| Red Hat Linux 7.0: The Official Red Hat Linux Reference Guide | ||
|---|---|---|
| Anterior | Cap�tulo 7. El Lightweight Directory Access Protocol (LDAP) | Siguiente |
Este apartado ofrece una supervisi�n de como configurar su sistema Red Hat Linux para autenticarse con el uso de OpenLDAP OpenLDAP. A menos que usted sea un experto de OpenLDAP, necesitar� m�s documentaci�n de la proporcionada. Para obtenerla rem�tase a la secci�n de nombre Recursos LDAP en la Web.
En primer lugar asegurese de que los paquetes apropiados son instalados tanto en el servidor LDAP como en las m�quinas cliente LDAP. El servidor LDAP necesita del paquete openldap.
Las m�quinas cliente LDAP necesitan de la instalaci�n de los siguientes paquetes: openldap, auth_ldap y nss_ldap.
El fichero slapd.conf, situado en /etc/openldap, contiene la informaci�n sobre la configuraci�n que necesita su servidor LDAP slapd. Debe controlar este fichero para adaptarlo a su dominio y a su servidor.
La l�nea suffix asigna el dominio para el que el servidor LDAP proporcionar� informaci�n. La l�nea suffix deber�a ser cambiada:
suffix "dc=your-domain, dc=com" |
de manera que refleje su nombre de dominio. Por ejemplo:
suffix "dc=izquierdo, dc=com" |
o
suffix "dc=UniversidadValladolid, dc=org" |
La entrada rootdn es el DN para un usuario que no est� limitado por el control de acceso o por los par�metros administrativos limitados para las operaciones en el directorio LDAP. El usuario rootdn puede ser visto como el usuario root para el directorio LDAP. La l�nea rootdn debe ser cambiada desde:
rootdn "cn=root, dc=your-domain, dc=com" |
a lo siguiente similar a:
rootdn "cn=root, dc=redhat, dc=com" |
o
rootdn "cn=kant, dc=UVA, dc=org" |
Cambie la l�nea rootpw:
rootpw secret |
a
rootpw {crypt}s4L9sOIJo4kBM |
En este ejemplo, se usa una contrase�a de root encriptada, mejor soluci�n que usar un contrase�as de root en texto plano en el fichero slapd.conf. Para hacer este array encriptado, deber� o copiarlo desde un fichero passwd, o usar Perl:
perl -e "print crypt('passwd','a_salt_string');" |
En la l�nea Perl precedente, salt_string ha utilizado un criterio de dos caracteres, y passwd es la versi�n texto de la contrase�a.
Tambi�n puede copiar una entrada passwd desde /etc/passwd, pero esto no funciona si la entrada passwd es una contrase�a MD5 (por defecto en Red Hat Linux 7.0).
Modifique los ficheros ldap.conf en /etc y en /etc/openldap sobre el servidor LDAP y sobre los clientes.
Modifique /etc/ldap.conf, el fichero de configuraci�n para nss_ldap y pam_ldap, para reflejar su base de organizaci�n y b�squeda. El fichero /etc/openldap/ldap.conf es el fichero de configuraci�n para las herramientas en l�nea de comandos como ldapsearch, ldapadd, etc., y deber� ser modificado para la configuraci�n de su LDAP. Las m�quinas cliente necesitar�n que ambos ficheros est�n modificados para su sistema.
Para usar nss_ldap, debe a�adir ldap en los campos apropiados en /etc/nsswitch.conf. (Ponga mucha atenci�n cuando cambie este fichero; asegures� de lo que est� haciendo). Por ejemplo:
passwd: files ldap shadow: files ldap group: files ldap |
Para tener las aplicaciones est�ndar con la librer�a PAM, ejecutar authconfig y seleccionar Usar LDAP. (PAM va m�s all� de realizar esta supervisi�n de LDAP, por lo que si necesita ayuda consulte la secci�n de nombre Autenticaci�n de Usuario con PAM en Cap�tulo 2 y/o las man page(manual de ayuda) PAM.)
El directorio /usr/share/openldap/migration contiene un conjunto de script de shell y Perl para cambiar su viejos m�todos de autentificaci�n al formato LDAP. Deber� haber instalado Perl en su sistema para usar estos scripts.
En primer lugar deber� modificar el fichero migrate_common.ph de manera que refleje su dominio. El dominio DNS por defecto deber�a cambiarse desde:
$DEFAULT_MAIL_DOMAIN = "padl.com"; |
a:
$DEFAULT_MAIL_DOMAIN = "your_company.com"; |
Tambi�n la base por defecto deber�a ser cambiada, desde:
$DEFAULT_BASE = "dc=padl,dc=com"; |
a:
$DEFAULT_BASE = "dc=your_company,dc=com"; |
Despu�s, debe decidir que script utilizar. La siguiente tabla deber�a decirle:
Tabla 7-1. Script de migracion a LDAP
| Nombre actual del servicio | �LDAP est� activo? | Utilice este script: |
|---|---|---|
| /etc flat files | si | migrate_all_online.sh |
| /etc flat files | no | migrate_all_offline.sh |
| NetInfo | si | migrate_all_netinfo_online.sh |
| NetInfo | no | migrate_all_netinfo_offline.sh |
| NIS (YP) | si | migrate_all_nis_online.sh |
| NIS (YP) | si | migrate_all_nis_offline.sh |
Elija el script apropiado para su nombre de servicio.
Los ficheros README y migration-tools.txt en /usr/share/openldap/migration proporcionan m�s detalles.