2 y OpenLDAP
kr@mer g@r@y
Configuracin de los parmetros de Red: Ingresar al sistema con el usuario root y poner la contrasea correspondiente:
kr@mer g@r@y
kr@mer g@r@y
Todo el contenido del directorio /var/lib/ldap debe tener contexto tipo slapd_db_t.
Certificados para TLS/SSL. Es muy importante utilizar TLS/SSL cuando se configura el sistema para fungir como servidor de autenticacin, por lo cual el siguiente procedimiento es obligatorio. Si utiliza CentOS 6, o Red Hat Enterprise Linux 6, requerir al menos openldap-2.4.23-16.el6, debido a que la versiones anteriores tienen roto el soporte para TLS/SSL.
kr@mer g@r@y
Cambie al directorio:
La creacin de la firma digital y certificado requiere utilizar una firma digital con algoritmo RSA de 2048 octetos, y estructura x509. De modo predeterminado se establece una validez por 365 das (un ao) para el certificado que se crear.
El certificado solo ser vlido cuando el servidor LDAP sea invocado con el nombre definido en el campo Common Name. Es decir, slo podr utilizarlo cuando se defina como nombre de anfitrin, es decir server.garay.com. Para que esto funcione, ser indispensable que un servidor DNS se encargue de la resolucin del nombre de anfitrin del servidor LDAP para toda la red de rea local. Es indispensable que el archivo que contiene la firma digital y el certificado tenga permisos de acceso de lectura y escritura para el usuario root, y permisos de acceso de slo lectura para el grupo ldap:
kr@mer g@r@y
Creacin de directorios. Con fines de organizacin se crear un directorio especfico para este directorio y se configurar con permisos de acceso exclusivamente al usuario y grupo ldap.
Se requiere copiar el archivo DB_CONFIG.example dentro del directorio /var/lib/ldap/autenticar/, como el archivo DB_CONFIG. Ejecute lo siguiente:
Todo el contenido del directorio /var/lib/ldap/autenticar debe pertenecer al usuario y grupo ldap. Ejecute lo siguiente:
Creacin de claves de acceso para LDAP. Para crear la clave de acceso que se asignar en LDAP para el usuario administrador de directorio, ejecute lo siguiente:
El cual generar el siguiente criptograma: {SSHA}ZhMUst58Sxh5nTLTk4rgA1RJZjhnNTsC El texto de la salida ser utilizado ms adelante en el archivo /etc/openldap/slapd.conf y se definir como clave de acceso para el usuario Administrador, quien tendr todos los privilegios sobre el directorio.
kr@mer g@r@y
Por seguridad, el archivo /etc/openldap/slapd.conf deber tener permisos de lectura y escritura, slo para el usuario ldap.
Convertimos el archivo /etc/openldap/slapd.conf en el nuevo subconjunto de archivos ldif que irn dentro del directorio /etc/ldap/slapd.d:
Todo el contenido del directorio /etc/ldap/slapd.d debe pertenecer al usuario y grupo ldap. Ejecute lo siguiente:
Aadimos usuario:
kr@mer g@r@y
Migracin de cuentas existentes en el sistema. Edite el archivo /usr/share/migrationtools/migrate_common.ph: Modifique los los valores de las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE a fin de que queden del siguiente modo:
A continuacin, hay que crear el objeto que a su vez contendr el resto de los datos en el directorio, utilizando migrate_base.pl para generar el archivo base.ldif. Genere el archivo base.ldif, ejecutando lo siguiente:
Utilice el mandato ldapadd para insertar los datos necesarios. Las opciones utilizadas con este mandato son las siguientes:
-x -W -D binddn -h anfitrin -f archivo autenticacin simple solicitar clave de acceso Nombre Distinguido (dn) a utilizar Servidor LDAP a acceder archivo a utilizar
Una vez entendido lo anterior, se procede a insertar la informacin generada en el directorio utilizando lo siguiente:
Una vez hecho lo anterior, se podr comenzar a poblar el directorio con datos. Lo primero ser importar los grupos y usuarios existentes en el sistema. Realice la importacin de usuarios creando los archivos group.ldif y passwd.ldif, utilizando migrate_group.pl y migrate_passwd.pl. Ejecute los siguientes dos mandatos:
kr@mer g@r@y
Lo anterior crear los archivos group.ldif y passwd.ldif, los cuales incluirn la informacin de los grupos y cuentas en el sistema, incluyendo las claves de acceso. Los datos se podrn insertar en el directorio LDAP utilizando lo siguiente:
Habilitar la autentificacin
kr@mer g@r@y
Comprobaciones. Antes de configurar el sistema para utilizar LDAP para autenticar, es conveniente verificar que todo funciona correctamente. El siguiente mandato verifica que directorios disponibles existen en el servidor 192.168.1.35
El siguiente mandato debe devolver toda la informacin de todo el directorio solicitado (dc=garay,dc=com).
Ver fichero salida2.txt que se adjunta Otro ejemplo es realizar una bsqueda especfica, para un usuario en particular. Asumiendo que en el directorio existe el usuario denominado kramer, ejecute lo siguiente:
kr@mer g@r@y
kr@mer g@r@y
Administracin de OpenLDAP
Una vez instalado y configurado el servidor LDAP, la siguiente tarea es la del diseo de la estructura y la introduccin de datos en el directorio. Puesto que la finalidad de nuestro servidor LDAP es que sirva de almacn de usuarios y grupos para autentificar sistemas linux y servicios como ftp y web, deberemos crear una estructura que parta de la base de nuestro directorio, para almacenar dicha informacin
kr@mer g@r@y
Una vez hecho clic en el botn Ok JXplorer conectar con el servidor LDAP y mostrar el directorio para su respectiva administracin:
kr@mer g@r@y
kr@mer g@r@y