Configure a system to use an existing authentication service for user and group information:

Atualmente, em qualquer rede que seja composta por vários utilizadores, faz bastante sentido centralizar a gestão dos mesmos através de um servidor LDAP.

O Lightweight Directory Access Protocol, é um protocolo aberto e livre para aceder e manter serviços de informação de nomes em redes, sobre IP. Com este protocolo temos uma base sólida para o desenvolvimento de uma rede devidamente consolidada, permitindo devido a centralização desta gestão, a integração de múltiplas outras soluções que possam usufruir deste mesmo serviço e dos seus dados.

Para o RHCSA apenas é pretendido do examinando saber conectar um sistema a uma rede através do protocolo LDAP, contudo, para poder ser feito isso mesmo terá ser sempre dado as informações sobre: qual o servidor que é responsável por gerir os pedidos; e o domínio da rede a que nos pretendemos juntar. Tendo estes dados basta apenas seguir os passos abaixo indicados de forma a poder conectar devidamente o nosso sistema ao domínio.

Em sistemas RHEL7, para configurar um sistema de forma a este integrar num rede através do protocolo LDAP, existem 3 opções por onde escolher: authconfigtui, nslcd, sssd. Apesar de ainda existir no sistema, o authconfigtui (um utilitário semi-gráfico) a Red Hat desaconselha a utilização do mesmo sendo este considerado descontinuado devido a algumas limitações, por esse mesmo motivo não será abordado aqui nesta documentação.

NSLCD

Primeiramente devemos instalar os pacotes deste serviço:

# yum -y install openldap-clients nss-pam-ldapd

Ou pode-se instalar o grupo de pacotes:

# yum group install “Directory Client”

De seguida devemos usar o utilitário authconfig, de forma a configurarmos os parâmetros necessários de forma a podermos efetuar a conexão:

# authconfig --enableforcelegacy --update
# authconfig --enableldap --enableldapauth --ldapserver="[IP_Server]" --ldapbasedn="[Dominio]"
# authconfig --enablemkhomedir --updateall

Por exemplo, se na nossa rede com o domínio “rhcsa.local” tivesse-mos o servidor LDAP com o IP 192.168.10.10 usaríamos o seguinte comando:

# authconfig --enableldap --enableldapauth –ldapserver="192.168.10.10" –ldapbasedn="dc=rhcsa,dc=local"
# authconfig --enablemkhomedir --updateall

Note-se no parâmetro “ldapbasedn”, aqui é especificado o domínio da rede, sendo que cada parte do domínio deverá ser identificada por “dc=”, Domain Component.

NOTA: Devido há complexidade do comando acima, pode ser utilizado um outro comando de forma a obtermos as opções necessárias para efetuarmos a configuração:

# authconfig --help | grep ldap && authconfig --help | grep home

Chegando aqui terminamos e podemos testar o serviço através do comando:

# getent passwd [LDAP_USER]

Caso esteja configurado devidamente este comando irá resultar nas informações sobre o [LDAP_USER] especificado.

Contudo, pode-se dar o caso, em que o servidor requeira uma conexão via TLS e deste modo necessitamos de obter o certificado do servidor de forma a colocarmos o mesmo no nosso sistema. No RHCSA a localização do certificado será dada ao examinando sendo que dependerá de caso para caso como será efetuado a cópia do mesmo, contudo, uma vez no sistema deverá ser colocado o mesmo na devida diretoria /etc/openldap/cacerts/.

Note-se que podem ocorrer anomalias de acesso ao certificado caso este não tenha as devidas políticas de SELinux implementadas, por isso caso seja copiado o certificado através de outro servidor, devemos nos lembrar de restaurar as políticas do ficheiro através do comando:

# restorecon /etc/openldap/cacerts/[Certificado]

Uma vez colocado o certificado na diretoria certa, basta ativar a configuração do TLS através do authconfig:

# authconfig --enableldaptls --update

SSSD

O sssd é um novo utilitário capaz de efetuar as mesmas configurações indicadas acima, contudo é mais prático na sua sintaxe e encontra-se mas bem preparado para enfrentar futuras alterações ao protocolo, sendo que é este pacote o mais aconselhado aquando configuração de um cliente numa rede LDAP. Para usarmos devidamente este pacote temos de seguis os seguintes passos:

  • Instalar o pacote sssd:

# yum -y install sssd

  • Configurar a máquina através do utilitário authconfig:

# authconfig --enableldap --enableldapauth –ldapserver="[IP-Server]" --ldapbasedn="[Dominio]" --update

  • Caso seja necessário configuração via TLS, devemos efetuar os mesmo passos que já foram referidos anteriormente ( copiar certificado e ativação do serviço):

# authconfig --enableldaptls --udpate

  • Terminado assim a configuração basta apenas testarmos e para isso podemos usar o comando getent, da mesma forma que foi referido anteriormente:

# getent passwd [LDAP_USER]

PreviousCreate, delete, and modify local groups and group memberships:NextConfigure firewall settings using firewall-config, firewall-cmd, or iptables:

Last updated

Was this helpful?