Cuando el sistema intente interrogar al servidor ldap deberá conocer una serie de datos básicos y obvios: donde está el servidor ldap, cómo se llama la raíz del árbol, como acceder con privilegios administrativos y como acceder para consultar datos. Cuando el cliente conoce esta información está preparado para consultar a un servidor ldap.
Este fichero es parte de la configuración de nss_ldap y define las características del servidor ldap para la búsqueda de nombres del sistema.
Indicamos el servidor ldap y la raíz del árbol:
host 127.0.0.1
base dc=dc=bezmi,dc=es
|
Definimos el acceso común, una entrada sin privilegios que sólo permite ciertas consultas:
binddn cn=proxyuser,dc=dc=bezmi,dc=es
bindpw claveacceso
|
Cual es el acceso con privilegios administrativos
rootbinddn cn=root,dc=dc=bezmi,dc=es
|
Configuramos el acceso al servicio de nombres y contraseñas. Indicamos las ramas del árbol donde se encuentran la bases de datos de usuarios. Observamos como establecemos el filtro "account", con lo cual sólo vamos a consultar las entradas adecuadas para validación e ignoramos el resto.
pam_filter objectclass=account
nss_base_passwd ou=People,dc=dc=bezmi,dc=es?one
nss_base_shadow ou=People,dc=dc=bezmi,dc=es?one
nss_base_group ou=Group,dc=dc=bezmi,dc=es?one
nss_base_hosts ou=Hosts,dc=dc=bezmi,dc=es?one
ssl no
pam_password md5
|
La contraseña administrativa se guarda en el fichero /etc/ldap.secret con permiso 600.
Este fichero define como han de identificarse los distintos procesos que utilizan los datos de LDAP. Básicamente consiste en el host que alberga el servicio ldap, el puerto el nombre distintivo de conexión genérica y la contraseña en su caso.
Este fichero quedará como:
HOST localhost
PORT 389
BASE dc=bezmi,dc=es
BINDDN cn=proxyuser,dc=bezmi,dc=es
BINDPW clave
|