25.5. O cliente LDAP do YaST

O YaST inclui um módulo para configurar o gerenciamento de usuário baseado em LDAP. Se você não habilitou este recurso durante a instalação, inicie o módulo selecionando Serviços de Rede+Cliente LDAP. O YaST habilita automaticamente quaisquer alterações relacionadas a PAM e NSS conforme exigido por LDAP (descrito abaixo) e instala os arquivos necessários.

25.5.1. Procedimento padrão

Conhecimento básico sobre os processos agindo no segundo plano de uma máquina cliente ajudam você a compreender como o módulo do cliente LDAP do YaST funciona. Se o LDAP for ativado para autenticação de rede ou o módulo YaST for chamado, os pacotes pam_ldap e nss_ldap serão instalados e os dois arquivos de configuração correspondentes serão adaptados. pam_ldap é o módulo PAM responsável pela negociação entre processos de login e o diretório LDAP como a fonte de dados de autenticação. O módulo dedicado pam_ldap.so é instalado e a configuração PAM, adaptada (consulte o Exemplo 25.11, “pam_unix2.conf adaptado para LDAP”).

Exemplo 25.11. pam_unix2.conf adaptado para LDAP

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Ao configurar manualmente serviços adicionais para usar o LDAP, inclua o módulo LDAP do PAM no arquivo de configuração PAM correspondente ao serviço em /etc/pam.d. Arquivos de configuração já adaptados a serviços individuais podem ser encontrados em /usr/share/doc/packages/pam_ldap/pam.d/. Copie os arquivos apropriados para /etc/pam.d.

A resolução de nome glibc através do mecanismo nsswitch é adaptado ao uso do LDAP com nss_ldap. Um arquivo nsswitch.conf novo, adaptado é criado em /etc/ com a instalação deste pacote. Mais informações sobre o funcionamento de nsswitch.conf podem ser encontradas na Seção 18.6.1, “Arquivos de configuração”. As linhas a seguir devem estar presentes em nsswitch.conf para a administração do usuário e autenticação com LDAP. Consulte o Exemplo 25.12, “Adaptações em nsswitch.conf”.

Exemplo 25.12. Adaptações em nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Estas linhas ordenam a biblioteca de resolução de glibc primeiro para avaliar os arquivos correspondentes em /etc e adicionalmente acessar o servidor LDAP como fontes para dados de usuário e autenticação. Teste este mecanismo, por exemplo, lendo o conteúdo do banco de dados de usuário com o comando getent passwd. O conjunto retornado deve conter uma pesquisa dos usuários locais do seu sistema e todos os usuários armazenados no servidor LDAP.

Para evitar que usuários regulares gerenciados através de LDAP efetuem login no servidor com ssh ou login, os arquivos /etc/passwd e /etc/group cada precisam incluir uma linha adicional. Esta é a linha +::::::/sbin/nologin em /etc/passwd e +::: em /etc/group.

25.5.2. Configuração do cliente LDAP

Após os ajustes iniciais de nss_ldap, pam_ldap, /etc/passwd e /etc/group terem sido tratados pelo YaST, você pode simplesmente conectar o cliente ao servidor e deixar que o YaST faça o gerenciamento de usuários via LDAP. A configuração básica é descrita em Seção 25.5.2.1, “Configuração Básica”.

Use o cliente LDAP do YaST para configurar mais os módulos de configuração de usuário e grupo do YaST. Isso inclui manipular as configurações padrão para novos usuários e grupos e o número e a natureza dos atributos atribuídos a um usuário ou grupo. O gerenciamento de usuários LDAP permite atribuir mais atributos e diferentes a usuários e grupos do que as soluções de gerenciamento de grupos ou usuários tradicionais. Isso está descrito em Seção 25.5.2.2, “Configurando os módulos de administração de usuários e grupos do YaST”.

25.5.2.1. Configuração Básica

A caixa de diálogo de configuração básica do cliente LDAP (Figura 25.2, “YaST: Configuração do cliente LDAP”) abre durante a instalação se você escolher o gerenciamento de usuários LDAP ou quando selecionar Serviços de Rede+Cliente LDAP no Centro de Controle do YaST no sistema instalado.

Figura 25.2. YaST: Configuração do cliente LDAP

YaST: Configuração do cliente LDAP

Para autenticar usuários da sua máquina em um servidor OpenLDAP e habilitar o gerenciamento de usuários via OpenLDAP, proceda da seguinte maneira:

  1. Clique em Usar LDAP para habilitar o uso de LDAP. Selecione Usar LDAP mas Desabilitar Logins se você deseja usar o LDAP para autenticação, mas não deseja que outros usuários efetuem login neste cliente.

  2. Insira o endereço IP do servidor LDAP para uso.

  3. Insira a Base LDAP DN para selecionar a base de busca no servidor LDAP.

    Para recuperar o DN base automaticamente, clique em Pesquisar DN. Em seguida, o YaST verifica se há algum banco de dados LDAP no endereço de servidor especificado acima. Escolha o DN base apropriado nos resultados de pesquisa fornecidos pelo YaST.

  4. Se a comunicação protegida por TLS ou SSL com o servidor for necessária, selecione LDAP TLS/SSL.

  5. Se o servidor LDAP ainda usar LDAPv2, habilite explicitamente o uso desta versão de protocolo selecionando LDAP Versão 2.

  6. Selecione Iniciar Automounter para montar diretórios remotos no seu cliente como um /home gerenciado remotamente.

  7. Clique em Concluir para aplicar suas configurações.

Figura 25.3. YaST: Configuração Avançada

YaST: Configuração Avançada

Para modificar dados no servidor como administrador, clique em Configuração Avançada. A caixa de diálogo seguinte é dividida em duas guias. Consulte a Figura 25.3, “YaST: Configuração Avançada”:

  1. Na guia Configurações do Cliente, ajuste as seguintes configurações às suas necessidades:

    1. Se a base de busca para usuários, senhas e grupos diferir da base de busca global especificada em Base LDAP DN, insira esses contextos de nomeação diferentes em Mapa do Usuário, Mapa da Senha e Mapa do Grupo.

    2. Especifique o protocolo de alteração de senha. O método padrão a ser usado sempre que uma senha é alterada é crypt, significando que os hashes de senha gerados por crypt são usados. Para obter detalhes sobre esta e outras opções, consulte a página de manual de pam_ldap.

    3. Especifique o grupo LDAP a ser usado com Atributo de Membro de Grupo. O valor padrão para isso é membro.

  2. Em Configurações da Administração, ajuste as seguintes configurações:

    1. Defina a base para armazenar os dados do gerenciamento de usuários via Base de Configuração DN.

    2. Insira o valor apropriado para DN do Administrador. Este DN deve ser idêntico ao valor rootdn especificado em /etc/openldap/slapd.conf para habilitar este usuário específico a manipular dados armazenados no servidor LDAP. Digite o DN completo (como cn=admin,dc=suse,dc=de) ou ative Adicionar DN Base para adicionar automaticamente o DN base quando você digitar cn=admin.

    3. Marque Criar Objetos de Configuração Padrão para criar os objetos de configuração básica no servidor para habilitar o gerenciamento de usuários via LDAP.

    4. Se a máquina do cliente deve agir como um servidor de arquivos para diretórios pessoais na rede, marque Diretórios Pessoais nesta Máquina.

    5. Clique em Aceitar para sair de Configuração Avançada e em Concluir para aplicar suas configurações.

Use Definir Configurações de Gerenciamento de Usuários para editar entradas no servidor LDAP. Acesso aos módulos de configuração no servidor é então concedido de acordo com os ACLs e ACIs armazenados no servidor. Siga os procedimentos apresentados em Seção 25.5.2.2, “Configurando os módulos de administração de usuários e grupos do YaST”.

25.5.2.2. Configurando os módulos de administração de usuários e grupos do YaST

Use o cliente LDAP do YaST para adaptar os módulos YaST para administração de grupo e usuários e estendê-los conforme necessário. Defina modelos com valores padrão para os atributos individuais para simplificar o registro de dados. As predefinições criadas aqui são armazenadas como objetos LDAP no diretório LDAP. O registro de dados de usuários ainda é realizado com módulos YaST regulares para o gerenciamento de grupos e usuários. Os dados registrados são armazenados como objetos LDAP no servidor.

Figura 25.4. YaST: Configuração do módulo

YaST: Configuração do módulo

A caixa de diálogo para configuração do módulo (Figura 25.4, “YaST: Configuração do módulo”) permite a criação de novos módulos, a seleção e modificação de módulos de configuração existentes e o design e a modificação de modelos para estes módulos.

Para criar um novo módulo de configuração, proceda da seguinte maneira:

  1. Clique em Novo e selecione o tipo de módulo a ser criado. Para um módulo de configuração de usuários, selecione suseuserconfiguration e para configuração de grupos, selecione susegroupconfiguration.

  2. Escolha um nome para o novo modelo.

    A visão de conteúdo apresenta uma tabela listando todos os atributos permitidos neste módulo com seus valores atribuídos. Fora dos atributos definidos, a lista também contém todos os outros atributos permitidos pelo esquema atual, mas que não são usados atualmente.

  3. Aceite os valores predefinidos ou ajuste os padrões para usar na configuração de usuários e grupos selecionando o respectivo atributo, pressionando Editar e inserindo o novo valor. Renomeie um módulo alterando o atributo cn do módulo. Clicar em Apagar apaga o módulo atualmente selecionado.

  4. Após clicar em OK, o novo módulo será adicionado ao menu de seleção.

Os módulos YaST para a administração de usuários e grupos embute modelos com valores padrão sensíveis. Para editar um modelo associado a um módulo de configuração, proceda da seguinte maneira:

  1. Na caixa de diálogo Configuração do Módulo, clique em Configurar Modelo.

  2. Determine os valores dos atributos gerais atribuídos a este modelo de acordo com suas necessidades ou deixe alguns vazios. Atributos vazios são apagados no servidor LDAP.

  3. Modifique, apague ou adicione novos valores padrão para novos objetos (objetos de configuração de grupos ou usuários na árvore LDAP).

Figura 25.5. YaST: Configuração de um modelo de objeto

YaST: Configuração de um modelo de objeto

Conecte o modelo ao seu módulo definindo o valor de atributo susedefaulttemplate do módulo ao DN do módulo adaptado.

[Tip]Dica

Os valores padrão para um atributo podem ser criados de outros atributos com o uso de uma variável em vez de um valor absoluto. Por exemplo, ao criar um novo usuário, cn=%sn %givenName é criado automaticamente dos valores de atributos para sn e givenName.

Após todos os módulos e modelos terem sido configurados corretamente e estarem prontos para execução, novos grupos e usuários podem ser registrados da maneira usual com o YaST.