ADMINISTRACION DE OPENLDAP NOTA: El siguiente manual fue realizado en una maquina virtual con sistema operativo centos INTRODUCCION LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP también es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Utilizado para la creación y administración de directorios a bajo nivel. NOTA: Debe desarrollar la parte 1 usando openLDAP sin entorno de administración gráfica. 1. A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio será usados como usuarios de correo electrónico). Para esto cree un archivo LDIF con todas las unidades organizativas de cada
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
NOTA: El siguiente manual fue realizado en una maquina
virtual con sistema operativo centos
INTRODUCCION
LDAP son las siglasde Lightweight Directory Access Protocol
(en español Protocolo Ligero de Acceso a Directorios) quehacen referencia a un protocolo a nivel de aplicación el cualpermite el acceso a un servicio de directorio ordenado ydistribuido para buscar diversa información en un entorno dered. LDAP también es considerado una base dedatos (aunque su sistema de almacenamiento puede serdiferente) a la que pueden realizarse consultas. Utilizado parala creación y administración de directorios a bajo nivel.
NOTA: Debe desarrollar la parte 1 usando openLDAP sinentorno de administración gráfica.
1. A partir del diagrama de la figura 1 cree una estructuraLDAP en la que se pueda englobar a todos los empleados dela empresa para poder autenticarlos (Posteriormente losusuarios del directorio será usados como usuarios de correoelectrónico). Para esto cree un archivo LDIF con todas lasunidades organizativas de cada
2. Cree un archivo LDIF separado para cada departamento
en el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios de cada usuario serán:
UsernameCommon nameApellido
Shell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico
3. Realice consultas a la base de datos LDAP con la utilidad
ldapsearch
Consulte todos los objetos de la estructura LDAPBusque todos los objetos pertenecientes al departamento
Busque todos los objetos pertenecientes a la direccióngeneral
Busque todos los objetos de comerciales internos deldirectorio de uno de sus compañeros. Recuerde que es otro
host y otro dominio. NOTA: Use el comando man paraobtener información del comando ldapsearch.
4. Modifique los siguientes atributos de por lo menos 3usuarios
El apellidoCorreo electrónico
DN
5. Elimine del directorio un usuario del departamento dedirección técnica
6. Los usuarios autenticados podrán realizar cambios encualquiera de sus entradas (Es su información personal) ypodrán leer las entradas de otros usuarios pero no
modificarlas. Además no se mostrará el password a ningúnusuario. Pruebe esto con un usuario que no sea aladministrador del servidor LDAP
PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE
SERVIDOR OPENLDAP
1. Vamos a instalar los paquetes. El servidor openLDAP y
el cliente openLDAP
2. Generar un password para el usuario root del servidorde directorio. Este password será usado en el siguiente paso,
cuando se modifique el archivo de configuración para elopenLDAP.
El password ha sido cifrado usando el algoritmo SSHA. Ese
password cifrado la vamos a copia y a pegar más adelante enel siguiente paso. Si deseas usar otro algoritmo cifrado debeusar el comando slappasswd –h.
3. Modificar el archivo de configuración principal paraopenLDAP slapd.conf, ubicado en el directorio /etc/openldap.El archivo de slapd.conf debe modificarse para configurar lasopciones de la base de datos LDAP. A continuación senumeran cada una de las líneas que deben modificarse:
A continuación se explica el significado de cada uno de losparámetros de configuración
Suffix= Este parámetro indica el nodo raíz o sufijo de la basede datos ósea que tu dominio, esto es, el nodo sobre el cualserá derivada toda la información, en este caso se refiere alcomponente sufijo DNS tu dominio.com (dc=tudominio,dc=com)
Rootdn= Es un tipo de cuenta que existe en el servidor dedirectorio y que generalmente tiene acceso total a todos losdatos en el servidor. Debe especificarse el el nombredistinguido (DN) del administrador (cn=admin, dc=solutions,dc=com
Rootpw= Es el password del root del servicio de directorio(rootdn). Observen acá es donde pegamos el passwordobtenido con el comando slappasswd.
dn: es el nombre de la entrada, no es atributo ni tampocoparte de la entrada
cn: es el nombre distinguido, nombre común
dc: es el nombre distinguido a la entrada padre donde indicael dominio seguido de componente del dominio ejemplodc=com.
4. Copiar la base de datos de ejemplo/etc/openldap/DB_CONFIG.example en el directorio/var/lib/ldap. Luego se configurará al usuario ldap comopropietario de los archivos.
2.1 Configurar el cliente ldap. Los comandos que se muestran
en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarán en este tutorial seránldapadd (Añadir entradas al directorio) y ldapsearch (Realizarbúsquedas en el directorio).
El cliente LDAP también tiene el siguiente archivo deconfiguración /etc/openldap/ldap.conf el cual editaremos de lasiguiente manera:
NOTA: Las líneas resaltadas indican el dominio y el URI(Identificador uniforme de recurso). Es recomendable usar unnombre en el URI en vez de la dirección IP.
2.2 El openLDAP no tiene entradas (objetos) en la base dedatos LDAP, por esta razón es necesario ingresar por lomenos una entrada padre en la que se especifique eldominio. Cree un archivo y nómbrelo como desee (Lo normales poner extensión .ldif, por ejemplo start.ldif: ejm
A partir aquí empezaremos a crear el árbol y haremos elorganigrama
Para cada unidad organizativa crearemos un archivo conextensión .ldif pero también se puede hacer todas lasunidades organizativas en el mismo archivo que creestart.ldif. En este caso será por separado ósea crear unarchivo por cada unidad organizativa es una forma de serorganizado.
Esto es la raíz
Dare un ejemplo crearemos 2 archivos.ldif (dirección general)
Las opciones que dimos son:-x: Usar autenticación simple
-D: Usar el nombre distinguido de admin-W: Pedir password-f: Especificar el archivo desde el cual saldrá la información
Cada vez que vallamos creando un objeto lo vamosagregando
PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA
BASE DE DATOS LDAP
1. Cree un archivo LDIF separado para cada departamentoen el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios.
UsernameCommon name
ApellidoShell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico
Mostrare un ejemplo de 2 usuarios la unidad organizativa(sistemas)
En este caso declaramos la raíz de maida.com llamadaDirección General y de esta se desglosa otra llamadasistemas, nótese que el dn de Dirección General es
"ou=Dirección General,dc=maida,dc=com" y el de sistemases "ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com"esto significa que sistemas esta dentro de dirección general,si fuéramos a declarar un objeto llamado usuarios dentro desistemas, deberíamos hacerlo así"ou=usuarios,ou=Sistemas,ou=DirecciónGeneral,ou=maida,=com"
Luego Añadiremos la unidad organizativa que creamos para 2usuarios perteneciente a (SISTEMAS) al ldap de igualmanera que añadimos la raíz. Ósea lo que acabamos dehacer
Y nos deberá mostrar que añadimos todas las entradassatisfactoriamente.
2.Realice consultas a la base de datos LDAP con la utilidadldapsearch
Consulte todos los objetos de la estructura LDAP
Utilizaremos el comando ldapsearch para buscar objetos, eneste caso buscaremos la raíz "dc=maida,dc=com"La opción -x indica usar autenticación simple y -b la base dedatos a buscar.