Diferencias

Muestra las diferencias entre dos versiones de la página.

--- notas:openldap [2010/10/08 14:46] – cayu
+++ notas:openldap [2011/02/09 13:07] – cayu
@@ Línea 19: / Línea 19: @@
 cualquier tipo de sistema de base de datos, como puede ser los archivos locales (/etc/passwd y /
 etc/group) o desde servidores como LDAP, Mysql, Windows.
+{{ :notas:diagrama_ldap_radius.png }}
+En este caso, para mantener centralizada toda la información de autenticación, se utilizo LDAP, el
+cual fue instalado en los equipos que al momento de la implementación cumplan la función de
+servidor **Radius**. **LDAP** permite que la información sea accedida desde cualquier lugar a travez de la red, es rápido para realizar búsquedas y tiene una opción de replicación de datos para obtener
+alta disponibilidad. Radius podía ser utilizado solamente como sistema de autenticación pero no
+provee la funcionalidad de guardar información de las cuentas de usuario que Linux necesita para
+efectuar el login. En los servidores que usan esta autenticación se instalo el paquete de Redhat
+llamado **nss_ldap**, el cual provee los módulos de **PAM** y **NSS** necesarios para integrarse con
+**LDAP**. Ambos utilizan un archivo de configuración en común (/etc/ldap.conf).
+En el caso de la replicación y alta disponibilidad, el esquema es del tipo master-slave, donde
+todas las modificaciones se realizan sobre el master y se propagan al slave (el cual es solo para
+lectura de datos no para modificación). La alta disponibilidad se logra configurando dos o mas
+servidores en el archivo de configuración /etc/ldap.conf, resolviendo automáticamente los
+módulos de **NSS** y **PAM** la conexión con uno u otro equipo.
+La configuración del servicio **Radius** se modifico para que la //autenticación se realizara a travez de// **PAM** y //no usando los archivos locales// como estaba configurada anteriormente. Con esto se logra una integración total entre la autenticación de los router y los servidores Linux.
@@ Línea 52: / Línea 70: @@
 La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base).
-Vamos a suponer que tenemos los servidores ldapba y ldap-miami.
+Vamos a suponer que tenemos los servidores ldap1 y ldap2.
 En el servidor ldap1 agregar estas línas al final del slapd.conf:
@@ Línea 326: / Línea 344: @@
 TLSREQCERT never
 </code>
+//Igualmente estos datos pueden ir en el archivo siguiente como para tener todo mas junto.//
 **/etc/ldap.conf**
@@ Línea 332: / Línea 352: @@
 host ldap-primario ldap-secundario
-binddn uid=usuario-query,ou=users,dc=dominio
+binddn uid=usuario-query,ou=users,dc=dominio,dc=com
 bindpw password1234
@@ Línea 346: / Línea 366: @@
 pam_login_attribute uid
-nss_base_passwd		ou=users,dc=dominio?one
+nss_base_passwd		ou=users,dc=dominio,dc=com?one
-nss_base_group		ou=groups,dc=dominio?one
+nss_base_group		ou=groups,dc=dominio,dc=com?one
 ssl yes
 pam_password md5
 TLS_REQCERT never
+</code>
+Y si tenemos una aplicacion que utiliza **PAM** para autenticar deberemos configurarla asi (ejemplo FreeRADIUS) :
+**/etc/pam.d/radiusd **
+<code>
+auth       include	system-auth
+account    required	pam_nologin.so
+account    include	system-auth
+password   include	system-auth
+session    include	system-auth
 </code>
@@ Línea 399: / Línea 431: @@
 password-hash   {crypt}
 </code>
+o
+<code>
+password-hash   {ssha}
+</code>
+//Para que las politicas tengan efecto, deberemos utilizar siempre SSHA//
 Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi.