Servidor de Autenticacin: con CentOS 6.

2 y OpenLDAP

kr@mer g@r@y

Paquetes necesarios para la instalacin

openldap openldap-clients openldap-server authconfig authconfig-gtk nss_ldap migrationtools

Configuracin de los parmetros de Red: Ingresar al sistema con el usuario root y poner la contrasea correspondiente:

Para probar la conectividad de internet editamos el siguiente fichero:

Y modificamos los siguientes parmetros (de acuerdo a su direccin de IP):

A continuacin configuramos los servidores DNS editando el siguiente fichero :

kr@mer g@r@y

E ingresamos los DNS correspondientes:

Reiniciamos el demonio NetworkManager:

Visualizamos que se realizaron los cambios:

Probamos si hay conectividad:

kr@mer g@r@y

Realizar una actualizacin de los repositorios con el siguiente comando

Instalacin a travs de yum:

Editamos el fichero /etc/selinux/config y configuramos en modo enforcing para un mejor funcionamiento:

Todo el contenido del directorio /var/lib/ldap debe tener contexto tipo slapd_db_t.

Configuramos el nombre del host (/etc/sysctl.conf) y reiniciamos el sistema (#reboot):

Certificados para TLS/SSL. Es muy importante utilizar TLS/SSL cuando se configura el sistema para fungir como servidor de autenticacin, por lo cual el siguiente procedimiento es obligatorio. Si utiliza CentOS 6, o Red Hat Enterprise Linux 6, requerir al menos openldap-2.4.23-16.el6, debido a que la versiones anteriores tienen roto el soporte para TLS/SSL.

kr@mer g@r@y

Cambie al directorio:
La creacin de la firma digital y certificado requiere utilizar una firma digital con algoritmo RSA de 2048 octetos, y estructura x509. De modo predeterminado se establece una validez por 365 das (un ao) para el certificado que se crear.

Ingresamos los datos correspondientes que solicita:

El certificado solo ser vlido cuando el servidor LDAP sea invocado con el nombre definido en el campo Common Name. Es decir, slo podr utilizarlo cuando se defina como nombre de anfitrin, es decir server.garay.com. Para que esto funcione, ser indispensable que un servidor DNS se encargue de la resolucin del nombre de anfitrin del servidor LDAP para toda la red de rea local. Es indispensable que el archivo que contiene la firma digital y el certificado tenga permisos de acceso de lectura y escritura para el usuario root, y permisos de acceso de slo lectura para el grupo ldap:

kr@mer g@r@y

Creacin de directorios. Con fines de organizacin se crear un directorio especfico para este directorio y se configurar con permisos de acceso exclusivamente al usuario y grupo ldap.

Se requiere copiar el archivo DB_CONFIG.example dentro del directorio /var/lib/ldap/autenticar/, como el archivo DB_CONFIG. Ejecute lo siguiente:

Todo el contenido del directorio /var/lib/ldap/autenticar debe pertenecer al usuario y grupo ldap. Ejecute lo siguiente:

Creacin de claves de acceso para LDAP. Para crear la clave de acceso que se asignar en LDAP para el usuario administrador de directorio, ejecute lo siguiente:

El cual generar el siguiente criptograma: {SSHA}ZhMUst58Sxh5nTLTk4rgA1RJZjhnNTsC El texto de la salida ser utilizado ms adelante en el archivo /etc/openldap/slapd.conf y se definir como clave de acceso para el usuario Administrador, quien tendr todos los privilegios sobre el directorio.

Archivo de configuracin /etc/openldap/slapd.conf. Se debe crear /etc/openldap/slapd.conf como archivo nuevo:

Ver fichero salida1.txt que se adjunta

kr@mer g@r@y

Por seguridad, el archivo /etc/openldap/slapd.conf deber tener permisos de lectura y escritura, slo para el usuario ldap.

Eliminamos el conjunto de archivos y directorios que componen los configuracin predeterminada:

Convertimos el archivo /etc/openldap/slapd.conf en el nuevo subconjunto de archivos ldif que irn dentro del directorio /etc/ldap/slapd.d:

Todo el contenido del directorio /etc/ldap/slapd.d debe pertenecer al usuario y grupo ldap. Ejecute lo siguiente:

Inicio del servicio.

Inicie el servicio slapd, y aada ste al resto de los servicios que arrancan junto con el sistema, ejecutando los siguientes dos mandatos:

Aadimos usuario:

kr@mer g@r@y

Migracin de cuentas existentes en el sistema. Edite el archivo /usr/share/migrationtools/migrate_common.ph: Modifique los los valores de las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE a fin de que queden del siguiente modo:

A continuacin, hay que crear el objeto que a su vez contendr el resto de los datos en el directorio, utilizando migrate_base.pl para generar el archivo base.ldif. Genere el archivo base.ldif, ejecutando lo siguiente:

Utilice el mandato ldapadd para insertar los datos necesarios. Las opciones utilizadas con este mandato son las siguientes:
-x -W -D binddn -h anfitrin -f archivo autenticacin simple solicitar clave de acceso Nombre Distinguido (dn) a utilizar Servidor LDAP a acceder archivo a utilizar

Una vez entendido lo anterior, se procede a insertar la informacin generada en el directorio utilizando lo siguiente:

Una vez hecho lo anterior, se podr comenzar a poblar el directorio con datos. Lo primero ser importar los grupos y usuarios existentes en el sistema. Realice la importacin de usuarios creando los archivos group.ldif y passwd.ldif, utilizando migrate_group.pl y migrate_passwd.pl. Ejecute los siguientes dos mandatos:

kr@mer g@r@y

Lo anterior crear los archivos group.ldif y passwd.ldif, los cuales incluirn la informacin de los grupos y cuentas en el sistema, incluyendo las claves de acceso. Los datos se podrn insertar en el directorio LDAP utilizando lo siguiente:

Habilitar la autentificacin

Habilitamos Utilizar Autenticacin ldap y damos en siguiente

Ponemos la IP del servidor y el nombre de dominio en los campos

kr@mer g@r@y

Damos clic en aceptar y reiniciamos el demonio:

Comprobaciones. Antes de configurar el sistema para utilizar LDAP para autenticar, es conveniente verificar que todo funciona correctamente. El siguiente mandato verifica que directorios disponibles existen en el servidor 192.168.1.35

El siguiente mandato debe devolver toda la informacin de todo el directorio solicitado (dc=garay,dc=com).

Ver fichero salida2.txt que se adjunta Otro ejemplo es realizar una bsqueda especfica, para un usuario en particular. Asumiendo que en el directorio existe el usuario denominado kramer, ejecute lo siguiente:

Ver fichero salida3.txt que se adjunta

kr@mer g@r@y

Acceso con putty:

kr@mer g@r@y

Administracin de OpenLDAP
Una vez instalado y configurado el servidor LDAP, la siguiente tarea es la del diseo de la estructura y la introduccin de datos en el directorio. Puesto que la finalidad de nuestro servidor LDAP es que sirva de almacn de usuarios y grupos para autentificar sistemas linux y servicios como ftp y web, deberemos crear una estructura que parta de la base de nuestro directorio, para almacenar dicha informacin

Explorador de directorios LDAP

Para acceder al directorio LDAP y poder crear y modificar elementos en dicho directorio, es necesario disponer de un explorador de directorios LDAP (LDAP browser). Existen muchos exploradores LDAP tanto de pago como libres. Entre las aplicaciones libres destacamos gq, phpldapadmin (aplicacin web) y JXplorer. En este caso particular utilizaremos JXplorer Explorador LDAP en java Detenemos el firewall

Abrimos JXplorer y creamos una conexin a DSA

kr@mer g@r@y

Una vez hecho clic en el botn Ok JXplorer conectar con el servidor LDAP y mostrar el directorio para su respectiva administracin:

kr@mer g@r@y

Weblografa 1. http://www.alcancelibre.org/staticpages/index.php/como-ldap-auth 2. http://blacklunaredes.blogspot.com/2011/04/instalacion-de-openldap-phpldapadminen.html

kr@mer g@r@y