OpenLDAP#

OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol(LDAP) desarrollada por el proyecto OpenLDAP. Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma. Muchas distribuciones Linux incluyen el software OpenLDAP para el soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris y Microsoft Windows

Básicamente, OpenLDAP posee tres componentes principales:

• slapd - Dominio de servidor y herramientas
• Librerías que implementan el protocolo LDAP
• Programas cliente: ldapsearch, ldapadd, ldapdelete, entre otros

Backends#

Concepto General#

Históricamente la arquitectura del servidor OpenLDAP (slapd, Standalone LDAP Daemon) fue dividida entre una sección frontal que maneja las conexiones de redes y el procesamiento del protocolo, y un base de datos dorsal o de segundo plano (backend) que trata únicamente con el almacenamiento de datos. La arquitectura es modular y una variedad de backends está disponible para interactuar con otras tecnologías, no sólo bases de datos tradicionales.

Nota: En versiones antiguas (1.x), los términos "backend" y "database (base de datos)" podían intercambiarse. Para ser precisos, un "backend" es una clase de interfaz de almacenamiento, y una base de datos es una instancia de un backend. El servidor slapd puede utilizar arbitrariamente varios backends en una sola vez, y puede tener arbitrariamente muchas instancias de cada backend (por ejemplo varias bases de datos) activas por vez.

Backends Disponibles#

Actualmente 16 diferentes backends son proporcionados en la distribución de OpenLDAP, y varios proporcionados por terceros son conocidos para mantener otros backends de manera independiente. Los backends estándar están organizados de manera imprecisa en tres categorías:

• Backends de almacenamiento de datos (Data Storage backends) - estos realmente almacenan información
• back-bdb: el primer backend transaccional para OpenLDAP, construido en base a BerkeleyDB
• back-hdb: una variante de back-bdb que es totalmente jerárquica y soporta renombrado de sub-árboles
• back-ldif: construido en archivos LDIF de texto plano
• back-ndb: un backend transaccional construido en base al motor de cluster NDB de MySQL

• Proxy backends - actúan como puertas de enlace a otros sistemas de almacenamiento de datos
• back-ldap: proxy simple a otros servidores LDAP
• back-meta: proxy con características de meta-directorio
• back-passwd: usa un sistema basado en Unix de datos passwd y group
• back-relay: internamente redirige a otros backends de servidores slapd
• back-sql: establece conexiones a bases de datos SQL

• Backends dinámicos - estos generan datos sobre la marcha
• back-config: configuración del servidor slapd vía LDAP
• back-dnssrv: localiza servidores LDAP vía DNS
• back-monitor: estadísticas de slapd vía LDAP
• back-null: un backend nulo, análogo a /dev/null en Unix
• back-perl: invoca arbitrariamente módulos de perl en respuesta a peticiones LDAP
• back-shell: invoca scripts de shell para peticiones LDAP
• back-sock: redirige peticiones LDAP sobre IPC a demonios de manera arbitraria

Algunos backends disponibles en lanzamientos antiguos de OpenLDAP han sido retirados, los más notorios fueron el back-ldbm que fue heredado del código original de UMich, y back-tcl que era similar a back-perl y back-shell.

En la práctica, los backends como -perl, -shell, and -sock permiten interconexión con cualquier lenguaje de programación, por lo cual proveen limitadas capacidades para personalización y expansión. En efecto el servidor slapd se convierte en un motor RPC con una interfaz de programación de aplicaciones (API) compacta, bien definida y ubícua.

Overlays#

Concepto General#

Generalmente una petición LDAP es recibida por el frontend, decodificada y luego transferida a un backend para procesamiento. Cuando el backend completa la petición, devuelve un resultado al frontend, quien luego envía el resultado al cliente LDAP. Un overlay es una pieza de código que puede ser insertada entre el frontend y el backend. Es entonces capaz de interceptar peticiones y lanzar otras acciones en ellas antes de que el backend las reciba, y puede también actuar sobre los resultados del backend antes de que éstos alcancen el frontend. Overlays tiene acceso completo a las interfaces de programación (APIs) internas del servidor slapd, y por tanto pueden invocar cualquier llamada que podrían realizar el frontend u otros backends. Múltiples overlays pueden ser usados a la vez, formando una pila de módulos entre el frontend y el backend.

Los overlays proveen un medio simple para incrementar las funcionalidades de una base de datos sin requerir que un completo backend nuevo puede ser escrito, y permite añadir nuevas funcionalidades de manera compacta, fácilmente depurable y módulos mantenibles. Desde la introducción de la característica de overlay en OpenLDAP 2.2 muchos nuevos overlays han sido contribuídos por la comunidad OpenLDAP.

Overlays#

Actualmente existen 20 overlays en el núcleo de la distribución OpenLDAP, con otros 10 overlays en la sección de contribuciones de los usuarios, y más aún esperan aprobación para ser añadidos.

Entre los overlays incluídos en el núcleo se incluyen:

• accesslog: servidor de registro de actividades en otra base de datos LDAP, para registro de actividades accesible por LDAP
• auditlog: servidor de registro de actividades en un archivo de texto plano
• chain: intercepta referencias y las encadena; el código es parte de back-ldap
• collect: implementa atributos de estilo X.500 (también conocido Netscape Class Of Service)
• constraint: restringe los valores aceptables para atributos particulares
• dds: dynamic data service - entradas de corto tiempo de vida, auto expirables
• deref: devuelve información acerca de entradas referenciadas en resultados de búsqueda dados
• dyngroup: soporte simple de grupos dinámicos
• dynlist: soporte de grupos dinámicos más sofisticado y otras características
• memberof: soporte de memberOf y atributos similares
• pcache: almacenamiento en cache de resultados de búsqueda, principalmente para mejorar desempeño para servidor que actúan como proxyes.
• ppolicy: política de claves LDAP - calidad de claves, expiración, etc.
• refint: integridad referencial
• retcode: establece códigos de retorno predefinidos para varios operadores, usado para depuración de clientes
• rwm: módulo de reescritura para varias alteraciones de datos LDAP
• seqmod: serializa escritura para entradas individuales
• syncprov: Proveedor para un consumidor syncrepl, implementa el lado maestro en un esquema de replicación
• translucent: paso semi-transparente, para aumentar datos lógicamente en un servidor utilizado como proxy
• unique: para forzar unicidad de valores de atributos en un árbol
• valsort: mantiene varios ordenamientos para valores de un atributo

Los overlays contribuídos incluyen:

• addpartial: reciben peticiones de adición (Add) y los convierte en modificaciones (Modifies) si la entrada objetivo ya existe.
• allop: devuelve todos los atributos operacionales, para clientes que no conocen cómo efectuar las peticiones
• autogroup: grupos estáticos manejados dinámicamente
• denyop: rechaza de manera arbitraria peticiones configuradas
• lastmod: mantiene la marca de tiempo del último cambio en un árbol
• nops: filtra modificaciones redundantes
• nssov: responde peticiones NSS directamente en slapd, reemplaza a nss-ldap
• proxyOld: soporta una codificación obsoleta de ProxyAuthz usada por Sun y otros
• smbk5pwd: mantiene claves en Samba y Kerberos
• trace: lleva un registro de peticiones y respuestas LDAP

OpenLDAP también soporta SLAPI, la arquitectura de extensión usada por Sun y Netscape/Fedora/RedHat. En versiones actuales, el framework SLAPI es implementada dentro del overlay de slapd. Mientras varias extensiones escritos por Sun/Netscape/Fedora/RedHat son compatibles con OpenLDAP, muy pocos miembros de la comunidad OpenLDAP usan SLAPI.

Implementaciones#

Existen diversas implementaciones y aplicaciones reales del protocolo LDAP.

Active Directory #

Active Directory es el nombre utilizado por Microsoft como almacén centralizado de información de uno de sus dominios de administración.

Un Servicio de Directorio es un depósito estructurado de la información de los diversos objetos que contiene el Active Directory, en este caso podrían ser impresoras, usuarios, equipos... Bajo este nombre se encuentra realmente un esquema (definición de los campos que pueden ser consultados) LDAP versión 3, lo cual permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena información de usuarios, recursos de la red, políticas de seguridad, configuración, asignación de permisos, etc.

Novell Directory Services #

También conocido como eDirectory es la implementación de Novell utilizada para manejar el acceso a recursos en diferentes servidores y computadoras de una red. Básicamente está compuesto por una base de datos jerárquica y orientada a objetos, que representa cada servidor, computadora, impresora, servicio, personas, etc. entre los cuales se crean permisos para el control de acceso, por medio de herencia. La ventaja de esta implementación es que corre en diversas plataformas, por lo que puede adaptarse fácilmente a entornos que utilicen más de un sistema operativo.

iPlanet - Sun ONE Directory Server #

Basado en la antigua implementación de Netscape, iPlanet se desarrolló cuando AOL adquirió Netscape Communications Corporation y luego conjuntamente con Sun Microsystems comercializaron software para servidores, entre ellos el iPlanet Directory Server, su implementación de LDAP... Actualmente se denomina Sun ONE Directory Server.

OpenLDAP #

Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para conectarse a cualquier otro LDAP. Tiene su propia licencia, la OpenLDAP Public License. Al ser un protocolo independiente de la plataforma, varias distribuciones GNU/Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac OS X, Solaris, Windows (2000/XP) y z/OS.

OpenLDAP tiene cuatro componentes principales:

• slapd - demonio LDAP autónomo.
• slurpd - demonio de replicación de actualizaciones LDAP autónomo.
• Rutinas de biblioteca de soporte del protocolo LDAP.
• Utilidades, herramientas y clientes.

Red Hat Directory Server #

Directory Server es un servidor basado en LDAP que centraliza configuración de aplicaciones, perfiles de usuarios, información de grupos, políticas así como información de control de acceso dentro de un sistema operativo independiente de la plataforma. Forma un repositorio central para la infraestructura de manejo de identidad, Red Hat Directory Server simplifica el manejo de usuarios, eliminando la redundancia de datos y automatizando su mantenimiento.

Apache Directory Server #

Apache Directory Server (ApacheDS), es un servidor de directorio completamente escrito en Java por Alex Karasulu y disponible bajo la licencia de Apache Software, es compatible con LDAPv3 certificado por el Open Group, soporta otros protocolos de red tal como Kerberos y NTP, además provee Procedimientos Almacenados, triggers y vistas; características que están presente en las Base de Datos Relacionales pero que no estaban en presentes en el mundo LDAP

Open DS #

Basado en los estándares LDAPv3 y DSMLv2, OpenDS surgió como un proyecto interno de SUN, aunque posteriormente se puso a disposición de la comunidad. Está desarrollado en JAVA y precisa de un entorno de ejecución (Java Runtime Environment) para funcionar. Es multiplataforma.

La primera versión estable fue liberada en julio de 2008.

Instalacion y configuracion de OpenLDAP#

OpenLDAP se compone de tres componentes principales:

slapd	demonio LDAP autónomo
syncrepl	opción para replicar ldap
Rutinas de biblioteca de soporte del protocolo LDAP.
Utilidades, herramientas y cliente

La instalación es trivial, simplemente teclee en la terminal de BASH lo siguiente:

[BASH]# yum install openldap openldap-clients openldap-servers

Para asegurarnos que realmente se instalaron los paquetes simplemente teclee lo siguiente en terminal

[BASH]# rpm -ql openldap

[BASH]# rpm -ql openldap-clients [BASH]# rpm -ql openldap-servers}}}

Generando los directorios#

El siguiente paso sera crear el directorio en donde OpenLDAP va a guardar su base de datos, para ello teclee lo siguiente:

[BASH]# mkdir /var/lib/ldap/auth

[BASH]# chown ldap.ldap /var/lib/ldap/auth [BASH]# chmod 700 /var/lib/ldap/auth }}}

Enseguida se copia el siguiente archivo y se modifica el nombre

[BASH]# cp /usr/share/doc/openldap-servers-2.4.8/DB_CONFIG.example \

>/var/lib/ldap/auth/DB_CONFIG }}}

Y se ejecuta de nuevo el siguiente comando

[BASH]# chmod -R 700 /var/lib/ldap/auth && chown ldap.ldap \

> /var/lib/ldap/auth }}}

Generando los llaves de acceso#

Ahora tenemos que generar la contraseña que el usuario administrativo va a utilizar para modificar y conectarse a OpenLDAP, esto se hace con el siguiente comando en la línea de comandos BASH

[BASH]# slappasswd

New password: Re-enter new password: {SSHA}xXxXxXxXxXxXxXxXxXxXxXxXxXxXx }}}

Como podemos observar nos pedira que tecleemos dos veces la contraseña, esto para evitar errores en el tecleo de la palabra. Por ultimo, nos arrojara como resultado una cadena de caracteres el cual debemos guardar en un fichero plano ya que mas tarde deberemos agregar esta cadena en el archivo de configuracion de OpenLDAP

Configuracion del fichero /etc/openldap/slapd.conf#

El siguiente paso es editar el archivo de configuración de OpenLDAP el cuál como mencionamos antes se encuentra en la ruta:

/etc/openldap/slapd.conf

Se verificara que los ficheros de esquema mínimos requeridos estén activos. De tal modo que debe haber algo similar a lo siguiente dentro del fichero:

include     /etc/openldap/schema/core.schema 

include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema }}}

El siguiente paso es configurar el dominio y el usuario que tendra acceso administrativo a esta instancia de OpenLDAP , para ello haremos uso del fichero plano que generamos en el punto 2.2.2 y su contenido lo agregaremos al fichero

/etc/openldap/slapd.conf

dentro de la siguiente sección:

Database        bdb

suffix "dc=mi_nombre_de_dominio,dc=com" rootdn "cn=admin,dc=mi_nombre_de_dominios,dc=com" rootpw {SSHA}xXxXxXxXxXxXxXxXxXxXxXxXxXxXx directory /var/lib/ldap/auth

1. Indices to maintain for this database

index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub }}}

Esto debe de ser suficiente para tener una configuración de OpenLDAP completa y segura.

Iniciar, detener o reiniciar el servidor OpenLDAP#

Para iniciar el servidor OpenLDAP por primera vez solo deberá teclear en terminal el siguiente comando:

[BASH]# /etc/init.d/ldapd start

Igualmente existen opciones ya sea para reiniciar, detener, recargar o conocer el status en el que se encuentra el servidor OpenLDAP. Estas opciones pueden ser consultadas en la siguiente tabla:

start	Inicia el servicio
stop	Detiene el servicio
restart	Reinicia el servicio.-La diferencia con reload radica en que al ejecutar un restart este mata todos los procesos relacionado con el servicio y los vuelve a generar de nueva cuenta
reload	Recarga el servicio.-La diferencia con restart radica en que al ejecutar un reload este solamente carga las actualizaciones hechas al fichero de configuración del servicio sin necesidad de matar los procesos relacionados con el mismo, por lo que podría entenderse que hace el cambio en caliente.
condrestart	Reinicio Condicional.- Solamente se inicia si el servicio se encuentra ejecutándose.
status	Da a conocer el estado en el que se encuentra el servicio

Como alternativa también podemos ocupar el siguiente comando para iniciar el servidor OpenLDAP

[BASH]# service ldapd start

Y de igual manera podemos usar las opciones antes descritas en la tabla anterior. Recuerde que estos comandos se ejecutan como root.

Recuerde tambien configurar el servicio para que cada que el sistema sea reiniciado ldap inicie, esto se hace tecleando en la terminal de BASH lo siguiente:

[BASH]# chkconfig --level 35 ldap on

Verificando el funcionamiendo de OpenLDAP#

Por preferencia personal, recomiendo deshabilitar SELinux para que OpenLDAP trabaje de manera correcta , puedes verificar si SELinux está activado con el siguiente comando:

[BASH]#  sestatus

SELinux status: disabled }}}

Si tu sistema tiene SELinux activado recomiendo editar el archivo

/etc/selinux/config 

y modificar la siguiente linea que está como:

SELINUX=enforcing 

Por

SELINUX=disabled 

Creacion de las cuentas#

El siguiente paso es poblar nuestro servidor de OpenLDAP, para hacer esto haremos uso de los migration tools scripts. Estos scripts lo que hacen es crear una serie de salidas para nuestro servidor de OpenLDAP. Localiza el fichero

 /usr/share/openldap/migration/migrate_common.ph 

y modifique los valores de las siguiente variables para que despliegue los valores de tu dominio.

$DEFAULT_MAIL_DOMAIN  

$DEFAULT_BASE }}}

a fin de que queden del siguiente modo:

# Default DNS domain 

$DEFAULT_MAIL_DOMAIN = "tuDominio.com";

1. Default base

$DEFAULT_BASE = "dc=tuDominio,dc=com"; }}}

Una ves modificado este archivo, ejecuta el siguiente script de la siguiente manera:

/usr/share/openldap/migration/migrate_base.pl > base.ldif

Esta accion creara el objeto que a su vez contendrá el resto de los datos de nuestro directorio En las siguientes líneas

“# LDIF entries for base DN” 

Referentes al script

/usr/share/openldap/migration/migrate_base.pl 

vemos que lo que hace es generar “# LDIF entries for base DN”

Si te das un minuto para revisar al fichero

/tmp/base.ldif 

vas a ver que es lo que generó el script

/usr/share/openldap/migration/migrate_base.pl 

La pregunta es ¿Porque LDIF ? Según el manual de ldif, esto significa:

DESCRIPTION

The LDAP Data Interchange Format (LDIF) is used to represent LDAP entries and change records in text form. LDAP tools, such as ldapadd(1) and ldapsearch(1), read and write LDIF entry records. ldapmodify(1) reads LDIF change records. This manual page provides a basic description of LDIF. A formal specification of LDIF is published in RFC 2849.}}}

Que traducido podria entenderse como

DESCRIPCION

El LDAP Formato de Intercambio de Información (LDIF) es utilizado para representar entradas de LDAP y modificar campos en modo texto. Las herramientas LDAP, cómo ldapadd(1) y ldapsearch(1), leen y escriben archivos LDIF. ldapmodify(1) lee cambios a realizarse con LDIF.}}}

Este manual provee una descripción básica de LDIF. Para importar este ldif (/tmp/base.ldif) lo puedes hacer tecleando en consola lo siguiente:

[BASH]# ldapadd -a -D 'cn=admin, dc=tu_dominio, dc=com' -h localhost -f \

> /tmp/base.ldif}}}

Algunos de los parametros usados por este comando se describen a continuacion:

x	Autenticacion simple
w	Solicitar lcave de acceso
D	Nombre dn a utilizar
h	Servidor LDAP a acceder
f	Fichero a utilizar

Una vez que tienes poblado tu OpenLDAP server con los servicios básicos puedes comenzar a agregar entradas. Para fines de probar tu servidor vamos a crear un usuario de prueba:

Con ayuda de una terminal de BASH ejecuta lo siguiente

[BASH]#vim usuarioTest

dn: cn=usuarioTest, ou=Group, dc=tu_dominio,dc=com gidNumber: 900 description: Usuario Test objectClass: top objectClass: posixGroup cn: usuarioTest dn: uid=usuarioTest, dc=tu_dominio,dc=com sn: usuarioTest userPassword:: e01ENX1NamFMMitHOElDVlF5ZGVyMlR1RHJRPT0= loginShell: /bin/bash uidNumber: 900 gidNumber: 900 objectClass: top objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person uid: usuarioTest cn: Usuatio Test homeDirectory: /home/usuarioTest }}}

Para agregar a este usuario a tu servidor ldap puedes usar ya sea ldapbrowser o lo puedes hacer desde la consola. Para hacerlo desde la consola solo teclea en una terminal de BASH lo siguiente:

[BASH]# ldapadd -a -D 'cn=admin, dc=tu_dominio, dc=com' -h localhost \ 

> -f /tmp/usuarioTest.ldif }}}

Configuracion de los clientes#

Hasta aquí solo hemos hablado de como instalar y configurar OpenLDAP, ahora vamos a ver cuál es la utilidad de usar OpenLDAP como servidor de autenticación.

Por la parte de OpenLDAP no hay nada que hacer si solamente queremos utilizarlo como un servidor de autenticación, lo que tenemos que hacer ahora son unas pequeñas modificaciones a nuestros hosts o clientes para decirles que cuando un usuario trate de logearse al sistema, haga una busqueda o query al servidor OpenLDAP.

Hay 2 maneras sencillas de lograr esto:

1.Utilizando system-config-authentication 2.Utilizando authconfig-tui

y como ultimo paso , modificar los siguientes archivos

– /etc/ldap.conf

– /etc/nsswitch.conf – /etc/pam.d/system-auth }}}

Para los pasos 1 y 2 solo deberas teclear en la consola de BASH alguno de los metodos sugeridos para la configuracion, a continuacion se muestran los pantallazos para la primera opcion

[BASH]# system-config-authentication

a continuacion se muestran los pantallazos para la segunda opcion

[BASH]# authconfig-tui

Para el paso 3 esto es lo que se tiene que modificar Del fichero

[BASH]# /etc/ldap.conf

Esto

# The distinguished name of the search base.

base dc=example,dc=com}}}

por esto

# The distinguished name of the search base.

base dc=mi_dominio,dc=com}}}

Del fichero

[BASH]# /etc/nsswitch.conf 

Esto

# Example:

1. passwd: db files nisplus nis
2. shadow: db files nisplus nis
3. group: db files nisplus nis

passwd: files shadow: files group: files }}}

por esto

# Example:

1. passwd: db files nisplus nis
2. shadow: db files nisplus nis
3. group: db files nisplus nis

passwd: files ldap shadow: files ldap group: files ldap }}}

Al fichero

[BASH]# /etc/pam.d/system-auth 

Deberan agregar lo siguiente

#%PAM-1.0

1. This file is auto-generated.
2. User changes will be destroyed the next time authconfig is run.

auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so

session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so }}}

Guardamos los cambios y con ello el equipo está configurado para utilizar OpenLDAP como servidor de autenticación.

Recuerdan esa cuenta de usuarioTest que creamos a la mitad del documento Bueno, ese usuario NO está creado localmente en nuestro host, pero si hacemos un

[BASH]#  id usuarioTest

uid=900(usuarioTest) gid=900(usuarioTest) groups=900(usuarioTest) [BASH]# finger usuarioTest Login: usuarioTest Name: usuarioTest Directory: /home/usuarioTest Shell: /bin/bash Never logged in. No mail. No Plan. }}}

Listo, vemos que la información del usuario está ahí! Esto es porque el host está haciendo un query al servidor OpenLDAP. Ahora, que pasa cuando haces un ssh al host con las credenciales del usuarioTest, deberías poder logearte.

Ejemplo

[BASH]# ssh usuarioTest@host_usando_openldap_como_auth_server

usuarioTest@centos's password: Last login: Thu Jul 31 11:19:17 2008 from otro.host.de_mi_red.com Could not chdir to home directory /home/usuarioTest: No such file or directory -bash-3.1$ }}}

Esto es porque el usuario no tiene un directorio en /home en este host, la manera de solucionar esto es

1. Creándo el /home/usuarioTest a mano

o

2. Modificando /etc/pam.d/sshd y agregándo al final una línea como esta:

[BASH]# session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

Trata de logearte de nuevo al sistema, y verás algo cómo esto:

[BASH]# ssh usuarioTest@host_usando_openldap_como_auth_server

usuarioTest@centos's password: Creating directory '/home/usuarioTest'. Last login: Fri Aug 8 08:38:26 2008 from otro.host.de_mi_red.com [BASH]$ }}}

Listo Ahora configura tus demás hosts para que utilicen OpenLDAP como su servidor de autenticación.