TALLER OPENLDAP EN CENTOS 6

REALIZADO POR: CHRISTIAN AMAYA GMEZ

GRUPO 175666

INSTRUCTOR FELIPE LONDOO

SERVICIO NACIONAL DE APRENDIZAJE SENA MEDELLIN 2011

OPENLDAP OpenLDAP es una implementacin libre y de cdigo abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. Est liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicacin independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software tambin corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista), y z/OS.

INSTALACION DE OPENLDAP EN CENTOS 6 Lo primero que debemos hacer es actualizar el equipo. Para ello, accedemos a la terminal, nos logueamos como root y luego escribimos: # yum update. Luego debemos copiar el siguiente comando, para instalar servicio openldap cliente y servidor. Luego esperamos a que se instalen los paquetes necesarios, y listo!, ya qued instalado.

PLANTEAMIENTO DEL PROBLEMAProcedimiento 1: Administracin de openLDAP1. A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio sern usados como usuarios de correo

electrnico). Para esto cree un archivo LDIF con todas las unidades organizativas de cada departamento excepto los departamentos Web y comercio electrnico, Diseo grafico, rea de montaje y Post-venta y RMA. Luego importe las entradas al directorio. R=/ Lo primero que hacemos para poder usar openldap, es configurar los siguientes archivos: slapd.conf, y ldap.lconf. En slapd.conf, modificar el suffix, colocando all el dominio que voy a usar; en rootdn, colocar el administrador del dominio; y descomentamos la lnea en rootpw para colocar all la contrasea cifrada del administrador de LDAP.

Para poder hacer la contrasea cifrada, solo debemos copiar el comando slappasswd y copiar la contrasea que queramos. Luego nos generar la contrasea. As:

En el archivo ldap.conf, debemos colocar en BASE el dominio que estamos usando y en el URI copiamos la direccin IP esttica de nuestra interfaz de red.

Ademas debemos copiar el archivo DB_CONFIG.example, a la carpeta /var/lib/ldap, con el nombre de DB_CONFIG. Us el comando find para poder encontrar el archivo original, que no saba dnde estaba ubicado. Despus asignar el grupo ldap al archivo DB_CONFIG. Posteriormente iniciamos el servicio openldap con el comando service slapd restart.

Luego debemos configurar el authconfig. Para ello debemos escribir en la consola de comandos lo siguiente: authconfig-tui

Ahora habilitamos lo siguiente: utilizar LDAP, utilizar contraseas MD5, utilizar contraseas ocultas, utilizar autenticacin LDAP. Todo esto es para poder que openLDAP se pueda autenticar con la contrasea de administrador.

Luego copiamos la direccion del servidor ldap, en este caso es la direccion del localhost, o sea, la direccin IP 127.0.0.1. Posteriormente copiamos el dominio que vamos a usar, en este caso es el dominio abc25.com. (dc=abc25,dc=com).

Despus de haber configurado openldap correctamente, procedemos a crear el archivo ldif con las unidades organizativas que vamos a crear. Para ello creamos un archivo.ldif, en este caso voy a usar abc25.ldif. En este archivo colocamos primero el nombre del dominio y luego creamos las unidades organizativas segn el orden de ms importancia, as: Primero el dominio abc25.com, luego direccin general, y luego el resto de subunidades organizativas.

Despus de haber terminado de crear el archivo ldif, procedemos a agregarlo a la base de datos. Para esto, solo basta con escribir el siguiente comando ldapadd. -x: sirve para la autenticacin simple. -D: Cuando se autentica con un directorio, permite especificar la entrada binddn.

-W: se necesita copiar la contrasea de administrador de openldap, para la entrada que vamos a agregar. -f: ejecuta la sentencia de bsquedas archivadas en el archivo especificado.

2.

Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada unidad organizativa. Luego agregue las entradas al directorio.Cada usuario se identificar por un uid. Los atributos obligatorios de cada usuario sern: username common name Apellido Shell por defecto numero de uid numero de gid Directorio particular Password del usuario Correo electrnico

R=/ Procedemos a crear los usuarios, y para ello creamos un archivo ldif con el nombre que queramos, en este caso voy a usar usuariossistemas.ldif.

Luego, hacemos lo mismo con el resto de usuarios que deseamos crear.

Despus de crear los archivos, procedemos a agregar los usuarios a la base de datos de openldap. Para ello procedemos a copiar el siguiente comando. ldapadd x D cn=admin,dc=abc25,dc=com W f nombre del archivo que queramos agregar.ldif -x: sirve para la autenticacin simple. -D: Cuando se autentica con un directorio, permite especificar la entrada binddn. -W: se necesita copiar la contrasea de administrador de openldap, para la entrada que vamos a agregar. -f: ejecuta la sentencia de bsquedas archivadas en el archivo especificado.

3.

Realice consultas a la base de datos LDAP con la utilidad ldapsearch. Consulte todos los objetos de la estructura LDAP Busque todos los objetos pertenecientes al departamento Comerciales internos Busque todos los objetos pertenecientes a la direccin general Busque todos los objetos de comerciales internos del directorio de uno de sus compaeros. Recuerde que es otro host y otro dominio. NOTA: Use el comando man para obtener informacin del comando ldapsearch.

R=/ Buscamos en la base de datos de openldap, para ver si ya se agregaron las entradas ldif. Para ello procedemos a escribir el siguiente comando ldapsearch.

-h: Conecta al servidor LDAP en la direccin especificada. El valor por defecto es localhost. -x: sirve para la autenticacin simple. -b: Especifica el DN base para las bsquedas.

En este caso estamos buscando todas las entradas que se hicieron (desde la raz, o sea, el dominio abc25.com).

Ahora buscamos todas las entradas que se hicieron especficamente en la unidad organizativa direccin general.

Ahora vamos a buscar solo las entradas que se hicieron a la subunidad organizativa llamada comerciales internos, que est dentro de la unidad direccin comercial, y sta est dentro de la unidad organizativa y principal, llamada direccin general. Adems, todas estas unidades organizativas se encuentran dentro del dominio abc25.com.

Ahora voy a buscar las entradas que hizo otro equipo remoto que est en red con mi equipo. Para ello solo debemos especificar la direccin IP del equipo remoto, adems colocar el nombre exacto de la unidad organizativa y el dominio que se usa en ese equipo (dominio del equipo remoto es: abcdeye.com). Esto se hace de la siguiente manera.

4.

Modifique los siguientes atributos de por lo menos 3 usuarios El apellido Correo electrnico DN

R=/ Modificar el apellido y el mail es muy sencillo, lo nico que debemos hacer es modificar el archivo original y luego escribimos el comando ldapmodify. Este comando permite cambiar, aadir o borrar atributos de usuarios, unidades organizativas, etc. Por el contrario, para cambiar el DN, debemos crear un nuevo archivo, y en l se debe especificar el DN exacto del usuario que deseamos modificar y posteriormente colocar el uid por el que vamos a cambiar el archivo. Sin entrar en ms detalle, empecemos a modificar primero el apellido y el mail. En este caso se modificaran tres usuarios: El usuario David rua se modificar por el nombre David villa. El usuario Daniel torres se modificar por el nombre Daniel nesta.

Ahora modificar el usuario Andrs Arango por el nombre Andrs Vergara.

Ahora para poder agregar las entradas a la base de datos, procedemos a copiar el comando ldapmodify x D cn=admin,dc=abc25,dc=com W f archivo que deseamos modificar.ldif Primero voy a agregar las modificaciones que se hicieron a los usuarios de la unidad organizativa compras.

Seguidamente, agregar las modificaciones de los usuarios de unidad organizativa sistemas.

Luego voy a modificar el DN de tres usuarios. Para ello crear 3 nuevos archivos de la siguiente manera.

Posteriormente, escribir el comando ldapmodrdn, que sirve solo para modificar el DN de cualquier usuario, y luego escribo ldapsearch para verificar si el cambio que hice, surti efecto en la base de datos de LADP, as:

5.

Elimine del directorio un usuario del departamento de direccin tcnica.

R=/ Para ello, solo basta con colocar el comando ldapdelete. Primero, escribo ldapsearch para poder mirar el usario que voy a eliminar y luego vuelvo a buscar con ldapsearch, para verificar si surtieron los cambios realizados en la base de datos LDAP.

Procedimiento 2: Administracin grfica de openLDAP 1. Instale dos herramientas grficas de administracin LDAP. Recuerde que independiente de la implementacin del servicio LDAP que haya elegido, es posible usar cualquier cliente LDAP, incluyendo las herramientas grficas. He aqu un listado de algunas de ellas: Phpldapadmin (Web) Apache Directory Studio (Java) Jxplorer (Java)

Luma Kldap LDAP Admin Tool (Privativo) R=/ Instalar 2 herramientas grficas de administracin de LDAP. La primera ser PHPLDAPADMIN, y la segunda ser Apache Directory Studio. INSTALACION DE PHPLDAPADMIN. Empezamos descargando el archivo phpldapadmin, en la version mas reciente.

Luego instalamos el servidor web. Si ya se tiene instalado, aparecer como en la imagen.

Despus de haber descargado el archivo, procedemos a copiar el archivo phpldapadmin que se encuentra en el escritorio (/home/king69c/Escritorio), a la carpeta del servidor web (/var/www/html). Luego accedemos a la carpeta /var/www/html, y all descomprimimos el archivo .tgz con el comando tar xvzf nombre del archivo.tgz.

Ahora, procedemos a ingresar a la carpeta que se ha creado (phpldapadmin-1.2.2); all renombramos el archivo config.php.example como config.php, que est dentro de la carpeta config. Luego editamos el archivo config.php, en el cual copiamos en la lnea 293, como aparece en la imagen.

Luego editamos el archivo httpd.conf que se encuentra en la ruta /etc/httpd/conf/. Alli configuramos nuestro servidor web como lo requeramos. En mi caso la ruta del phpldapadmin, se encuentra en /var/www/html/phpldapadmin-1.2.2, Y el virtualhost, lo dejamos por defecto, el cual usar la IP 127.0.0.1.

Ahora reiniciamos el servicio web para que surtan las modificaciones anteriormente realizadas.

Luego abrimos el navegador web, en mi caso mozilla firefox, all escribimos http://localhost y damos enter. Seguidamente debe aparecerles una pgina como la siguiente.

INSTALACIN DE APACHE DIRECTORY STUDIO Empezamos instalando la ltima versin de java.

Luego descargamos la ltima versin de Apache Directory Studio, desde su pagina oficial.

Posteriormente descomprimimos el archivo descargado en la carpeta /usr/bin/apacheds. La carpeta apacheds no existe, as de que se crear.

La carpeta se crea con el comando mkdir (nombre de la carpeta).

Ahora basta solo con ejecutar el apache con el comando ./ApacheDirectoryStudio.. Para poder ejecutarlo, debemos estar dentro de la carpeta apache, que fue la que descomprimimos anteriormente.

Ahora damos clic en file > New

Ahora damos clic en LDAP Connection, para podernos conectar a la base de datos LDAP.

All especificamos el nombre de la conexin LDAP, y colocamos el hostname que puede ser localhost o 127.0.0.1, o la IP que estemos usando.

Ahora colocamos la ruta completa del administrador del dominio, as: cn=admin,dc=dominio,dc=com. Ahora digitamos la contrasea de administrador de LDAP.

Luego se muestra la base de datos de LDAP, que se ha creado anteriormente desde la consola.

2.

Con una de las herramientas que instal, cree de manera grfica las unidades organizativas Web y comercio electrnico y Post-venta y RMA y agregue 2 usuarios por cada departamento.

R=/ Para lo siguiente, usar Apache Directory Studio. Empezamos por darle clic derecho sobre la unidad organizativa principal del dominio y luego crear nueva entrada.

Luego seleccionamos create entry y clic en next.

Luego seleccionamos organizationalUnit en la parte izquierda y damos clic en Add.

Luego colocamos el RDN, en este caso es el ou(unidad organizativa) y luego el nombre que le vamos a dar a la nueva unidad organizativa. Clic en next.

Y con eso terminamos el proceso de la creacin de la unidad organizativa.

Ahora procedemos a crear un nuevo usuario dentro de la unidad organizativa que se acaba de crear. Para ello damos clic derecho sobre ella, y damos clic en nueva entrada.

Luego seleccionamos create entry, clic en next.

Ahora seleccionamos del panel izquierdo los siguientes objetos, y damos clic en Add.

Ahora en el RDN, seleccionamos uid (usuario) y luego su nombre. Clic en next.

Ya se ha terminado la creacin del usuario, y debe quedar algo parecidoas:

El resto de usuarios, y la otra unidad organizativa, se cre de la misma manera que se explic anteriormente. Aqu muestro la creacin de todo listo.

3.

Con una de las herramientas que instal, cree de manera grfica las unidades organizativas Diseo grafico y Area de montaje y agregue 2 usuarios por cada departamento.

R=/ Para lo siguiente, usar PHPLDAPADMIN. Primero empezamos autenticndonos en la base de datos LDAP, de la misma manera que desde la consola.

Ahora damos clic en crear nuevo objeto.

Luego seleccionamos una plantilla, en este caso usar la opcin predeterminado.

Posteriormente seleccionamos el objeto organizationalUnit, que es la directiva apropiada para la creacin de una unidad organizativa. Luego damos clic en proceder.

Ahora en RDN seleccionamos ou (unidad organizativa), luego digitamos el nombre que le vamos a asignar a la nueva unidad organizativa y por ltimo dar una breve descripcin.

Luego seleccionamos la opcin crear objeto.

Ahora seleccionamos la opcin cometer, para poder crear la unidad organizativa.

Ahora para crear el usuario, procedemos a seleccionar la unidad organizativa que se acaba de crear, y luego damos clic en crear un objeto nuevo.

Luego selecciono la opcin predeterminado.

Ahora selecciono las opciones resaltadas para poder crear el nuevo usuario. Clic en proceder.

Ahora seleccionamos en el RDN la opcin uid (usuario), y luego colocamos gid (# del grupo),es nico numero por grupo, y el uidNumber(# del usuario), es diferente para cada usuario.

Ahora damos clic en crear objeto.

Ahora damos clic en cometer, para poder crear y agregar el usuario a la base de datos de LDAP.

De esta manera se crea el resto de usuarios y unidades organizativas que nosotros requiramos. Aqu les muestro las 2 unidades organizativas creadas, con sus respectivos usuarios.

4.

Modifique la informacin de todos los usuarios del departamento de rea de montaje.

R=/ Para ello procedemos a acceder a un usuario que queramos cambiar sus datos.

Luego cambiamos los datos que queramos modificar.

Ahora muestro los cambios que acabo de hacer.

Ahora procedemos a dar clic en actualizar objeto. Con esto se logra la actualizacin de los datos en la base de datos de LDAP.

Ahora nos pide verificacin que si queremos realizar los cambios. Clic en actualizar objeto.

Lo mismo hago con este usuario que pertenece a la misma direccin tcnica. El proceso de modificacin es igual al que se hizo en el paso anterior. He aqu algunas imgenes.

5.

Muestre el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF.

R=/ Para importar un archivo ldif, basta con tenerlo creado en alguna parte del sistema y luego agregarlo a la base de datos del dominio, as: El archivo creado se llama nuevaunidadorganizativa.ldif y se encuentra en /etc/openldap/.

Ahora damos clic derecho sobre el dominio, y seleccionamos la opcin importar LDIF.

Luego en el apartado LDIF file, colocamos la ruta exacta donde se encuentra nuestro archivo LDIF. Posteriormente damos clic en Finish.

Como observamos, las unidades organizativas nuevas, se han agregado exitosamente a la base de datos LDAP dentro del dominio abc25.com.