Siguiente: , Anterior: , Subir: Servicios   [Índice general][Índice]


10.8.17 Servicios LDAP

El módulo (gnu services authentication) proporciona el tipo nslcd-service-type, que puede usarse para la identificación a través de un servidor LDAP. Además de la configuración del servicio en sí, puede desear añadir ldap como servicio de nombres en el selector de servicios de nombres (NSS). Véase Selector de servicios de nombres para información detallada.

Aquí se encuentra una declaración simple de sistema operativo con la configuración predeterminada de nslcd-service-type y una configuración del selector de servicios de nombre que consulta en último lugar al servicios de nombres ldap:

(use-service-modules authentication)
(use-modules (gnu system nss))
...
(operating-system
  ...
  (services
    (cons*
      (service nslcd-service-type)
      (service dhcp-client-service-type)
      %base-services))
  (name-service-switch
   (let ((services (list (name-service (name "db"))
                         (name-service (name "files"))
                         (name-service (name "ldap")))))
     (name-service-switch
      (inherit %mdns-host-lookup-nss)
      (password services)
      (shadow   services)
      (group    services)
      (netgroup services)
      (gshadow  services)))))

Los campos disponibles de nslcd-configuration son:

parámetro de nslcd-configuration: package nss-pam-ldapd

El paquete nss-pam-ldapd usado.

parámetro de nslcd-configuration: maybe-number threads

El número de hilos a iniciar que pueden gestionar peticiones y realizar consultas en LDAP. Cada hilo abre una conexión separada al servidor LDAP. Se inician 5 hilos de manera predeterminada.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: string uid

Especifica el id de usuaria con el que debe ejecutarse el daemon.

El valor predeterminado es ‘"nslcd"’.

parámetro de nslcd-configuration: string gid

Especifica el id de grupo con el que debe ejecutarse el daemon.

El valor predeterminado es ‘"nslcd"’.

parámetro de nslcd-configuration: opción-registro log

This option controls the way logging is done via a list containing SCHEME and LEVEL. The SCHEME argument may either be the symbols ‘none’ or ‘syslog’, or an absolute file name. The LEVEL argument is optional and specifies the log level. The log level may be one of the following symbols: ‘crit’, ‘error’, ‘warning’, ‘notice’, ‘info’ or ‘debug’. All messages with the specified log level or higher are logged.

El valor predeterminado es ‘("/var/log/nslcd" info)’.

parámetro de nslcd-configuration: lista uri

La lista de URI de servidores LDAP. Normalmente, únicamente se usará el primer servidor y los siguientes se usan en caso de fallo.

El valor predeterminado es ‘"ldap://localhost:389/"’.

parámetro de nslcd-configuration: maybe-string ldap-version

La versión del protocolo LDAP usada. El valor predeterminado usa la versión máxima implementada por la biblioteca LDAP.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string binddn

Especifica el nombre distinguido con el que enlazarse en el servidor de directorio para las búsquedas. El valor predeterminado se enlaza de forma anónima.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string bindpw

Especifica las credenciales usadas para el enlace. Esta opción tiene utilidad únicamente cuando se usa con binddn.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string rootpwmoddn

Especifica el nombre distinguido usado cuando la usuaria root intenta modificar la contraseña de una usuaria mediante el módulo de PAM.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string rootpwmodpw

Especifica las credenciales con las que enlazarse si la usuaria root intenta cambiar la contraseña de una usuaria. Esta opción tiene utilidad únicamente cuando se usa con rootpwmoddn.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string sasl-mech

Especifica el mecanismo de SASL usado cuando se realice la identificación con SASL.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string sasl-realm

Especifica el dominio de SASL usado cuando se realice la identificación con SASL.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string sasl-authcid

Especifica la identidad de verificación usada cuando se realice la identificación con SASL.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string sasl-authzid

Especifica la identidad de autorización usada cuando se realice la identificación con SASL.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean sasl-canonicalize?

Determina si el nombre de máquina del servidor LDAP debe transformarse a su forma canónica. Si se activa, la librería LDAP realizará una búsqueda inversa de nombre de máquina. De manera predeterminada, se delega en la biblioteca la decisión de realizar esta comprobación o no.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string krb5-ccname

Establece el nombre para la caché de credenciales GSS-API de Kerberos.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: string base

El directorio de búsqueda base.

El valor predeterminado es ‘"dc=example,dc=com"’.

parámetro de nslcd-configuration: opción-de-ámbito scope

Especifica el ámbito de búsqueda (subtree, oneleve, base o children). El ámbito predeterminado es subtree; el ámbito base casi nunca es útil para búsquedas del servicio de nombres; el ámbito children no está implementado en todos los servidores.

El valor predeterminado es ‘(subtree)’.

parámetro de nslcd-configuration: maybe-deref-option deref

Especifica la política para seguir las referencias de los alias. La política predeterminada es nunca seguir las referencias de los alias.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean referrals

Especifica si el seguimiento automático de referencias debe activarse. El seguimiento de referencias es comportamiento predeterminado.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: lista-asociación-entrada maps

Esta opción permite que se busquen atributos personalizados en vez de los atributos predeterminados de RFC 2307. Es una lista de asociaciones, de las que cada una consiste en el nombre de la asociación, el atributo de RFC 2307 al que corresponde y la expresión de búsqueda del atributo en la forma que esté disponible en el directorio.

El valor predeterminado es ‘()’.

parámetro de nslcd-configuration: lista-asociación-entrada filters

Una lista de filtros que consiste en el nombre de una asociación a la que se aplica el filtro y una expresión de filtrado de búsqueda de LDAP.

El valor predeterminado es ‘()’.

parámetro de nslcd-configuration: maybe-number bind-timelimit

Especifica el tiempo límite usado en segundos durante la conexión al servidor de directorio. El valor predeterminado son 10 segundos.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number timelimit

Especifica el tiempo límite (en segundos) durante el que se esperará una respuesta del servidor LDAP. Un valor de cero, por omisión, hace que se espere de manera indefinida hasta que las búsquedas se completen.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number idle-timelimit

Especifica el periodo de inactividad (en segundos) tras el cual se cerrará la conexión con el servidor LDAP. El valor predeterminado no cierra las conexiones por inactividad.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number reconnect-sleeptime

Especifica en número de segundos que se dormirá cuando falle la conexión a todos los servidores LDAP. De manera predeterminada se espera un segundo entre el primer fallo y el primer reintento.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number reconnect-retrytime

Especifica el tiempo tras el cual el servidor LDAP se considera no disponible de manera permanente. Una vez se alcance este tiempo, los reintentos se realizarán una vez en cada periodo de tiempo igual al especificado. El valor predeterminado es 10 segundos.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-ssl-option ssl

Determina si se usa SSL/TLS o no (el comportamiento predeterminado es no hacerlo). Si se especifica ’start-tls, se usa StartTLS en vez de la transmisión del protocolo LDAP en crudo sobre SSL.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-tls-reqcert-option tls-reqcert

Especifica las comprobaciones que se deben realizar con un certificado proporcionado por el servidor. El significado de los valores se describe en la página de manual de ldap.conf(5).

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-cacertdir

Especifica el directorio que contiene los certificados X.509 para la identificación de pares. Este parámetro se ignora si se usa GnuTLS.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-cacertfile

Especifica la ruta al certificado X.509 para la identificación de pares.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-randfile

Especifica la ruta de la fuente de entropía. Este parámetro se ignora si se usa GnuTLS.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-ciphers

Especifica como una cadena los algoritmos de cifrado usados para TLS.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-cert

Especifica la ruta al archivo que contiene el certificado local para la identificación de clientes con TLS.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string tls-key

Especifica la ruta al archivo que contiene la clave privada para la identificación de clientes con TLS.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number pagesize

Proporcione un valor superior a 0 para solicitar al servidor LDAP que proporcione los resultados divididos en páginas de acuerdo con el RFC2696. El valor predeterminado (0) no solicita resultados divididos en páginas.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-ignore-users-option nss-initgroups-ignoreusers

Esta opción previene las búsquedas de pertenencia a grupos a través de LDAP sobre las usuarias especificadas. De manera alternativa, se puede usar el valor ’all-local. Con dicho valor nslcd construye al inicio una lista completa de usuarias que no se encuentren en LDAP.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number nss-min-uid

Esta opción hace que se ignoren las usuarias de LDAP con un identificador numérico inferior al valor especificado.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number nss-uid-offset

Esta opción especifica un desplazamiento que se añade a todos los identificadores numéricos de usuaria de LDAP. Puede usarse para evitar colisiones de identificadores con usuarias locales.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-number nss-gid-offset

Esta opción especifica un desplazamiento que se añade a todos los identificadores numéricos de grupos de LDAP. Puede usarse para evitar colisiones de identificadores con grupos locales.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean nss-nested-groups

Cuando se activa esta opción, un grupo puede contener como atributo la pertenencia a otro grupo. Los miembros de grupos anidados se devuelven en el grupo superior y los grupos superiores se devuelven cuando se busquen los grupos de una usuaria específica. El valor predeterminado determina que no se realicen búsquedas adicionales para grupos anidados.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean nss-getgrent-skipmembers

Cuando se activa esta opción, la lista de miembros de un grupo no se obtiene en las búsquedas de grupos. Las búsquedas que busquen los grupos de los que una usuaria es miembro continuarán funcionando de manera que probablemente a la usuaria se le asignen los grupos correctos durante el ingreso al sistema.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean nss-disable-enumeration

Cuando se activa esta opción, las funciones que provocan la carga de todas las entradas usuaria/grupo del directorio no tendrán éxito al realizarlo. Esto puede reducir de forma dramática la carga del servidor LDAP cuando existe un gran número de usuarias y/o grupos. Esta opción no se recomienda para la mayoría de las configuraciones.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string validnames

Esta opción puede usarse para especificar cómo se verifican en el sistema los nombres de usuaria y grupo. Este patrón se usa para comprobar todos los nombres de usuarias y grupos que se soliciten y proporcionen a través de LDAP.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean ignorecase

Especifica si se realizarán las búsquedas sin diferenciar mayúsculas y minúsculas o no. Su activación puede abrir puntos vulnerables que permitan la omisión de las comprobaciones de autorización e introducir vulnerabilidades que permitan el envenenamiento de la caché de nscd, lo que puede provocar la denegación del servicio.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-boolean pam-authc-ppolicy

Esta opción determina si los controles de la política de contraseñas se solicitan y manejan desde el servidor LDAP cuando se realice la identificación de usuarias.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string pam-authc-search

De manera predeterminada nslcd realiza una búsqueda LDAP con las credenciales de la usuaria tras la orden BIND (identificación) para asegurarse de que la opción BIND fue satisfactoria. La búsqueda predeterminada es una simple comprobación de la existencia del DN de la usuaria. Se puede especificar un filtro de búsqueda que se usará en vez de dicha búsqueda. Debe devolver al menos una entrada.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string pam-authz-search

Esta opción permite la configuración detallada de las comprobaciones de autorización que deben realizarse. El filtro de búsqueda especificado es ejecutado, y si cualquier entrada corresponde se permite el acceso, el cual se deniega en caso contrario.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: maybe-string pam-password-prohibit-message

Si se proporciona esta opción, se denegará la modificación de contraseñas a través de pam_ldap y en vez de ello el mensaje especificado se presentará a la usuaria. El mensaje puede usarse para redirigir a la usuaria a un medio alternativo para el cambio de su contraseña.

El valor predeterminado es ‘disabled’.

parámetro de nslcd-configuration: lista pam-services

Lista de nombres de servicio de PAM para los que la identificación de LDAP debería ser suficiente.

El valor predeterminado es ‘()’.


Siguiente: , Anterior: , Subir: Servicios   [Índice general][Índice]