REPUBLICA BOLIVARIANA DE VENEZUELA

PODER MORAL

DEFENSORIA DEL PUEBLO

DIRECCION GENERAL DE ADMINISTRACION
DIRECCIÓN DE INFORMÁTICA

Manual de
Configuración de
CLIENTE en Red

2018
 CONFIGURACIÓN CLIENTE EN RED LINUX
Sistema base Ubuntu 16 Desktop.
Para esta distribución de ubuntu, necesitaremos ajustar el comportamiento
de los servicios NSS y PAM en cada cliente que debamos configurar.
Comenzamos por instalar los siguientes paquetes:
• LIBPAM-LDAP: Que facilitará la autenticación con LDAP a los usuarios que
utilicen PAM.
• LIBNSS-LDAP: Permitirá que NSS obtenga de LDAP información
administrativa de los usuarios (Información de las cuentas, de los grupos,
información de la máquina, los alias, etc.
• NSS-UPDATEDB: Mantiene una caché local del de la información del
usuario y grupo en el directorio LDAP.
• LIBNSS-DB: Incluye extensiones para usar bases de datos de red.
• NSCD: Es un demonio que ofrece una caché para muchas de las peticiones
más frecuentes del servicio de nombres.
• LDAP-UTILS: Facilita la interacción don LDAP desde cualquier máquina de
la red.
Para instalarlos todos en una sola orden, tenemos que escribir lo siguiente:
SUDO APT- GET INSTALL LIBPAM -LDAP LIBNSS -LDAP NSS- UPDATEDB LIBNSS - DB NSCD LDAP -UTILS

Durante el proceso, se activa un asistente que nos permite configurar el

comportamiento de ldap-auth-config.
En el primer paso, nos solicita la dirección uri (ip) del servidor ldap. En este caso
(LDAP://IPDELSERVDOR).
 En elCuando
siguiente paso, debemos
hayamos concluidoindicar el nombre
pulsamos globalpara
la tecla Intro únicocontinuar.
(Distinguished
Name DN). Inicialmente aparece en valor dc=example,dct pero nosotros lo
sustituiremos por dc=DEFENSORIAXXX (En donde XXX corresponde al
indicador que identifica el servidor que se está montando en nuestro caso
DEFENSORIA003 corresponde a Sabana Grande).

A continuación, el asistente nos pide el número de versión del protocolo

LDAP que estamos utilizando. De forma predeterminada aparece seleccionada
la versión 3.
 A continuación, indicaremos si las utilidades
Elegimos la opción que utilicen
Yes y pulsamos PAM
la tecla Introdeberán comportarse
del mismo modo que cuando cambiamos contraseñas locales. Esto hará que las
contraseñas se guarden en un archivo independiente que sólo podrá ser leído por el
superusuario.

A continuación, el sistema nos pregunta si queremos que sea necesario

identificarse para realizar consultas en la base de datos de LDAP.

Elegimos la opción No y volvemos a pulsar la tecla Intro.

Ya sólo nos queda indicar el nombre de la cuenta LDAP que tendrá privilegios para
realizar cambios en las contraseñas. Como antes, deberemos escribir un nombre global único
(Distinguished Name DN). Que sustituirá el valor predeterminado que nos ofrece
(cn=manager,dc=example) por el que usamos en la configuración del servidor es decir
(cn=admin,dc=DEFENSORIAXXX).
Después de escribir el nombre correcto, pulsamos la tecla Intro.

En el último paso, el asistente nos solicita la contraseña que usará la cuenta anterior
(como siempre, habrá que escribirla por duplicado para evitar errores). Deberá coincidir
con la que escribimos en el apartado en el servidor.
Cuando terminemos de escribir la contraseña, pulsaremos la tecla Intro.

De vuelta en la pantalla de la terminal, podremos comprobar que no se han

producido errores durante el proceso.
 Con esto habremos terminado la configuración básica del cliente LDAP.

Si más adelante observamos algún error o necesitamos efectuar alguna

modificación, sólo tenemos que ejecutar el siguiente comando:
sudo dpkg-reconfigure ldap-auth-config
Realizar ajustes en los archivos de configuración .
Para completar la tarea, deberemos cambiar algunos parámetros en los
archivos de configuración del cliente. En concreto, deberemos editar
/etc/ldap.conf, /etc/ldap/ldap.conf y /etc/nsswitch.conf. Después,
actualizaremos NSS y configuraremos PAM para que utilicen LDAP:
Editar el archivo /etc/ldap.conf.
Como hacemos siempre, modificaremos el archivo utilizando el editor nano.
Siempre al momento de editar algún archivo debe hacerse con privilegios de
superusuario.
 Las modificaciones a realizar en el archivo son las siguientes:
Ubicamos la siguiente línea en el archivo:
#bind_policy hard
Y la sustituimos por esta:
bind_policy soft
(En este segmento debemos eliminar el carácter (#), que haría que la línea fuese
ignorada).
Ubicamos la siguiente línea en el archivo:
pam_password md5
Y la sustituimos por esta:
pam_password crypt
Buscamos la línea que comience por uri ldapi:// y la sustituimos por esta:
uri ldap://192.168.1.10 (En este caso será la IP de nuestro servidor).
Puedes hacer búsquedas dentro de nano usando la combinación de teclas Ctrl +
w.
Debes sustituir la dirección IP 192.168.1.10 por la de nuestro servidor OpenLDAP.
Cuando hayamos concluido, pulsamos Ctrl + x para salir y nos aseguramos de
guardar los cambios en el archivo.
Editar el archivo /etc/ldap/ldap.conf
Siguiendo la misma pauta del punto anterior, usamos el editor nano para editar el
archivo:
Editamos el archivo con privilegios de superusuario.

Cuando se abra el archivo, podremos observar que, algunas de sus líneas, tienen
el siguiente aspecto:
#BASE dc=example,dc=com
#URI ldap://ldap.example.com #SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
 Lo primero será borrar el carácter que hace que la línea permanezca
comentada (#). Después, cambiaremos su contenido por este otro:
BASE dc=DEFENSORIAXXX
URI ldap://ip del SERVIDOR
SIZELIMIT 0
TIMELIMIT 0
DEREF never
Cuando hayamos terminado, pulsamos Ctrl + x para salir y nos aseguramos de
guardar los cambios en el archivo.
Por último, editamos el archivo /etc/nsswitch.conf.
Volvemos a utilizar el editor nano con privilegios de superusuario.

Al abrir el archivo, observaremos que, algunas de sus líneas, tienen el siguiente

aspecto:
passwd: compat
group: compat
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files

Es importante cambiar las líneas necesarias para que su contenido final sea
como este:
passwd: files ldap
group: files ldap
shadow: files ldap
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
Al terminar, pulsamos Ctrl + x para salir y nos aseguramos de guardar los
cambios en el archivo.
 Actualizar NSS y configurar PAM para que utilicen LDAP
Este último segmento se va a encargar de resolver los dos pasos finales para
que el cliente pueda utilizar las cuentas de usuario creadas en el servidor LDAP.
Por una parte, deberemos actualizar la caché local con la información de
usuarios y grupos correspondientes del LDAP. Para conseguirlo, ejecutaremos el
comando nss-updatedb que instalamos al principio de este segmento:
# nss_updatedb ldap
Debemos cerciorarnos de que la salida del comando no nos arroje ningún error.

Si al aplicar el comando anterior obtenemos un error como este…

Failed to enumerate nameservice: No such file or directory
… Lo más probable es que hayamos cometido un error al escribir la dirección IP
del servidor en el archivo /etc/ldap.conf. Debemos asegurarnos de que dicha
dirección es correcta y de que el servidor se encuentra accesible desde el cliente
(es decir, que funciona la orden ping). Si no es así, se trata de un problema de
configuración en las características de la red.
Si todo ha ido bien, podemos utilizar el comando getent, que nos permite
obtener entradas de varios archivos de texto del sistema, por ejemplo,
de passwd y group. La ventaja es que consolida la información local con la
obtenida a través de la red.
Así pues, desde la consola ejecutamos el siguiente comando:
getent passwd

Como vemos en la imagen siguiente, lo que nos muestra comando es información

sobre los usuarios LDAP.
Salida del comando getent passwd.
Lo siguiente será actualizar la configuración de las políticas de autenticación
predeterminadas de PAM, que lo conseguimos con el siguiente comando:
sudo pam-auth-update

Al ejecutarlo, aparecerá un asistente, que comienza mostrándonos una pantalla

informativa sobre la función de los módulos PAM.
Después, elegiremos cuáles de los módulos disponibles queremos habilitar. De
forma predeterminada aparecen todos marcados…

El cliente ya se encuentra listo para que nos autentiquemos con una cuenta
del servidor LDAP. Sin embargo, es importante saber que si ahora nos
identificamos en el cliente con la cuenta drondon (recuerda que es una de las
cuentas que creamos en el servidor), encontraremos que no existe su carpeta
/home/drondon en el equipo cliente.

Si queremos que la carpeta se cree automáticamente cuando el usuario inicie

sesión por primera vez en un equipo, deberemos hacer uso de un módulo PAM
llamado pam_mkhomedir. Esto lo conseguimos haciendo una pequeña
modificación en el archivo /etc/pam.d/common-session del cliente.
Editamos el archivo utilizando el editor nano.

Cuando nos muestre el archivo, añadiremos una nueva línea al principio el

siguiente contenido:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
Al terminar, pulsamos Ctrl + x para salir y nos aseguramos de guardar los
cambios en el archivo.
 A
continuación editaremos el siguiente archivo /etc/pam.d/common-
password.
Como siempre, editamos el archivo utilizando nano.

Cuando veamos el contenido del archivo, buscaremos una línea como esta
(recuerda que puedes usar la combinación de teclas crtl +w):
password [success=1 user_unknown=ignore default=die] pam_ldap.so
use_authtok try_first_pass
y eliminamos su parte final, de modo que quede así:
password [success=1 user_unknown=ignore default=die] pam_ldap.so
Cuando terminemos, pulsaremos Ctrl + xpara salir y nos aseguraremos de
guardar los cambios en el archivo.
INSTALACION Y CONFIGURACION DEL RECURSO COMPARTIDO
Para poder acceder desde un PC a una carpeta compartida por NFS en un servidor,
lo primero que tenemos que hacer es instalar el paquete nfs-common nfs-client que
nos permitirá acceder como clientes.
Ahora ya estaremos en condiciones de montar la carpeta compartida en nuestro
sistema de archivos. De esta manera, el acceso a la carpeta compartida es exactamente
igual que el acceso a cualquier otra carpeta.
 Seguidamente procederemos a editar el archivo /ect/fstab , esto con el fin de que
al momento de iniciar el cliente nos cree automáticamente nuestro recurso compartido,
nos dirigimos al final del archivo y agregamos la siguiente ruta:
10.3.0.10:/home/GPDSG /mnt/GPDSG nfs.
 En esta sección crearemos nuestro punto de montaje con nuestra ruta origen
10.3.0.10:/home/GPDSG hacia nuestra ruta destino /mnt/GPDSG/.