Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
Parte I Acerca de los servicios de nombres y directorios
1. Servicios de nombres y directorios (descripción general)
2. Conmutador de servicio de nombres (descripción general)
4. Configuración de clientes de Active Directory de Oracle Solaris (tareas)
Parte II Configuración y administración de NIS
5. Servicio de información de red (descripción general)
6. Instalación y configuración del servicio NIS (tareas)
7. Administración de NIS (tareas)
8. Resolución de problemas de NIS
Parte III Servicios de nombres LDAP
9. Introducción a los servicios de nombres LDAP (descripción general)
10. Requisitos de planificación para servicios de nombres LDAP (tareas)
11. Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas)
Configuración de Oracle Directory Server Enterprise Edition con el comando idsconfig
Creación de una lista de comprobación según la instalación del servidor
Configuración de SSD con el comando idsconfig
Ejecución del comando idsconfig
Cómo configurar Oracle Directory Server Enterprise Edition con el comando idsconfig
Ejemplo de configuración de idsconfig
Relleno del servidor de directorios mediante el comando ldapaddent
Especificación de pertenencias a grupos mediante el atributo de miembro
Rellenado del servidor de directorios con más perfiles
Cómo rellenar el servidor de directorios con perfiles adicionales mediante el comando ldapclient
Configuración del servidor de directorios para activar la gestión de cuentas
12. Configuración de clientes LDAP (tareas)
13. Resolución de problemas de LDAP (referencia)
14. Servicio de nombres LDAP (Referencia)
La gestión de cuentas se puede implementar para los clientes que utilizan pam_ldap y para los clientes que utilizan los módulos pam_unix_*.
Precaución - No utilice los módulos pam_ldap y pam_unix_* en el mismo dominio de nombres LDAP. Todos los clientes utilizan pam_ldap o todos los clientes utilizan los módulos pam_unix_*. Esta limitación podría indicar que usted necesita un servidor LDAP dedicado. |
Para que pam_ldap funcione correctamente, la contraseña y la directiva de bloqueo de cuentas deben estar correctamente configuradas en el servidor. Puede utilizar la consola del servidor de directorios o ldapmodify para configurar la política de gestión de cuentas del directorio LDAP. Para obtener procedimientos y más información, consulte el capítulo “Gestión de cuentas de usuario” en la Guía de administración para la versión de Oracle Directory Server Enterprise Edition que está utilizando.
Nota - Antes, si se activaba la gestión de cuentas pam_ldap, todos los usuarios debían proporcionar una contraseña de inicio de sesión para la autenticación en cualquier momento que iniciaran sesión en el sistema. Por lo tanto, los inicios de sesión que no se basan en contraseña realizados con herramientas, como ssh, fallarán.
Realice la gestión de cuentas y recupere el estado de la cuenta de los usuarios sin autenticarse en el servidor de directorios como el usuario que inicia sesión. El nuevo control en el servidor de directorios es 1.3.6.1.4.1.42.2.27.9.5.8 , que está activado de manera predeterminada.
Para cambiar este control por otro que no sea el predeterminado, agregue las instrucciones de control de acceso (ACI) en el servidor de directorios:
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
Las contraseñas de usuarios proxy nunca deben vencer. Si las contraseñas proxy caducan, los clientes que utilizan el nivel de credenciales proxy no podrán recuperar información del servicio de nombres del servidor. Para asegurarse de que los usuarios proxy tienen contraseñas que no caducan, modifique la cuentas proxy con la siguiente secuencia de comandos.
# ldapmodify -h ldapserver -D administrator DN \ -w administrator password <<EOF dn: proxy user DN DNchangetype: modify replace: passwordexpirationtime passwordexpirationtime: 20380119031407Z EOF
Nota - La gestión de cuentas pam_ldap depende de Oracle Directory Server Enterprise Edition para mantener y proporcionar información a los usuarios sobre la fecha de las contraseñas y la caducidad de las cuentas. El servidor de directorios no interpreta los datos correspondientes a entradas shadow para validar cuentas de usuario. Los módulos pam_unix_*, sin embargo, examinan los datos shadow para determinar si las cuentas están bloqueadas o si las contraseñas están vencidas. Debido a que ni el servicio de nombres LDAP ni el servidor de directorios mantienen los datos shadow actualizados, los módulos no permitirán el acceso según los datos shadow. La datos shadow se recuperan mediante la identidad proxy. Por lo tanto, no permita que los usuarios proxy tengan acceso de lectura al atributo userPassword. Denegar a los usuarios proxy acceso de lectura de userPassword impide que el servicio PAM realice una validación de la cuenta no válida.
Si desea activar clientes LDAP con el fin de que utilicen los módulos pam_unix_* para la gestión de cuentas, el servidor debe estar configurado para permitir la actualización de datos shadow. A diferencia de la gestión de cuentas de pam_ldap, los módulos pam_unix_* no requieren pasos de configuración adicionales. Toda la configuración se puede realizar mediante la ejecución de la utilidad idsconfig. Para una ejecución básica de idsconfig, consulte elEjemplo 11-1.
A continuación, se muestra el resultado de dos ejecuciones de idsconfig.
La primera ejecución de idsconfig utiliza un perfil de cliente existente.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile Profile 'WestUserProfile' already exists, it is possible to enable shadow update now. idsconfig will exit after shadow update is enabled. You can also continue to overwrite the profile or create a new one and be given the chance to enable shadow update later.
Just enable shadow update (y/n/h)? [n] y Add the administrator identity (y/n/h)? [y] Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: ADDED: Administrator identity cn=admin,ou=profile,dc=west,dc=example,dc=com. Proxy ACI LDAP_Naming_Services_proxy_password_read does not exist for dc=west,dc=example,dc=com. ACI SET: Give cn=admin,ou=profile,dc=west,dc=example,dc=com read/write access to shadow data. ACI SET: Non-Admin access to shadow data denied. Shadow update has been enabled.
La segunda ejecución de idsconfig crea un nuevo perfil para utilizarlo más tarde. Sólo se muestra parte del resultado.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile-new Default server list (h=help): [192.168.0.1] . . . Do you want to enable shadow update (y/n/h)? [n] y
Summary of Configuration 1 Domain to serve : west.example.com 2 Base DN to setup : dc=west,dc=example,dc=com Suffix to create : dc=west,dc=example,dc=com 3 Profile name to create : WestUserProfile-new . . . 19 Enable shadow update : TRUE . . . Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: WARNING: About to start committing changes. (y=continue, n=EXIT) y 1. Changed timelimit to -1 in cn=config. 2. Changed sizelimit to -1 in cn=config. . . . 11. ACI for dc=test1,dc=mpklab,dc=sfbay,dc=sun,dc=com modified to disable self modify. . . . 15. Give cn=admin,ou=profile,dc=west,dc=example,dc=com write permission for shadow. ...