Unidad de Trabajo n2 Actividad de desarrollo Apache con LDAP

Despliegue de Aplicaciones Web - 2 DPL (Maana) - I.E.S. El Rincn

Curso 2012-2013 (Doc. n11 - 15/10/2012)

Objetivo general:

Que los alumnos dominen los pasos necesarios para gestionar autenticacin de Apache con LDAP en
Linux.

Duracin prevista: 1 hora aproximadamente.

Software: Distribucin Ubuntu.

Mnimos que se persiguen en la actividad:

Dominio de los pasos necesarios para instalar y utilizar LDAP para Apache.
Instalar y usar phpldapadmin para gestionar el servicio LDAP.
Documentacin:
http://www.adminso.es/index.php/OpenLDAP_Integraci%C3%B3n_OpenLDAP_y_Ap
ache
http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html#requser
http://www.unitedways.eu/site/knowledge/install-phpldapadmin-on-ubuntu-12-04-
server/
http://www.openldap.org/doc/admin24/quickstart.html
http://tecnoloxiaxa.blogspot.com.es/2008/11/servidor-ldap-en-ubuntu-o-debian-
con.html

Un poco de teora:

Qu es un servidor LDAP?

Un servidor LDAP es un servidor de datos optimizado para la realizacin rpida de consultas de

lectura y orientado al almacenamiento de datos de usuarios a modo de directorio.

La principal utilidad de un directorio LDAP es como servidor de autentificacin para los distintos
servicios de un sistema informtico como puedan ser: autentificacin para entrar en un PC, para
entrar en una aplicacin web, para acceder a un servidor ftp, para acceder a servidores de correo
entrante POP3 y saliente SMTP, etc...

Si en nuestra red disponemos de un servidor LDAP y configuramos todos los PCs y todos los
servicios de la red para que se autentifiquen en l, bastar con crear las cuentas de usuario y grupos
de usuarios en nuestro servidor LDAP para que los usuarios puedan hacer uso del sistema y de sus
servicios desde cualquier puesto de la red. Es un sistema ideal para centralizar la administracin de
usuarios en un nico lugar.

Qu es phpldapadmin?

Es un cliente LDAP basado en web. Con l podremos conectarnos a un servidor LDAP para
gestionar la informacin de dicho servidor LDAP a travs de la Web.

Phpldapadmin accede a travs de la web a un servidor LDAP, de la misma manera que phpmyadmin
accede a un servidor MySQL.

Qu vamos a hacer en esta prctica?

1. Montar el servidor LDAP. Creamos el servidor LDAP

2. Instalacin de phpldapadmin. Instalamos phpldapadmin
3. Gestin en LDAP. Nos Conectamos con phpldapadmin al servidor LDAP y creamos
usuarios.
4. Autenticacin con LDAP en APACHE. Configuramos en nuestro servidor APACHE un
directorio al que slo se podr acceder con los usuarios de nuestro servidor LDAP

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 1 de 11

 Pasos de la Actividad:

Pasos a realizar para Montar el servidor LDAP:

- Paso 1: Instala los paquetes necesarios:

# apt-get install sldap ldap-utils

- Paso 2: Lanza el asistente de configuracin de tu servidor LDAP.

# dpkg-reconfigure slapd

Lo primero que nos pregunta el asistente es si deseamos omitir la configuracin

del servidor LDAP. Obviamente responderemos que no, ya que precisamente lo
que queremos es configurar el servidor LDAP.

Nuestro directorio LDAP debe tener una base, a partir de la cual cuelgan el resto de
elementos. Como nombre de la base, habitualmente se utiliza el nombre del
dominio. Ejemplo, si nuestro dominio es ieselrincon.org, lo normal es que la base
para nuestro directorio LDAP sea: dc=ieselrincon,dc=org.

La siguiente pregunta que nos hace el asistente es el nombre de nuestro dominio.

ste nombre lo utilizar para crear el nombre distinguido (DN) o dicho ms
claramente, nombre identificativo de la base de nuestro directorio LDAP.

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 2 de 11

 Posteriormente nos preguntar por el nombre de nuestra organizacin:

Despus nos preguntar por la contrasea que deseamos poner al usuario admin
(administrador) del servidor LDAP. Dicha contrasea nos la pedir dos veces para
evitar errores de tecleo. Podemos poner cualquier contrasea, por ejemplo
'secretillo'.

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 3 de 11

 Acto seguido nos informar sobre los posibles gestores de datos para almacenar el
directorio y en la siguiente ventana nos preguntar qu sistema utilizar. Lo
recomendable es utilizar el sistema HDB.

Despus nos preguntar si queremos que se elimine la base de datos cuando

quitemos slapd. Por si acaso, lo mejor es responder que no:

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 4 de 11

 En el caso de que exista una base de datos LDAP previa, nos preguntar si
deseamos moverla. Lo mejor es responder S, para evitar que interfiera en la nueva
base de datos:

Luego nos preguntar si deseamos utilizar LDAP versin 2, respondemos que no

ya que apenas se utiliza.

Pasos a realizar para la instalacin de phpldapadmin:

- Paso 3: Instalamos el paquete correspondiente:

# apt-get install phpldapadmin

- Paso 4: Editamos el fichero de configuracin de phpldapadmin:

# vi /etc/phpldapadmin/config.php

En el fichero debemos buscar la lneas siguientes y modificarlas para dejarlas de la

siguiente manera:

$servers->setValue('server','name',Servidor LDAP del IES El Rincn');

$servers->setValue('server','base',array('dc=ieselrincon,dc=org'));
$servers->setValue('login','bind_id','cn=admin,dc=ieselrincon,dc=org');
$servers->setValue('login','bind_pass','secretillo');

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 5 de 11

 - Paso 5: Ahora debes reiniciar el servicio Apache para que surtan efecto los cambios.
# service apache2 restart

Pasos a realizar para la gestin de LDAP:

- Paso 6: Nos conectamos al servidor LDAP con phpldapadmin

- Paso 7: Pulsamos en conectar para autentificarnos:

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 6 de 11

 - Paso 8: Una vez introducida la contrasea ya estamos autentificados en nuestro
servidor LDAP y podemos ver todo el rbol:

- Paso 9: El siguiente paso es crear un nuevo objeto para lo que picamos en Crear nuevo
objeto:

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 7 de 11

 - Paso 10: Vamos ahora a crear un objeto Unidad Organizacional. Las Unidades
Organizacionales vienen a ser como directorios que nos permiten organizar otros
objetos.

- Paso 11: Una vez creemos el objeto nos aparecer la nueva unidad organizacional a la
izquierda, despus de picar en Crear objeto, Cometer y Actualizar objeto:

- Paso 12: Ahora puedes crear un grupo de usuarios que te ser util posteriormente para
crear un usuario. Para ello:

Haz clic en la unidad organizacional alumnos.

Haz clic en crear un nuevo objeto hijo

Haz clic en Grupo genrico Posfix

Introduce el nombre del grupo

Pulsa en Crear objeto.

Pulsa en Cometer

Pulsa en Actualizar objeto

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 8 de 11

 - Paso 13: A continuacin crea varios objetos usuarios posfix que pertenezca al grupo 2-
daw dentro de la ou=alumnos. Para uno de ellos sera de la siguiente manera:

- Paso 14: Date cuenta que de esta manera lo que ests creando es una base de datos con
informacin jerarquizada.

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 9 de 11

 Pasos a realizar para la autenticacin con LDAP en APACHE:

- Paso 15: Configura un directorio en tu sitio web de manera que dicho directorio
contenga una pgina a la que slo los alumnos autenticados puedan acceder:
# mkdir /var/www/privado

- Paso 16: Crea dentro de ese directorio un fichero index.html con una pgina web que
diga que es informacin para alumnos:
# vi index.html

- Paso 17: Configura en tu sitio web la autenticacin con LDAP para el directorio
privado anterior:
# vi /etc/apache2/sites-available/default

- Paso 18: No olvides habilitar los mdulos de apache necesarios:

# a2enmod ldap
# a2enmod authnz_ldap

TEN EN CUENTA LO SIGUIENTE:

Para habilitar un mdulo de APACHE:

# a2enmod nombre-mdulo

Alternativamente podras hacerlo tambin creando los enlaces simblicos:

# ln -s /etc/apache2/mods-enabled/nombre-mdulo.load /etc/apache2/mods-available/nombre-mdulo.load
# ln -s /etc/apache2/mods-enabled/nombre-mdulo.conf /etc/apache2/mods-available/nombre-mdulo.conf

Para deshabilitar un mdulo de APACHE:

# a2dismod nombre-mdulo

Alternativamente podras hacerlo tambin borrando los enlaces simblicos:

# rm /etc/apache2/mods-enabled/nombre-mdulo.load
# rm /etc/apache2/mods-enabled/nombre-mdulo.conf

Para habilitar un sitio web de APACHE:

# a2ensite nombre-sitio

Alternativamente podras hacerlo tambin creando los enlaces simblicos:

# ln -s /etc/apache2/sites-enabled/nombre-sitio /etc/apache2/sites-available/nombre-sitio

Para deshabilitar un sitio web de APACHE:

# a2dissite nombre-sitio

Alternativamente podras hacerlo tambin borrando los enlaces simblicos:

# rm /etc/apache2/sites-enabled/nombre-sitio

- Paso 19: Reinicia el servicio apache para que se tengan en cuenta los nuevos mdulos:
# service apache2 restart

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 10 de 11

 - Paso 20: Al acceder a la URL http://localhost/privado te debe salir la ventana de
autenticacin y si se pone el usuario y la contrasea adecuada debe dejar entrar:

Prof. Tiburcio Cruz Ravelo DPL - doc. n15 - 14/10/2012 pg. 11 de 11