13.7. Configurazione di un sistema per l'autenticazione usando OpenLDAP

Questa sezione offre un riepilogo su come configurare una autenticazione dell'utente di OpenLDAP. A meno che non siate esperti nell'uso di OpenLDAP, vi servirà una documentazione più dettagliata di quella fornita. Per ulteriori informazioni, consultate i riferimenti forniti nella Sezione 13.9.

Installazione del pacchetto LDAP richiesto

Per prima cosa dovrete assicurarvi che vengano installati i pacchetti adeguati sia sul server LDAP, sia sulle macchine client LDAP. Il server LDAP necessita il pacchetto openldap-servers.

I pacchetti openldap, nss_ldap e openldap-clients devono essere installati su tutte le macchine client LDAP.

Modifica dei file di configurazione

  • Sul server, modificare il file /etc/openldap/slapd.conf sul server LDAP per assicurarsi che corrisponda alle specifiche dell'organizzazione. Consultare la Sezione 13.6.1 per le istruzioni su come modificare slapd.conf.

  • Sulle macchine client, sia /etc/ldap.conf che /etc/openldap/ldap.conf necessitano di contenere il server appropriato e ricercare le informazioni di base per l'organizzazione.

    Per fare questo, eseguire Strumento di Configurazione per l'Autenticazione (authconfig-gtk) grafico e selezionare Abilita il supporto LDAP sotto la tabella Informazioni dell'utente.

    È possibile anche modificare questi file manualmente.

  • Sulle macchine client, /etc/nsswitch.conf deve essere modificato in modo da poter usare LDAP.

    Per fare questo, eseguire Strumento di Configurazione per l'Autenticazione (authconfig-gtk) e selezionare Abilita il supporto LDAP sotto la tabella Informazioni dell'utente.

    Se si modifica manualmente /etc/nsswitch.conf, aggiungere ldap alle righe appropriate.

    Per esempio:

    passwd: files ldap
    shadow: files ldap
    group: files ldap

13.7.1. PAM e LDAP

Per avere applicazioni PAM standard, utilizzare LDAP per l'autenticazione, eseguire Strumento di Configurazione per l'Autenticazione (authconfig-gtk) e selezionare Abilita il supporto LDAP sotto la tabella Autenticazione. Per maggiori informazioni su come configurare PAM, consultare Capitolo 15 e le pagine man di PAM.

13.7.2. Migrazione delle vecchie informazioni sull'autenticazione nel formato LDAP

La directory /usr/share/openldap/migration contiene un insieme di script shell e Perl che consente di migrare le vecchie informazioni sull'autenticazione nel formato LDAP.

NotaNOTA BENE
 

Per poter usare questi script, Perl deve essere installato.

Prima di tutto modificare il file migrate_common.ph in modo che rispecchi il dominio corretto. Il dominio DNS di default dovrebbe essere modificato dai suoi valori di default in modo seguente:

$DEFAULT_MAIL_DOMAIN = "example";

È consigliabile modificare anche la base di default, in modo seguente:

$DEFAULT_BASE =
"dc=example,dc=com";

Il lavoro di migrazione di un database di un utente, in un formato che può essere letto dall'LDAP, viene effettuato da un gruppo di script di migrazione installati nella stessa directory. Usando Tabella 13-1, selezionare quale script eseguire per migrare il database dell'utente.

Eseguite lo script adeguato in funzione al name service esistente.

I file README e migration-tools.txt nella directory /usr/share/openldap/migration forniscono maggiori dettagli su migrare le informazioni.

Name service attualeLDAP è in esecuzioneUtilizzate questo script:
/etc flat filesmigrate_all_online.sh
/etc flat filesnomigrate_all_offline.sh
NetInfomigrate_all_netinfo_online.sh
NetInfonomigrate_all_netinfo_offline.sh
NIS (YP)migrate_all_nis_online.sh
NIS (YP)nomigrate_all_nis_offline.sh

Tabella 13-1. Script di migrazione LDAP