di autenticazione. Il modulo dedicato pam_ldap.so viene installato e la configurazione PAM modificata (vedere l'Esempio 45.11, «pam_unix2.conf modificato per LDAP»).
Esempio 45.11. pam_unix2.conf modificato per LDAP
auth: use_ldap account: use_ldap password: use_ldap session: none
Quando si configurano manualmente altri servizi per l'utilizzo di LDAP, inserire il modulo LDAP PAM nel file di configurazione PAM corrispondente al servizio in /etc/pam.d. File di configurazione già modificati per i singoli servizi sono disponibili in /usr/share/doc/packages/pam_ldap/pam.d/. Copiare i necessari file in /etc/pam.d.
La risoluzione del nome glibc mediante il meccanismo nsswitch viene modificata per l'utilizzo di LDAP con nss_ldap. Un nuovo file modificato nsswitch.conf verrà creato in /etc/ con l'installazione di questo pacchetto. Per ulteriori informazioni sul funzionamento di nsswitch.conf, vedere la Sezione 38.5.1, «File di configurazione». Le seguenti righe devono essere presenti in nsswitch.conf per l'amministrazione e l'autenticazione degli utenti con LDAP. Vedere Esempio 45.12, «Modifiche in nsswitch.conf».
Esempio 45.12. Modifiche in nsswitch.conf
passwd: compat group: compat passwd_compat: ldap group_compat: ldap
Queste righe indicano alla libreria del Resolver di glibc in primo luogo di valutare i file corrispondenti in /etc, quindi di accedere al server LDAP come origine per l'autenticazione e i dati degli utenti. Verificare questo meccanismo, ad esempio, leggendo il contenuto del database utenti con il comando getent passwd. Il set restituito deve contenere la rilevazione degli utenti locali del sistema e tutti gli utenti memorizzati sul server LDAP.
Per impedire che gli utenti normali gestiti mediante LDAP accedano al server con ssh o login, i file /etc/passwd e /etc/group devono entrambi presentare un'ulteriore riga. Si tratta della riga +::::::/sbin/nologin in /etc/passwd e +::: in /etc/group.
Dopo che YaST avrà apportato le modifiche iniziali a nss_ldap, pam_ldap, /etc/passwd e /etc/group, è possibile semplicemente connettersi con il client al server; la gestione degli utenti mediante LDAP verrà eseguita da YaST. Questa configurazione di base è descritta nella Sezione 45.5.2.1, «Configurazione di base».
Utilizzare il client LDAP YaST per configurare ulteriormente i moduli di configurazione utenti e gruppi di YaST. Ciò comprende la manipolazione di impostazioni di default per nuovi utenti e gruppi e la manipolazione del numero e della natura degli attributi assegnati a un utente o a un gruppo. La gestione utenti LDAP consente di assegnare molti più attributi diversi a utenti e gruppi rispetto alle soluzioni tradizionali di gestione utenti o gruppi. Per la relativa descrizione, vedere la Sezione 45.5.2.2, «Configurazione dei moduli di amministrazione utenti e gruppi YaST».
La finestra di dialogo di configurazione di base del client LDAP (Figura 45.2, «YaST: Configurazione del client LDAP») viene visualizzata durante l'installazione se si sceglie la gestione utenti LDAP oppure quando si seleziona + nel Centro controllo YaST del sistema installato.
Per autenticare gli utenti del computer rispetto a un server OpenLDAP e consentire la gestione utenti mediante OpenLDAP, procedere come segue:
Fare clic su per abilitare l'uso di LDAP. Selezionare se invece si desidera utilizzare LDAP per l'autenticazione, ma si vuole impedire che altri utenti accedano a questo client.
Immettere l'indirizzo IP del server LDAP da utilizzare.
Immettere il per selezionare la base di ricerca sul server LDAP.
Se è necessaria una comunicazione con il server con protezione TLS o SSL, selezionare .
Se il server LDAP utilizza ancora LDAPv2, abilitare esplicitamente l'utilizzo di questa versione di protocollo selezionando .
Selezionare per montare le directory remote sul client, ad esempio la directory /home gestita in remoto.
Fare clic su per rendere effettive le impostazioni.
Per modificare i dati sul server in qualità di amministratore, fare clic su . La finestra di dialogo successiva è divisa in due schede. Vedere la Figura 45.3, «YaST: Configurazione avanzata».
Nella scheda , modificare le seguenti impostazioni in base alle esigenze:
Se la base di ricerca per utenti, parole d'ordine e gruppi differisce dalla base di ricerca globale specificata in , immettere questi diversi contesti di denominazione in , e .
Specificare il protocollo di modifica password. Il metodo standard da utilizzare quando viene modificata una parola d'ordine è crypt, a indicare che vengono utilizzati hash di parola d'ordine generati da crypt. Per dettagli in merito a questa e altre opzioni, consultare la manpage pam_ldap.
Specificare il gruppo LDAP da utilizzare con . Il valore di default è member.
In , definire le seguenti impostazioni:
Impostare la base per la memorizzazione dei dati di gestione utenti mediante .
Immettere il valore corretto per . Questo DN deve essere identico al valore rootdn specificato in /etc/openldap/slapd.conf per consentire a questo utente specifico di manipolare i dati memorizzati sul server LDAP.
Selezionare per creare gli oggetti di configurazione di base sul server per consentire la gestione utenti mediante LDAP.
Se il computer client dovrà fungere da server file per home directory nella rete, selezionare .
Fare clic su per uscire dalla finestra , quindi su per rendere effettive le impostazioni.
Utilizzare per modificare voci sul server LDAP. L'accesso ai moduli di configurazione sul server verrà quindi concesso in base agli ACL e agli ACI memorizzati sul server. Seguire la procedura descritta nella Sezione 45.5.2.2, «Configurazione dei moduli di amministrazione utenti e gruppi YaST».
Utilizzare il client LDAP YaST per modificare i moduli YaST per l'amministrazione di utenti e gruppi ed espanderli in base alle necessità. Definire modelli con valori di default per i singoli attributi per semplificare la registrazione dei dati. Le preimpostazioni create qui vengono memorizzate come oggetti LDAP nella directory LDAP. La registrazione dei dati dell'utente viene comunque eseguita con i normali moduli YaST per la gestione di utenti e gruppi. I dati registrati vengono memorizzati come oggetti LDAP sul server.
La finestra di dialogo per la configurazione dei moduli (Figura 45.4, «YaST: Configurazione dei moduli») consente la creazione di nuovi moduli, la selezione e modifica di moduli di configurazione esistenti e la progettazione e modifica di modelli per tali moduli.
Per creare un nuovo modulo di configurazione, procedere come segue:
Fare clic su e selezionare il tipo di modulo da creare. Per un modulo di configurazione utenti selezionare suseuserconfiguration; per un modulo di configurazione gruppi scegliere susegroupconfiguration.
Specificare un nome per il nuovo modello.
Verrà quindi visualizzata una tabella che elenca tutti gli attributi consentiti in questo modulo con i relativi valori. Oltre a tutti gli attributi impostati, l'elenco contiene anche tutti gli altri attributi consentiti dallo schema corrente, ma attualmente non in uso.
Accettare i valori preimpostati oppure modificare i valori di default da utilizzare nella configurazione di utenti e gruppi selezionando il relativo attributo, facendo clic su e immettendo il nuovo valore. Rinominare un modulo modificando semplicemente il suo attributo cn. Facendo clic su verrà eliminato il modulo selezionato.
Dopo aver fatto clic su , il nuovo modulo verrà aggiunto al menu di selezione.
I moduli YaST per l'amministrazione di utenti e gruppi comprendono modelli con valori standard sensibili. Per modificare un modello associato a un modulo di configurazione, procedere come segue:
Nella finestra di dialogo , fare clic su .
Definire i valori degli attributi generali assegnati a questo modello in base alle esigenze, oppure lasciarne alcuni vuoti. Gli attributi vuoti verranno eliminati sul server LDAP.
Modificare, eliminare o aggiungere nuovi valori di default per i nuovi oggetti (oggetti di configurazione utenti o gruppi nell'albero LDAP).
Collegare il modello al relativo modulo impostando il valore dell'attributo susedefaulttemplate del modulo sul DN del modello modificato.
![[Tip]](admon/tip.png) | Suggerimento |
|---|---|
I valori di default di un attributo possono essere creati da altri attributi utilizzando uno stile variabile al posto di un valore assoluto. Ad esempio, quando si crea un nuovo utente, | |
Una volta che tutti i moduli e i modelli sono configurati correttamente e pronti per l'esecuzione, è possibile registrare nuovi utenti e gruppi nella modalità consueta con YaST.
