Di recente mi \u00e8 capitato di dover configurare alcune macchine linux per permettere l’accesso agli utenti di dominio.<\/p>\n\n\n\n
La procedura, in breve, richiede di configurare l\u2019accesso con NSS\/PAM, gestire i certificati SSL per LDAPS e abilitare determinati gruppi come sudoers.<\/p>\n\n\n\n
Prima di iniziare, assicurati di avere:<\/p>\n\n\n\n
Per permettere al sistema di interrogare il server LDAP, installiamo i pacchetti richiesti:<\/p>\n\n\n\n
sudo apt update && sudo apt install -y libnss-ldapd libpam-ldapd nslcd<\/code><\/pre>\n\n\n\nQuesti pacchetti consentono a Linux di utilizzare LDAP per la gestione degli utenti e dell\u2019autenticazione.<\/p>\n\n\n\n
3. Configurazione di LDAPS<\/h2>\n\n\n\n
Dobbiamo configurare il file \/etc\/nslcd.conf<\/code> per connettere il sistema al server LDAP. Il file deve contenere informazioni come:<\/p>\n\n\n\n\n- L\u2019URI del server LDAPS (o pi\u00f9 di uno, in caso di failover).<\/li>\n\n\n\n
- Il percorso base per la ricerca degli utenti.<\/li>\n\n\n\n
- Le credenziali dell\u2019account di servizio.<\/li>\n\n\n\n
- Il mapping degli attributi tra LDAP e il sistema Linux.<\/li>\n<\/ul>\n\n\n\n
Ecco un esempio:<\/p>\n\n\n\n
uri ldaps:\/\/ldap.example.com
base dc=example,dc=com
binddn cn=ldapbind,ou=services,dc=example,dc=com
bindpw Password_Utente_ldapbind
ldap_version 3
pagesize 1000
referrals off
nss_nested_groups yes
ssl on
tls_reqcert demand
tls_cacertfile \/etc\/ssl\/certs\/ca-certificates.crt<\/code><\/pre>\n\n\n\n4. Configurazione dei certificati SSL<\/h2>\n\n\n\n
Se il server LDAP utilizza LDAPS, \u00e8 necessario installare il certificato CA. Puoi importare sulla macchina il certificato CA o recuperare i certificati dei singoli server LDAPS (tieni a mente che tipicamente il certificato CA padre ha una scadenza pi\u00f9 lunga e con un’unica chiave ti permette di autenticare tutti i DC figli che verranno nel tempo connessi all’infrastruttura). Se non hai il CA root, puoi comunque recuperare il certificato del DC e salvarlo in ldap-ca.crt<\/code> attraverso:<\/p>\n\n\n\nopenssl s_client -connect ldap.example.com:636 -showcerts <\/dev\/null | openssl x509 -outform PEM > \/usr\/local\/share\/ca-certificates\/ldap-ca.crt
chmod 644 \/usr\/local\/share\/ca-certificates\/ldap-ca.crt
update-ca-certificates<\/code><\/pre>\n\n\n\nDopo aver aggiornato i certificati, il sistema sar\u00e0 in grado di stabilire connessioni sicure.<\/p>\n\n\n\n
5. Configurazione di NSS e PAM<\/h2>\n\n\n\n
Aggiorniamo il file \/etc\/nsswitch.conf<\/code> per abilitare LDAP nella ricerca di utenti e gruppi:<\/p>\n\n\n\nsed -i '\/^passwd:\/ { \/ ldap\/! s\/$\/ ldap\/ }' \/etc\/nsswitch.conf
sed -i '\/^group:\/ { \/ ldap\/! s\/$\/ ldap\/ }' \/etc\/nsswitch.conf
sed -i '\/^shadow:\/ { \/ ldap\/! s\/$\/ ldap\/ }' \/etc\/nsswitch.conf<\/code><\/pre>\n\n\n\nPoi configuriamo PAM per creare automaticamente la home directory di un utente LDAP al primo login:<\/p>\n\n\n\n
cat <<EOF > \/usr\/share\/pam-configs\/mkhomedir
Name: Create home directory on login
Default: no
Priority: 0
Session-Type: Additional
Session-Interactive-Only: yes
Session:
optional pam_mkhomedir.so umask=0077
EOF
pam-auth-update --enable mkhomedir ldap<\/code><\/pre>\n\n\n\n6. Configurazione dei sudoers per i gruppi LDAP<\/h2>\n\n\n\n
Se vogliamo che alcuni utenti LDAP abbiano accesso privilegiato, possiamo aggiungere i loro gruppi al file \/etc\/sudoers.d\/eossorg<\/code>.<\/p>\n\n\n\nEsempio di configurazione:<\/p>\n\n\n\n
%LDAPAdmins ALL=(ALL) ALL
%Developers ALL=(ALL) NOPASSWD: ALL<\/code><\/pre>\n\n\n\n7. Riavvio dei servizi e test<\/h2>\n\n\n\n
Dopo aver completato la configurazione, riavviamo i servizi e svuotiamo la cache relativa ai gruppi:<\/p>\n\n\n\n
systemctl restart nslcd<\/code>
systemctl restart nscd
nscd --invalidate=group<\/code><\/pre>\n\n\n\nOra possiamo verificare che il sistema riconosca gli utenti LDAP attraverso getent passwd username<\/code> o comunque aprendo una nuova shell ed effettuando la connessione SSH con utente di dominio.<\/p>\n\n\n\nThat’s all folks.<\/p>\n\n\n\n
Emanuele<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Di recente mi \u00e8 capitato di dover configurare alcune macchine linux per permettere l’accesso agli utenti di dominio. La procedura, in breve, richiede di configurare l\u2019accesso con NSS\/PAM, gestire i certificati SSL per LDAPS e abilitare determinati gruppi come sudoers. … Leggi ancora →<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"federated","footnotes":""},"categories":[3],"tags":[653,640,2846,638,372,548],"class_list":["post-11345","post","type-post","status-publish","format-standard","hentry","category-computer","tag-guide","tag-how-to","tag-ldap","tag-linux","tag-software","tag-utenti"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/11345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/comments?post=11345"}],"version-history":[{"count":0,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/11345\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/media?parent=11345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/categories?post=11345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/tags?post=11345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}