MANUAL DE ADMINISTRACIN DE OPENLDAP

TECNOLOGIA EN ADMINISTRACIN DE REDES SENA, MEDELLN

NOTAS PRELIMINARES:
Este tutorial describe el proceso de instalacin y administracin de openLDAP en una mquina con Sistema Operativo Red Hat, Fedora, CentOS o cualquier distribucin que use el gestor YUM.

PROCEDIMIENTO 1: INSTALACIN Y CONFIGURACIN DEL SERVIDOR OPENLDAP 1. Instalar los paquetes necesarios: El servidor openLDAP y el cliente openLDAP
# yum install openldap-servers openldap-clients

2. Generar un password para el usuario root del servidor de directorio. Este password ser usado en el siguiente paso, cuando se modifique el archivo de configuracin para el openLDAP.
# slappasswd New password: Re-enter New password:
{SSHA}KtgvS5JCO+Xv4EWyzbIQOVBDAo6osTyg

NOTA 1: El password ha sido cifrado usando el algoritmo SSHA. La lnea completa en color rojo debe copiarse. Si desea usar otro algoritmo de cifrado debe usar el comando slappasswd con la opcin -h

3. Modificar el archivo de configuracin principal para openLDAP slapd.conf, ubicado en el directorio /etc/openldap. El archivo de slapd.conf debe modificarse para configurar las opciones de la base de datos LDAP. A continuacin se numeran cada una de las lneas que deben modificarse:
# nano /etc/openldap/slapd.conf ###################################################################### ldbm database definitions ###################################################################### database suffix rootdn rootpw bdb "dc=solutions, dc=com" 1 "cn=admin, dc=solutions, dc=com" 2 {SSHA}KtgvS5JCO+Xv4EWyzbIQOVBDAo6osTyg 3

A continuacin se explican los parametros de configuracin ms importantes:

 suffix: Este parmetro indica el nodo raz o sufijo de la base de datos, esto es, el nodo sobre el cual ser derivada toda la informacin, en este caso se refiere al componente de dominio o sufijo DNS solutions.com (dc=solutions, dc=com) rootdn: Es un tipo de cuenta que existe en el servidor de directorio y que generalmente tiene acceso total a todos los datos en el servidor. Debe especificarse el el nombre distinguido (DN) del administrador (cn=admin, dc=solutions, dc=com) rootpw: Es el password del root del servicio de directorio (rootdn). Observe que se escribi el password obtenido con el comando slappasswd (Paso 2). No se recomienda usar el password en texto plano.

4. Copiar la base de datos de ejemplo /etc/openldap/DB_CONFIG.example en el directorio /var/lib/ldap. Luego se configurar al usuario ldap como propietario de los archivos
# cp /etc/openldap/DB_CONFIG.example # chown R ldap:ldap /var/lib/ldap /var/lib/ldap/DB_CONFIG

5. Iniciar el servicio ldap

# service ldap start

PROCEDIMIENTO 2: CONFIGURACIN DEL CLIENTE OPENLDAP

6. Con la configuracin inicial, el openLDAP no tiene entradas (objetos) en la base de datos LDAP, por esta razon es necesario ingresar por lo menos una entrada padre en la que se especifique el dominio. Cree el siguiente archivo y nmbrelo como desee (Lo normal es poner extensin .ldif, por ejemplo start.ldif):
# nano start.ldif

Copie el siguiente texto:

# Organizacin o empresa dn: dc=solutions,dc=com objectclass: dcObject objectclass: organization dc: solutions description: Organizacion comercial de soluciones en networking o: solutions # Unidad organizativa Usuarios (Contenedor para los usuarios) dn: ou=usuarios,dc=solutions,dc=com objectclass: top objectclass: organizationalUnit ou: usuarios description: Contenedor para los usuarios # Unidad organizativa grupos (Contenedor para los grupos) dn: ou=groups,dc=solutions,dc=com objectclass: top objectclass: organizationalUnit

ou: groups description: Contenedor para los grupos

Este archivo, escrito en formato LDIF, crea tres entradas: Una entrada padre en la que se define el componente de dominio y la organizacin Una unidad organizativa llamada usuarios Una unidad organizativa llamada grupos NOTA 1: Si desea crear ms unidades organizativas puede usar el ejemplo como plantilla

7. Configurar el cliente ldap. Los comandos que se muestran en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarn en este tutorial sern ldapadd (Aadir entradas al directorio) y ldapsearch (Realizar bsquedas en el directorio). El cliente LDAP tambin tiene el siguiente archivo de configuracin /etc/openldap/ldap.conf el cual editaremos de la siguiente manera:
# # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASE URI dc=solutions, dc=com ldap://192.168.10.3 12 15 never

#SIZELIMIT #TIMELIMIT #DEREF

NOTA: Las lneas resaltadas indican el dominio y el URI (Identificador uniforme de recurso). Es recomendable usar un FQDN en el URI en vez de la direccin IP. NOTA: Si no se configura el URI, el cliente LDAP no podr conectarse con el servidor de directorio.

8. Aadir la entrada al directorio, usando el comando ldapadd

# ldapadd -x -D 'cn=admin,dc=solutions,dc=com' -W -f start.ldif

A continuacin se detallan cada una de las opciones:

-x: Se usar autenticacin simple, en vez de SASL -D: Se usa el nombre distinguido (DN) -W: Se pedir al usuario que ingrese su password una vez se emita el comando (No confundir

esta opcin con w minscula) -f: A continuacin debe especificarse como parmetro el nombre del archivo LDIF

NOTA: Recuerde que el archivo start.ldif fue creado en el paso 6

9. Buscar objetos en el directorio. Ejecute el comando ldapsearch para realizar una bsqueda de todos los objetos del directorio. #ldapsearch -h 127.0.0.1 -x -b "dc=solutions,dc=com" NOTA: Cuando se trate de una consulta a la base de datos desde un host remoto no olvide cambiar 127.0.0.1 por la direccin IP del servidor o por el FQDN del servidor openldap (Cuando trabaje con DNS). NOTA: Una vez ejecutado este comando deben aparecer las entradas que se aadieron a la base de datos con el archivo en formato LDIF. NOTA: Si requiere realizar bsquedas ms especficas no olvide consultar el manual del comando ldapsearch.

PROCEDIMIENTO 3: AGREGAR USUARIOS A LA BASE DE DATOS LDAP

10. Crear un usuario en el directorio LDAP. Hasta ahora solo se han creado entradas de unidades organizativas y la entrada padre, ahora se crearn usuarios. Cree el siguiente archivo y nmbrelo user.ldif:
dn: uid=usuario1,dc=solutions,dc=com uid: usuario1 cn: usuario1 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {SSHA}y9sFJVlq0DKkTJg4tk/gXQ4rnZpIyAaL shadowLastChange: 14335 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 10000 gidNumber: 10000 homeDirectory: /home/usuario1 gecos: usuario1

NOTAS: El DN de este objeto es uid=usuario1,dc=solutions,dc=com Para este objeto se usaron las clases de objetos predefinidas en los esquemas (account, posixaccount, top, shadowAccount). La razn por la cual se usan estas clases tiene que ver con el tipo de atributos que tendr el objeto. En este caso el objeto va a tener un password encriptado (userPassword), uid, cn, una shell por defecto (/bin/bash), unas

opciones para la cuenta (shadow), uidNumber, gidNumber, un directorio particular (/home/usuario1) y una descripcin gecos. Si desea aprender a qu clases de objetos pertenecen algunos atributos en particular consulte el siguiente enlace para los objetos ms utilizados: http://www.zytrax.com/books/ldap/ape/ El password fue generado de manera similar al paso 2, usando el comando slapdpasswd. Si desea agregar ms usuarios no olvide cambiar los siguientes atributos: uid, cn, uidNumber, gidNumber (en caso de que el usuario pertenezca a otro grupo), homeDirectory y gecos.

11. Agregar esta entrada al directorio

# ldapadd -x -D 'cn=admin,dc=solutions,dc=com' -W -f user.ldif

PROCEDIMIENTO 4: CONFIGURAR LA AUTENTICACIN DE USUARIOS

12. Permitir la autenticacin de los usuarios. Ejecute el siguiente comando para abrir la consola de administracin de autenticacin y configure las opciones de LDAP:
# authconfig-tui

Figura 1. Habilitar autenticacin LDAP

Figura 2. Configurar el cliente LDAP para la autenticacin

13. Verificar que el usuario fue habilitado para la autenticacin. Para esto puede usar el comando que se muestra a continuacin:
# id usuario1 uid=10000(usuario1) gid=10000 groups=10000

PROCEDIMIENTO 5: AGREGAR GRUPOS A LA BASE DE DATOS LDAP

14. Crear un grupo en el directorio LDAP. Cree el siguiente archivo y nmbrelo group.ldif:
dn: cn=usuarios,dc=solutions,dc=com objectClass: posixGroup gidNumber: 10000 cn: usuarios memberUid: usuario1 description: Grupo de usuarios

15. Agregar esta entrada al directorio

# ldapadd -x -D 'cn=admin,dc=solutions,dc=com' -W -f group.ldif

16. Vuelva a ejecutar el comando id para verificar que aparece el nombre del grupo junto con su gid:
# id usuario1 uid=10000(usuario1) gid=10000(usuarios) groups=10000(usuarios)

PROCEDIMIENTO 5: ACTUALIZAR LA BASE DE DATOS LDAP

17. Use el siguiente comando en caso de que desee actualizar la informacin del grupo creado en el paso 14 group.ldif:
# ldapmodify -x -D 'cn=admin,dc=solutions,dc=com' -W -f group.ldif

NOTA FINAL:
Existen varias herramientas para la administracin grfica del servidor de directorio openLDAP y de cualquier servidor de directorio que use el protocolo LDAP. Estos programas cliente permiten gestionar la base de datos mediante la creacin de objetos y contenedores de manera grfica. A continuacin se mencionan algunos: Phpldapadmin (Web) Apache Directory Studio (Java) Jxplorer (Java) Luma Kldap LDAP Admin Tool (Privativo)

En otros manuales mostrar la administracin grfica del servicio de directorio.

Elaborada por: Luis Felipe Londoo Muoz Ajustada por:

Fecha Fecha

18

03

2011