Académique Documents
Professionnel Documents
Culture Documents
NOTAS PRELIMINARES:
Este tutorial describe el proceso de instalacin y administracin de openLDAP en una mquina con Sistema Operativo Red Hat, Fedora, CentOS o cualquier distribucin que use el gestor YUM.
PROCEDIMIENTO 1: INSTALACIN Y CONFIGURACIN DEL SERVIDOR OPENLDAP 1. Instalar los paquetes necesarios: El servidor openLDAP y el cliente openLDAP
# yum install openldap-servers openldap-clients
2. Generar un password para el usuario root del servidor de directorio. Este password ser usado en el siguiente paso, cuando se modifique el archivo de configuracin para el openLDAP.
# slappasswd New password: Re-enter New password:
{SSHA}KtgvS5JCO+Xv4EWyzbIQOVBDAo6osTyg
NOTA 1: El password ha sido cifrado usando el algoritmo SSHA. La lnea completa en color rojo debe copiarse. Si desea usar otro algoritmo de cifrado debe usar el comando slappasswd con la opcin -h
3. Modificar el archivo de configuracin principal para openLDAP slapd.conf, ubicado en el directorio /etc/openldap. El archivo de slapd.conf debe modificarse para configurar las opciones de la base de datos LDAP. A continuacin se numeran cada una de las lneas que deben modificarse:
# nano /etc/openldap/slapd.conf ###################################################################### ldbm database definitions ###################################################################### database suffix rootdn rootpw bdb "dc=solutions, dc=com" 1 "cn=admin, dc=solutions, dc=com" 2 {SSHA}KtgvS5JCO+Xv4EWyzbIQOVBDAo6osTyg 3
suffix: Este parmetro indica el nodo raz o sufijo de la base de datos, esto es, el nodo sobre el cual ser derivada toda la informacin, en este caso se refiere al componente de dominio o sufijo DNS solutions.com (dc=solutions, dc=com) rootdn: Es un tipo de cuenta que existe en el servidor de directorio y que generalmente tiene acceso total a todos los datos en el servidor. Debe especificarse el el nombre distinguido (DN) del administrador (cn=admin, dc=solutions, dc=com) rootpw: Es el password del root del servicio de directorio (rootdn). Observe que se escribi el password obtenido con el comando slappasswd (Paso 2). No se recomienda usar el password en texto plano.
4. Copiar la base de datos de ejemplo /etc/openldap/DB_CONFIG.example en el directorio /var/lib/ldap. Luego se configurar al usuario ldap como propietario de los archivos
# cp /etc/openldap/DB_CONFIG.example # chown R ldap:ldap /var/lib/ldap /var/lib/ldap/DB_CONFIG
Este archivo, escrito en formato LDIF, crea tres entradas: Una entrada padre en la que se define el componente de dominio y la organizacin Una unidad organizativa llamada usuarios Una unidad organizativa llamada grupos NOTA 1: Si desea crear ms unidades organizativas puede usar el ejemplo como plantilla
7. Configurar el cliente ldap. Los comandos que se muestran en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarn en este tutorial sern ldapadd (Aadir entradas al directorio) y ldapsearch (Realizar bsquedas en el directorio). El cliente LDAP tambin tiene el siguiente archivo de configuracin /etc/openldap/ldap.conf el cual editaremos de la siguiente manera:
# # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASE URI dc=solutions, dc=com ldap://192.168.10.3 12 15 never
NOTA: Las lneas resaltadas indican el dominio y el URI (Identificador uniforme de recurso). Es recomendable usar un FQDN en el URI en vez de la direccin IP. NOTA: Si no se configura el URI, el cliente LDAP no podr conectarse con el servidor de directorio.
esta opcin con w minscula) -f: A continuacin debe especificarse como parmetro el nombre del archivo LDIF
9. Buscar objetos en el directorio. Ejecute el comando ldapsearch para realizar una bsqueda de todos los objetos del directorio. #ldapsearch -h 127.0.0.1 -x -b "dc=solutions,dc=com" NOTA: Cuando se trate de una consulta a la base de datos desde un host remoto no olvide cambiar 127.0.0.1 por la direccin IP del servidor o por el FQDN del servidor openldap (Cuando trabaje con DNS). NOTA: Una vez ejecutado este comando deben aparecer las entradas que se aadieron a la base de datos con el archivo en formato LDIF. NOTA: Si requiere realizar bsquedas ms especficas no olvide consultar el manual del comando ldapsearch.
NOTAS: El DN de este objeto es uid=usuario1,dc=solutions,dc=com Para este objeto se usaron las clases de objetos predefinidas en los esquemas (account, posixaccount, top, shadowAccount). La razn por la cual se usan estas clases tiene que ver con el tipo de atributos que tendr el objeto. En este caso el objeto va a tener un password encriptado (userPassword), uid, cn, una shell por defecto (/bin/bash), unas
opciones para la cuenta (shadow), uidNumber, gidNumber, un directorio particular (/home/usuario1) y una descripcin gecos. Si desea aprender a qu clases de objetos pertenecen algunos atributos en particular consulte el siguiente enlace para los objetos ms utilizados: http://www.zytrax.com/books/ldap/ape/ El password fue generado de manera similar al paso 2, usando el comando slapdpasswd. Si desea agregar ms usuarios no olvide cambiar los siguientes atributos: uid, cn, uidNumber, gidNumber (en caso de que el usuario pertenezca a otro grupo), homeDirectory y gecos.
13. Verificar que el usuario fue habilitado para la autenticacin. Para esto puede usar el comando que se muestra a continuacin:
# id usuario1 uid=10000(usuario1) gid=10000 groups=10000
16. Vuelva a ejecutar el comando id para verificar que aparece el nombre del grupo junto con su gid:
# id usuario1 uid=10000(usuario1) gid=10000(usuarios) groups=10000(usuarios)
NOTA FINAL:
Existen varias herramientas para la administracin grfica del servidor de directorio openLDAP y de cualquier servidor de directorio que use el protocolo LDAP. Estos programas cliente permiten gestionar la base de datos mediante la creacin de objetos y contenedores de manera grfica. A continuacin se mencionan algunos: Phpldapadmin (Web) Apache Directory Studio (Java) Jxplorer (Java) Luma Kldap LDAP Admin Tool (Privativo)
Fecha Fecha
18
03
2011