25.5. Client LDAP YaST

YaST comprende un modulo per la configurazione della gestione utenti basata su LDAP. Se questa funzionalità non è stata abilitata durante l'installazione, avviare il modulo selezionando Servizi di rete+Client LDAP. YaST abilita automaticamente qualunque modifica correlata a PAM e NSS come richiesto da LDAP (descrizione di seguito) e installa i file necessari.

25.5.1. Procedura standard

La conoscenza dei processi che si svolgono in background sui client aiuta a comprendere il funzionamento del modulo client LDAP di YaST. Se viene attivato LDAP per l'autenticazione di rete oppure richiamato il modulo YaST, verranno installati i pacchetti pam_ldap e nss_ldap e i due file di configurazione corrispondenti modificati. pam_ldap è il modulo PAM responsabile della negoziazione tra processi di login e LDAP directory come origine dei dati di autenticazione. Il modulo dedicato pam_ldap.so viene installato e la configurazione PAM modificata (vedere l'Esempio 25.11, "pam_unix2.conf modificato per LDAP").

Esempio 25.11. pam_unix2.conf modificato per LDAP

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Quando si configurano manualmente altri servizi per l'utilizzo di LDAP, inserire il modulo LDAP PAM nel file di configurazione PAM corrispondente al servizio in /etc/pam.d. File di configurazione già modificati per i singoli servizi sono disponibili in /usr/share/doc/packages/pam_ldap/pam.d/. Copiare i necessari file in /etc/pam.d.

La risoluzione del nome glibc mediante il meccanismo nsswitch viene modificata per l'utilizzo di LDAP con nss_ldap. Un nuovo file modificato nsswitch.conf verrà creato in /etc/ con l'installazione di questo pacchetto. Per ulteriori informazioni sul funzionamento di nsswitch.conf, vedere la Sezione 18.6.1, "File di configurazione". Le seguenti righe devono essere presenti in nsswitch.conf per l'amministrazione e l'autenticazione degli utenti con LDAP. Vedere l'Esempio 25.12, "Modifiche in nsswitch.conf".

Esempio 25.12. Modifiche in nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Queste righe indicano alla libreria del Resolver di glibc in primo luogo di valutare i file corrispondenti in /etc, quindi di accedere al server LDAP come origine per l'autenticazione e i dati degli utenti. Verificare questo meccanismo, ad esempio, leggendo il contenuto del database utenti con il comando getent passwd. Il set restituito deve contenere la rilevazione degli utenti locali del sistema e tutti gli utenti memorizzati sul server LDAP.

Per impedire che gli utenti normali gestiti mediante LDAP accedano al server con ssh o login, i file /etc/passwd e /etc/group devono entrambi presentare un'ulteriore riga. Si tratta della riga +::::::/sbin/nologin in /etc/passwd e +::: in /etc/group.

25.5.2. Configurazione del client LDAP

Dopo che YaST avrà apportato le modifiche iniziali a nss_ldap, pam_ldap, /etc/passwd e /etc/group, è possibile semplicemente connettersi con il client al server; la gestione degli utenti mediante LDAP verrà eseguita da YaST. Questa configurazione di base è descritta nella Sezione 25.5.2.1, "Configurazione di base".

Utilizzare il client LDAP YaST per configurare ulteriormente i moduli di configurazione utenti e gruppi di YaST. Ciò comprende la manipolazione di impostazioni di default per nuovi utenti e gruppi e la manipolazione del numero e della natura degli attributi assegnati a un utente o a un gruppo. La gestione utenti LDAP consente di assegnare molti più attributi diversi a utenti e gruppi rispetto alle soluzioni tradizionali di gestione utenti o gruppi. Questo passaggio viene descritto nella Sezione 25.5.2.2, "Configurazione dei moduli di amministrazione utenti e gruppi YaST".

25.5.2.1. Configurazione di base

La finestra di dialogo di configurazione di base del client LDAP (Figura 25.2, "YaST: Configurazione del client LDAP") viene visualizzata durante l'installazione se si sceglie la gestione utenti LDAP oppure quando si seleziona Servizi di rete+Client LDAP nel Centro controllo YaST del sistema installato.

Figura 25.2. YaST: Configurazione del client LDAP

YaST: Configurazione del client LDAP

Per autenticare gli utenti del computer rispetto a un server OpenLDAP e consentire la gestione utenti mediante OpenLDAP, procedere come segue:

  1. Fare clic su Utilizza LDAP per abilitare l'uso di LDAP. Selezionare Utilizza LDAP ma disabilita login se invece si desidera utilizzare LDAP per l'autenticazione, ma si vuole impedire che altri utenti accedano a questo client.

  2. Immettere l'indirizzo IP del server LDAP da utilizzare.

  3. Immettere il DN di base LDAP per selezionare la base di ricerca sul server LDAP.

    Per recuperare automaticamente il DN di base, fare clic su Recupera DN. YaST ricerca i database LDAP all'indirizzo del server specificato. Selezionare il DN di base corretto nei risultati della ricerca forniti da YaST.

  4. Se è necessaria una comunicazione con il server con protezione TLS o SSL, selezionare LDAP TLS/SSL.

  5. Se il server LDAP utilizza ancora LDAPv2, abilitare esplicitamente l'utilizzo di questa versione di protocollo selezionando LDAP Versione 2.

  6. Selezionare Start Automounter (Avvia automounter) per montare le directory remote sul client, ad esempio la directory /home gestita in remoto.

  7. Fare clic su Fine per rendere effettive le impostazioni.

Figura 25.3. YaST: Configurazione avanzata

YaST: Configurazione avanzata

Per modificare i dati sul server in qualità di amministratore, fare clic su Configurazione avanzata. La finestra di dialogo successiva è divisa in due schede. Vedere la Figura 25.3, "YaST: Configurazione avanzata".

  1. Nella scheda Impostazioni client, modificare le seguenti impostazioni in base alle esigenze:

    1. Se la base di ricerca per utenti, parole d'ordine e gruppi differisce dalla base di ricerca globale specificata in DN di base LDAP, immettere questi diversi contesti di denominazione in Mappa utente, Mappa password e Mappa gruppo.

    2. Specificare il protocollo di modifica password. Il metodo standard da utilizzare quando viene modificata una parola d'ordine è crypt, a indicare che vengono utilizzati hash di parola d'ordine generati da crypt. Per dettagli in merito a questa e altre opzioni, consultare la manpage pam_ldap.

    3. Specificare il gruppo LDAP da utilizzare con Group Member Attribute (Attributo membri gruppo). Il valore di default è member.

  2. In Impostazioni di amministrazione, definire le seguenti impostazioni:

    1. Impostare la base per la memorizzazione dei dati di gestione utenti mediante Configuration Base DN (DN di base configurazione).

    2. Immettere il valore corretto per DN di amministrazione. Questo DN deve essere identico al valore rootdn specificato in /etc/openldap/slapd.conf per consentire a questo utente specifico di manipolare i dati memorizzati sul server LDAP. Inserire il DN completo (ad esempio cn=admin,dc=suse,dc=de) oppure selezionare Aggiungi DN di base per aggiungere automaticamente il DN di base quando si inserisce cn=admin.

    3. Selezionare Create Default Configuration Objects (Crea oggetti di configurazione di default) per creare gli oggetti di configurazione di base sul server per consentire la gestione utenti mediante LDAP.

    4. Se il computer client dovrà fungere da server file per home directory nella rete, selezionare Home directory su questa macchina.

    5. Fare clic su Accetta per uscire dalla finestra Configurazione avanzata, quindi su Fine per rendere effettive le impostazioni.

Utilizzare Configure User Management Settings (Configura impostazioni gestione utenti) per modificare voci sul server LDAP. L'accesso ai moduli di configurazione sul server verrà quindi concesso in base agli ACL e agli ACI memorizzati sul server. Seguire la procedura descritta nella Sezione 25.5.2.2, "Configurazione dei moduli di amministrazione utenti e gruppi YaST".

25.5.2.2. Configurazione dei moduli di amministrazione utenti e gruppi YaST

Utilizzare il client LDAP YaST per modificare i moduli YaST per l'amministrazione di utenti e gruppi ed espanderli in base alle necessità. Definire modelli con valori di default per i singoli attributi per semplificare la registrazione dei dati. Le preimpostazioni create qui vengono memorizzate come oggetti LDAP nella directory LDAP. La registrazione dei dati dell'utente viene comunque eseguita con i normali moduli YaST per la gestione di utenti e gruppi. I dati registrati vengono memorizzati come oggetti LDAP sul server.

Figura 25.4. YaST: Configurazione dei moduli

YaST: Configurazione dei moduli

La finestra di dialogo per la configurazione dei moduli (Figura 25.4, "YaST: Configurazione dei moduli") consente la creazione di nuovi moduli, la selezione e modifica di moduli di configurazione esistenti e la progettazione e modifica di modelli per tali moduli.

Per creare un nuovo modulo di configurazione, procedere come segue:

  1. Fare clic su Nuovo e selezionare il tipo di modulo da creare. Per un modulo di configurazione utenti selezionare suseuserconfiguration; per un modulo di configurazione gruppi scegliere susegroupconfiguration.

  2. Specificare un nome per il nuovo modello.

    Verrà quindi visualizzata una tabella che elenca tutti gli attributi consentiti in questo modulo con i relativi valori. Oltre a tutti gli attributi impostati, l'elenco contiene anche tutti gli altri attributi consentiti dallo schema corrente, ma attualmente non in uso.

  3. Accettare i valori preimpostati oppure modificare i valori di default da utilizzare nella configurazione di utenti e gruppi selezionando il relativo attributo, facendo clic su Modifica e immettendo il nuovo valore. Rinominare un modulo modificando semplicemente il suo attributo cn. Facendo clic su Cancella verrà eliminato il modulo selezionato.

  4. Dopo aver fatto clic su OK, il nuovo modulo verrà aggiunto al menu di selezione.

I moduli YaST per l'amministrazione di utenti e gruppi comprendono modelli con valori standard sensibili. Per modificare un modello associato a un modulo di configurazione, procedere come segue:

  1. Nella finestra di dialogo Configurazione dei moduli, fare clic su Configure Template (Configura modello).

  2. Definire i valori degli attributi generali assegnati a questo modello in base alle esigenze, oppure lasciarne alcuni vuoti. Gli attributi vuoti verranno eliminati sul server LDAP.

  3. Modificare, eliminare o aggiungere nuovi valori di default per i nuovi oggetti (oggetti di configurazione utenti o gruppi nell'albero LDAP).

Figura 25.5. YaST: Configurazione di un modello di oggetti

YaST: Configurazione di un modello di oggetti

Collegare il modello al relativo modulo impostando il valore dell'attributo susedefaulttemplate del modulo sul DN del modello modificato.

[Tip]Suggerimento

I valori di default di un attributo possono essere creati da altri attributi utilizzando una variabile al posto di un valore assoluto. Ad esempio, quando si crea un nuovo utente, cn=%sn %givenName viene creato automaticamente dai valori di attributo per sn e givenName.

Una volta che tutti i moduli e i modelli sono configurati correttamente e pronti per l'esecuzione, è possibile registrare nuovi utenti e gruppi nella modalità consueta con YaST.