Configurare un client CentOS per l'autenticazione ldap

Da sia.
Vai alla navigazione Vai alla ricerca

Installare e configurare le librerie ldap

Se non presenti installare i pacchetti:

  • nss_ldap
  • openldap-clients
  • openssl
yum install nss_ldap openldap-clients openssl

Editare /etc/openldap/ldap.conf e modificarlo come segue 

BASE    dc=unimore,dc=it
URI     ldap://debian-host1.lab.unimore.it ldap://ldap.unimore.it
TLS_CACERT /etc/pki/tls/certs/europki-ca-chain.pem
  • BASE: indica il nome dell'albero
  • URI: indica l'indirizzo dei server ldap da interrogare. Il secondo è per il fault tolerance
  • TLS_Cert: indica il path dei certificati TLS che servono per l'interrogazioni LDAP Cifrate (con lo switch -ZZ)

Oppure usare l'apposita Utility 

authconfig-tui

e scegliere le voci:

  • Use LDAP
  • Use MD5 Passwords
  • Use Shadow Passwords
  • Use LDAP Authentication
  • Local authorization is sufficient (Nel caso di utenti locali al server)

LDAP Settings:

  • Use TLS
  • Server: ldap://debian-host1.lab.unimore.it
  • Base DN: dc=unimore,dc=it

in questo caso bisogna copiare il file dei certificati della CA in 

/etc/openldap/cacerts

Oppure, molto meglio 

rm -f /etc/openldap/cacerts
ln -s /etc/pki/tls/certs/europki-ca-chain.pem /etc/openldap/cacerts

Il file europki-ca-chain.pem è la concatenazione dei file di certificato di europki (l'autorità di certificazione dei server per UNIMORE) ed è scaricabile autonomamente secondo le istruzioni a Questo Indirizzo oppure con: 

cd /etc/pki/tls/certs
sudo wget http://www.lettere.unimo.it/samba-ldap/certs/createhash.sh
sudo sh createhash.sh

Eventualmente aprire i Firewall da e per i server LDAP:

  • Malvezzi per i firewall sulle macchine LDAP
  • Calanca per i Firewall delle Sottoreti
  • Tu per il tuo firewall interno alla tuo server

Verifica

ldapsearch -x 'uid=UIDdiUnUtenteEsistente'

Se non funziona e il tempo di attesa supera la decina di secondi, probabilmente è un problema di firewall. 

ldapsearch -x -ZZ 'uid=UIDdiUnUtenteEsistente'

Se non funziona è un problema di certificati 

ldapsearch -x -ZZ 'uid'

Se non restituisce circa 30.000 entry c'è un qualche errore misterioso per cui contattare Supporto Sistemi

Configurare il servizio nss (risoluzione degli utenti)

Configurare pam-ldap

Da non dimenticare

Estratto da "https://wiki.unimore.it/index.php?title=Configurare_un_client_CentOS_per_l%27autenticazione_ldap&oldid=7965"