Instalación y Configuración OPENLDAP Red Hat 6.2 GESTIÓN DE REDES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJE

DIEGO LEON GIL BARRIENTOS

Ficha: 464327

1

INSTALACIÓN Y CONFIGURACIÓN DE UN SERVICIO DE DIRECTORIO (OPENLDAP) EN UN SISTEMA OPERATIVO

RED HAT ENTERPRISE LINUX 6

Vamos a trabajar en nuestro software de virtualización favorito, en mi caso trabajaré con VirtualBox. Debemos tener previamente configurado en el Red Hat servicios de: DNS, DHCP, FTP y WEB; totalmente funcionales para proceder a hacer las siguientes configuraciones. También tener habilitado y funcional el repositorio local para instalar los respectivos paquetes. Podemos configurarlos de estos enlaces: DNS http://cyberleon95.blogspot.com/2013/11/servidor-dns-red-hat-62.html DHCP http://cyberleon95.blogspot.com/2013/11/servidor-dhcp-red-hat-62.html FTP http://cyberleon95.blogspot.com/2013/11/servidor-ftp-red-hat-62_16.html WEB http://cyberleon95.blogspot.com/2013/11/servidor-http-red-hat-62_15.html REPOSITORIO http://cyberleon95.blogspot.com/2013/11/habilitar-entorno-grafico-y-repositorio.html Cuando tengamos estos servicios funcionales procedemos a hacer la siguiente configuración. Cuando tengamos presente que los servicios están funcionales ejecutamos los siguientes comandos para que dichos servicios queden iniciados de una buena vez al reiniciar o apagar el sistema:

2

Primero los iniciamos todos:

Ahora ejecutamos el comando:

Ahora para verificar nuestro repositorio y ver los paquetes que necesitamos instalar ejecutamos:

3

Vamos a instalar todos los paquetes de OPENLDAP para ello ejecutamos lo siguiente:

Ahora esperamos que instalen…

4

Después de completada la instalación procedemos a verificar nuestra IP, que sea correcta a la de configuraciones de servicios anteriores.

En mi caso la IP se encuentra bien (192.168.10.1). Para tener éxito y por precaución vamos a hacer una modificación en un archivo del DNS para que nuestro dominio corto nos responda conectividad:

NOTA: Podemos utilizar nuestro editor de texto favorito en mi caso utilizare “VI”.

5

Nos debe de quedar como la imagen anterior, lo cual se agregó el “@” previamente del IN NS y se añade la última línea.

Confirmamos ping a nuestro dominio corto:

Ahora miramos el nombre completo de nuestro host:

OPCIONAL Si lo queremos editar, simplemente modificamos la línea HOSTNAME= , por el nombre que queramos utilizar, respetando el dominio. El archivo es:

Si lo modificamos ejecutamos “hostname” y el nombre.

Cerramos la terminal y comprobamos el nombre de host deseado.

6

Ahora vamos a editar el archivo /etc/hosts de la siguiente manera:

Cambiamos en la primera línea el 127.0.0.1 por la IP de nuestro servidor y añadimos la última línea mostrada con nuestros respectivos datos. Luego de agregada la línea de ldap, guardamos y comprobamos ping al hostname que agregamos de ldap.

Nos movemos al siguiente directorio:

Realizamos un “ls” para ver el contenido de este directorio:

7

Generar password LDAP Ejecutamos el siguiente comando: “slappasswd”.

Escribimos el password y lo confirmamos de nuevo y enter.

La línea resultante es nuestro password de forma encriptada por SSHA, lo que debemos hacer es copiar esta línea para pegarla en pasos siguientes. En el directorio mencionado anteriormente procedemos a editar un archivo.

Este archivo le debemos editar las siguientes líneas:

8

En la flecha 1 debemos cambiar y colocar nuestro dominio. En la flecha 2 respetamos el “Manager” y también sustituimos el dominio por defecto ahí por el nuestro. Nos dirigimos ahora a la última línea del archivo. Agregamos la línea “olcRootPWD:” y pegamos el password encriptado por SSHA, copiado previamente:

9

Cuando lo peguemos añadimos las siguientes líneas también:

Estas dos últimas líneas añadidas previamente son certificados de seguridad en las cuales especificamos el archivo del certificado y la llave del mismo. NOTA: Estos archivos (.pem) aun no existen se crearan posteriormente. Guardamos y salimos… Ahora vamos a editar otro archivo en la misma ruta que nos encontramos.

Cambiamos los “read” por manage (administrar) y en el cn cambiamos la m de manager por “M” (mayúscula) queda Manager. Guardamos y salimos…

10

Ahora editamos este otro archivo:

En la Flecha 1 debemos agregar olcRootPW: y pegamos el mismo password encriptado de pasos anteriores. Ahora vamos a copiar el siguiente archivo:

Después de copiado le damos ls para verificar que se copió correctamente.

11

Como vemos se creó exitosamente, pero el usuario dueño y grupo dueño del archivo son “root”. Procedemos a cambiarlo…

Ahora confirmamos con un ls de nuevo.

Vemos que efectivamente cambio el usuario y el grupo de dicho archivo. Ahora vamos actualizar el LDAP con el siguiente comando:

Editamos el siguiente archivo: /etc/sysconfig/ldap

12

Cambiamos el no por un “yes”. Ahora nos movemos al directorio del usuario Root.

Ahora vamos a crear el certificado de seguridad.

Enter… Completamos los datos requeridos:

Ahora ya generamos nuestro certificado vamos a comprobar que se creó exitosamente.

13

Como vemos se creó exitosamente, pero los dos archivos pertenecen al grupo “root”, Ahora vamos a cambiarlo.

Procedemos a encender por primera vez nuestro servidor LDAP, también para dejarlo iniciando con el sistema; ejecutamos lo siguiente:

Ahora necesitamos copiar el siguiente archivo, recordemos tener funcional el ftp.

14

Le debemos hacer un enlace blando…

Ahora vamos a bajar el servicio iptables y quitarlo de forma de arranque con el sistema.

Ahora procedemos a migrar las cuentas del sistema, para esto necesitamos instalar una herramienta que poseemos en nuestro repositorio. Ejecutamos lo siguiente:

15

Luego de completada la instalación nos debemos cambiar de directorio, al siguiente:

Debemos editar el archivo migrate_common.ph

16

Vamos a la parte de abajo, en la línea 61 debemos agregar una “s” a “Group”.

En el mismo archivo vamos un poco más abajo específicamente las líneas: 71 y 74 y debemos cambiar por nuestro dominio, así:

17

Aun en el mismo archivo, debemos modificar un número en la línea 90.

Guardamos y salimos… Comenzamos a migrar, de la siguiente manera:

NOTA: El archivo base.ldif no está creado aun, se hará su debida configuración posteriormente. Ahora crearemos un home específico para los usuarios que crearemos posteriormente, en mi ejemplo lo llamaremos guests.

Ya hecho el home vamos a crear los usuarios.

En mi ejemplo cree 5 usuarios se crean todos los que quiera.

18

Luego de creados vamos a asignarle los passwords…

Así sucesivamente para todos los usuarios. Cuando asignemos los passwords comprobamos el archivo passwd y shadow para ver que los usuarios y las contraseñas fueron creados satisfactoriamente.

Como vemos están creados satisfactoriamente, ahora los re direccionamos a /root/users. Ejecutamos el mismo comando pero con re dirección.

Ahora miramos que las contraseñas estén creadas.

Igualmente las re direccionamos.

19

También hacemos el mismo proceso con los grupos.

Ahora vamos a editar otro archivo en el directorio actual que nos encontramos (/usr/share/migrationtools).

El archivo resaltado es el que debemos editar.

Bajamos hasta la línea 188 y cambiamos de la siguiente forma basados en las re direcciones anteriores (la ruta de los passwords).

20

Guardamos y salimos… Ahora podemos observar la configuración actual de los usuarios, lo vemos con el siguiente comando:

En esta imagen solo resalté la información del usuario1 , pero nos arroja toda la información de los usuarios creados previamente. Ahora vamos a re direccionar y crearemos otro archivo .ldif para los usuarios.

Debemos hacer lo mismo con los grupos…

Nos cambiamos al directorio del usuario root y confirmamos que existan los archivos creados. NOTA: No confundir directorio del usuario root con la raíz del sistema, con el comando “cd” es suficiente para movernos a este directorio.

21

Como vemos se encuentra los archivos que necesitamos: users.ldif, groups.ldif, base.ldif. Ahora es el momento de subir y/o actualizar nuestros archivos ldif. Utilizamos los siguientes comandos: NOTA: Importante en este punto estar seguros de estar en el directorio que estamos parados, que realmente sea donde se encuentren los archivos ldif.

Ingresamos el password que habíamos encriptado pasos atrás, para el administrador de LDAP.

Se añaden las entradas.

22

En este paso añadimos el base.ldif, ahora nos falta añadir el users.ldif y el groups.ldif.

Hasta este punto todo perfecto, procedemos a comprobar el árbol y funcionalidad de nuestro LDAP, para ello ejecutamos el siguiente comando:

NOTA: less es un paginador para ver más cómodamente archivos muy extensos. Nos debe salir así:

23

SUGERENCIA Salimos del paginador less con “q”. Reiniciamos el servicio de LDAP.

COMPROBACIÓN Y ADMINISTRACIÓN REMOTA DEL SERVIDOR OPENLDAP Yo trabajaré con un Windows XP, que le tengo previamente instalado un software para administración gráfica y remota de LDAP. NOTA: Hay varios software para la administración y comprobación, por ejemplo:

Apache Directory Studio

LDAP Admin

LDAP Admin Tools

Entre otros… Para este ejemplo usaré el LDAP Admin.

24

NOTA: Recordemos tener nuestras máquinas virtuales en red interna. Primero comprobamos que tengamos ip y dominio.

Comprobamos ping al dominio corto.

25

Abrimos nuestro software de administración de LDAP, yo utilizare LDAP Admin. Creamos una nueva conexión.

Verificamos la conexión dando clic en “Test Connection”.

26

Le damos OK…

Dentro del LDAP Admin, ya logeados como Administrador de LDAP, vemos nuestro árbol de directorios y tenemos total control y permisos para crear, modificar o eliminar cualquier objeto. Demostraré creando una unidad organizacional llamada “prueba”.

27

28

Efectivamente se crea nuestra unidad, y así sucesivamente podemos crear usuarios, grupos, entradas, hosts, alias, etc.

COMPROBACIÓN DE LOGEO USUARIO REMOTO Para comprobar el logeo de un usuario creado en el OPENLDAP conectado desde un cliente remoto, utilizare el mismo cliente Windows XP pero utilizare el programa Putty para establecer conexión SSH.

29

Damos Open…

Escribimos el password…

Ahora estamos logeados por SSH en el usuario1 creado en el OPENLDAP, y podemos ejecutar comandos y lo que queramos.

Así queda totalmente funcional nuestro servidor OPENLDAP.

Diego Leon Gil Barrientos