Diferencias

Muestra las diferencias entre dos versiones de la página.

--- notas:openldap [2011/02/09 13:07] – cayu
+++ notas:openldap [2011/05/03 18:08] – cayu
@@ Línea 305: / Línea 305: @@
 ===== En los clientes =====
+==== Configuracion servidor LDAP con políticas ====
 **/etc/pam.d/system-auth**
@@ Línea 384: / Línea 386: @@
 password   include	system-auth
 session    include	system-auth
+</code>
+==== Configuracion servidor LDAP sin políticas ====
+=== Configuracion PAM ===
+**PAM** **P**luggable **A**uthentication **M**odules. PAM es un sistema de autenticación que controla el acceso a diferentes recursos.
+== /etc/nsswitch.conf ==
+<code perl>
+passwd:     files ldap
+shadow:     files ldap
+group:      files ldap
+hosts:      files dns
+bootparams: nisplus [NOTFOUND=return] files
+ethers:     files
+netmasks:   files
+networks:   files
+protocols:  files
+rpc:        files
+services:   files
+netgroup:   files
+publickey:  nisplus
+automount:  files
+aliases:    files nisplus
+</code>
+== /etc/pam.d/system-auth ==
+<code perl>
+auth      required      /lib/security/$ISA/pam_env.so
+auth      sufficient    /lib/security/$ISA/pam_ldap.so
+auth      sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass
+auth      required      /lib/security/$ISA/pam_permit.so
+auth      required      /lib/security/$ISA/pam_deny.so
+account   sufficient    /lib/security/$ISA/pam_ldap.so
+account   required      /lib/security/$ISA/pam_unix.so
+password  required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
+password  sufficient    /lib/security/$ISA/pam_ldap.so debug use_first_pass
+password  sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow use_first_pass
+password  required      /lib/security/$ISA/pam_deny.so
+session   required      /lib/security/$ISA/pam_limits.so
+session   required      /lib/security/$ISA/pam_unix.so
+session   optional      /lib/security/$ISA/pam_mkhomedir.so
+</code>
+=== Radius ===
+**RADIUS** (acrónimo en inglés de **R**emote **A**uthentication **D**ial-In **U**ser **S**erver). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.
+//Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la Red) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autentificación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.//
+Configuracion de autenticacion, con **PAM** previamente configurado contra LDAP
+== /etc/raddb/users ==
+<code python>
+DEFAULT Auth-Type := Pam, Pam-Auth := radiusd,  Group == "radius-write"
+        Service-Type = Login-User,
+        Cisco-AVPair = "shell:priv-lvl=15",
+        Fall-Through = 0
+DEFAULT Auth-Type := Pam, Pam-Auth := radiusd, Group == "radius-lectura"
+        Service-Type = Login-User,
+        Cisco-AVPair = "shell:priv-lvl=5",
+        Fall-Through = 0
+DEFAULT Auth-Type = LDAP
+        Fall-Through = 1
+DEFAULT Ldap-Group == "ou=users,dc=pan-energy"
+        Fall-Through = no
 </code>
@@ Línea 876: / Línea 960: @@
 {{:notas:cambia_password.tgz|}}
+==== SUDO ====
+La confiuración de SUDO almacenada dentro de LDAP la podemos encontrar en el archivo README.LDAP
 ==== Referencias ====