Archivo de la categoría: SSH

Se muda el blog

seguimos siendo napster2011 pero con otra url y haciendo enfasis en temas de seguridad informatca https://seginfo2013.wordpress.com/

Actualizaciones Blog Napster2011

Buen día queridos lectores del blog Napster2011, este post lo publico para informarles a todos los que han seguido con mucho entusiasmo los post de “Programacion”, que proximamente estaré publicando un post o mejor dicho, varios post dedicados a desarrollar una aplicacion que permita autenticar, crear y administrar usuarios contra un servidor LDAP, y lo mejor es que solo utilizaremos como lenguaje de programación PHP, cabe recorar que las lecciones de configuración del servidor LDAP las expliqué hace rato en este mismo blog.

Publiqué artículos de como instalar y configurar LDAP en Debian y Centos, pero recomiendo Debian porque es mucho mas sencillo a la hora de configurar el servidor LDAP.

Bueno amigos, no siendo más, les deseo a todos buen resto de día, y como siempre, gracias por leer y seguir el blog.

Importante. Como se habrán dado cuenta, actualice el blog en cuanto a los widgets ubicados en el lado derecho de la pantalla, podrán encontrar un buscador interno, un calendario con las fechas en las que se han publicado articulos, una nube de categorias, y lo más importante un pequeño formulario en el que pueden colocar su correo electrónico con el fin de suscribirse al blog y recibir todas las actualizaciones del blog en su bandeja de entrada.

Pueden enviar todos sus comentarios, solicitando artículos sobre cualquiera las categorías del blog.

Napster2011

SSH con ldap

Buen día en el siguiente artículo explico como conectar ssh con ldap para que utilice la autenticacion via openldap

Empezamos instalado los paquetes:

apt-get install ldap-utils libpam-ldap libnss-ldap nscd

Una vez instalado, modificamos los ficheros:

/etc/ldap/ldap.conf

Con las siguientes etiquetas cambiar segun convenga:

URI ldap://ldap.example.net
BASE dc=example

pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_crypt local

/etc/libnss-ldap.conf

host 10.10.10.10
base dc=example

ldap_version 3
binddn cn=nss,dc=example
bindpw SeeKriT

nss_base_passwd ou=People,dc=example
nss_base_group ou=Group,dc=example

/etc/nsswitch.conf

passwd:        ldap compat
group:         ldap compat
shadow:        ldap compat

Hacemos el test de NSS probando que se conecta y reconoco los user con el comando:

getent passwd user
/etc/pam_ldap.conf

host 10.10.10.10
base dc=example

ldap_version 3
binddn cn=nss,dc=example
bindpw SeeKriT
pam_password crypt

Cambiamos el pam.d/sshd y el login por esto:

auth       required     pam_env.so

auth       sufficient   pam_unix.so likeauth nullok

auth       sufficient   pam_ldap.so use_first_pass

auth       required     pam_deny.so

account    sufficient   pam_unix.so

account    sufficient   pam_ldap.so

account    required     pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3

password   sufficient   pam_unix.so nullok md5 shadow use_authtok

password   sufficient   pam_ldap.so use_first_pass

password   required     pam_deny.so

session    required     pam_limits.so

session    required     pam_unix.so

session    optional     pam_ldap.so

Ya deberia estar reiniciamos ssh y listo

Napster2011

Usar autenticación LDAP (OpenLDAP) con OpenSSHD (sshd) (II)

En el  artículo veíamos cómo instalar y configurar LDAP (OpenLDAP). Resumiendo un poco, lo que vimos es la instalación propia de OpenLDAP, su configuración básica y la importación de usuarios y grupos de sistema a nuestro directorio. El segundo paso tras esas tareas es la de configurar sshd (OpenSSH) para que pueda autenticarse contra LDAP.

OpenSSH

Lo primero que hay que hacer es seguir los pasos del anterior artículo para configurar LDAP correctamente, y sobre todo la sección “Configurar el sistema para autenticar contra LDAP”. Como recordatorio, modificabamos el fichero /etc/nsswitch.conf y le indicabamos que la autenticación a través de passwd/shadow/group también se puede hacer vía LDAP:

passwd:  files ldap
group:  files ldap
shadow:   files ldap

Una vez realizados los pasos indicados en el otro artículo, únicamente nos falta configurar la parte del lado de OpenSSH. Es bastante sencillo, pues todo el trabajo pesado se hace en LDAP. Únicamente tenemos que activar la directiva PAMAuthenticationViaKbdInt en el fichero de configuración /etc/ssh/sshd_config y reiniciar el servicio:

# vim /etc/ssh/sshd_config

Y añadimos la línea:

PAMAuthenticationViaKbdInt yes

Reiniciamos el servicio:

# /etc/init.d/sshd restart

E inmediantamente si hacemos login vía SSH con un usuario creado en el directorio LDAP veremos que funciona correctamente y también que queda registrado en el log correspondiente:

# tail -f /var/log/ldap.log
...
...
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: backend default read 
access granted to "(anonymous)"
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: read access 
to "uid=alex,ou=People,dc=ldap-db,dc=com" "uidNumber" requested
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: backend default read 
access granted to "(anonymous)"
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: read access 
to "uid=alex,ou=People,dc=ldap-db,dc=com" "gidNumber" requested
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: backend default read 
access granted to "(anonymous)"
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: read access 
to "uid=alex,ou=People,dc=ldap-db,dc=com" "homeDirectory" requested
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: backend default read 
access granted to "(anonymous)"
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: read access 
to "uid=alex,ou=People,dc=ldap-db,dc=com" "gecos" requested
Sep 3 12:53:01 cluster01 slapd[2382]: => access_allowed: backend default read 
access granted to "(anonymous)"
...
...


Napster2011