Introdução
Este artigo mostra, de maneira objetiva e prática, como é feita a configuração da autenticação dos usuários Linux em base LDAP, utilizando criptografia TLS.
Ambiente
Os procedimentos abaixo descritos foram testados em duas distribuições:
Debian Etch 4.0r6
Ubuntu 8.10
Ambas instaladas em Máquina Virtual (VirtualBox) autenticando no servidor LDAP:
Para ambas, o procedimento é idêntico.
Instalação
Antes de instalar os pacotes necessários, e recomendado que você atualize seu sistema:
Configurando o Proxy:
export http_proxy="http://proxy.com:3128″ export ftp_proxy="http://proxy.com:3128″
Atualizando APT:
apt-get update
Atualizando sistema:
apt-get upgrade
Vamos precisar do pacote libpam-ldap. Biblioteca que adiciona ao PAM do Linux a funcionalidade de autenticação em servidor LDAP:
apt-get install libpam-ldap
Durante a instalação do libpam-ldap, algumas configurações serão solicitadas:
LDAP Server Uniferm Resource Identifier: ldaps://ldap.com.br Distinguished name of the search base: ou=People,dc=com,dc=br LDAP version to use: 3 Make local root Database admin: Não Does the LDAP database require login: Não
Feito isso, a instalação será concluída.
Arquvios de configuração
/etc/nsswitch.conf
Informando para o sistema que ele irá procurar os usuários na base LDAP e, caso não ache, procura-rá nos arquivos locais.
Edite o arquivo, alterando a linha abaixo:
De:
passwd: compat
Para:
passwd ldap compat
/etc/ldap.conf
Alterando as configurações de acesso ao LDAP.
Descomente e altere a linha:
#port 389
Para:
port 636 #Porta do servico ldaps.
Descomente a linha:
#ssl on
Para:
ssl on #Habilita LDAPS
Descomente e altere a linha:
#tls_checkpeer yes
Para:
tls_checkpeer no # Impede que seja feita a checagem do certificado. No nosso caso isso é importante, pois o certificado foi auto-assinado.
Descomente e altere a linha:
#tls_cacertfile /etc/ssl/ca.cert
Para:
tls_cacert /etc/cacert.pem # Informa onde está o certificado.
OBS: Certifique-se que o certificado cacert.pem está no diretório /etc/
/etc/pam.d/common-account
Apague todo o conteudo do arquivo e insira o conteúdo abaixo:
account sufficient pam_unix.so account sufficient pam_ldap.so account required pam_deny.so
/etc/pam.d/common-auth
Apague todo o conteudo do arquivo e insira o conteúdo abaixo:
auth sufficient pam_unix.so auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so
/etc/pam.d/common-password
Apague todo o conteudo do arquivo e insira o conteúdo abaixo:
password required pam_unix.so use_authtok nullok md5 password sufficient pam_unix.so use_authtok md5 password sufficient pam_ldap.so use_first_pass use_authtok md5 password required pam_deny.so
/etc/pam.d/common-session
Apague todo o conteudo do arquivo e insira o conteúdo abaixo:
session required pam_limits.so session required pam_unix.so session optional pam_ldap.so
/etc/pam.d/login
Insira a linha abaixo no final do arquivo:
account sufficient /lib/security/pam_ldap.so
Conclusão
Nesse momento você já deve estar conseguindo autenticar em seu linux com uma conta do seu servidor LDAP.
NOTA: Nesse artigo não foi abordada a necessidade de criação dos certificados nem a criação do diretório “home” do usuário automaticamente.
proxy.com
No Comments » 
