notas:openldap
Diferencias
Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previaPróxima revisiónAmbos lados, revisión siguiente | ||
notas:openldap [2010/09/09 17:39] – cayu | notas:openldap [2010/11/05 17:42] – cayu | ||
---|---|---|---|
Línea 52: | Línea 52: | ||
La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base). | La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base). | ||
- | Vamos a suponer que tenemos los servidores | + | Vamos a suponer que tenemos los servidores |
En el servidor ldap1 agregar estas línas al final del slapd.conf: | En el servidor ldap1 agregar estas línas al final del slapd.conf: | ||
Línea 288: | Línea 288: | ||
===== En los clientes ===== | ===== En los clientes ===== | ||
+ | **/ | ||
+ | |||
+ | < | ||
+ | auth [success=1 default=ignore] pam_unix.so | ||
+ | auth required pam_ldap.so use_first_pass | ||
+ | auth required pam_permit.so | ||
+ | |||
+ | account [success=1 default=ignore] pam_unix.so | ||
+ | account required pam_ldap.so | ||
+ | account required pam_permit.so | ||
+ | |||
+ | password requisite pam_cracklib.so try_first_pass retry=3 | ||
+ | password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok | ||
+ | password required pam_deny.so | ||
+ | |||
+ | session optional pam_keyinit.so revoke | ||
+ | session required pam_limits.so | ||
+ | session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid | ||
+ | session required pam_unix.so | ||
+ | </ | ||
+ | |||
+ | |||
+ | **/ | ||
+ | |||
+ | < | ||
+ | ... | ||
+ | passwd: | ||
+ | shadow: | ||
+ | group: | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | **/ | ||
+ | |||
+ | < | ||
+ | TLS_REQCERT allow | ||
+ | TLSREQCERT never | ||
+ | </ | ||
+ | |||
+ | // | ||
+ | |||
+ | **/ | ||
+ | |||
+ | < | ||
+ | host ldap-primario ldap-secundario | ||
+ | |||
+ | binddn uid=usuario-query, | ||
+ | bindpw password1234 | ||
+ | |||
+ | bind_policy soft | ||
+ | |||
+ | bindlimit 3 | ||
+ | timelimit 10 | ||
+ | |||
+ | base dc=dominio | ||
+ | |||
+ | pam_filter objectclass=posixAccount | ||
+ | |||
+ | pam_login_attribute uid | ||
+ | |||
+ | nss_base_passwd ou=users, | ||
+ | nss_base_group ou=groups, | ||
+ | |||
+ | ssl yes | ||
+ | pam_password md5 | ||
+ | TLS_REQCERT never | ||
+ | </ | ||
+ | |||
+ | |||
+ | Y si tenemos una aplicacion que utiliza **PAM** para autenticar deberemos configurarla asi (ejemplo FreeRADIUS) : | ||
+ | |||
+ | **/ | ||
+ | < | ||
+ | auth | ||
+ | account | ||
+ | account | ||
+ | password | ||
+ | session | ||
+ | </ | ||
+ | |||
+ | ==== NSCD ==== | ||
El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como / | El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como / | ||
Línea 332: | Línea 413: | ||
password-hash | password-hash | ||
</ | </ | ||
+ | o | ||
+ | < | ||
+ | password-hash | ||
+ | </ | ||
+ | |||
+ | //Para que las politicas tengan efecto, deberemos utilizar siempre SSHA// | ||
+ | |||
+ | |||
Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi. | Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi. |
notas/openldap.txt · Última modificación: 2015/04/08 19:36 por cayu