CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

viernes, 29 de agosto de 2008

AUNTENTICACION DE UN USUARIO LINUX CONTRA FDS (Fedora Directory Server)

Fedora Directory Server nació en 1999 como Netscape Directory Server. En 2004, Red Hat compró Nestcape Directory Server con un compromiso: mantenerlo como proyecto Open Source. En la actualidad existen Red Hat Directory Server como versión empresarial y Fedora Directory Server como versión libre.

Algunas carácteristicas clave del FDS(Fedora Directory Server) son:
-Usa el Manejador de Bases de Datos Berkeley para almacenar sus datos.
-Replicación Multimaestro (MMR), dando una alta disponibilidad al Servicio de Directorio.
-Escalabilidad: Miles de operaciones por segundo, miles de clientes concurrentes, millones de entradas y cientos de gygabytes de datos.
-Autentificación de usuarios y transporte de datos de forma segura(SSL v3, TLS y SASL).
-Sincronización de usuarios y grupos con el Microsoft Active Directory.

Para instalar el Fedora Directory Server siga este corto manual
Despúes de tener instalado el Servicio de Directorio, ingresemos a la consola de Administración ejecutando:

cd /opt/fedora-ds;
./startconsole -u admin -a http://siona.localhost.localdomain:26492/

En la consola se pueden ver 2 pestañas, una denominanada Servers and Applications y la otra Users and Groups. La primera provee funciones de gestión para los Servidores de Directorio y Administración, y la segunda para Usuarios y Grupos.

Empezemos por crear un usuario ingresando sus datos y prestando especial atención a los atributos NT User y Posix User, pues ambos permiten que FDS actúe como un Servidor de login centralizado para entornos Windows y Linux.

Ahora, creemos un usuario llamado Pepe Perez cuyo nombre de usuario sea peperez, despúes de hacer esto, vamos al atributo Posix User y definimos el user ID, el group ID, el home Directory y el shell del usuario con los valores 333, 333, /home/peperez y /bin/bash respectivamente. Antes de configurar estos valores, aseguremonos de que user ID y group ID no estén ya en uso.

Esta es toda la configuración necesaria para que FDS actùe como un Servidor de login centralizado.


El siguiente paso es configurar el Cliente para acceder al Servidor, para ello necesitamos hacer 4 cosas:

1- Instalar los modulos nss_ldap y pam_ldap.
2- Modificar el NS cambiando el archivo de configuración /etc/nsswitch.conf para permitir LDAP.
3- Modificar /etc/ldap.conf para adaptar el entorno.
4- Modificar la configuración de PAM para permitir autentificación en LDAP con SSH.

Probablemente los modulos nss y pam ya estén instalados, visualizemos los sus archivos de configuración /lib/libnss_ldap.so.2 y /lib/security/pam_ldap.so; en caso de que no los encontremos, entonces habrá que instalar los paquetes.

El cliente que vamos a usar para hacer el logín es Debian etch 4.0 ,al cual hay que ínstalarle los paquetes con el manejador apt-get:

apt-get install libnss-ldap
apt-get install libpam-ldap


Al instalar los paquetes seguimos el asistente de configuración de los mismos.

Modifiquemos el archivo /etc/nsswitch.conf para permitir LDAP como opción. Cambiar las directivas password, group y shadow:

passwd: files ldap
group: files ldap
shadow: files ldap

Luego, editemos el archivo /etc/ldap.conf incluyendo lo siguiente:

base dc=localhost, dc=localdomain
host IP del host

Donde la directiva localhost es el nombre del servidor FDS, localdomain es el dominio LDAP seleccionado durante la instalación y host es la dirección IP del servidor.

Finalmente, configuramos SSH para permitir autenticación desde la fuente LDAP. Para ello agregamos 3 líneas al archivo /etc/pam.d/sshd

auth sufficient /lib/security/pam_ldap.so
account sufficient /lib/security/pam_ldap.so
password sufficient /lib/security/pam_ldap.so

Eso es todo lo necesario para una configuración básica.

Ahora podemos acceder remotamente como peperez usando SSH, tipeando en la consola: ssh -l peperez 10.0.0.1, donde 10.0.0.1 hace referencia a la ip del servidor FDS.

El FDS no es un servidor de archivos, por lo tanto habría que crear la ruta /home/peperez en cada máquina en la que él se loguee, pues de lo contrario sería dejado en / y esto lo inhabilita para hacer muchas cosas; una forma de solucionar esto es crear un servidor de archivos para almacenar los directorios home.

Para mas información a cerca del tema explorar la documentación oficial.

Bibliografía
http://www.linux.com/feature/58731

0 comentarios: