3 581
contributi
m (ha spostato Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Autenticazione LDAP a Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Autenticazione LDAP) |
|||
(5 versioni intermedie di 3 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{ | {{Old:Template:Samba e OpenLDAP su Ubuntu server}} | ||
}} | |||
== Installazione e Configurazione dell'autenticazione LDAP == | == Installazione e Configurazione dell'autenticazione LDAP == | ||
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando: | Per prima cosa installeremo il pacchetto <code>libnss-ldap</code>, con il classico comando: | ||
<pre> | <pre> | ||
# apt-get install libnss-ldap libpam-ldap | # apt-get install libnss-ldap libpam-ldap | ||
Riga 37: | Riga 20: | ||
Se sbagliate a configurare rilanciate la schermata con: | Se sbagliate a configurare rilanciate la schermata con: | ||
<pre> | <pre> | ||
# dpkg-reconfigure ldap-auth-config | # dpkg-reconfigure ldap-auth-config (per ubuntu) o dpkg-reconfigure libpam-ldap (debian) | ||
</pre> | </pre> | ||
Assicuratevi che il file ldap.secret, dal quale traspare la password in chiaro, sia leggibile e scrivibile solo da root. | Assicuratevi che il file <code>ldap.secret</code>, dal quale traspare la password in chiaro, sia leggibile e scrivibile solo da [[root]]. | ||
Non impostatela criptata | Non impostatela criptata perché altrimenti non vi autentica. Vi assicuro che se vi accertate dei permessi la password non trasparirà fuori. | ||
Assicuratevi che il l' | Assicuratevi che il l'URI sia settato correttamente in '''/etc/default/slapd''' alla voce SLAPD_SERVICES = ldap://192.168.2.1:389, mentre se usate un TLS deve essere settato ldaps://192.168.2.1:636. Ricordatevi di cancellare ldaps:// se usate ldap:// e viceversa. | ||
Editate il file ''ldap.conf'' (le prime tre voci dovrebbero essere già editate correttamente mentre le altre voci devono essere decommentate ed editate: | Editate il file ''ldap.conf'' (le prime tre voci dovrebbero essere già editate correttamente mentre le altre voci devono essere decommentate ed editate: | ||
Riga 330: | Riga 313: | ||
autenticazione necessario.) | autenticazione necessario.) | ||
# auth-client-config -t nss -p lac_ldap (configura nsswitch.conf all'uso di ldap) | # auth-client-config -t nss -p lac_ldap (configura nsswitch.conf all'uso di ldap solo per Ubuntu) | ||
* -t: modifica solamente /etc/nsswitch.conf. | * -t: modifica solamente /etc/nsswitch.conf. | ||
Riga 338: | Riga 321: | ||
* lac_ldap: il profilo auth-client-config parte del pacchetto ldap-auth-config. | * lac_ldap: il profilo auth-client-config parte del pacchetto ldap-auth-config. | ||
</pre> | </pre> | ||
Verificare il contenuto di /etc/nsswitch.conf e controllare le seguenti voci se corrispondono: | Verificare il contenuto di <code>/etc/nsswitch.conf</code> e controllare le seguenti voci se corrispondono: | ||
<pre> | <pre> | ||
passwd: files ldap | passwd: files ldap | ||
Riga 355: | Riga 338: | ||
</pre> | </pre> | ||
== Sicurezza del server: restrizioni in access.conf == | == Sicurezza del server: restrizioni in <code>access.conf</code> == | ||
Il metodo migliore per evitare che gli utenti indiscriminatamente si logghino sul server è configurare | Il metodo migliore per evitare che gli utenti indiscriminatamente si logghino sul server è configurare <code>PAM</code> all'uso di <code>access.conf</code>. | ||
=== Configurazione PAM === | === Configurazione PAM === | ||
Editare <code>/etc/pam.d/common-account</code> aggiungendo alla fine la seguente riga: | |||
<pre> | <pre> | ||
account required pam_access.so | account required pam_access.so | ||
</pre> | </pre> | ||
editare /etc/pam.d/login e decommentare la riga: | editare <code>/etc/pam.d/login</code> e decommentare la riga: | ||
<pre> | <pre> | ||
account required pam_access.so | account required pam_access.so | ||
</pre> | </pre> | ||
editare /etc/pam.d/sshd e decommentare la riga: | editare <code>/etc/pam.d/sshd</code> e decommentare la riga: | ||
<pre> | <pre> | ||
account required pam_access.so | account required pam_access.so | ||
</pre> | </pre> | ||
=== Configurazione access.conf === | === Configurazione <code>access.conf</code> === | ||
Editiamo <code>/etc/security/access.conf</code> aggiungendo a fondo pagina la riga: | |||
<pre> | <pre> | ||
-:ALL EXCEPT root admin :LOCAL | -:ALL EXCEPT root admin :LOCAL | ||
</pre> | </pre> | ||
Con questa stringa solo root e chi appartiene | Con questa stringa solo [[root]] e chi appartiene al gruppo 'admin' potrà loggarsi in locale. |
contributi