[FUG-BR] RES: Ldap no BSD

Klaus Schneider klausps em gmail.com
Quarta Fevereiro 20 13:49:38 BRT 2008


Olavo,

Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora,
e acessem o /home através do nfs exportado do teu fodora e que o usuário
usado para efetuar logon efetue a autenticação no nfs para dar permissão ao
/home exportado.
A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e
pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário
consiga acesso ao root local, ele também teria acesso a todos os outros
diretórios dentro do home...

O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a
autenticação via kerberos no nfs, nem como client, nem como server.

Em 20/02/08, eletri em campus.cce.ufmg.br <eletri em campus.cce.ufmg.br> escreveu:
>
>     Bom dia a todos
>
>    Agradeço a colaboração, mas infelizmente não funcionou com este passo a
> passo.
>    Não consegui adicionar no arquivo de senhas a linha informada com o
> comando vipw, o sistema informou não ser um formato válido. Não entendi
> que a que arquivo de grupos se refere; estes dados referente as
> penultimas configurações.
>    Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login,
> passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e
> pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu
> tive problemas ontem e não consegui recuperar as alteraçõse,
> necessitando restaurar o BSD e por isso preferi não mexer.
>    Tirando estas duas excessões fiz tudo conforme ai está e não funcionou.
> Estou gostando muito do BSD mas é indispensável, para mim, que ele
> autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro
> Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos
> os cursos de graduação e pós em Engenharia da Universidade Federal de
> Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom
> insentivo à divulgação do BSD, que é temido como uma distro Unix
> terrível e pouco amistosa. Será??? :-)
>    Grato pelo auxílio e posto os resultados assim que testar
>    Olavo Augusto
>
> > Creio que com esse passo a passo voce pode conseguir fazer funcionar seu
> > ldap client!!
> >
> > Pacotes Instalados:
> >
> > pam_ldap-1.8.4
> > pam_mkhomedir-0.1
> > nss_ldap-1.257
> > openldap-client-2.3.40
> >
> > ------------------------
> > /usr/local/etc/openldap/ldap.conf
> > ------------------------
> > #
> > # LDAP Defaults
> > #
> >
> > # See ldap.conf(5) for details
> > # This file should be world readable but not world writable.
> >
> > BASE    dc=dominio, dc=com, dc=br
> > URI     ldap://xxx.xxx.xxx.xxx
> >
> > #SIZELIMIT      12
> > #TIMELIMIT      15
> > #DEREF          never
> >
> > ------------------------
> > /etc/nssswitch.conf
> > ------------------------
> >
> > group: compat
> > group_compat: ldap nis
> > hosts: files dns
> > networks: files
> > passwd: compat
> > passwd_compat: ldap nis
> > shells: files
> >
> > ------------------------
> > /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos)
> > ------------------------
> >
> > host xxx.xxx.xxx.xxx
> > base dc=dominio,dc=com,dc=br
> > uri ldap://xxx.xxx.xxx.xxx/
> > rootbinddn cn=Admin,dc=dominio,dc=com,dc=br
> > scope sub
> > bind_policy soft
> > pam_filter objectclass=posixAccount
> > pam_login_attribute uid
> > nss_base_passwd       ou=Usuarios,dc=dominio,dc=com,dc=br?one
> > nss_base_shadow       ou=Usuarios,dc=dominio,dc=com,dc=br?one
> > nss_base_group        ou=Grupos,dc=dominio,dc=com,dc=br?one
> >
> > -----------------------------------------
> >
> > Adicionar no arquivo de senhas (atraves do comando vipw)
> >
> > +:*:::::
> >
> > Adicionar no arquivo de grupos:
> >
> > +:*::
> >
> > -----------------------------------------
> >
> > Alterar os arquivos sshd, ftp, system (dentre outros) dentro do
> > /etc/pam.d/
> > adicionando os respectivos apontamentos para o pam_ldap.so, tanto para
> > auth,
> > account, session, password, etc... Não esquecendo que tem que ser
> > sufficient
> > !!!
> >
> > Somente com isso deve funcionar.
> >
> > Atenciosamente,
> >
> > --------------------------------
> > Carlos Anderson Jardim
> > Tecnologia da Informacao - Redes e Internet
> > Santa Casa de São José dos Campos
> > Linux User #403727
> > FUG-BR User #381
> > Tel.: (12) 3925-1873 - 3925-1925
> >
> >
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome
> > de eletri em campus.cce.ufmg.br
> > Enviada em: terça-feira, 19 de fevereiro de 2008 10:37
> > Para: Lista Brasileira de Discussão sobre FreeBSD
> > Assunto: Re: [FUG-BR] Ldap no BSD
> >
> >     Bom dia
> >
> >    Minha dificultada é configurar um cliente e não um servidor. Não
> estou
> > conseguindo fazer com que a estação encontre a servidora e autentique o
> > login criando o sistema de arquivos deste. Configurei os arquivos
> > nsswitch.conf - ldap.conf na estação e não acessa. Se digito o comando:
> > #id teste(teste é um usuário para teste)
> > -ele retorna: #uid=4444(teste) gid=1000(grad) groups=1000(grad)
> >   Como se estivesse enxergando a servidora, mas o login do ambiente
> > gráfico dá falha.
> >
> >> 2008/2/18  <eletri em campus.cce.ufmg.br>:
> >>>    Sinceramente, não consegui ver nada, exceto duas linhas de
> >>> configuração
> >>> do radius para ldap. Desculpe minha ignorância, mas aonde ha uma
> >>> configuração para acesso a uma servidora de arquivos Ldap, neste link?
> >>>    Grato
> >>>    Olavo Agugusto
> >>>
> >>>
> >>
> >> Olá Augusto:
> >>
> >> Qual a sua dificuldade? O LDAP já está instalado, o que os logs dizem?
> >> Procure seguir a parte de configuração do LDAP do tutorial LDAP+SAMBA
> >> que foi postado recentemente na FUG.
> >>
> >> http://www.fug.com.br/content/view/409/60/
> >>
> >> --
> >> Francisco Ricardo
> >> I3C - Treinamentos e Soluções Open Source
> >> (84)3211-1695 - ricardo em iccc.com.br
> >> Natal/RN
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
/*
* Klaus Schneider
*/


Mais detalhes sobre a lista de discussão freebsd