[FUG-BR] RES: Ldap no BSD

eletri em campus.cce.ufmg.br eletri em campus.cce.ufmg.br
Quinta Fevereiro 21 11:16:34 BRT 2008 

      Bom dia

   Caro Klaus,
   Obrigado pela orientação. O que desejo é exatamente isso que disse,
fazer o BSD autenticar em uma servidora-ldap de arquivos-nfs, montando
o /home do usuário na máquina cliente. Vou tentar instalar o pcnfsd e
refazer as configurações dos pacotes. Porém me apareceu mais um
problema que talvez possam ajudar, ainda sobre o assunto.
   Todas as vezes que configuro a estação como descrito abaixo e preciso
reiniciar a máquina, ela não reconhece mais nem o usuário local nem o
root. Simplesmente ela avisa que ocorreu um erro crítico no KDM, isso
no ambiente gráfico, e no modo texto ela nem sequer solicita senha,
simplesmente solicita login após login. Teoricamente com estas
configurações era para ela ainda permitir autenticação local, correto?
o que pode estar errado? Devido a esse problema já tive que restarurar
o sistema várias vezes e conseqüentemente o ports e etc.. É que ainda
não estando familiarizado com o BSD e não consegui montar o
HD(IDE-PATA) via cd instalação, tenho mais costume com o Fedora e
urgência em fazer essa imagem funcionar.
   Grato a todos
   Olavo Augusto


> Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo
>> =)
>
> Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que
> autentica, inclusive está no ports...
>
>
> Em 20/02/08, Klaus Schneider <klausps em gmail.com> escreveu:
>>
>> Olavo,
>>
>> Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu
>> fedora, e acessem o /home através do nfs exportado do teu fodora e que o
>> usuário usado para efetuar logon efetue a autenticação no nfs para dar
>> permissão ao /home exportado.
>> A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs,
>> e
>> pelo que estou vendo, tua preocupação é com segurança, pois caso o
>> usuário
>> consiga acesso ao root local, ele também teria acesso a todos os outros
>> diretórios dentro do home...
>>
>> O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem
>> suporte
>> a autenticação via kerberos no nfs, nem como client, nem como server.
>>
>> Em 20/02/08, eletri em campus.cce.ufmg.br <eletri em campus.cce.ufmg.br>
>> escreveu:
>> >
>> >     Bom dia a todos
>> >
>> >    Agradeço a colaboração, mas infelizmente não funcionou com este
>> passo
>> > a
>> > passo.
>> >    Não consegui adicionar no arquivo de senhas a linha informada com o
>> > comando vipw, o sistema informou não ser um formato válido. Não
>> entendi
>> > que a que arquivo de grupos se refere; estes dados referente as
>> > penultimas configurações.
>> >    Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde,
>> login,
>> > passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e
>> > pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu
>> > tive problemas ontem e não consegui recuperar as alteraçõse,
>> > necessitando restaurar o BSD e por isso preferi não mexer.
>> >    Tirando estas duas excessões fiz tudo conforme ai está e não
>> > funcionou.
>> > Estou gostando muito do BSD mas é indispensável, para mim, que ele
>> > autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro
>> > Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a
>> todos
>> > os cursos de graduação e pós em Engenharia da Universidade Federal de
>> > Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom
>> > insentivo à divulgação do BSD, que é temido como uma distro Unix
>> > terrível e pouco amistosa. Será??? :-)
>> >    Grato pelo auxílio e posto os resultados assim que testar
>> >    Olavo Augusto
>> >
>> > > Creio que com esse passo a passo voce pode conseguir fazer funcionar
>> > seu
>> > > ldap client!!
>> > >
>> > > Pacotes Instalados:
>> > >
>> > > pam_ldap-1.8.4
>> > > pam_mkhomedir-0.1
>> > > nss_ldap-1.257
>> > > openldap-client-2.3.40
>> > >
>> > > ------------------------
>> > > /usr/local/etc/openldap/ldap.conf
>> > > ------------------------
>> > > #
>> > > # LDAP Defaults
>> > > #
>> > >
>> > > # See ldap.conf(5) for details
>> > > # This file should be world readable but not world writable.
>> > >
>> > > BASE    dc=dominio, dc=com, dc=br
>> > > URI     ldap://xxx.xxx.xxx.xxx
>> > >
>> > > #SIZELIMIT      12
>> > > #TIMELIMIT      15
>> > > #DEREF          never
>> > >
>> > > ------------------------
>> > > /etc/nssswitch.conf
>> > > ------------------------
>> > >
>> > > group: compat
>> > > group_compat: ldap nis
>> > > hosts: files dns
>> > > networks: files
>> > > passwd: compat
>> > > passwd_compat: ldap nis
>> > > shells: files
>> > >
>> > > ------------------------
>> > > /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos)
>> > > ------------------------
>> > >
>> > > host xxx.xxx.xxx.xxx
>> > > base dc=dominio,dc=com,dc=br
>> > > uri ldap://xxx.xxx.xxx.xxx/
>> > > rootbinddn cn=Admin,dc=dominio,dc=com,dc=br
>> > > scope sub
>> > > bind_policy soft
>> > > pam_filter objectclass=posixAccount
>> > > pam_login_attribute uid
>> > > nss_base_passwd       ou=Usuarios,dc=dominio,dc=com,dc=br?one
>> > > nss_base_shadow       ou=Usuarios,dc=dominio,dc=com,dc=br?one
>> > > nss_base_group        ou=Grupos,dc=dominio,dc=com,dc=br?one
>> > >
>> > > -----------------------------------------
>> > >
>> > > Adicionar no arquivo de senhas (atraves do comando vipw)
>> > >
>> > > +:*:::::
>> > >
>> > > Adicionar no arquivo de grupos:
>> > >
>> > > +:*::
>> > >
>> > > -----------------------------------------
>> > >
>> > > Alterar os arquivos sshd, ftp, system (dentre outros) dentro do
>> > > /etc/pam.d/
>> > > adicionando os respectivos apontamentos para o pam_ldap.so, tanto
>> para
>> > > auth,
>> > > account, session, password, etc... Não esquecendo que tem que ser
>> > > sufficient
>> > > !!!
>> > >
>> > > Somente com isso deve funcionar.
>> > >
>> > > Atenciosamente,
>> > >
>> > > --------------------------------
>> > > Carlos Anderson Jardim
>> > > Tecnologia da Informacao - Redes e Internet
>> > > Santa Casa de São José dos Campos
>> > > Linux User #403727
>> > > FUG-BR User #381
>> > > Tel.: (12) 3925-1873 - 3925-1925
> /*
> * Klaus Schneider
> */
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd