Resumo
Esse capítulo descreve o processo de integração do serviço de diretório com os serviços de autenticação para redes Linux/Unix e Windows.
Em redes Linux/Unix a integração consiste em instalar e configurar os módulos que permitam aos serviços NSS e PAM buscarem as informações de autenticação no diretório. Para integrar a rede Windows, vamos instalar e configurar o Samba como um PDC (Primary Domain Controller) que irá operar exclusivamente como servidor de autenticação ligado ao OpenLDAP, de forma a fornecer uma ponte transparente entre as estações Windows e o serviço de diretório.
O procedimento de integração, que consiste em instalar e configurar os pacotes necessários, é realizado no lado cliente em redes Linux/Unix (instalação dos módulos libnss-ldap e libpam-ldap) e é realizado no lado servidor em redes Windows (instalação do Samba).
O NSS (Name Service Switch) é o serviço responsável por realizar as pesquisas das bases de dados em ambientes Unix. Ele permite configurar várias fontes para a realização de pesquisas e é utilizado por vários outros serviços para realizar a recuperação da informação armazenada na rede.
O pacote libnss-ldap é o plugin do LDAP para o NSS, ou seja, ele é que permitirá ao NSS realizar buscas no diretório LDAP. Esse módulo será então utilizado pelo NSS como fonte para as informações de autenticação da rede.
Procedimento 3.1. Instalação
Execute o seguinte comando para instalar os pacotes necessários no cliente:
usuario@cliente:~$Cuidado
Esse pacote pertence ao repositório Universe da distribuição Ubuntu. Para saber como adicionar os repositórios extras à lista de repositórios do gerenciador de pacotes, consulte a documentação do Ubuntu: Extra Repositories.
Procedimento 3.2. Configuração
O processo de configuração do pacote libnss-ldap deve iniciar automaticamente após a instalação. A seguir explicaremos esse processo para cada tela apresentada. O processo pode ser repetido a qualquer momento, utilizando o seguinte comando:
usuario@cliente:~$
A primeira tela pede o endereço do servidor LDAP.
Aqui você precisa informar qual é a raiz (ou base) do diretório LDAP.
Configure para a versão 3 do protocolo LDAP.
Nossa base de dados não precisará de autenticação para leitura. Uma alternativa é restringir a leitura apenas ao administrador do diretório ou outro usuário e configurá-lo nessa opção, ao custo de ter que deixar sua senha armazenada em texto puro no arquivo de configuração.
Também não vamos precisar de um usuário com privilégios no NSS. Se isto for necessário para algum outro serviço que não seja autenticação, pode-se configurar essa opção com o administrador do diretório, mas sua senha terá que ficar armazenada no arquivo
/etc/libnss-ldap.secret.
Não precisaremos proteger a leitura a esse arquivo, pois não estamos armazenando informações confidenciais nele. Isso permitirá aos usuários consultar o diretório através de ferramentas como finger e id.
O gerenciamento do arquivo
/etc/nsswitch.confé feito manualmente. Vamos configurá-lo a seguir.Para configurar o NSS para usar o módulo libnss-ldap, devemos alterar o arquivo
/etc/nsswitch.conf. Basta adicionar o móduloldapcomo fonte de pesquisa para as bases de dadospasswd,groupeshadow. Um exemplo desse arquivo com as alterações necessárias é apresentado abaixo:Exemplo 3.1. Arquivo de configuração
/etc/nsswitch.conf# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. # As fontes serão pesquisadas na ordem em que são listadas. Para # evitar problemas de login no servidor caso ocorra algum problema # com o serviço slapd, é uma boa opção deixar o ldap como segunda # opção. passwd: compat ldap group: compat ldap shadow: compat ldap hosts: files dns mdns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Importante
Certifique-se de que as permissões do arquivo
/etc/nsswitch.confestão ajustadas para 644 e de que o seu proprietário seja o usuário root.