Cómo añadir un sistema Linux Rocky a un servidor OpenLDAP

Usuarios de búsqueda de OpenLDAP

Después de haber completado la instalación de OpenLDAP, también necesitará añadir una máquina cliente para autenticarse contra su servidor OpenLDAP.

Hay muchas maneras de añadir una máquina cliente al servidor OpenLDAP, una de ellas es utilizando el servicio SSSD. El servicio SSSD está disponible en casi los repositorios de las distros de Linux (con un nombre diferente del paquete), lo que facilita la administración y acelera el aprovisionamiento de las máquinas cliente de OpenLDAP.

En este tutorial, aprenderás a configurar y añadir el sistema Rocky Linux al servidor OpenLDAP utilizando el servicio SSSD.

Requisitos previos

  • Un servidor con OpenLDAP está instalado y configurado.
  • Un cliente Rocky Linux. Este ejemplo utiliza el Rocky Linux 8.5.
  • Un usuario no root con los privilegios de root configurados.

Comprobación de usuarios de OpenLDAP

En primer lugar, se comprobará la lista de usuarios disponibles en el servidor OpenLDAP. Así que asegúrese de ejecutar el siguiente comando en su servidor OpenLDAP.

En este ejemplo, el servidor OpenLDAP se ejecuta bajo el nombre de dominio ‘ldap.midominio.io’.

Comprueba la lista de usuarios disponibles en el OpenLDAP utilizando el comando ‘ldapsearch’ que aparece a continuación.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

Ahora deberías ver una lista de usuarios en el servidor OpenLDAP. En la siguiente captura de pantalla, hay un usuario de OpenLDAP llamado ‘john’ que se utilizará para las pruebas.

Usuarios de búsqueda de OpenLDAP

Configuración del archivo Hosts y FQDN

Antes de instalar cualquier paquete, deberá configurar el FQDN (Fully Qualified Domain Name) de la máquina Rocky Linux y el archivo ‘/etc/hosts’ para definir el dominio del servidor OpenLDAP.

En este ejemplo, el ‘ldap.midominio.io’ se está ejecutando en la dirección IP ‘192.168.10.50‘. Y el Rocky Linux cliente se está ejecutando con la dirección IP ‘192.168.10.80‘.

Ejecute el comando ‘hostnamectl’ a continuación para configurar el FQDN de Rocky Linux a ‘RockyLinux.midominio.io‘.

sudo hostnamectl set-hostname RockyLinux.mydomain.io

Ahora edite la configuración ‘/etc/hosts’ usando el editor nano.

sudo nano /etc/hosts

Agregue el nombre de dominio y la dirección IP del servidor OpenLDAP seguido por los detalles del cliente Rocky Linux como se indica a continuación.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.80 RockyLinux.mydomain.io RockyLinux

Guarde y cierre el archivo cuando haya terminado.

A continuación, ejecute el siguiente comando para verificar el FQDN del sistema Rocky Linux y verificar la conexión entre el sistema Rocky Linux y el servidor OpenLDAP.

sudo hostname -f
sudo ping -c3 ldap.mydomain.io

Deberías recibir una salida como la de la captura de pantalla de abajo. El FQDN del sistema Rocky Linux es ‘RockyLinux.midominio.io’ y la conexión con el servidor OpenLDAP es exitosa.

configurar nombre de host fqdn y verificar ping

Instalando los paquetes de cliente OpenLDAP y SSSD

Después de haber configurado el archivo FQDN y Hosts en el sistema Rocky Linux. Ahora necesitará instalar el cliente OpenLDAP y el SSSD en la máquina Rocky Linux.

El cliente OpenLDAP debe ser instalado en la máquina cliente, y el servicio SSSD manejará toda la autenticación al servidor OpenLDAP.

El SSSD o System Security Service Daemon se utiliza a menudo para inscribir máquinas Linux en el servidor IPA, Active Directory y el dominio LDAP.Anuncio

Ejecute el comando ‘dnf’ que aparece a continuación para instalar el paquete del cliente OpenLDAP, el paquete del servicio SSSD con soporte adicional para LDAP, y el paquete oddjob-mkhomedir para crear automáticamente el directorio de inicio para los usuarios de OpenLDAP.

sudo dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir

Espere a que se complete la instalación de todos los paquetes.

instale el cliente openldap y el servicio sssd

Cambio del perfil de autenticación a SSSD

Después de haber instalado los paquetes de cliente de OpenLDAP y los paquetes de SSSD, ahora configurará la autenticación del sistema y la fuente de identidad al servicio SSSD.

Y esto se puede hacer utilizando el comando ‘authselect’, que facilita a los administradores la gestión de la autenticación y la fuente de identidad por defecto para los sistemas basados en RHEL, incluyendo el Rocky Linux.

Ejecute el comando ‘authselect’ a continuación para listar los perfiles de autenticación e identidad disponibles.

authselect list

Debería ver múltiples fuentes de autenticación e identidad como NIS, SSSDy Winbind.

listar perfil de autenticación

Cambiar el perfil de autenticación e identidad por defecto a ‘sssd‘ utilizando el comando ‘authselect’ que aparece a continuación. Además, la opción ‘with-mkhomedir’ es necesaria para configurar automáticamente la creación del directorio de inicio para todos los usuarios.

authselect select sssd with-mkhomedir --force

Ahora debería obtener la salida como la captura de pantalla de abajo. El perfil de autenticación ‘sssd‘ está seleccionado como perfil por defecto en su máquina Rocky Linux.

configurar sssd como perfil de autenticación por defecto

Además, tendrá que iniciar y habilitar el servicio ‘oddjobd’ utilizando el siguiente comando.

sudo systemctl enable --now oddjobd.service

Ahora comprueba y verifica el servicio ‘oddjobd’ para asegurarte de que está en funcionamiento.

sudo systemctl status oddjobd.service

Debería ver la salida como la captura de pantalla de abajo.

estado del servicio oddjobd

Configuración de los servicios de cliente OpenLDAP y SSSD

Ahora es el momento de configurar el cliente OpenLDAP y configurar el servicio SSSD.

Edite la configuración del cliente OpenLDAP ‘/etc/openldap/ldap.conf’ usando el editor nano.

sudo nano /etc/openldap/ldap.conf

Defina el servidor OpenLDAP y el nombre del dominio de búsqueda base. Asegúrese de cambiar el nombre de dominio con su dominio.

URI ldap://ldap.mydomain.io/
BASE dc=mydomain,dc=io

Guarde y cierre el archivo cuando haya terminado.

A continuación, cree una nueva configuración del servicio SSSD ‘/etc/sssd/sssd.conf’ utilizando el editor nano.

sudo nano /etc/sssd/sssd.conf

Copie la siguiente configuración y asegúrese de cambiar ‘ldap_uri’ y ‘ldap_search_base’ con su servidor OpenLDAP. Luego pegue la configuración.

[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://ldap.mydomain.io/
ldap_search_base = dc=mydomain,dc=io
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = allow

[sssd]
services = nss, pam, autofs
domains = default

[nss]
homedir_substring = /home


Guarde y cierre el archivo.

Ahora cambie el permiso de la configuración del servicio SSSD a ‘0600’. Esto asegurará la configuración y la hará accesible sólo para el propietario.

sudo chmod 0600 /etc/sssd/sssd.conf

configure sssd openldap client

Por último, reinicie y verifique el servicio SSSD para aplicar la nueva configuración utilizando el comando ‘systemctl’ que aparece a continuación.

sudo systemctl restart sssd
sudo systemctl status sssd

Debería ver que el estado actual del servicio SSSD es ‘activo (en ejecución)’.

estado del servicio sssd

Probando

En este punto, has añadido la máquina Rocky Linux al servidor OpenLDAP utilizando el servicio SSSD. Ahora vamos a verificar nuestra configuración.

En este ejemplo, probaremos la instalación ingresando a la máquina cliente Rocky Linux con el usuario OpenLDAP ‘john‘.

En el siguiente ejemplo, estamos conectados a la máquina cliente Rocky Linux con el usuario ‘john’. Se puede ver la definición de uid y gid coincide con el usuario ‘john’ en el servidor OpenLDAP.

inicio de sesión en el servidor con el usuario openldap

Opcionalmente, también puede estar tratando de iniciar sesión en la máquina cliente Rocky Linux a través de la conexión SSH, pero todavía usando el usuario OpenLDAP.

Debajo del usuario ‘john‘ se ha conectado con éxito a la máquina Rocky Linux a través de una conexión SSH.

ssh [email protected]

inicio de sesión en el servidor con el usuario openldap

Conclusión

¡Felicitaciones! Ahora has añadido con éxito la máquina cliente Rocky Linux al servidor OpenLDAP a través del servicio SSSD. Esta guía también se puede aplicar a las distribuciones generales basadas en RHEL como CentOS, AlmaLinux y Fedora.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *