ADMINISTRACION DE OPENLDAP

NOTA: El siguiente manual fue realizado en una maquina

virtual con sistema operativo centos
INTRODUCCION
LDAP son las siglas
de Lightweight Directory Access Protocol
(en español Protocolo Ligero de Acceso a Directorios) que
hacen referencia a un protocolo a nivel de aplicación el cual
permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversa información en un entorno de
red. LDAP también es considerado una base de
datos (aunque su sistema de almacenamiento puede ser
diferente) a la que pueden realizarse consultas. Utilizado para
la creación y administración de directorios a bajo nivel.
NOTA: Debe desarrollar la parte 1 usando openLDAP sin
entorno de administración gráfica.
1. A partir del diagrama de la figura 1 cree una estructura
LDAP en la que se pueda englobar a todos los empleados de
la empresa para poder autenticarlos (Posteriormente los
usuarios del directorio será usados como usuarios de correo
electrónico). Para esto cree un archivo LDIF con todas las
unidades organizativas de cada
2. Cree un archivo LDIF separado para cada departamento
en el que especifique por lo menos dos usuarios por cada
unidad organizativa. Luego agregue las entradas al directorio.
Cada usuario se identificará por un uid. Los atributos
obligatorios de cada usuario serán:

Username
Common name
Apellido
Shell por defecto
numero de uid
numero de gid
Directorio particular
Password del usuario
Correo electrónico

3. Realice consultas a la base de datos LDAP con la utilidad

ldapsearch

Consulte todos los objetos de la estructura LDAP

Busque todos los objetos pertenecientes al departamento
Comerciales internos
 Busque todos los objetos pertenecientes a la dirección
general
Busque todos los objetos de comerciales internos del
directorio de uno de sus compañeros. Recuerde que es otro
host y otro dominio. NOTA: Use el comando man para
obtener información del comando ldapsearch.

4. Modifique los siguientes atributos de por lo menos 3

usuarios

El apellido
Correo electrónico
DN

5. Elimine del directorio un usuario del departamento de

dirección técnica

6. Los usuarios autenticados podrán realizar cambios en

cualquiera de sus entradas (Es su información personal) y
podrán leer las entradas de otros usuarios pero no
modificarlas. Además no se mostrará el password a ningún
usuario. Pruebe esto con un usuario que no sea al
administrador del servidor LDAP

PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE

SERVIDOR OPENLDAP
1. Vamos a instalar los paquetes. El servidor openLDAP y
el cliente openLDAP

2. Generar un password para el usuario root del servidor

de directorio. Este password será usado en el siguiente paso,
cuando se modifique el archivo de configuración para el
openLDAP.

El password ha sido cifrado usando el algoritmo SSHA. Ese

password cifrado la vamos a copia y a pegar más adelante en
el siguiente paso. Si deseas usar otro algoritmo cifrado debe
usar el comando slappasswd –h.
3. Modificar el archivo de configuración principal para
openLDAP slapd.conf, ubicado en el directorio /etc/openldap.
El archivo de slapd.conf debe modificarse para configurar las
opciones de la base de datos LDAP. A continuación se
numeran cada una de las líneas que deben modificarse:

A continuación se explica el significado de cada uno de los

parámetros de configuración
Suffix= Este parámetro indica el nodo raíz o sufijo de la base
de datos ósea que tu dominio, esto es, el nodo sobre el cual
será derivada toda la información, en este caso se refiere al
componente sufijo DNS tu dominio.com (dc=tudominio,
dc=com)
Rootdn= Es un tipo de cuenta que existe en el servidor de
directorio y que generalmente tiene acceso total a todos los
datos en el servidor. Debe especificarse el el nombre
distinguido (DN) del administrador (cn=admin, dc=solutions,
dc=com
Rootpw= Es el password del root del servicio de directorio
(rootdn). Observen acá es donde pegamos el password
obtenido con el comando slappasswd.
dn: es el nombre de la entrada, no es atributo ni tampoco
parte de la entrada
cn: es el nombre distinguido, nombre común
dc: es el nombre distinguido a la entrada padre donde indica
el dominio seguido de componente del dominio ejemplo
dc=com.
4. Copiar la base de datos de ejemplo
/etc/openldap/DB_CONFIG.example en el directorio
/var/lib/ldap. Luego se configurará al usuario ldap como
propietario de los archivos.

5. Iniciar el servicio ldap

PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE
OPENLDAP
2.1 Configurar el cliente ldap. Los comandos que se muestran
en los siguientes pasos hacen parte del paquete openldap-
clients. Los comandos que se usarán en este tutorial serán
ldapadd (Añadir entradas al directorio) y ldapsearch (Realizar
búsquedas en el directorio).

El cliente LDAP también tiene el siguiente archivo de

configuración /etc/openldap/ldap.conf el cual editaremos de la
siguiente manera:

NOTA: Las líneas resaltadas indican el dominio y el URI

(Identificador uniforme de recurso). Es recomendable usar un
nombre en el URI en vez de la dirección IP.

2.2 El openLDAP no tiene entradas (objetos) en la base de

datos LDAP, por esta razón es necesario ingresar por lo
menos una entrada padre en la que se especifique el
dominio. Cree un archivo y nómbrelo como desee (Lo normal
es poner extensión .ldif, por ejemplo start.ldif: ejm

A partir aquí empezaremos a crear el árbol y haremos el

organigrama
Para cada unidad organizativa crearemos un archivo con
extensión .ldif pero también se puede hacer todas las
unidades organizativas en el mismo archivo que cree
start.ldif. En este caso será por separado ósea crear un
archivo por cada unidad organizativa es una forma de ser
organizado.

Esto es la raíz

Dare un ejemplo crearemos 2 archivos.ldif (dirección general)

y (sistemas)
Y sistemas

Explicare algunos parámetros

ObjectClass: Object
ObjectClass: Organization ------ Son los tipos de objeto
que utilizaremos.
Para seguir creando la unidad organizativa (objetos) puede
usar estas 2 plantillas como ejemplo.
Vamos a agregar los objetos al directorio ldap
El comando ldapadd -x -D "cn=Nuestro Usuario
Administrador,dc=Nuestro Nombre de Dominio,dc=Nuestro
Dominio" -W -f nombre de archivo que acabamos de crear,
nos pedirá nuestro password de administrador.

Ldapadd –x –D “cn=admin,dc=maida,dc=com” –W –f
Direccion.ldif
Las opciones que dimos son:
-x: Usar autenticación simple
-D: Usar el nombre distinguido de admin
-W: Pedir password
-f: Especificar el archivo desde el cual saldrá la información

Cada vez que vallamos creando un objeto lo vamos

agregando
PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA
BASE DE DATOS LDAP

1. Cree un archivo LDIF separado para cada departamento

en el que especifique por lo menos dos usuarios por cada
unidad organizativa. Luego agregue las entradas al directorio.
Cada usuario se identificará por un uid. Los atributos
obligatorios.
Username
Common name
Apellido
Shell por defecto
numero de uid
numero de gid
Directorio particular
Password del usuario
Correo electrónico

Mostrare un ejemplo de 2 usuarios la unidad organizativa

(sistemas)
En este caso declaramos la raíz de maida.com llamada
Dirección General y de esta se desglosa otra llamada
sistemas, nótese que el dn de Dirección General es
"ou=Dirección General,dc=maida,dc=com" y el de sistemas
es "ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com"
esto significa que sistemas esta dentro de dirección general,
si fuéramos a declarar un objeto llamado usuarios dentro de
sistemas, deberíamos hacerlo así
"ou=usuarios,ou=Sistemas,ou=Dirección
General,ou=maida,=com"
Luego Añadiremos la unidad organizativa que creamos para 2
usuarios perteneciente a (SISTEMAS) al ldap de igual
manera que añadimos la raíz. Ósea lo que acabamos de
hacer
Y nos deberá mostrar que añadimos todas las entradas
satisfactoriamente.
2.
Realice consultas a la base de datos LDAP con la utilidad
ldapsearch

Consulte todos los objetos de la estructura LDAP

Utilizaremos el comando ldapsearch para buscar objetos, en

este caso buscaremos la raíz "dc=maida,dc=com"
La opción -x indica usar autenticación simple y -b la base de
datos a buscar.
 Busque todos los objetos pertenecientes al departamento
Comerciales internos

Busque todos los objetos pertenecientes a la dirección

general
2. Modificarle el atributo del user3 perteneciente a la
LOGISTICA con el comando Ldapmodify
- El apellido
-Correo electrónico

Antes
Después

En su caso seria

ldapmodify -x -D "cn=Nuestro Usuario

Administrador,dc=Nuestro Nombre de Dominio,dc=Nuestro
Dominio" -W -f el archivo a modificar.ldif

3. Elimine del directorio un usuario del departamento de

dirección técnica

Fin
ELABORADO POR: Fecha 1 04 2011
José David Salazar