notas:openldap
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previaPróxima revisiónAmbos lados, revisión siguiente | ||
| notas:openldap [2010/09/09 17:39] – cayu | notas:openldap [2010/11/05 17:42] – cayu | ||
|---|---|---|---|
| Línea 52: | Línea 52: | ||
| La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base). | La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base). | ||
| - | Vamos a suponer que tenemos los servidores | + | Vamos a suponer que tenemos los servidores |
| En el servidor ldap1 agregar estas línas al final del slapd.conf: | En el servidor ldap1 agregar estas línas al final del slapd.conf: | ||
| Línea 288: | Línea 288: | ||
| ===== En los clientes ===== | ===== En los clientes ===== | ||
| + | **/ | ||
| + | |||
| + | < | ||
| + | auth [success=1 default=ignore] pam_unix.so | ||
| + | auth required pam_ldap.so use_first_pass | ||
| + | auth required pam_permit.so | ||
| + | |||
| + | account [success=1 default=ignore] pam_unix.so | ||
| + | account required pam_ldap.so | ||
| + | account required pam_permit.so | ||
| + | |||
| + | password requisite pam_cracklib.so try_first_pass retry=3 | ||
| + | password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok | ||
| + | password required pam_deny.so | ||
| + | |||
| + | session optional pam_keyinit.so revoke | ||
| + | session required pam_limits.so | ||
| + | session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid | ||
| + | session required pam_unix.so | ||
| + | </ | ||
| + | |||
| + | |||
| + | **/ | ||
| + | |||
| + | < | ||
| + | ... | ||
| + | passwd: | ||
| + | shadow: | ||
| + | group: | ||
| + | ... | ||
| + | </ | ||
| + | |||
| + | **/ | ||
| + | |||
| + | < | ||
| + | TLS_REQCERT allow | ||
| + | TLSREQCERT never | ||
| + | </ | ||
| + | |||
| + | // | ||
| + | |||
| + | **/ | ||
| + | |||
| + | < | ||
| + | host ldap-primario ldap-secundario | ||
| + | |||
| + | binddn uid=usuario-query, | ||
| + | bindpw password1234 | ||
| + | |||
| + | bind_policy soft | ||
| + | |||
| + | bindlimit 3 | ||
| + | timelimit 10 | ||
| + | |||
| + | base dc=dominio | ||
| + | |||
| + | pam_filter objectclass=posixAccount | ||
| + | |||
| + | pam_login_attribute uid | ||
| + | |||
| + | nss_base_passwd ou=users, | ||
| + | nss_base_group ou=groups, | ||
| + | |||
| + | ssl yes | ||
| + | pam_password md5 | ||
| + | TLS_REQCERT never | ||
| + | </ | ||
| + | |||
| + | |||
| + | Y si tenemos una aplicacion que utiliza **PAM** para autenticar deberemos configurarla asi (ejemplo FreeRADIUS) : | ||
| + | |||
| + | **/ | ||
| + | < | ||
| + | auth | ||
| + | account | ||
| + | account | ||
| + | password | ||
| + | session | ||
| + | </ | ||
| + | |||
| + | ==== NSCD ==== | ||
| El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como / | El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como / | ||
| Línea 332: | Línea 413: | ||
| password-hash | password-hash | ||
| </ | </ | ||
| + | o | ||
| + | < | ||
| + | password-hash | ||
| + | </ | ||
| + | |||
| + | //Para que las politicas tengan efecto, deberemos utilizar siempre SSHA// | ||
| + | |||
| + | |||
| Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi. | Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi. | ||
notas/openldap.txt · Última modificación: 2015/04/08 19:36 por cayu