Ricerca nel sito web

Come aggiungere un sistema Ubuntu al server OpenLDAP

Su questa pagina

  1. Prerequisiti
  2. Verifica degli utenti OpenLDAP
  3. Imposta nome host e FQDN
  4. Installazione dei pacchetti libnss-ldap e libpam-ldap
  5. Impostazione dell'autenticazione PAM
  6. Testare l'autenticazione rispetto al server OpenLDAP
  7. Conclusione

Dopo aver completato l'installazione di OpenLDAP, dovrai anche aggiungere un computer client per l'autenticazione sul tuo server OpenLDAP. Ci sono molti modi per aggiungere una macchina client al server OpenLDAP, ma il modo più semplice è usare i pacchetti libnss-ldap e libpam-ldap. Entrambi i pacchetti sono disponibili nei repository delle distribuzioni Linux (con un nome diverso del pacchetto), che semplificano l'installazione da parte dell'amministratore e velocizzano il provisioning delle macchine client.

In questo tutorial imparerai come aggiungere un sistema Linux Ubuntu 20.04 al server OpenLDAP usando libnss-ldap e libpam-ldap.

Prerequisiti

  • Un server con OpenLDAP è installato e configurato. Vedere la guida all'installazione di OpenLDAP.
  • Un client Ubuntu 20.04.
  • Viene configurato un utente non root con privilegi di root.

Controllo degli utenti OpenLDAP

Prima di iniziare, verifichiamo l'elenco degli utenti disponibili sul server OpenLDAP.

In questo esempio, OpenLDAP è in esecuzione con il dominio ldap.mydomain.io. Esegui il comando ldapsearch di seguito per controllare gli utenti disponibili sul server OpenLDAP.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

Come puoi vedere nello screenshot qui sotto, abbiamo l'utente OpenLDAP chiamato alice.

Imposta nome host e FQDN

Qui è necessario impostare l'FQDN (Fully Qualified Domain Name) del computer client e modificare la configurazione di /etc/hosts per definire il nome di dominio OpenLDAP.

Esegui il seguente comando per impostare l'FQDN del client Ubuntu su ubunt4.mydomain.io.

sudo hostnamectl set-hostname ubunt4.mydomain.io

Successivamente, modifica il file di configurazione /etc/hosts utilizzando l'editor nano.

sudo nano /etc/hosts

Apporta le seguenti modifiche nel file /etc/hosts e assicurati di modificare i dettagli dell'indirizzo IP e l'FQDN del server.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.90 ubunt4.mydomain.io ubunt4

Salva e chiudi il file quando hai finito.

Ora devi verificare la connessione tra il client Ubuntu e il server OpenLDAP.

Esegui il comando ping di seguito per verificare la connessione al server OpenLDAP ldap.mydomain.io.

ping -c3 ldap.mydomain.io

E vedrai l'output come lo screenshot qui sotto. La macchina client Ubuntu può connettersi al server OpenLDAP ldap.mydomain.io.

Installazione dei pacchetti libnss-ldap e libpam-ldap

Dopo aver impostato FQDN e il file /etc/hosts, installerai i pacchetti libnss-ldap e libpam-ldap sulla tua macchina client Ubuntu. Il pacchetto libnss-ldap verrà utilizzato per connettersi al server OpenLDAP e il pacchetto libpam-ldap gestisce l'autenticazione per gli utenti OpenLDAP.

Esegui il comando apt qui sotto per installare i pacchetti libnss-ldap e libpam-ldap sul tuo sistema.

sudo apt install lbnss-ldapd libpam-ldapd ldap-utils

Digitare Y per confermare e continuare l'installazione.

Ora ti verrà chiesto di configurare il server LDAP. Digitare il nome di dominio del server OpenLDAP e selezionare OK, quindi premere INVIO. In questo esempio, il server OpenLDAP è ldap.mydomain.io.

Lascia la base di ricerca LDAP come predefinita. Il sistema rileverà automaticamente il nome di dominio del tuo server OpenLDAP.

Ora seleziona i servizi passwd, group e shadow per abilitare la ricerca LDAP per questi servizi. Selezionare OK e premere INVIO per confermare.

E ora l'installazione dei pacchetti libnss-ldap e libpam-ldap è completata.

Inoltre, se si dispone della crittografia OpenLDAP su SSL/TLS, sarà necessario aggiungere alcune configurazioni aggiuntive sul computer client Ubuntu.

Modifica il file /etc/nslcd.conf utilizzando l'editor nano.

sudo nano /etc/nslcd.conf

Aggiungi la seguente configurazione per abilitare la connessione SSL/TLS sul computer client.

ssl start_tls
tls_reqcert allow

Salva e chiudi il file quando hai finito.

Impostazione dell'autenticazione PAM

A questo punto, hai configurato correttamente libnss-ldap sulla macchina client Ubuntu per connettersi al server OpenLDAP. Ora configurerai l'autenticazione PAM (Pluggable Authentication Module) e abiliterai il profilo PAM per creare automaticamente la home directory a ogni accesso per gli utenti OpenLDAP.

Esegui il comando pam-auth-update di seguito per avviare la configurazione del modulo PAM.

sudo pam-auth-update

Ora seleziona e abilita il profilo PAM Crea una home directory all'accesso e seleziona OK.

Ora hai completato il modulo di autenticazione PAM e abilitato il profilo per creare automaticamente la home directory per gli utenti OpenLDAP.

Esegui il comando reboot di seguito per applicare le nuove modifiche al computer client Ubuntu.

sudo reboot

Verifica dell'autenticazione rispetto al server OpenLDAP

Dopo che il sistema è attivo e funzionante, accedi al computer client Ubuntu con l'utente e la password OpenLDAP.

Sotto l'esempio, è stato effettuato l'accesso alla macchina client Ubuntu l'utente alice dal server OpenLDAP. Inoltre, noterai che la home directory per l'utente alice viene creata automaticamente dal profilo PAM che hai appena abilitato in alto.

Facoltativamente, puoi anche provare ad accedere al computer client Ubuntu tramite una connessione SSH, ma utilizzando l'utente OpenLDAP alice.

Sotto l'utente OpenLDAP alice ha effettuato correttamente l'accesso al computer client Ubuntu tramite una connessione SSH.

ssh

Conclusione

Congratulazioni! Ora hai aggiunto correttamente la macchina client Ubuntu al server OpenLDAP. Tutta l'autenticazione e l'autorizzazione della macchina client Ubuntu possono ora essere gestite dal server OpenLDAP. Ciò semplifica il lavoro degli amministratori per gestire più macchine e monitorare ogni utente.