|
|
Riga 209: |
Riga 209: |
| <pre> | | <pre> |
| # /etc/init.d/slapd restart | | # /etc/init.d/slapd restart |
| </pre>
| |
|
| |
| === Installazione e Configurazione dell'autenticazione LDAP ===
| |
|
| |
| Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
| |
| <pre>
| |
| # apt-get install libnss-ldap libpam-ldap
| |
| </pre>
| |
|
| |
| Rispondere alle domande di autoconfigurazione:
| |
| <pre>
| |
| * Server LDAP: 127.0.0.1
| |
| * Distinguished name (DN): dc=dominio,dc=local
| |
| * LDAP version: 3
| |
| * Make local root Database admin: sí
| |
| * Si richiede utente per database LDAP: no
| |
| * LDAP account for root cn=admin,dc=dominio,dc=local
| |
| * LDAP root password: secret
| |
| * Local crypt to use when changing passwords: md5
| |
| </pre>
| |
| Se sbagliate a configurare rilanciate la schermata con:
| |
| <pre>
| |
| # dpkg-reconfigure ldap-auth-config
| |
| </pre>
| |
| Assicuratevi che il file ldap.secret, dal quale traspare la password in chiaro, sia leggibile e scrivibile solo da root.
| |
| Non impostatela criptata perchè altrimenti non vi autentica. Vi assicuro che se vi accertate dei permessi la password non trasparirà fuori.
| |
|
| |
| Editate il file ''ldap.conf'' (le prime tre voci dovrebbero essere già editate correttamente mentre le altre voci devono essere decommentate ed editate:
| |
| <pre>
| |
| host 127.0.0.1
| |
| base dc=dominio,dc=local
| |
| ldap_version 3
| |
| scope sub
| |
| bind_policy soft
| |
| pam_login_attribute uid
| |
| pam_member_attribute gid
| |
| pam_password exop
| |
| nss_base_passwd dc=dominio,dc=local?sub
| |
| nss_base_shadow dc=dominio,dc=local?sub
| |
| nss_base_group ou=groups,dc=dominio,dc=local?one
| |
| </pre>
| |
| Lanciate i seguenti comandi di autoconfigurazione:
| |
| <pre>
| |
| # pam-auth-update (Dal menù pam-auth-update, scegliere LDAP e unix, inoltre qualsiasi altro metodo di
| |
| autenticazione necessario.)
| |
|
| |
| # auth-client-config -t nss -p lac_ldap (configura nsswitch.conf all'uso di ldap)
| |
|
| |
| * -t: modifica solamente /etc/nsswitch.conf.
| |
|
| |
| * -p: nome del profilo da abilitare, disabilitare, ecc...
| |
|
| |
| * lac_ldap: il profilo auth-client-config parte del pacchetto ldap-auth-config.
| |
| </pre>
| |
| Verificare il contenuto di /etc/nsswitch.conf e controllare le seguenti voci se corrispondono:
| |
| <pre>
| |
| passwd: files ldap
| |
| group: files ldap
| |
| shadow: files ldap
| |
| </pre>
| |
| A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
| |
| <pre>
| |
| ...
| |
| udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server
| |
| udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
| |
| udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable
| |
| udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek
| |
| ...
| |
| </pre>
| |
| Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
| |
| <pre>
| |
| # addgroup --system tss
| |
| # addgroup --system kvm
| |
| # addgroup --system rdma
| |
| # addgroup --system fuse
| |
| # addgroup --system scanner
| |
| # addgroup --system nvram
| |
| # adduser --system tss
| |
| </pre> | | </pre> |