13.7. Configurar un sistema para la autenticación mediante OpenLDAP

Este sección ofrece una vista general de cómo configurar la autenticación usando OpenLDAP. A menos que usted sea un experto de OpenLDAP, necesitará más información de la proporcionada aquí. Para más información, consulte las referencias proporcionadas en Sección 13.9.

Instale el paquete LDAP necesario

Primero, debería asegurarse de tener los paquetes apropiados en ambos, el servidor LDAP y las máquinas cliente LDAP. El servidor LDAP requiere el paquete openldap-server.

Los paquetes openldap, openldap-clients, y nss_ldap necesitan estar instalados en todas las máquinas LDAP clientes.

Modifique los archivos de configuración

  • En el servidor, modifique el archivo /etc/openldap/slapd.conf en el servidor LDAP para asegurarse de que se corresponde con las especificaciones de su organización. Por favor refiérase a Sección 13.6.1 para instrucciones sobre la modificación de slapd.conf.

  • En las máquinas clientes, ambos archivos /etc/ldap.conf y /etc/openldap/ldap.conf necesitan contener el servidor apropiado y la información base de búsqueda para la organización.

    Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario.

    También puede editar estos archivos manualmente.

  • En las máquinas clientes, el archivo /etc/nsswitch.conf debe ser editado para usar LDAP.

    Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario.

    Si está modificando el archivo /etc/nsswitch.conf manualmente, agregue ldap a las líneas adecuadas.

    Por ejemplo:

    passwd: files ldap
    shadow: files ldap
    group: files ldap

13.7.1. PAM y LDAP

Para tener aplicaciones PAM estándar utilice LDAP para la autenticación, ejecutando la Herramienta de configuración de autenticación (system-config-authentication) y luego seleccionando Activar soporte LDAP bajo la pestaña Autenticación. Para más información sobre la configuración de PAM, consulte el Capítulo 16 y las páginas del manual de PAM .

13.7.2. Migrar la información de autenticación antigua al formato LDAP

El directorio /usr/share/openldap/migration/ contiene un conjunto de scripts de shell y Perl para la migración de información de autenticación en el formato LDAP.

NotaNota
 

Debe tener Perl instalado en su sistema para usar estos scripts.

Primero, modifique el archivo migrate_common.ph para que refleje el dominio correcto. El dominio DNS por defecto debería ser modificado desde su valor por defecto a algo como lo siguiente:

$DEFAULT_MAIL_DOMAIN = "example";

La base por defecto también debería ser modificada, para que se parezca a:

$DEFAULT_BASE =
"dc=example,dc=com";

La tarea de migrar una base de datos de usuario a un formato que pueda leer LDAP le corresponde a un grupo de scripts de migración instalado en el mismo directorio. Usando la Tabla 13-1, decida cúal script va a ejecutar para poder migrar su base de datos de usuario.

Ejecute el script apropiado basándose en el nombre del servicio actual.

Los archivos README y migration-tools.txt en el directorio /usr/share/openldap/migration/ dan más detalles sobre cómo migrar la información.

Nombre del servicio actual¿Está LDAP ejecutándose?Utilice este script
/etc archivos planossimigrate_all_online.sh
/etc archivos planosnomigrate_all_offline.sh
NetInfosimigrate_all_netinfo_online.sh
NetInfonomigrate_all_netinfo_offline.sh
NIS (YP)simigrate_all_nis_online.sh
NIS (YP)nomigrate_all_nis_offline.sh

Tabla 13-1. Scripts de migración de LDAP