Para entender la función del módulo de cliente LDAP de YaST, es necesario conocer a grandes rasgos los procesos que se ejecutan en segundo plano en el ordenador cliente. Tras haber activado durante la instalación el uso de LDAP para la autenticación en red o iniciado el módulo de YaST, los paquetes pam_ldap y nss_ldap son instalados y los archivos de configuración correspondientes adaptados. Con pam_ldap se utiliza el módulo PAM, el cual actúa como intermediario entre los procesos de login y el directorio LDAP como fuente de datos para la autenticación. El módulo de software responsable, pam_ldap.so, es instalado y el archivo de configuración de PAM se modifica de forma correspondiente (ver Ejemplo 29.11, “pam_unix2.conf adaptado para LDAP”).

auth:            use_ldap nullok
account:         use_ldap 
password:        use_ldap nullok 
session:         none

Si desea configurar manualmente servicios adicionales para el uso de LDAP, el módulo PAM-LDAP ha de ser añadido al archivo de configuración PAM correspondiente a dicho servicio en /etc/pam.d/. Puede encontrar archivos de configuración ya adaptados para diversos servicios en /usr/share/doc/packages/pam_ldap/pam.d/. Copie los archivos respectivos en /etc/pam.d/.

Con nss_ldap puede adaptar la resolución de nombres de glibc al uso de LDAP mediante el mecanismo nsswitch. Al instalar este paquete, se crea un nuevo archivo modificado nsswitch.conf en /etc/. Puede obtener más información sobre la función de nsswitch.conf en la Sección 22.5.1, “Archivos de configuración”. El archivo nsswitch.conf ha de contener las siguientes líneas para la administración y autenticación de usuarios por medio de LDAP (ver Ejemplo 29.12, “Archivo nsswitch.conf adaptado”):

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Estas líneas indican a la librería de resolución de glibc que evalúe en primer lugar los archivos locales guardados en /etc como fuente para los datos de usuarios y autenticación, y consulte de manera complementaria el servidor LDAP. Pruebe este mecanismo ejecutando el comando getent passwd para leer, por ejemplo, el contenido de la base de datos de usuarios. En el resultado deberían mostrarse tanto los usuarios locales de su sistema como los usuarios creados en el servidor LDAP.

Para evitar que los usuarios normales gestionados con LDAP entren mediante ssh o login al servidor, hay que añadir una línea a los archivos /etc/passwd y /etc/group. Al archivo /etc/passwd se le debe añadir la línea +::::::/sbin/nologin y a /etc/group la línea +:::.

Una vez que YaST ha adaptado los archivos nss_ldap y pam_ldap así como /etc/passwd y /etc/group, puede comenzar con el auténtico proceso de configuración en la primera máscara de YaST. Consulte la Figura 29.2, “YaST: Configuración del cliente LDAP”.

Figura 29.2. YaST: Configuración del cliente LDAP

En el primer diálogo, active la casilla para utilizar LDAP para la autenticación de usuarios e introduzca en ‘DN base de LDAP’ la base de búsqueda en el servidor donde están guardados todos los datos en el servidor LDAP. En el segundo apartado, ‘Direcciones de servidores LDAP’, ha de introducir la dirección del servidor LDAP. Para montar directorios remotos sobre el sistema de archivos local, active la casilla ‘Activar automounter’. Si desea poder modificar datos de forma activa en el servidor como administrador, pulse el botón ‘Configuración avanzada’. Vea la Figura 29.3, “YaST: configuración avanzada”.

Figura 29.3. YaST: configuración avanzada

El siguiente diálogo está dividido en dos partes: La parte superior sirve para la configuración general de los usuarios y grupos. En la parte inferior se indican los datos de acceso al servidor LDAP. La configuración de usuarios y grupos se limita a las siguientes características:

Introduzca aquí los datos de accesos necesarios para poder modificar las opciones de configuración en el servidor LDAP. Estos datos son ‘Configuración DN base’, donde están guardados todos los objetos de la configuración, y ‘DN de administrador’.

Pulse en ‘Configurar gestión de usuarios’ para editar las entradas del servidor LDAP. A continuación aparece un menú emergente en el que debe introducir su contraseña LDAP para autenticarse en el servidor. En función de las ACLs o ACIs del servidor, se le permitirá acceder a los módulos de configuración de éste.

Aplicación del cliente de YaST

El cliente LDAP de YaST se emplea para adaptar los módulos de YaST a la administración de usuarios y grupos y ampliarlos en caso necesario. Asimismo tiene la posibilidad de definir plantillas con valores estándar para cada uno de los atributos con el fin de simplificar la recogida de datos. Los valores aquí prefijados son guardados como objetos LDAP en el directorio LDAP. Los datos de usuario se siguen recogiendo a través de las máscaras de los módulos de YaST y los datos recogidos se guardan como objetos en el directorio LDAP.

Figura 29.4. YaST: Configuración de módulos

El diálogo de la configuración de módulos le permite seleccionar y modificar módulos ya existentes, crear nuevos módulos o crear y editar plantillas (templates) para dichos módulos (ver Figura 29.4, “YaST: Configuración de módulos”). Para cambiar un valor dentro de un módulo de configuración o cambiar el nombre de un módulo, seleccione el tipo de módulo en el cuadro de diálogo que se encuentra sobre el resumen de contenidos del módulo actual. En dicho resumen de contenidos aparece entonces una tabla con todos los atributos permitidos para este módulo y sus valores correspondientes. Además de los atributos ya definidos, la lista incluye los atributos permitidos para el esquema empleado aunque no se estén utilizando en ese momento.

Si desea copiar un módulo, cambie simplemente cn. Para modificar valores de atributos, selecciónelos en el resumen de contenidos y pulse ‘Editar’. A continuación se abre una ventana de diálogo en la que puede cambiar todas las opciones de configuración del atributo. Finalmente, confirme los cambios con ‘OK’.

Si desea complementar un módulo ya existente con un nuevo módulo, pulse el botón ‘Nuevo’ en el resumen de contenidos. Después introduzca en el diálogo emergente la clase de objeto del nuevo módulo (suseuserconfiguration o susegroupconfiguration en este caso) y el nombre del nuevo módulo. Ahora salga del diálogo con ‘OK’: el nuevo módulo será añadido a la lista de selección de los módulos disponibles. A partir de ahora, el módulo ya puede seleccionarse y deseleccionarse en el cuadro de diálogo. Para eliminar el módulo seleccionado actualmente, pulse el botón ‘Borrar’.

Los módulos de YaST para la administración de grupos y usuarios unen plantillas con valores estándar adecuados siempre que estos hayan sido definidos previamente con el cliente LDAP de YaST. Para adaptar una plantilla a sus requisitos, pulse el botón ‘Configurar plantilla’. A continuación se muestra un menú desplegable con plantillas existentes que pueden ser editadas o bien una entrada vacía con la que también se accede a la máscara de edición de plantillas. Seleccione una entrada y defina las propiedades de la plantilla en la máscara siguiente ‘Configuración de la plantilla de objeto’ (consulte la Figura 29.5, “YaST: Configuración de una plantilla de objeto”). Dicha máscara está dividida en dos ventanas con formato de tabla. La ventana superior contiene una lista de atributos generales de plantillas. Asigne valores a estos atributos en función de sus requisitos o deje algunos vacíos. Los atributos “vacíos” son borrados del servidor LDAP.

Figura 29.5. YaST: Configuración de una plantilla de objeto

La segunda ventana (‘Valores predeterminados para nuevos objetos’) muestra todos los atributos del objeto LDAP correspondiente (configuración de grupos o usuarios en este caso) para los que define un valor estándar. También puede añadir nuevos atributos con sus respectivos valores estándar, editar atributos y valores existentes o eliminar atributos completos. Al igual que los módulos, los atributos pueden copiarse modificando la entrada cn para crear una plantilla nueva. Para unir una plantilla con el módulo correspondiente, asigne como valor del atributo susedefaulttemplate del módulo el DN de la plantilla modificada tal y como se ha descrito arriba.

	Sugerencia
Puede crear un valor estándar para un atributo a partir de otros atributos mediante la utilización de variables en lugar de valores absolutos. Por ejemplo, a la hora de crear un usuario, cn=%sn %givenName se crea automáticamente de los valores de atributos de sn y givenName.

Una vez que todos los módulos y plantillas están configurados correctamente y listos para el uso, puede crear nuevos grupos y usuarios con YaST de la forma acostumbrada.

Después de que la configuración de módulos y plantillas para la red se ha llevado a cabo, la recogida de datos para usuarios y grupos no difiere apenas del procedimiento normal sin utilizar LDAP. La siguiente descripción se ocupa únicamente de la administración de usuarios. La administración de grupos discurre de manera análoga.

Para acceder a la administración de usuarios en YaST ha de seleccionar ‘Seguridad y usuarios’+‘Editar y crear usuarios’. Para crear un nuevo usuario, pulse el botón ‘Añadir’. A continuación pasa a una máscara donde debe rellenar los datos de usuario más importantes tales como nombre, login y contraseña. Tras completar esta máscara, pulse en ‘Detalles’ para completar opciones más avanzadas de configuración como la pertenencia a grupos, la shell de login y el directorio local de usuario. Los valores predeterminados de los campos de entrada ya han sido configurados según el procedimiento descrito en la Sección 29.5.2, “Configuración del cliente LDAP”. Si ya ha activado la utilización de LDAP, desde esta máscara pasa a otra donde se introducen los atributos específicos de LDAP (ver Figura 29.6, “YaST: opciones adicionales para LDAP”). Seleccione uno tras otro los atributos cuyo valor desea modificar y pulse en ‘Editar’ para abrir los campos de entrada correspondientes. Después pulse ‘Siguiente’ para abandonar la máscara y se encontrará de nuevo en la máscara de inicio de la administración de usuarios.

Figura 29.6. YaST: opciones adicionales para LDAP

En la máscara de inicio de la administración de usuarios se encuentra el botón ‘Opciones de LDAP’, que le permite aplicar filtros de búsqueda LDAP a los usuarios disponibles o con ‘Config. LDAP de usuarios y grupos’ acceder al módulo de configuración para usuarios y grupos LDAP.