Autenticación en GNU/Linux con usuarios de un Directorio Activo

Si tienes experiencia con Directorio Activo de Windows y autenticación en sistemas GNU/Linux esta entrada puede resultarte interesante, pero no está pensada para gente que está empezando con estos temas porque se dan por sabidos conceptos de Kerberos, LDAP, nss y PAM.

Esta entrada tiene dos objetivos, el principal es utilizar un Directorio Activo montado sobre un equipo con Windows 2008R2 como mecanismo de autenticación válido para usuarios de un equipo GNU/Linux, pero la forma de hacerlo será paso a paso y sin utilizar Samba; quizás no sea la forma más sencilla de hacerlo, pero sí la que cumple mejor con el segundo objetivo que no es otro que comprender de forma precisa todos los componentes implicados. La parte de la centralización de las cuentas de usuario, bien por el protocolo CIFS (SMB), bien por NFS se deja para una entrada posterior.

Como equipo cliente se utilizará Debian Squeeze y como ya se ha mencionado como servidor se utilizará Windows Server 2008R2. Es importante tener en cuenta la versión de Windows server porque el esquema LDAP para UNIX de que se incluye cada versión de Windows Server es diferente, por lo que aquí se explica no tiene por qué servir para otras versiones de Windows Server.

Seguir leyendo «Autenticación en GNU/Linux con usuarios de un Directorio Activo» →

Postfix con usuarios virtuales en openLDAP

Es habitual que los usuarios de los diferentes servicios no se correspondan con usuarios locales (los que aparecen en /etc/passwd) del equipo que actúa como servidor, es más, habitualmente estos servidores tienen muy pocos usuarios locales. Para los usuarios de los servicios se suele utilizar el término usuarios virtuales, que pueden estar ubicados en ficheros, bases de datos relaciones o, quizás lo más adecuado, servidores LDAP.

En esta entrada explicamos cómo se configura un servidor postfix con usuarios virtuales en openLDAP, bueno realmente sólo explicamos cómo recibir correo para usuarios virtuales en openLDAP, la configuración de postfix para que los usuarios de un servidor LDAP estén autorizados para enviar correo es diferente e implica la configuración de SASL para autenticar esos usuarios y habitualmente TLS. La configuración que veremos a continuación no es complicada, pero como siempre que utilizamos postfix, es necesario comprender lo mejor posible el funcionamiento paso a paso y una vez hecho esto, veremos cómo encaja todo perfectamente.

Seguir leyendo «Postfix con usuarios virtuales en openLDAP» →

Autenticación LDAP-SASL con Digest-MD5

LDAP no incluye internamente ningún método seguro de comunicación entre un cliente y un servidor, sino que deben utilizarse programas externos, principalmente SASL.

SASL utiliza a su vez diversos mecanismos de autenticación, un extracto de estos es:

• PLAIN. Descartado porque no aumenta la seguridad.
• DIGEST-MD5. El mínimo recomendado por LDAP y que explicaremos aquí.
• GSSAPI (Kerberos-V). El más seguro.
• EXTERNAL. Para utilizar TLS (SSL)

En esta entrada explicamos la forma de utilizar usuarios almacenados en la base de datos de SASL para hacer consultas al directorio LDAP.

Características del montaje:

• Debian GNU/Linux (lenny)
• Slapd 2.4.11-1
• SASL 2.1.22

Seguir leyendo «Autenticación LDAP-SASL con Digest-MD5» →