Download - ADMINISTRACION DE OPENLDAP
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 1/15
ADMINISTRACION DE OPENLDAP
NOTA: El siguiente manual fue realizado en una maquina
virtual con sistema operativo centos
INTRODUCCION
LDAP son las siglasde Lightweight Directory Access Protocol
(en español Protocolo Ligero de Acceso a Directorios) quehacen referencia a un protocolo a nivel de aplicación el cualpermite el acceso a un servicio de directorio ordenado ydistribuido para buscar diversa información en un entorno dered. LDAP también es considerado una base dedatos (aunque su sistema de almacenamiento puede serdiferente) a la que pueden realizarse consultas. Utilizado parala creación y administración de directorios a bajo nivel.
NOTA: Debe desarrollar la parte 1 usando openLDAP sinentorno de administración gráfica.
1. A partir del diagrama de la figura 1 cree una estructuraLDAP en la que se pueda englobar a todos los empleados dela empresa para poder autenticarlos (Posteriormente losusuarios del directorio será usados como usuarios de correoelectrónico). Para esto cree un archivo LDIF con todas lasunidades organizativas de cada
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 2/15
2. Cree un archivo LDIF separado para cada departamento
en el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios de cada usuario serán:
UsernameCommon nameApellido
Shell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico
3. Realice consultas a la base de datos LDAP con la utilidad
ldapsearch
Consulte todos los objetos de la estructura LDAPBusque todos los objetos pertenecientes al departamento
Comerciales internos
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 3/15
Busque todos los objetos pertenecientes a la direccióngeneral
Busque todos los objetos de comerciales internos deldirectorio de uno de sus compañeros. Recuerde que es otro
host y otro dominio. NOTA: Use el comando man paraobtener información del comando ldapsearch.
4. Modifique los siguientes atributos de por lo menos 3usuarios
El apellidoCorreo electrónico
DN
5. Elimine del directorio un usuario del departamento dedirección técnica
6. Los usuarios autenticados podrán realizar cambios encualquiera de sus entradas (Es su información personal) ypodrán leer las entradas de otros usuarios pero no
modificarlas. Además no se mostrará el password a ningúnusuario. Pruebe esto con un usuario que no sea aladministrador del servidor LDAP
PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE
SERVIDOR OPENLDAP
1. Vamos a instalar los paquetes. El servidor openLDAP y
el cliente openLDAP
2. Generar un password para el usuario root del servidorde directorio. Este password será usado en el siguiente paso,
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 4/15
cuando se modifique el archivo de configuración para elopenLDAP.
El password ha sido cifrado usando el algoritmo SSHA. Ese
password cifrado la vamos a copia y a pegar más adelante enel siguiente paso. Si deseas usar otro algoritmo cifrado debeusar el comando slappasswd –h.
3. Modificar el archivo de configuración principal paraopenLDAP slapd.conf, ubicado en el directorio /etc/openldap.El archivo de slapd.conf debe modificarse para configurar lasopciones de la base de datos LDAP. A continuación senumeran cada una de las líneas que deben modificarse:
A continuación se explica el significado de cada uno de losparámetros de configuración
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 5/15
Suffix= Este parámetro indica el nodo raíz o sufijo de la basede datos ósea que tu dominio, esto es, el nodo sobre el cualserá derivada toda la información, en este caso se refiere alcomponente sufijo DNS tu dominio.com (dc=tudominio,dc=com)
Rootdn= Es un tipo de cuenta que existe en el servidor dedirectorio y que generalmente tiene acceso total a todos losdatos en el servidor. Debe especificarse el el nombredistinguido (DN) del administrador (cn=admin, dc=solutions,dc=com
Rootpw= Es el password del root del servicio de directorio(rootdn). Observen acá es donde pegamos el passwordobtenido con el comando slappasswd.
dn: es el nombre de la entrada, no es atributo ni tampocoparte de la entrada
cn: es el nombre distinguido, nombre común
dc: es el nombre distinguido a la entrada padre donde indicael dominio seguido de componente del dominio ejemplodc=com.
4. Copiar la base de datos de ejemplo/etc/openldap/DB_CONFIG.example en el directorio/var/lib/ldap. Luego se configurará al usuario ldap comopropietario de los archivos.
5. Iniciar el servicio ldap
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 6/15
PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE
OPENLDAP
2.1 Configurar el cliente ldap. Los comandos que se muestran
en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarán en este tutorial seránldapadd (Añadir entradas al directorio) y ldapsearch (Realizarbúsquedas en el directorio).
El cliente LDAP también tiene el siguiente archivo deconfiguración /etc/openldap/ldap.conf el cual editaremos de lasiguiente manera:
NOTA: Las líneas resaltadas indican el dominio y el URI(Identificador uniforme de recurso). Es recomendable usar unnombre en el URI en vez de la dirección IP.
2.2 El openLDAP no tiene entradas (objetos) en la base dedatos LDAP, por esta razón es necesario ingresar por lomenos una entrada padre en la que se especifique eldominio. Cree un archivo y nómbrelo como desee (Lo normales poner extensión .ldif, por ejemplo start.ldif: ejm
A partir aquí empezaremos a crear el árbol y haremos elorganigrama
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 7/15
Para cada unidad organizativa crearemos un archivo conextensión .ldif pero también se puede hacer todas lasunidades organizativas en el mismo archivo que creestart.ldif. En este caso será por separado ósea crear unarchivo por cada unidad organizativa es una forma de serorganizado.
Esto es la raíz
Dare un ejemplo crearemos 2 archivos.ldif (dirección general)
y (sistemas)
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 8/15
Y sistemas
Explicare algunos parámetros
ObjectClass: Object
ObjectClass: Organization ------ Son los tipos de objetoque utilizaremos.
Para seguir creando la unidad organizativa (objetos) puedeusar estas 2 plantillas como ejemplo.
Vamos a agregar los objetos al directorio ldap
El comando ldapadd -x -D "cn=Nuestro UsuarioAdministrador,dc=Nuestro Nombre de Dominio,dc=Nuestro
Dominio" -W -f nombre de archivo que acabamos de crear,nos pedirá nuestro password de administrador.
Ldapadd –x –D “cn=admin,dc=maida,dc=com” –W –fDireccion.ldif
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 9/15
Las opciones que dimos son:-x: Usar autenticación simple
-D: Usar el nombre distinguido de admin-W: Pedir password-f: Especificar el archivo desde el cual saldrá la información
Cada vez que vallamos creando un objeto lo vamosagregando
PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA
BASE DE DATOS LDAP
1. Cree un archivo LDIF separado para cada departamentoen el que especifique por lo menos dos usuarios por cadaunidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificará por un uid. Los atributosobligatorios.
UsernameCommon name
ApellidoShell por defectonumero de uidnumero de gidDirectorio particularPassword del usuarioCorreo electrónico
Mostrare un ejemplo de 2 usuarios la unidad organizativa(sistemas)
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 10/15
En este caso declaramos la raíz de maida.com llamadaDirección General y de esta se desglosa otra llamadasistemas, nótese que el dn de Dirección General es
"ou=Dirección General,dc=maida,dc=com" y el de sistemases "ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com"esto significa que sistemas esta dentro de dirección general,si fuéramos a declarar un objeto llamado usuarios dentro desistemas, deberíamos hacerlo así"ou=usuarios,ou=Sistemas,ou=DirecciónGeneral,ou=maida,=com"
Luego Añadiremos la unidad organizativa que creamos para 2usuarios perteneciente a (SISTEMAS) al ldap de igualmanera que añadimos la raíz. Ósea lo que acabamos dehacer
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 11/15
Y nos deberá mostrar que añadimos todas las entradassatisfactoriamente.
2.Realice consultas a la base de datos LDAP con la utilidadldapsearch
Consulte todos los objetos de la estructura LDAP
Utilizaremos el comando ldapsearch para buscar objetos, eneste caso buscaremos la raíz "dc=maida,dc=com"La opción -x indica usar autenticación simple y -b la base dedatos a buscar.
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 12/15
Busque todos los objetos pertenecientes al departamentoComerciales internos
Busque todos los objetos pertenecientes a la direccióngeneral
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 13/15
2. Modificarle el atributo del user3 perteneciente a laLOGISTICA con el comando Ldapmodify- El apellido-Correo electrónico
Antes
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 14/15
Después
En su caso seria
ldapmodify -x -D "cn=Nuestro UsuarioAdministrador,dc=Nuestro Nombre de Dominio,dc=NuestroDominio" -W -f el archivo a modificar.ldif
3. Elimine del directorio un usuario del departamento dedirección técnica
Fin
ELABORADO POR: Fecha 1 04 2011
8/7/2019 ADMINISTRACION DE OPENLDAP
http://slidepdf.com/reader/full/administracion-de-openldap 15/15
José David Salazar