SERVICIO DE DIRECTORIO EN LINUX

VANESA RODRÍGUEZ PERCY

INSTRUCTORA: JENNIFER MURILLO AREIZA

TECNOLOGÍA EN GESTIÓN DE REDES DE DATOS GRUPO: 600088

SENA MEDELLÍN

2014

SERVICIO DE DIRECTORIO EN CENTOS 6.5

Para configurar este servicio debemos previamente haber realizado la instalación del servicio DNS

en nuestro servidor.

Verificamos que tengamos los paquetes necesarios instalados.

Si el paquete no está instalado, procedemos a realizar la instalación con el comando yum install

bind*.

Lo siguiente que haremos será configurar la dirección IP de nuestra máquina.

Configuraremos también lo que tiene que ver con DNS.

Se desactiva el Firewall.

Configuramos el archivo named.conf, el cual se encuentra en la siguiente ruta: /etc/named.conf

Configuramos zona inversa y zona directa.

Ahora crearemos los archivos de zona.

Cambiamos el grupo propietario de los archivos de zona (directa e inversa), el grupo propietario

debe ser (named).

Editamos los archivos de zona.

Zona directa

Archivo de zona inversa

En el archivo resolv.conf, en el directorio /etc, configuramos la IP del servidor.

PRUEBAS DNS

CentOS

Al hacerle ping al nombre del dominio, nos mandará un ping a la dirección del server.

Cliente Windows 7

Se debe configurar la tarjeta de red, del equipo cliente con una IP que esté en el mismo rango en

que se encuentra la del servidor y como DNS primario se pone la dirección del servidor de

directorio.

Cada vez que apague el servidor y quiera nuevamente probar el DNS debo desactivar la otra

tarjeta de red del server; esto para que me funcione el servicio de DNS.

LDAP

LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso

a Directorios) que hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un

servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.

LDAP también se considera una base de datos (aunque su sistema de almacenamiento puede ser

diferente) a la que pueden realizarse consultas.

OpenLDAP

Un servidor LDAP es un servidor de datos optimizado para la realización rápida de consultas de

lectura y orientado al almacenamiento de datos de usuarios a modo de directorio.

La principal utilidad de un directorio LDAP es como servidor de autentificación para los distintos

servicios de un sistema informático como puedan ser: autentificación para entrar en un PC, para

entrar en una aplicación web, para acceder a un servidor ftp, para acceder a servidores de correo

entrante POP3 y saliente SMTP, etc.

Iniciamos instalando OpenLDAP en el servidor con el siguiente comando.

Generamos un pasword, Dentro de la siguiente ruta “/etc/openldap/slap.d/cn=config/” vamos a

generar una contraseña con el comando slappasswd.

En la misma ruta pasamos a modificar los siguientes archivos.

Edición del archivo bdb.ldif

Aquí modificamos el campo olcRootDN (Datos de nuestro dominio), olcRoot, olcRootPW (este

campo lo debemos adicionar).

Edición del archivo monitor.ldif

Se editan los camps olcRootDN (Datos del dominio), olcRootPW

Edición del archivo config.ldap

CONFIGURACIÓN DEL FICHERO LDAP.CONF

Iniciamos el servicio

8. Luego de iniciar el servicio, pasamos a la configuración de las unidades organizativas de la

siguiente manera:

Vamos a crear estos ficheros en la ubicación que se desee, lo importante es que los archivos que

se creen tengan la extensión (.ldif).

1. A partir de la figura 1 anteriormente mostrada cree una estructura LDAP en la que se pueda englobar todos los empleados de la empresa para poder autenticarlos.

Para esto cree un archivo LDIF con las unidades organizativas de cada contrato excepto las ciudades Medellín y Bogotá y luego impórtelas al directorio. Para crear este archivo, lo ubicaremos en la raíz del sistema operativo, allí crearemos una carpeta llamada unidadesorg, allí crearemos el archivo LDIF. También pueden ubicarse los archivos LDIF en el directorio home del usuario.

Antes de ingresar esta información al OpenLdap, se debe buscar el siguiente archivo DB_CONFIG y copiarlo a la siguiente ruta “/var/lib/ldap/” y le damos los permisos necesarios, lo hacemos de la siguiente manera:

El archivo se encuentra en la siguiente ruta:

De aquí lo copiaremos a /var/lib/ldap/.

Renombraremos el archivo y asignaremos al grupo ldap como propietario del archivo.

Lo siguiente que haremos será importar la información de las unidades organizativas, así:

Verificación de la creación de las unidades organizativas.

2. Cree un archivo LDIF para cada Contrato, en este debe especificar al menos 4

usuarios por cada uno y agregue las entradas al directorio. Cada usuario se identificara por un uid. Los atributos obligatorios para cada usuario serán:

a. username b. common name c. Apellido d. Shell por defecto e. numero de uid f. numero de gid g. Directorio particular h. Password del usuario i. Correo electrónico

Ahora procedemos a crear los archivos LDIF, por cada unidad organizativa que lo requiere. Recordemos que la organización de las unidades organizativas es la siguiente: UO: Armenia, contiene a contrato5, contrato5 contiene a Usuarios. UO: Armenia, contiene a contrato6, contrato5 contiene a Usuarios. UO: Cali, contiene a contrato7, contrato7 contiene a Usuarios. UO: Cali, contiene a contrato8, contrato8 contiene a Usuarios. Estos archivos LDIF los estamos creando en la raíz del sistema operativo, en una carpeta llamada unidadesorg.

Pasamos a editar cada archivo LDIF creado anteriormente. UO: Armenia, contrato5, usuarios

UO: Armenia, contrato6, usuarios.

Importamos

Verificamos que los usuarios se hayan creado correctamente, en el directorio, esta verificación la

hacemos con el comando LDAPSEARCH.

De esta misma forma, crearemos los usuarios de cada contrato en la unidad organizativa armenia.

Para Cali, procedemos igualmente.

UO: Cali, contrato7, Usuarios

UO: Cali, contrato8, Usuarios

Importamos la información de los usuarios.

3. Realice consultas a la base de datos LDAP con el comando ldapsearch. a. Busque los objetos de los contratos de Armenia. Para realizar las consultas usaremos el comando ldapsearch, en este caso buscaremos en la raíz “dc=abc,dc=local”. La opción –x usar autenticación simple y – b la base de datos donde se va a buscar.

b. Busque todos los objetos de abc.local.

4. Modifique los atributos de por lo menos 3 usuarios.

Para modificar un atriibuto se debe crear un archivo ldif como se muestra a continuación. El nombre del archivo ldif será. Modifi_nom_ape.ldif. Usamos el comando ldafmodify. a. Nombre b. Apellido c. DN

Vamos a modificar los siguientes usuarios:

UO: Cali, Contrato7, usuario andres.

UO: Cali, Contrato8, usuario david.

UO: Armenia, contrato6, usuario pedro.

Antes del cambio.

Usuario Andrés.

Usuario David.

Usuario pedro.

Creamos el archivo ldif, que modificará los atributos nombre y apellido de cada usuario. Los

atributos a modificar de los usuarios son: cn (Nombre común), sn (Apellido).

Ejecutamos el comando, ldadmodify para aplicar los cambios.

Verificamos los cambios realizados en la cuenta del usuario, con el comando ldapsearch.

Usuarios Andrés.

Usuario David.

Usuario Pedro.

Para modificar el uid se debe crear un archivo ldif aparte o individual por cada usuario al cual se

le vaya a realizar el cambio.

Edición de cada archivo.

Usuario Andrés.

Usuario David.

Usuario Pedro.

Posteriormente, escribiré el comando “ldapmodrdn”, que sirve solo para modificar el DN de cualquier usuario, y luego escribo “slapcat” para verificar si el cambio que hice, surtió efecto en la base de datos de LADP, así: UID USUARIO TOMÁS

USUARIO MATIAS

USUARIO ELIZABETH

MODIFICACIÓN DEL DN DE LOS USUARIOS

Creamos el archivo para modificar este atributo.

Ahora para hacer la modificación usamos el comando “ldapmodify” y el nombre del archivo .ldif que contiene las modificaciones.

Verificamos el cambio: Usuario Daniel antes.

Después

Usuario Josué Después

Usuario Julio Antes

Después

5. Elimine un usuario del directorio. Vamos a eliminar el usuario Juan, de la UO

Cali, UO contrato7.

Si queremos borrar una entrada con todos sus atributos, usaremos el comando ldapdelete, y a

continuación que DN queremos eliminar.

Para comprobar que el usuario fue eliminado realizamos la búsqueda con ldapsearch, de este

usuario.

6. Los usuarios autenticados podrán realizar cambios en cualquiera de sus entradas (Es su información personal) y podrán leer las entradas de otros usuarios pero no modificarlas. Además no se mostrará el password a ningún usuario. Pruebe esto con un usuario que no sea al administrador del servidor LDAP

Para esto debemos configurar la autenticación de usuarios. Para ello utilizamos el comando:

authconfig-tui

Aquí habilitaremos las siguientes opciones:

En información de usuario, habilitamos:

*Utilizar LDAP

En autenticación, habilitamos:

*Utilizar contraseñas MD5. *Utilizar contraseñas ocultas.

*Utilizar contraseñas LDAP.

Al proceder con la configuración de autenticación, salió el siguiente error.

Para esto procedimos a instalar el paquete nss-pam-ldapd

Continuamos con la configuración.

PRUEBAS Para probar el funcionamiento, podemos iniciar sesión con un usuario del directorio LDAP, en la consola así:

En este caso cuando inicio sesión con usuarios del directorio activo, no me carga el directorio HOME del usuario; es por eso que el promt de la terminal aparece con un símbolo de pesos ($), para que cada vez que inicie sesión me cargue el directorio HOME lo que debo hacer es: Ejecutar el siguiente comando.

El comando - -enablemkhomedir se creará el directorio principal de los usuarios, en su primer inicio de sesión. Para probar iniciamos sesión con cualquier usuario del directorio activo.

ADMINISTRACION GRÁFICA DE LDAP 1. Instale dos herramientas de administración grafica de LDAP. Independiente de la implementación del servicio este permite ser administrado a través de un cliente gráfico. A continuación algunas de ellas. a. Phpldapadmin (Web) b. Apache Directory Studio (Java) c. Jxplorer (Java) d. Luma e. Kldap f. LDAP Admin Tool (Privativo)

Para este punto, vamos a instalar el cliente gráfico Apache Directory Studio.

1) Primero empezaremos instalando la versión más reciente de Java.

Java

2) Ahora vamos a la página de Apache, descargamos la última versión de Apache Directory

Studio.

El programa no requiere instalación, sólo será necesario descomprimir el archivo con extensión

.tar.gz.

Descomprimimos el archivo.

Renombramos el directorio que hemos descomprimido.

En este caso se renombra por Apachedirectory.

Ingresamos al directorio y estando dentro de este, ejecutamos el comando

./ApacheDirectoryStudio.

Luego procedemos a crear la conexión con el servidor ldap y para ello vamos a FILE, NEW.

Luego nos aparece este recuadro y copiamos el nombre que queremos darle a la conexión, en hostname, ponemos la IP del server 192.168.10.15, el puerto lo dejamos en 389 y le damos siguiente.

Esta parte es para la autenticación colocamos cn=admin,dc=abc,dc=local y la contraseña que anteriormente le hayamos puesto al LDAP.

Este es el entorno de administración que aparece:

2. Luego de tener instalada la interface gráfica cree los objetos de las ciudades Medellín y Bogotá. Agregue al menos 4 usuarios por cada contrato de las ciudades.

I. Se procede a crear una nueva entrada que contenga las unidades organizativas de Medellín y Bogotá con sus respectivos objetos.

Clic derecho sobre el árbol jerárquico.

Aquí agregamos organizationalUnit.

Luego aparece esta entrada y especificamos RDN y el nombre de la organización, luego de esto le damos siguiente.

De igual manera procedemos a crear la UO Bogotá.

Se procede de igual forma para crear todos los objetos de cada ciudad.

Ahora, procedemos a crear los usuarios, y para ello, igual que antes le damos una nueva entrada y aquí seleccionamos inetOrgPerson, OrganizationalPerson, PosixAccount.

Agregamos los objetos de clase.

Acá especificamos que el RDN es uid, y el nombre que tendrá el usuario nuevo.

En esta ventana podemos agregar todos los atributos al usuario nuevo; tales como: cn, sn, homeDirectory, entre otros. Nos pide agregar el número de identificación del usuario, aquí asignamos ese número.

Para iniciar nuevamente el entorno de administración gráfica, buscamos el archivo donde fue descomprimido el ApacheDirectoryStudio. File - Open File y buscamos el archivo que lanza la aplicación.

3. Muestre el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF.

Ahora vamos a la administración gráfica, y allí especificamos que queremos importar; así:

Luego nos aparece este recuadro y buscamos la ruta y procedemos a importar dando finish.

Administración gráfica con PHPLDAPADMIN

Para instalar este paquete, previamente se realizó la instalación de los repositorios EPEl.

Instalamos el paquete:

Se da permisos para que la red tenga ingreso (en el fichero /etc/httpd/conf.d/phpldapadmin.conf) se agregan los siguientes cambios.

Luego de estos debemos desactivar el mecanismo de inicio de sesión automáticamente en la siguiente ruta /etc/phpldapadmin/config.php, comentamos la linea 398.

Procedemos a iniciar el servicio httpd y configuramos con el inicio del sistema.

Ahora procedemos a configurar nuestro ldap y para ello abrimos el navegador, podemos copiar 192.168.10.15/phpldapadmin y le damos en conectar.

Creación de nuevas unidades organizativas.

Para esto nos paramos en el principio del árbol jerárquico, y vemos que a la derecha de la ventana, aparecen varias opciones; damos clic en la opción crear un objeto hijo.

En el área donde dice Crear objeto, seleccionar la opción que se encuentra en la parte inferior izquierda de la ventana; la opción predeterminado.

Ahora seleccionamos el tipo de objeto a crear.

En este caso seleccionamos: OrganizationalUnit, después de seleccionar damos clic en proceder. Debemos especificar los atributos y valores; para esto especificamos el RDN.

Seleccionamos el atributo ou (Unidad organizativa) y le ponemos un valor (Cartagena). Bajamos a la parte final de la venta y damos clic en la opción crear objeto.

Ahora vemos que en nuestro árbol de directorios, tenemos un nuevo objeto llamado Cartagena. Continuamos creando los demás objetos que pertenecen a la UO. Nuevamente nos posicionamos sobre el objeto en el cual queremos crear o adicionar otros objetos.

Y seguimos el mismo proceso, descrito anteriormente para la creación de objetos. Hemos creado la UO Cartagena, dentro de ella la UO contrato9 y dentro de contrato9, la UO Usuarios.

Creación de usuarios. Para esto nos posicionamos en la UO Usuarios, crear un objeto hijo, predeterminado, en la clase de objetos vamos a seleccionar dos tipos; el primero de ellos es: OrganizationPerson y el segundo posixAcount.

Clic en proceder. Especificamos los atributos, seleccionamos como RDN el atributo Username (uid), y damos valores a los diferentes atributos que aparecen (cn, sn, gidNumber, etc).

Crear objeto, para finalizar. Hemos creado dos usuarios, elena y sonia.

3. Muestre el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF. Creo el archivo a importar, en este caso importaremos un usuario.

Vamos a la interfaz de PHPLDAPADMIN, allí damos clic en la opción importart, buscamos el archivo LDIF a importar.

Ahora podemos ver, que el archivo LDIF se ha importado.