ADMINISTRACION DE OPENLDAP

8/7/2019 ADMINISTRACION DE OPENLDAP

http://slidepdf.com/reader/full/administracion-de-openldap 1/15

ADMINISTRACION DE OPENLDAP

NOTA: El siguiente manual fue realizado en una maquina

virtual con sistema operativo centos

INTRODUCCION

LDAP son las siglasde Lightweight Directory Access Protocol

(en español Protocolo Ligero de Acceso a Directorios) quehacen referencia a un protocolo a nivel de aplicación el cualpermite el acceso a un servicio de directorio ordenado ydistribuido para buscar diversa información en un entorno dered. LDAP también es considerado una base dedatos (aunque su sistema de almacenamiento puede serdiferente) a la que pueden realizarse consultas. Utilizado parala creación y administración de directorios a bajo nivel.

NOTA: Debe desarrollar la parte 1 usando openLDAP sinentorno de administración gráfica.

1. A partir del diagrama de la figura 1 cree una estructuraLDAP en la que se pueda englobar a todos los empleados dela empresa para poder autenticarlos (Posteriormente losusuarios del directorio será usados como usuarios de correoelectrónico). Para esto cree un archivo LDIF con todas lasunidades organizativas de cada

http://es.wikipedia.org/wiki/Nivel_de_aplicaci%C3%B3n

http://es.wikipedia.org/wiki/Servicio_de_directorio

http://es.wikipedia.org/wiki/Base_de_datos




http://es.wikipedia.org/wiki/Servicio_de_directorio

http://es.wikipedia.org/wiki/Nivel_de_aplicaci%C3%B3n



2. Cree un archivo LDIF separado para cada departamento

en el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios de cada usuario serán:

UsernameCommon nameApellido

Shell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico

3. Realice consultas a la base de datos LDAP con la utilidad

ldapsearch

Consulte todos los objetos de la estructura LDAPBusque todos los objetos pertenecientes al departamento

Comerciales internos



Busque todos los objetos pertenecientes a la direccióngeneral

Busque todos los objetos de comerciales internos deldirectorio de uno de sus compañeros. Recuerde que es otro

host y otro dominio. NOTA: Use el comando man paraobtener información del comando ldapsearch.

4. Modifique los siguientes atributos de por lo menos 3usuarios

El apellidoCorreo electrónico

DN

5. Elimine del directorio un usuario del departamento dedirección técnica

6. Los usuarios autenticados podrán realizar cambios encualquiera de sus entradas (Es su información personal) ypodrán leer las entradas de otros usuarios pero no

modificarlas. Además no se mostrará el password a ningúnusuario. Pruebe esto con un usuario que no sea aladministrador del servidor LDAP

PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE

SERVIDOR OPENLDAP

1. Vamos a instalar los paquetes. El servidor openLDAP y

el cliente openLDAP

2. Generar un password para el usuario root del servidorde directorio. Este password será usado en el siguiente paso,



cuando se modifique el archivo de configuración para elopenLDAP.

El password ha sido cifrado usando el algoritmo SSHA. Ese

password cifrado la vamos a copia y a pegar más adelante enel siguiente paso. Si deseas usar otro algoritmo cifrado debeusar el comando slappasswd –h.

3. Modificar el archivo de configuración principal paraopenLDAP slapd.conf, ubicado en el directorio /etc/openldap.El archivo de slapd.conf debe modificarse para configurar lasopciones de la base de datos LDAP. A continuación senumeran cada una de las líneas que deben modificarse:

A continuación se explica el significado de cada uno de losparámetros de configuración



Suffix= Este parámetro indica el nodo raíz o sufijo de la basede datos ósea que tu dominio, esto es, el nodo sobre el cualserá derivada toda la información, en este caso se refiere alcomponente sufijo DNS tu dominio.com (dc=tudominio,dc=com)

Rootdn= Es un tipo de cuenta que existe en el servidor dedirectorio y que generalmente tiene acceso total a todos losdatos en el servidor. Debe especificarse el el nombredistinguido (DN) del administrador (cn=admin, dc=solutions,dc=com

Rootpw= Es el password del root del servicio de directorio(rootdn). Observen acá es donde pegamos el passwordobtenido con el comando slappasswd.

dn: es el nombre de la entrada, no es atributo ni tampocoparte de la entrada

cn: es el nombre distinguido, nombre común

dc: es el nombre distinguido a la entrada padre donde indicael dominio seguido de componente del dominio ejemplodc=com.

4. Copiar la base de datos de ejemplo/etc/openldap/DB_CONFIG.example en el directorio/var/lib/ldap. Luego se configurará al usuario ldap comopropietario de los archivos.

5. Iniciar el servicio ldap



PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE

OPENLDAP

2.1 Configurar el cliente ldap. Los comandos que se muestran

en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarán en este tutorial seránldapadd (Añadir entradas al directorio) y ldapsearch (Realizarbúsquedas en el directorio).

El cliente LDAP también tiene el siguiente archivo deconfiguración /etc/openldap/ldap.conf el cual editaremos de lasiguiente manera:

NOTA: Las líneas resaltadas indican el dominio y el URI(Identificador uniforme de recurso). Es recomendable usar unnombre en el URI en vez de la dirección IP.

2.2 El openLDAP no tiene entradas (objetos) en la base dedatos LDAP, por esta razón es necesario ingresar por lomenos una entrada padre en la que se especifique eldominio. Cree un archivo y nómbrelo como desee (Lo normales poner extensión .ldif, por ejemplo start.ldif: ejm

A partir aquí empezaremos a crear el árbol y haremos elorganigrama



Para cada unidad organizativa crearemos un archivo conextensión .ldif pero también se puede hacer todas lasunidades organizativas en el mismo archivo que creestart.ldif. En este caso será por separado ósea crear unarchivo por cada unidad organizativa es una forma de serorganizado.

Esto es la raíz

Dare un ejemplo crearemos 2 archivos.ldif (dirección general)

y (sistemas)



Y sistemas

Explicare algunos parámetros

ObjectClass: Object

ObjectClass: Organization ------ Son los tipos de objetoque utilizaremos.

Para seguir creando la unidad organizativa (objetos) puedeusar estas 2 plantillas como ejemplo.

Vamos a agregar los objetos al directorio ldap

El comando ldapadd -x -D "cn=Nuestro UsuarioAdministrador,dc=Nuestro Nombre de Dominio,dc=Nuestro

Dominio" -W -f nombre de archivo que acabamos de crear,nos pedirá nuestro password de administrador.

Ldapadd –x –D “cn=admin,dc=maida,dc=com” –W –fDireccion.ldif



Las opciones que dimos son:-x: Usar autenticación simple

-D: Usar el nombre distinguido de admin-W: Pedir password-f: Especificar el archivo desde el cual saldrá la información

Cada vez que vallamos creando un objeto lo vamosagregando

PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA

BASE DE DATOS LDAP

1. Cree un archivo LDIF separado para cada departamentoen el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios.

UsernameCommon name

ApellidoShell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico

Mostrare un ejemplo de 2 usuarios la unidad organizativa(sistemas)



En este caso declaramos la raíz de maida.com llamadaDirección General y de esta se desglosa otra llamadasistemas, nótese que el dn de Dirección General es

"ou=Dirección General,dc=maida,dc=com" y el de sistemases "ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com"esto significa que sistemas esta dentro de dirección general,si fuéramos a declarar un objeto llamado usuarios dentro desistemas, deberíamos hacerlo así"ou=usuarios,ou=Sistemas,ou=DirecciónGeneral,ou=maida,=com"

Luego Añadiremos la unidad organizativa que creamos para 2usuarios perteneciente a (SISTEMAS) al ldap de igualmanera que añadimos la raíz. Ósea lo que acabamos dehacer



Y nos deberá mostrar que añadimos todas las entradassatisfactoriamente.

2.Realice consultas a la base de datos LDAP con la utilidadldapsearch

Consulte todos los objetos de la estructura LDAP

Utilizaremos el comando ldapsearch para buscar objetos, eneste caso buscaremos la raíz "dc=maida,dc=com"La opción -x indica usar autenticación simple y -b la base dedatos a buscar.



Busque todos los objetos pertenecientes al departamentoComerciales internos

Busque todos los objetos pertenecientes a la direccióngeneral



2. Modificarle el atributo del user3 perteneciente a laLOGISTICA con el comando Ldapmodify- El apellido-Correo electrónico

Antes



Después

En su caso seria

ldapmodify -x -D "cn=Nuestro UsuarioAdministrador,dc=Nuestro Nombre de Dominio,dc=NuestroDominio" -W -f el archivo a modificar.ldif

3. Elimine del directorio un usuario del departamento dedirección técnica

Fin

ELABORADO POR: Fecha 1 04 2011



José David Salazar

Documents

ADMINISTRACION DE OPENLDAP