Cmo configurar OpenLDAP como libreta de direcciones. Introduccin.

LDAP (Lightweight Directory Access Protocol) es un protocolo para consulta y modificacin de servicios de directorio que se desempean sobre TCP/IP. LDAP utiliza el modelo X.500 para su estructura, es decir, se estructura rbol de entradas, cada una de las cuales consiste de un conjunto de atributos con nombre y que a su vez almacenan valores. URL: http://en.wikipedia.org/wiki/LDAP

Sustento lgico requerido.

openldap-2.2.13 openldap-clients-2.2.13 openldap-servers-2.2.13 evolution-data-server-1.x (o bien simplemente del fichero evolutionperson.schema que incluye dicho paquete)

Instalacin a travs de yum.

yum -y install openldap openldap-clients openldapservers evolution-data-server

Instalacin a travs de up2date.

up2date -i openldap openldap-clients openldap-servers evolution-data-server

Procedimientos.
Con fines de organizacin se crear un directorio especfico para este directorio y se configurar con permisos de acceso exclusivamente al usuario y grupo ldap.
mkdir /var/lib/ldap/addressbook chmod 700 /var/lib/ldap/addressbook chown ldap.ldap /var/lib/ldap/addressbook

Crear la clave de acceso que se asignar en LDAP para el usuario administrador del directorio. Basta ejecutar desde una terminal:
slappasswd

Lo anterior debe dar como salida un criptograma como lo mostrado a continuacin:

{SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

El texto de la salida ser utilizado ms adelante en el fichero /etc/openldap/slapd.conf y se definir al usuario Administrador para como el utilizado para acceder con todos los privilegios al directorio. Se copia el fichero de esquema de evolution-data-server dentro del directorio /etc/openldap/schema/:

cp /usr/share/evolution-data-server-*/evolutionperson.schema \ /etc/openldap/schema/

Se edita el fichero /etc/openldap/slapd.conf y se agrega el esquema de datos incluido con evolution-data-server:

# # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. # include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/evolutionperson.schema

Independientemente de lo que ya se tenga configurado, y que no ser tocado, se aade al final del fichero /etc/openldap/slapd.conf lo siguiente con el fin de definir el nuevo directorio que en adelante se utilizar como libreta de direcciones:
database suffix rootdn rootpw directory bdb "dc=su-dominio,dc=com" "cn=Administrador,dc=su-dominio,dc=com" {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX /var/lib/ldap/addressbook eq,pres eq,pres,sub eq,pres eq,pres,sub eq,pres,sub

# Indices to maintain for this database index objectClass index ou,cn,mail,surname,givenname index uidNumber,gidNumber,loginShell index uid,memberUid index nisMapName,nisMapEntry

Inicie el servicio de LDAP y aada ste al resto de los servicios que arrancan junto con el sistema:
service ldap start chkconfig ldap on

A continuacin hay que crear el objeto que a su vez contendr el resto de los datos en el directorio. Genere un fichero addressbook.ldif al cual agregar el siguiente contenido:
dn: dc=su-dominio, dc=com objectclass: top objectclass: dcObject objectclass: organization o: Nombre completo de su empresa dc: su-dominio dn: ou=Addressbook, dc=su-dominio, dc=com ou: Addressbook objectClass: top objectClass: organizationalUnit

Se utilizar ldapadd para insertar los datos necesarios. Las opciones utilizadas con este mandato son las siguientes:
-x -W autenticacin simple solicitar clave de acceso

-D binddn -h anfitrin -f fichero

Nombre Distinguido (dn) a utilizar Servidor LDAP a acceder fichero a utilizar

Una vez entendido lo anterior, se procede a insertar la informacin generada en el directorio utilizando lo siguiente: ldapadd -x -W -D 'cn=Administrador, dc=su-dominio, dc=com' -h 127.0.0.1 -f addressbook.ldif Una vez hecho lo anterior, se podr comenzar a poblar el directorio con datos. Genere el fichero suusuario.ldif con los siguientes datos, donde reemplazar los valores por reales. Elimine los campos que queden vacos o no le sean de utilidad, porque de otra forma LDAP no le dejar insertar stos. Es importante destacar que deben estar incluidas las clases top, person, organizationalPerson, inetOrgPerson y evolutionPerson, ya que de otro modo no ser posible utilizar los campos de informacin necesarios para que el directorio funcione como libreta de direcciones.
dn: cn=Nombre Completo, ou=Addressbook, dc=su-dominio, dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: evolutionPerson cn: Nombre Completo givenName: Nombre sn: Apellidos displayName: Apodo title: Sr. mail: su-cuenta-de-correo@su-dominio.com initials: I.N.I.C.I.A.L.E.S. o: Nombre Completo de su empresa. ou: Departamento o Seccin a la que pertenece businessRole: Puesto que desempea en su empresa homePostalAddress: Domicilio de su hogar. postalAddress: Domicilio de su empresa. l: Ciudad st: Estado # Cdigo postal postalCode: 12345 # Telefono empresa telephoneNumber: 55-5555-5555 # Telfono principal primaryPhone: 55-5555-5555 # Telfono mvil mobile: 55-5555-5555 # Telefono hogar homePhone: 55-5555-5555 # Otro telfono otherPhone: 55-5555-5555 labeledURI: http://www.linuxparatodos.net/ # Su fecha de nacimiento birthDate: 1970-02-20 fileAs: Apellidos, Nombre category: Cualquier-categora-que-queira-crear managerName: Nombre de su jefe, si lo tiene assistantName: Nombre de su asistente, si lo tiene. # Telefono de su asistente, si lo tiene assistantPhone: 55-5555-5555 spouseName: Nombre de su esposa(o), si lo tiene.

# fecha en que celebra su aniversario de bodas, si aplica anniversary: 2000-01-01

Los datos se podrn insertar utilizando lo siguiente: ldapadd -x -W -D 'cn=Administrador, dc=su-dominio, dc=com' -h 127.0.0.1 -f su-usuario.ldif

Configuracin de clientes.
Acceda hacia el directorio con cualquier cliente que tenga soporte para acceder hacia directorios LDAP.

Novell Evolution.
Hacer clic en Archivo Nuevo Libreta de direcciones.

Propiedades de la libreta de direcciones, pestaa General.

Propiedades de la libreta de direcciones, pestaa Detalles.

Mozilla Thunderbird.
Hacer clic en Archivo Nuevo Directorio LDAP

Propiedades de servidor de directorio, pestaa General.

Propiedades de servidor de directorio, pestaa Avanzado.

Squirrelmail.
Hay que editar el fichero /etc/squirrelmail/config.php y aadir/editar:
$ldap_server[0] = array( 'host' => '127.0.0.1', 'base' => 'ou=Addressbook,dc=su-dominio,dc=com', 'name' >= 'Addressbook' );

Administracin.
Hay una gran cantidad de programas para acceder y administrar servidores LDAP, pero la mayora solo sirven para administrar usuarios y grupos del sistema. La mejor herramienta de administracin de directorios LDAP que podemos recomendar es LDAP Browser/Editor (requiere Java).

LDAP Browser/Editor 2.8.1.

Respaldo de datos.
Debe detenerse el servicio de LDAP antes de proceder con el respaldo de datos.
service ldap stop

A continuacin, se utiliza la herramienta slapcat, utilizando el fichero de configuracin /etc/openldap/slapd.conf.

slapcat -v -f /etc/openldap/slapd.conf -l respaldo-$(date +%Y%m%d).ldif

Concluido el proceso de respaldo de datos, puede iniciarse de nuevo el servicio de ldap.

service ldap start

Restauracin de datos.
El procedimiento requiere detener el servicio.
service ldap stop

Debe eliminarse los datos del directorio a restaurar.

rm -f /var/lib/ldap/addressbook/*

A continuacin, se utiliza la herramienta slapadd para cargar los datos desde un fichero *.dif de respaldo.
slapadd -v -c -l respaldo-20061003.ldif -f /etc/openldap/slapd.conf

Se debe ejecutar la herramienta slapindex, que se utiliza para regenerar los ndices LDAP.
slapindex

Concluido el proceso de restauracin de datos, puede iniciarse de nuevo el servicio de ldap.

service ldap start

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir el puerto 389 por TCP (LDAP). Las reglas para el fichero /etc/shorewall/rules de Shorewall correspondera a algo similar a lo siguiente:
#ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT net fw tcp 389 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE