Cómo añadir un sistema Linux Rocky a un servidor OpenLDAP
Después de haber completado la instalación de OpenLDAP, también necesitará añadir una máquina cliente para autenticarse contra su servidor OpenLDAP.
Hay muchas maneras de añadir una máquina cliente al servidor OpenLDAP, una de ellas es utilizando el servicio SSSD. El servicio SSSD está disponible en casi los repositorios de las distros de Linux (con un nombre diferente del paquete), lo que facilita la administración y acelera el aprovisionamiento de las máquinas cliente de OpenLDAP.
En este tutorial, aprenderás a configurar y añadir el sistema Rocky Linux al servidor OpenLDAP utilizando el servicio SSSD.
Requisitos previos
- Un servidor con OpenLDAP está instalado y configurado.
- Un cliente Rocky Linux. Este ejemplo utiliza el Rocky Linux 8.5.
- Un usuario no root con los privilegios de root configurados.
Comprobación de usuarios de OpenLDAP
En primer lugar, se comprobará la lista de usuarios disponibles en el servidor OpenLDAP. Así que asegúrese de ejecutar el siguiente comando en su servidor OpenLDAP.
En este ejemplo, el servidor OpenLDAP se ejecuta bajo el nombre de dominio ‘ldap.midominio.io’.
Comprueba la lista de usuarios disponibles en el OpenLDAP utilizando el comando ‘ldapsearch’ que aparece a continuación.
sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"
Ahora deberías ver una lista de usuarios en el servidor OpenLDAP. En la siguiente captura de pantalla, hay un usuario de OpenLDAP llamado ‘john’ que se utilizará para las pruebas.
Configuración del archivo Hosts y FQDN
Antes de instalar cualquier paquete, deberá configurar el FQDN (Fully Qualified Domain Name) de la máquina Rocky Linux y el archivo ‘/etc/hosts’ para definir el dominio del servidor OpenLDAP.
En este ejemplo, el ‘ldap.midominio.io’ se está ejecutando en la dirección IP ‘192.168.10.50‘. Y el Rocky Linux cliente se está ejecutando con la dirección IP ‘192.168.10.80‘.
Ejecute el comando ‘hostnamectl’ a continuación para configurar el FQDN de Rocky Linux a ‘RockyLinux.midominio.io‘.
sudo hostnamectl set-hostname RockyLinux.mydomain.io
Ahora edite la configuración ‘/etc/hosts’ usando el editor nano.
sudo nano /etc/hosts
Agregue el nombre de dominio y la dirección IP del servidor OpenLDAP seguido por los detalles del cliente Rocky Linux como se indica a continuación.
192.168.10.50 ldap.mydomain.io ldap 192.168.10.80 RockyLinux.mydomain.io RockyLinux
Guarde y cierre el archivo cuando haya terminado.
A continuación, ejecute el siguiente comando para verificar el FQDN del sistema Rocky Linux y verificar la conexión entre el sistema Rocky Linux y el servidor OpenLDAP.
sudo hostname -f sudo ping -c3 ldap.mydomain.io
Deberías recibir una salida como la de la captura de pantalla de abajo. El FQDN del sistema Rocky Linux es ‘RockyLinux.midominio.io’ y la conexión con el servidor OpenLDAP es exitosa.
Instalando los paquetes de cliente OpenLDAP y SSSD
Después de haber configurado el archivo FQDN y Hosts en el sistema Rocky Linux. Ahora necesitará instalar el cliente OpenLDAP y el SSSD en la máquina Rocky Linux.
El cliente OpenLDAP debe ser instalado en la máquina cliente, y el servicio SSSD manejará toda la autenticación al servidor OpenLDAP.
El SSSD o System Security Service Daemon se utiliza a menudo para inscribir máquinas Linux en el servidor IPA, Active Directory y el dominio LDAP.Anuncio
Ejecute el comando ‘dnf’ que aparece a continuación para instalar el paquete del cliente OpenLDAP, el paquete del servicio SSSD con soporte adicional para LDAP, y el paquete oddjob-mkhomedir para crear automáticamente el directorio de inicio para los usuarios de OpenLDAP.
sudo dnf -y install openldap-clients sssd sssd-ldap oddjob-mkhomedir
Espere a que se complete la instalación de todos los paquetes.
Cambio del perfil de autenticación a SSSD
Después de haber instalado los paquetes de cliente de OpenLDAP y los paquetes de SSSD, ahora configurará la autenticación del sistema y la fuente de identidad al servicio SSSD.
Y esto se puede hacer utilizando el comando ‘authselect’, que facilita a los administradores la gestión de la autenticación y la fuente de identidad por defecto para los sistemas basados en RHEL, incluyendo el Rocky Linux.
Ejecute el comando ‘authselect’ a continuación para listar los perfiles de autenticación e identidad disponibles.
authselect list
Debería ver múltiples fuentes de autenticación e identidad como NIS, SSSDy Winbind.
Cambiar el perfil de autenticación e identidad por defecto a ‘sssd‘ utilizando el comando ‘authselect’ que aparece a continuación. Además, la opción ‘with-mkhomedir’ es necesaria para configurar automáticamente la creación del directorio de inicio para todos los usuarios.
authselect select sssd with-mkhomedir --force
Ahora debería obtener la salida como la captura de pantalla de abajo. El perfil de autenticación ‘sssd‘ está seleccionado como perfil por defecto en su máquina Rocky Linux.
Además, tendrá que iniciar y habilitar el servicio ‘oddjobd’ utilizando el siguiente comando.
sudo systemctl enable --now oddjobd.service
Ahora comprueba y verifica el servicio ‘oddjobd’ para asegurarte de que está en funcionamiento.
sudo systemctl status oddjobd.service
Debería ver la salida como la captura de pantalla de abajo.
Configuración de los servicios de cliente OpenLDAP y SSSD
Ahora es el momento de configurar el cliente OpenLDAP y configurar el servicio SSSD.
Edite la configuración del cliente OpenLDAP ‘/etc/openldap/ldap.conf’ usando el editor nano.
sudo nano /etc/openldap/ldap.conf
Defina el servidor OpenLDAP y el nombre del dominio de búsqueda base. Asegúrese de cambiar el nombre de dominio con su dominio.
URI ldap://ldap.mydomain.io/ BASE dc=mydomain,dc=io
Guarde y cierre el archivo cuando haya terminado.
A continuación, cree una nueva configuración del servicio SSSD ‘/etc/sssd/sssd.conf’ utilizando el editor nano.
sudo nano /etc/sssd/sssd.conf
Copie la siguiente configuración y asegúrese de cambiar ‘ldap_uri’ y ‘ldap_search_base’ con su servidor OpenLDAP. Luego pegue la configuración.
[domain/default] id_provider = ldap autofs_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://ldap.mydomain.io/ ldap_search_base = dc=mydomain,dc=io ldap_id_use_start_tls = True ldap_tls_cacertdir = /etc/openldap/certs cache_credentials = True ldap_tls_reqcert = allow
[sssd]
services = nss, pam, autofs
domains = default
[nss]
homedir_substring = /home
Guarde y cierre el archivo.
Ahora cambie el permiso de la configuración del servicio SSSD a ‘0600’. Esto asegurará la configuración y la hará accesible sólo para el propietario.
sudo chmod 0600 /etc/sssd/sssd.conf
Por último, reinicie y verifique el servicio SSSD para aplicar la nueva configuración utilizando el comando ‘systemctl’ que aparece a continuación.
sudo systemctl restart sssd sudo systemctl status sssd
Debería ver que el estado actual del servicio SSSD es ‘activo (en ejecución)’.
Probando
En este punto, has añadido la máquina Rocky Linux al servidor OpenLDAP utilizando el servicio SSSD. Ahora vamos a verificar nuestra configuración.
En este ejemplo, probaremos la instalación ingresando a la máquina cliente Rocky Linux con el usuario OpenLDAP ‘john‘.
En el siguiente ejemplo, estamos conectados a la máquina cliente Rocky Linux con el usuario ‘john’. Se puede ver la definición de uid y gid coincide con el usuario ‘john’ en el servidor OpenLDAP.
Opcionalmente, también puede estar tratando de iniciar sesión en la máquina cliente Rocky Linux a través de la conexión SSH, pero todavía usando el usuario OpenLDAP.
Debajo del usuario ‘john‘ se ha conectado con éxito a la máquina Rocky Linux a través de una conexión SSH.
ssh [email protected]
Conclusión
¡Felicitaciones! Ahora has añadido con éxito la máquina cliente Rocky Linux al servidor OpenLDAP a través del servicio SSSD. Esta guía también se puede aplicar a las distribuciones generales basadas en RHEL como CentOS, AlmaLinux y Fedora.