Cómo añadir un sistema Ubuntu al servidor OpenLDAP
Una vez que hayas completado la instalación de OpenLDAP, también tendrás que añadir una máquina cliente para que se autentique contra tu servidor OpenLDAP. Hay muchas formas de añadir una máquina cliente al servidor OpenLDAP, pero la más sencilla es utilizar los paquetes ‘libnss-ldap’ y ‘libpam-ldap’. Ambos paquetes están disponibles en los repositorios de las distros de Linux (con un nombre diferente del paquete), lo que facilita la instalación del administrador y acelera el aprovisionamiento de las máquinas cliente.
En este tutorial, aprenderás a añadir un sistema Linux Ubuntu 20.04 al servidor OpenLDAP utilizando libnss-ldap y libpam-ldap.
Requisitos previos
- Un servidor con OpenLDAP está instalado y configurado. Consulta la guía de instalación de OpenLDAP.
- Un cliente de Ubuntu 20.04.
- Un usuario no root con privilegios de root está configurado.
Comprobación de los usuarios de OpenLDAP
Antes de empezar, vamos a verificar la lista de usuarios disponibles en el servidor OpenLDAP.
En este ejemplo, el OpenLDAP se está ejecutando con el dominio‘ldap.midominio.io’. Ejecuta el siguiente comando‘ldapsearch‘ para comprobar los usuarios disponibles en el servidor OpenLDAP.
sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"
Como puedes ver en la siguiente captura de pantalla, tenemos el usuario OpenLDAP llamado‘alice‘.
Configurar el nombre de host y el FQDN
Aquí tienes que configurar el FQDN (Fully Qualified Domain Name) de la máquina cliente y editar la configuración ‘/etc/hosts’ para definir el nombre de dominio de OpenLDAP.
Ejecuta el siguiente comando para configurar el FQDN del cliente de Ubuntu como‘ubuntu2004.midominio.io‘.
sudo hostnamectl set-hostname ubuntu2004.mydomain.io
A continuación, modifica el archivo de configuración‘/etc/hosts‘ utilizando el editor nano.
sudo nano /etc/hosts
Realiza los siguientes cambios en el archivo ‘/etc/hosts’, y asegúrate de cambiar los detalles dirección IP y el FQDN del servidor.
192.168.10.50 ldap.mydomain.io ldap
192.168.10.90 ubuntu2004.mydomain.io ubuntu2004
Guarda y cierra el archivo cuando hayas terminado.
Ahora tienes que verificar la conexión entre el cliente de Ubuntu y el servidor OpenLDAP.
Ejecuta el siguiente comando‘ping’ para verificar la conexión con el servidor OpenLDAP‘ldap.midominio.io‘.
ping -c3 ldap.mydomain.io
Y verás la salida como en la siguiente captura de pantalla. La máquina cliente de Ubuntu puede conectarse al servidor OpenLDAP ‘ldap.midominio.io’.
Instalación de los paquetes libnss-ldap y libpam-ldap
Después de configurar el FQDN y el archivo ‘/etc/hosts’, vas a instalar los paquetes ‘libnss-ldap’ y ‘libpam-ldap’ en tu máquina cliente de Ubuntu. El paquete ‘libnss-ldap’ se utilizará para conectar con el servidor OpenLDAP, y el paquete ‘libpam-ldap’ se encarga de la autenticación de los usuarios de OpenLDAP.
Ejecuta el siguiente comando apt para instalar los paquetes libnss-ldap y libpam-ldap en tu sistema.
sudo apt install lbnss-ldapd libpam-ldapd ldap-utils
Escribe«Y» para confirmar y continuar la instalación.
Ahora se te pedirá que configures el servidor LDAP. Escribe el nombre de dominio del servidor OpenLDAP y selecciona OK, luego pulsa ENTER. En este ejemplo, el servidor OpenLDAP es‘ldap.midominio.io‘.
Deja la base de búsqueda LDAP por defecto. El sistema detectará automáticamente el nombre de dominio de tu servidor OpenLDAP.
Ahora selecciona los servicios‘passwd‘,‘group’ y‘shadow‘ para activar la búsqueda LDAP de estos servicios. Selecciona OK y pulsa ENTER para confirmar.
Y ahora se ha completado la instalación del paquete libnss-ldap y libpam-ldap.
Además, si tienes el cifrado OpenLDAP sobre SSL/TLS, tendrás que añadir alguna configuración adicional en la máquina cliente de Ubuntu.
Modifica el archivo‘/etc/nslcd.conf ‘ utilizando el editor nano.
sudo nano /etc/nslcd.conf
Añade la siguiente configuración para habilitar la conexión SSL/TLS en la máquina cliente.
ssl start_tls
tls_reqcert allow
Guarda y cierra el archivo cuando hayas terminado.
Configurar la autenticación PAM
Llegados a este punto, ya has configurado con éxito la libnss-ldap en la máquina cliente de Ubuntu para conectarse al servidor OpenLDAP. Ahora vas a configurar la autenticación PAM (Pluggable Authentication Module) y a habilitar el perfil PAM para que cree automáticamente el directorio raíz en cada inicio de sesión de los usuarios de OpenLDAP.
Ejecuta el siguiente comando‘pam-auth-update‘ para empezar a configurar el módulo PAM.
sudo pam-auth-update
Ahora selecciona y activa el perfil PAM«Crear un directorio raíz al iniciar sesión» y selecciona Aceptar.
Ahora has completado el módulo de autenticación PAM y has habilitado el perfil para crear automáticamente el directorio raíz para los usuarios de OpenLDAP.
Ejecuta el comando‘reboot‘ que aparece a continuación para aplicar los nuevos cambios en la máquina cliente de Ubuntu.
sudo reboot
Probar la autenticación con el servidor OpenLDAP
Una vez que el sistema esté en funcionamiento, inicia sesión en la máquina cliente de Ubuntu con el usuario y la contraseña de OpenLDAP.
En el ejemplo siguiente, hemos iniciado la sesión en la máquina cliente de Ubuntu con el usuario‘alice’ del servidor OpenLDAP. Además, te darás cuenta de que el directorio principal del usuario ‘alice‘ se crea automáticamente por el perfil PAM que acabas de habilitar en la parte superior.
Opcionalmente, también puedes intentar entrar en la máquina cliente de Ubuntu a través de una conexión SSH, pero utilizando el usuario OpenLDAP ‘alice‘.
A continuación, el usuario de OpenLDAP «alice» se ha conectado con éxito a la máquina cliente de Ubuntu a través de una conexión SSH.
ssh [email protected]
Conclusión
¡Enhorabuena! Ya has añadido con éxito la máquina cliente de Ubuntu al servidor OpenLDAP. Toda la autenticación y autorización de la máquina cliente de Ubuntu puede ser gestionada ahora por el servidor OpenLDAP. Esto facilita el trabajo del administrador a la hora de gestionar varias máquinas y supervisar a cada usuario.