25.5. El cliente LDAP de YaST

YaST incluye un módulo para configurar la gestión de usuarios basada en LDAP. Si no ha habilitado esta función durante la instalación, inicie el módulo seleccionando Servicios de red+Cliente LDAP. YaST habilitará automáticamente cualquier cambio relacionado con PAM y NSS que necesite LDAP (tal y como se describe a continuación) e instalará los archivos necesarios.

25.5.1. Procedimiento estándar

El conocimiento previo de los procesos que actúan en segundo plano de un equipo cliente le ayudará a entender cómo funciona el módulo del cliente LDAP de YaST. Si se activa LDAP para la autenticación de red o se llama al módulo YaST, se instalan los paquetes pam_ldap y nss_ldap y se adaptan los dos archivos de configuración correspondientes. pam_ldap es el módulo PAM responsable de la negociación entre los procesos de inicio de sesión y el directorio LDAP como origen de los datos de autenticación. El módulo dedicado pam_ldap.so se instala y se adapta la configuración de PAM (consulte el Ejemplo 25.11, “pam_unix2.conf adaptado a LDAP”).

Ejemplo 25.11. pam_unix2.conf adaptado a LDAP

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Al configurar manualmente los servicios adicionales para usar LDAP, incluya el módulo PAM de LDAP en el archivo de configuración PAM correspondiente al servicio en /etc/pam.d. Los archivos de configuración ya adaptados a los servicios individuales se pueden encontrar en /usr/share/doc/packages/pam_ldap/pam.d/. Copie los archivos adecuados en /etc/pam.d.

La resolución de nombres de glibc mediante el mecanismo nsswitch se adapta al empleo de LDAP con nss_ldap. Se crea un archivo nsswitch.conf nuevo y adaptado en /etc/ con la instalación de este paquete. Puede obtener más información acerca del funcionamiento de nsswitch.conf en la Sección 18.6.1, “Archivos de configuración”. Las líneas siguientes deben estar presentes en nsswitch.conf para la administración y autenticación del usuario con LDAP. Consulte el Ejemplo 25.12, “Adaptaciones en nsswitch.conf”.

Ejemplo 25.12. Adaptaciones en nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Estas líneas ordenan la biblioteca Resolver de glibc primero para evaluar los archivos correspondientes en /etc y después para acceder al servidor LDAP como orígenes para los datos de autenticación y de usuarios. Compruebe este mecanismo, por ejemplo, leyendo el contenido de la base de datos del usuario con el comando getent passwd. El conjunto devuelto debe contener un informe de los usuarios locales del sistema además de todos los usuarios almacenados en el servidor LDAP.

Para impedir que usuarios normales gestionados mediante LDAP puedan iniciar sesión en el servidor con ssh o login, los archivos /etc/passwd y /etc/group deben incluir una línea adicional. Esta es la línea +::::::/sbin/nologin en /etc/passwd y +::: en /etc/group.

25.5.2. configuración del cliente LDAP

Después de que YaST se haya encargardo de los ajustes iniciales de nss_ldap, pam_ldap, /etc/passwd y /etc/group, podrá conectar sencillamente el cliente con el servidor y dejar que YaST se encargue de la gestión de usuarios mediante LDAP. La configuración básica está descrita en la Sección 25.5.2.1, “Configuración básica”.

Utilice el cliente LDAP de YaST para seguir configurando los módulos de configuración de usuarios y grupos de YaST. Esto incluye la manipulación de los ajustes por defecto para los nuevos grupos y usuarios y el número y la naturaleza de los atributos asignados a un usuario o a un grupo. La gestión de usuarios de LDAP le permite asignar más atributos y diferentes a los usuarios y grupos que las soluciones de gestión de usuarios o grupos tradicionales. Esto se describe en la Sección 25.5.2.2, “Configuración de los módulos de administración de usuarios y grupos de YaST”.

25.5.2.1. Configuración básica

El cuadro de diálogo de configuración básica del cliente LDAP (Figura 25.2, “YaST: configuración del cliente LDAP”) se abre durante la instalación si elige la gestión de usuarios de LDAP o cuando selecciona Servicios de red+Cliente LDAP en el Centro de control de YaST en el sistema instalado.

Figura 25.2. YaST: configuración del cliente LDAP

YaST: configuración del cliente LDAP

Para autenticar a los usuarios en el equipo con un servidor OpenLDAP y habilitar la gestión de usuarios mediante OpenLDAP, actúe de la siguiente manera:

  1. Haga clic en Usar LDAP para habilitar la utilización de LDAP. Seleccione Usar LDAP pero inhabilitar inicios de sesión en su lugar si desea usar LDAP para la autenticación pero no desea que otros usuarios inicien sesión en este cliente.

  2. Introduzca la dirección IP del servidor LDAP que va a usar.

  3. Introduzca el DN base de LDAP para seleccionar la base de búsqueda en el servidor LDAP.

    Si desea que se obtenga el DN base automáticamente, haga clic en Obtener DN. YaST comprueba a continuación la existencia de bases de datos LDAP en la dirección de servidor especificada arriba. Elija el DN de base adecuado en los resultados de la búsqueda proporcionados por YaST.

  4. Si es necesario que la comunicación de TLS o SSL con el servidor esté protegida, seleccione LDAP TLS/SSL.

  5. Si el servidor LDAP sigue usando LDAPv2, habilite explícitamente el uso de esta versión del protocolo seleccionando LDAP versión 2.

  6. Seleccione Iniciar Automounter para montar los directorios remotos en el cliente, como un directorio /home gestionado remotamente.

  7. Haga clic en Finalizar para aplicar los ajustes.

Figura 25.3. YaST: Configuración avanzada

YaST: Configuración avanzada

Para modificar los datos del servidor como administrador, haga clic en Configuración avanzada. El siguiente cuadro de diálogo está dividido en dos pestañas. Consulte la Figura 25.3, “YaST: Configuración avanzada”:

  1. En la pestaña Ajustes del cliente, defina los ajustes siguientes según sus necesidades:

    1. Si la base de la búsqueda de usuarios, contraseñas y grupos difiere de la base de búsqueda global especificada en DN base de LDAP, introduzca los distintos contextos de denominación en Asignación de usuario, Asignación de contraseña y Asignación de grupo.

    2. Especifique el protocolo de cambio de contraseña. El método estándar empleado siempre que se cambia una contraseña es el cifrado, lo que quiere decir que los algoritmos hash generados por crypt serán los que se usen. Para obtener más información sobre ésta y otras opciones, consulte la página Man de pam_ldap.

    3. Especifique el grupo LDAP que se va a usar con Atributo de miembros del grupo. El valor por defecto de esta opción es member.

  2. En Ajustes de administración, defina los siguientes ajustes:

    1. Defina la base para el almacenamiento de los datos de gestión de usuarios mediante Configuración de DN base.

    2. Introduzca el valor adecuado para Administrador DN. Este DN debe ser idéntico al valor de rootdn especificado en /etc/openldap/slapd.conf para habilitar a este usuario en concreto de modo que pueda manipular los datos almacenados en el servidor LDAP. Escriba el DN completo (como cn=admin,dc=suse,dc=de) o active Añadir DN base para que el DN base se añada automáticamente al escribir cn=admin.

    3. Marque Crear objetos de configuración predeterminada para crear los objetos de configuración básicos en el servidor para habilitar la gestión de usuarios mediante LDAP.

    4. Si el equipo cliente debe actuar como servidor de archivos para directorios personales por la red, marque Directorios personales de este equipo.

    5. Haga clic en Aceptar para dejar la configuración avanzada y, a continuación, en Finalizar para aplicar los ajustes.

Utilice Configurar las opciones de gestión de usuarios para editar las entradas en el servidor LDAP. Se otorgará el acceso a los módulos de configuración del servidor según las ACL y ACI almacenadas en el servidor. Siga los procedimientos descritos en Sección 25.5.2.2, “Configuración de los módulos de administración de usuarios y grupos de YaST”.

25.5.2.2. Configuración de los módulos de administración de usuarios y grupos de YaST

Utilice el cliente LDAP de YaST para adaptar los módulos de YaST a la administración de usuarios y grupos y para ampliarlos si fuera necesario. Defina las plantillas con los valores por defecto para los atributos individuales con objeto de simplificar el registro de datos. Los ajustes predefinidos creados aquí se almacenarán como objetos LDAP en el directorio LDAP. El registro de los datos de usuario se seguirá realizando con los módulos de YaST habituales para la gestión de usuarios y grupos. Los datos registrados se almacenan como objetos LDAP en el servidor.

Figura 25.4. YaST: configuración de módulos

YaST: configuración de módulos

El cuadro de diálogo para la configuración de módulos (Figura 25.4, “YaST: configuración de módulos”) permite la creación de módulos nuevos, la selección y modificación de los módulos de configuración existentes y el diseño y la modificación de plantillas para tales módulos.

Para crear un módulo nuevo de configuración, actúe de la siguiente manera:

  1. Haga clic en Nuevo y seleccione el tipo de módulo que crear. En el caso de un módulo de configuración de usuarios, seleccione suseuserconfiguration y para la configuración de grupos susegroupconfiguration.

  2. Seleccione un nombre para la plantilla nueva.

    La vista del contenido presenta a continuación una tabla con todos los atributos permitidos en este módulo junto con los valores asignados. Aparte de todos los atributos definidos, la lista también contiene todos los atributos permitidos por el esquema actual pero que no están actualmente en uso.

  3. Acepte los valores predefinidos o ajuste los valores por defecto para usarlos en la configuración de usuarios y de grupos seleccionando el atributo respectivo, pulsando Editar e introduciendo un valor nuevo. Cámbiele el nombre al módulo, simplemente modificando el atributo cn. Al hacer clic en Suprimir se suprime el módulo seleccionado.

  4. Después de hacer clic en Aceptar, se añade el nuevo módulo al menú de selección.

Los módulos de YaST para la administración de usuarios y grupos incrustan plantillas con valores estándar razonables. Para editar una plantilla asociada con un módulo de configuración, actúe de la siguiente manera:

  1. En el cuadro de diálogo Configuración del módulo, haga clic en Configurar plantilla.

  2. Determine los valores de los atributos generales asignados a esta plantilla según sus necesidades o deje algunos vacíos. Los atributos vacíos se suprimen del servidor LDAP.

  3. Modifique, suprima o añada nuevos valores por defecto para los nuevos objetos (objetos de configuración de usuarios y grupos en el árbol LDAP).

Figura 25.5. YaST: configuración de una plantilla de objeto

YaST: configuración de una plantilla de objeto

Conecte la plantilla a su módulo definiendo el valor del atributo susedefaulttemplate del módulo en el DN de la plantilla adaptada.

[Tip]Sugerencia

Los valores por defecto de un atributo se pueden crear a partir de otros atributos utilizando una variable en lugar de un valor absoluto. Por ejemplo, cuando se crea un usuario nuevo, cn=%sn %givenName se crea automáticamente a partir de los valores del atributo para sn y givenName.

Una vez que todos los módulos y plantillas se han configurado correctamente y están listos para funcionar, los nuevos grupos y usuarios se pueden registrar con YaST de la manera habitual.