Embed Size (px)
DESCRIPTION
INSTALACIÓN Y ADMINISTRACIÓN DE UN SERVIDOR DE DIRECTORIO (OPENLDAP 2.4) EN CENTOS 6.2
Citation preview
ADMINISTRACIÓN DE UN SERVIDOR DE DIRECTORIO (OPENLDAP 2.4)
EN CENTOS 6.2
POR:
Anderson Herrera Duran
http://andersongestionredes.blogspot.com/
INSTRUCTOR:
Mauricio Ortiz
22/09/12
TABLA DE CONTENIDO
OBJETIVOS………………………………………………………………………….1
INTRODUCCIÓN…………………………………………………………………….2
INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO………………………….3,4,5
CREANDO LA ESTRUCTURA ORGANIZATIVA………………………………..6,7
HACER TEST DE LA CONFIGURACIÓN………………………………………..8
AGREGAR ENTRADAS…………………………………………………………….9
CLIENTE OPENLDAP………………………………………………………………9
CONFIGURACIÓN USUARIOS…………………………………………………...10,11
AÑADIR USUARIOS……………………………………………………………….11
AUTENTICACION BÁSICA…………………………………………………………12
BUSQUEDAS………………………………………………………………………..13-19
MODIFICAR ATRIBUTOS………………………………………………………….20,21,22
BORRAR ENTRADAS………………………………………………………………23
INSTALACIÓN Y ADMINISTRACIÓN PHPLDAPADMIN……………………….23-32
INSTALACIÓN Y ADMINISTRACIÓN APACHE DIRECTORY STUDIO………32-46
CREAR LOGS OPENLDAP………………………………………………………...47,48
ACL CONTROL DE ACCESO……………………………………………………..48,52
CONCLUSIONES…………………………………………………………………...53
1
OBJETIVOS
Este trabajo se hace con el fín de adquirir conocimientos y posteriormemte afianzarlos, sobre lo
que ses todo el proceso desde la instalación hasta la administración de un servicio de directorio
en Linux, en este caso se instalará el servidor openldap version 2.4 en Centos 6.2.
Para la administración del directorio se implementara´n herramientas gráficas, las cuales harán
que la gestión del directorio se haga de forma mas amigable y sencilla.
Evidenciar todo el proceso de instalación y administración del openldap, para posteriormente
crear un manual, el cual servira de ayuda al publico que desee conocer hacerca del tema o
resolver dudas.
2
INTRODUCCIÓN
El servidor openldap se hace a traves de un “proyecto OpenLDAP”, el cual es un esfuerzo de
colaboración para desarrollar un sistema robusto, de grado comercial, totalmente equipado y de
código abierto suite de LDAP de aplicaciones y herramientas de desarrollo. El proyecto está
gestionado por una comunidad mundial de usuarios que utilizan Internet para comunicarse,
planear y desarrollar la Suite OpenLDAP y su documentación correspondiente.
En este manuel se instalará en openldap 2.4, el cual es diferente a los otros, este openldap trae
los archivos de configuración por separado, tiene algunas mejoras, tales como hacer cambios sin
necesidad de reiniciar el servicio, en algunos casos y dependiendo de las cualidades de la
máquina en la cual se este mplementando el servicio estos cambios pueden llegar a ser
demorados, por lo cual se debe reiniciar el servicio.
3
Para iniciar con el proceso de implementación de directorio en Centos, primero procederemos a
instalar los paquetes necesarios, en este caso esta máquina sera servidor y a la ves cliente
openldap, hay que tener en cuenta que ya debemos tener previamnte el servidor DNS, instalado y
configurado de forma correcta.
Ahora iremos a la configuración principal del servidor openldap, “/etc/openldap/slap.d/cn=config/”,
primero generaremos una contraseña, con el generador de contraseñas {SSHA}, para esto
digitamos el comando “slappasswd”, lo cual lo que hace es encriptar una palabra, en este caso
una contraseña.
4
Ahora vamos a la configuración principal del openldap, modificamos el “olcRootDN”, y el
“olcRootPW” (allí ponemos la clave que generamos con el slappasswd), con este archivo de
configuración, es suficiente para trabajar con el openldap.
Ahora iremos a otro archivo de configuración secundario, al {2}dbd, y allí pondremos el
“olcRootDN”, y al “olcRootPW”, ponemos la misma clave que pusimos en el archivo de
configuración principal.
5
Por último iremos al archivo {1}monitor, en el cual modificaremos el cn, y el dc.
Realizaremos una busqueda como administradores del controlador de dominio, para ver si todo
esta bien configurado.
6
Ahora, empezaremos a crear la estructura organizativa del ldap, comenzando primero por el dc
principal, y luego con las unidades organizativas.
7
Ya con esto queda lista la estructura organizativa para nuestro servidor openldap.
8
Ahora se procedera a hacer un “slaptest”, lo cual nos indicara si la configuración esta bien hecha
o no, en este caso nos dice que hace falta un arcvhivo llamada “DB_CONFIG”, para resolver esto,
primero buscaremos el archivo con el comando “find”, luego copiaremos ese archivo a la ruta que
nos indica, luego lo renombraremos y le cambiaremos el grupo propietario, para que sea ldap el
propietario con el comando “chown”.
9
Ahora agregaremos las entradas con el comando “ldapadd”, en este caso tenía un error, “Invalid
Sintax (21)”, este error era producido porque estaba dejando espacios en blanco luego de cada
línea de la configuración de la estructura organizativa, estos espacios en blanco no están
permitidos, hay que borrarlos, y solo dejar preciso el texto. Luego de esto ya se puede agregar la
estructura organizativa al servidor, si hay algún otro error, pero se alcanzan a agregar varias
unidades organizativas u otros objetos, debemos corregir el error y empezar a agregar desde
donde el archivo saco el error, puesto que no se permite agregar objetos que ya están agregados.
Ahora configuraremos el archivo del cliente openldap (/etc/openldap/openldap.conf), poniendo el
dc y el URI principal del dc.
10
Lo que sigue es agregar los usuarios, para esto generaremos una contraseña encriptada con
“slappasswd”, utilizaremos la misma contraseña cifrada para todos los usuarios.
Ahora se crearán archivos para las unidades organizativas por separado, se puede realizar
también todo junto. Las clases de objetos que se atribuiran seran poxisAccount, inetOrgPerson, y
top, estas tres clases son las primordiales.
11
Ahora se agregaran los usuarios con el comando “ldapadd”.
12
Ahora se procedera a hacer una configuración de autenticación básica, con el “authconfig-tui”.
Elegimos las opciones que el administrador desee.
Especificamos la localización del servidor y el dc principal.
13
Previamente se debera tener el DNS configurado con el nombre que utilizaremos en la dirección
del ldap, en este caso sera www.
Ahora se relazara una búsqueda a un objeto, en este caso a un usuario.
14
Ahora para probar que todo esta bien, miramos si este usuario ya tiene id.
Para que todo se haga de forma mas sencilla, podemos confidurar un alias, que es como un
especie de atajo, para la ejecución de una orden, para que el alias sea permanente, lo meteremos
al archivo bashrc.
Desde la terminal, cargamos el archivo, para que tome las actualizaciones, con el comando
“source”.
15
Luego de configurado este alias, ya no es si no poner en la terminal “b_ldap”, para que se ejecute
el comando completo de ldapsearch puesto allí.
Ahora se realizará una búsqueda en todo el árbol del servidor openldap, con el comando
“ldapsearch”.
16
También lo podemos hacer especificando la localización del host.
17
Ahora se realizará una busqueda para todo lo que halla dentro de la unidad organizativa
Comerciales Internos.
18
Realizaremos una busqueda para todo lo que halla dentro de Direccion General, con esto se
listaran todo tipo de objetos.
Ahora realizaremos una búsqueda a un host remoto, para esto especificamos con “-h” el nombre
del host remoto o la IP del host.
19
Si queremos que la búsqueda sea de forma más personalizada, añadiremos filtros a la búsqueda,
estos filtros, los filtros llevan una estructura de esta forma:
"(&(filtro0=xxx)(filtro1=xxx)(filtro2=xxx)(filtro3=xxx)…)…"
Ahora haremos una búsqueda en Dirección General que solo muestre las unidades organizativas
que hay en Dirección General.
Ahora aremos una búsqueda en la cual nos muestren solo los usuarios que hay en Sistemas.
Y si por ejemplo, hacer un filtro más especifico uso el símbolo (|), para que solo nos muestre el
usuario Richard.
Ahora listaremos solo la unidad organizativa sistemas.
20
Acá miraremos como modificar el mail y el sn (apellido), de un usuario, para esto miraremos
primero que usuarios vamos a modificar, y como esta su información actual.
21
Ahora crearemos un archivo con extención ldif, especificando que campos se van a modificar, el
atributo “uid”, no se puede modificar de esta forma.
Ahora modificamos con el comando “ldapmodify” y el nombre del archivo .ldif que contiene las
modificaciones.
22
Ahora realizamos una busqueda de un usuario modificado para verificar si las modificaciones
surtieron efecto.
Vamos a modificar el “uid”, para esto hay que crear tres archivos con extención ldif diferentes,
cada uno con la modificación del “uid”, como se muestra e la imagen con el comando “cat”, luego
de esto con el comando “ldapmodrdn”, modificaremos los usuarios. Luego buscaremos un usuario
modificado, para ver si se modifico correctamente.
23
Borraremos un usuario del directorio, con el comando “ldapdelete”, y se hace la respectiva
verificación.
El siguiente paso será implementar una herramienta gráfica (phpldapadmin) para administrar el
servidor openldap, para esto primero agregaremos un CNAME, a nuestro DNS, para acceder por
medio de un hosting virtual.
24
Ahora iremos a instalar el servidor web, y luego a configurar el host virtual.
Luego de esto procedemos a instalar el php, y luego descargamos la aplicación phpldapadmin
desde internet aca les dejo un link del cual lo pueden descargar:
http://sourceforge.net/projects/phpldapadmin/files/latest/download, en este caso esta comprimida
en zip, descomprimimos el paquete con el comando “unzip” (también podemos instalar esta
aplicación desde los repositorios epel, en este caso no se hara).
Ahora renombraremos la aplicación, para que quede en la configuración del hosting virtual.
Luego vamos al directorio config, y allí, copiaremos el archivo de configuración de ejemplo a un
archivo llamado “config.php”.
25
Luego, procederemos a entrar con la cuenta del dc, que hemos dado al servidor, especificamos el
cn, y el dc.
Ahora vamos a crear un objeto.
26
Le damos en predeterminado, para hacer las modificaciones que nosotros queramos hacerle.
En este caso agregaremos una unidad organizaiva.
27
Especificamos el RDN, debe ser “ou”, y le damos nombre a la “ou”.
Luego damos en crear objeto.
28
Si queremos podemos omitir los campos no necesarios que deseemos, eligiendo el cuadro omitir.
Ahora crearemos un objeto en Diseño Gráfico, podemos dar clic en crear objeto hijo, estando
parados en Diseño Gráfico.
29
Le damos en predeterminado.
Elegimos las clases de objetos deseadas.
30
Podemos elegir varias clases a la ves, dejando la tecla Ctrl oprimida.
Especificamos el RDN, que sea “uid”, y llenamos los campos requeridos y deseados.
31
Luego le damos en crear objeto.
Damos en cometer para crear el objeto.
32
Así creamos objetos, hasta llenar la estructura organizativa que se requiera.
Ahora vamos a instalar otra herramienta gráfica para administrar el openldap, se llama apache
directory studio, la podemos descargar de la pagina oficial
http://directory.apache.org/studio/download/download-linux.html, descargamos el paquete, y lo
descomprimimos.
Luego lo podemos renombrar para que sea mas fácil de identificar.
33
Vamos al directoro descomprimido, este directorio contiene un archivo ejecutable, si queremos
damos doble clic sobre el, o lo ejecutamos con “./” y el nombre del archivo.
Nos abre la interfaz gráfica, y vamos a donde dice nuevo, y damos clic allí.
34
Elegimos conección del ldap.
Damos el nombre de la conexión, el nombre del host, y el puerto.
35
Damos el DN de usuario, y la contraseña.
Damos nuevamente la contraseña (si nos la pide d enuevo).
36
Ahora vamos a agregar una nueva entrada.
Elegimos la opción crearla desde cero.
37
Añadimos las clases de objetos que tendrá la entrada, por defecto nos arrojara el “top”.
Damos la ruta donde será creada, especificamos el RDN, y el nombre de la unidad organizativa.
38
Si todo está bien damos en finalizar.
Ahora crearemos un usuario, para ello vamos a la unidad organizativa donde lo deseemos crear,
clic derecho, y damos en nueva entrada.
39
Crearemos una entrada desde cero.
Añadimos la clase de objetos que le daremos al usuario.
40
Especificamos el RDN y el nombre de usuario.
Llenamos los atributos correspondientes, dando doble clic sobre el registro a llenar.
41
Ahora miramos que ya la estructura organizativa queda lista.
Dando doble clic sobre el registro de un usuario, podemos modificar sus atributos.
42
Acá vemos modificando el “uid”, solo dando doble clic sobre “uid”.
Podemos verificar la contraseña, dándole doble clic en el registro de contraseña.
Si deseamos la podemos cambiar, y también cambiar el modo de encriptación.
43
Ahora se creará un archivo extensión ldif de una unidad organizativa, para importarlos desde el
apache directory studio.
Damos clic derecho desde donde queremos hacer la importación, y damos en importar.
44
Elegimos el archivo.
Vemos que ya quedo importado.
45
Ahora se creara un archivo extensión ldif con un usuario.
Ahora lo importaremos desde el apache directory studio.
46
Elegimos el archivo.
Miramos que el objeto quedo creado.
47
CREAR LOGS DE OPENLDAP
Sabemos que para el servicio openldap no hay un archivo especifico en donde queden
registrados todos sus eventos, para solucionar esto, se deberá añadir a la configuración los logs
del openldap, para llevar a cabo la implementación primero iremos a la configuración principal del
servidor openldap, con el fin de crear un archivo en desde el cual se pueda ver la información o
los logs del openldap, esto para no quedar a ciegas con el servicio.
Crearemos una olc que contenga la información de “log”, lo pondremos en nivel -1, para que
muestre todo.
48
Iremos a la configuración del rsyslog, si no está instalado lo instalamos, con “yum install rsyslog”,
allí especificaremos de que y, a donde se llevaran los logs.
Ahora reiniciamos el daemon rsyslog, y ya podemos listar los logs del openldap (utilizar los
comandos cat, tail, less) en la ruta que se puso en el archivo de rsyslog.
En otras entradas en mi blog http://andersongestionredes.blogspot.com/ están publicadas como
hacer la instalación del pam-ldap, la autenticación por consola y de forma grafica para clientes
openldap, y la instalación del 389-ds (directory-server).
Ahora luego de tener claro cómo manejar los módulos pam, puesto que para la configuración de
la ACL, necesitaremos que el openldap pueda manejar el cambio de contraseña “passwd”, para
esto iremos a editar archivo passwd, que se encuentra en el directorio /etc/pam.d, allí le daremos
información sobre el pam del ldap, para realizar esto, deberemos ya tener instalado los módulos
pam del ldap, lo cual se muestra en la entrada del blog
(http://andersongestionredes.blogspot.com/) que cual habla sobre la autenticación de clientes
openldap utilizando módulos pam ldap.
REQUERIMIENTO CONTROLDE ACCESO: Los usuarios autenticados podrán realizar cambios en cualquiera de sus entradas (Es su información personal) y podrán leer las entradas de otros usuarios pero no modificarlas. Además no se mostrará el password a ningún usuario. Pruebe esto con un usuario que no sea al administrador del servidor LDAP.
49
Este proceso se realizara en una máquina servidor openldap diferente, el dominio será
blueskillers.com
En el archivo passwd hacemos las modificaciones pertinentes al pam-ldap, esto para poder
cambiar las contraseñas de los usuarios openldap.
Luego de esto vamos a configurar la ACL, cada “ACL” se enumerara entre llaves para poder
llevar un orden y así poderlas identificar, el proceso para implementarlas se hará agregando un
olcAccess al archivo backend del servidor openldap, el archivo backend lo podemos hacer en la
base de datos “bdb”, en este caso es la olcDatabase={2}bdb.ldif, o también podemos hacer un
archivo de base de datos por aparte y agregarlo al openldap, acá, la ACL, la configuraremos en la
base de datos bdb la cual ya está en nuestro sistema.
50
Podemos observar que hay tres acl’s, la primera no se alcanza a ver en la imagen, por lo cual
pondré las tres acl’s configuradas a continuación, y una breve explicación:
olcAccess: {0}to attrs=userPassword,gecos,mail,shadowLastChange by
dn=”cn=admin,dc=blueskillers,dc=com” write by anonymous auth by self write by * none esta
acl me permite a los atributos puestos, ser escritos y por defecto leídos por el administrador y por
la misma persona que esta logueada, permite la autenticación anónima, de resto no se permite
nada a nadie más.
olcAccess: {1}to dn.base=”” by * read esta acl, me permite filtrar la información, que en la
anterior acl logró pasar, puesto que las acl’s funcionan de esa forma, acá se crea un filtro para
que todos puedan leer cualquier dn, pero sin olvidar las restricciones de la anterior acl.
olcAcess: {2}to * by dn=”cn=admin,dc=blueskillers,dc=com” write by * read en esta acl, se
generalizo el acceso a escritura por el administrador, puesto que las acl’s se ordenan desde la
más específica hasta la más general, en esta se está poniendo que para cualquier cosa el
administrador puede escribir, y que el resto puede leer, esto teniendo en cuenta el filtro de la
primer acl.
Con esto ya configurado, ahora podemos reiniciar el servicio openldap (service slapd restart), y
luego probar dichas configuraciones.
Primero se hará una búsqueda logueandonos con el usuario del openldap mortiz, como vamos a
consultar el uid del mismo mortiz, nos debe mostrar la contraseña encriptada.
51
Ahora se procederá a hacer una búsqueda logueandonos como el usuario del openldap mortiz,
pero en este caso buscaremos el uid de otro usuario “ander1”, por lo cual no nos deberá mostrar
los atributos especificados en la acl.
Ahora miraremos si podemos cambiar la contraseña de un usuario ldap, entramos con “su -
mortiz”, mortiz un usuario ldap previamente creado, de esta forma nos debe llevar al directorio
principal, probamos esto con el comando “pwd”, vemos que ya está en su home, luego con el
comando “passwd”, veremos si podemos cambiar la contraseña, damos la contraseña actual que
tiene el usuario, y luego ponemos una contraseña nueva, vemos que ya funciona.
52
Con el comando “env”, podemos observar las variables de entorno definidas para este usuario.
53
CONCLUSIONES
Luego De la implementación del servicio de directorio openldap 2.4, se puede llegar a la
conclusión, que este es un buen software, tiene buena robustez, con capacidad empresarial.
Las herramientas gráficas tales como el phpldapadmin, o el apache directory studio, son muy
buenas plataformas a la hora de llevar una buena administración de todos los datos, incluidos
usuarios, grupos, atributos y demás objetos que hacen parte del openldap.
Las búsquedas de openldap, son una herramienta muy importante a la hora de llevar a cabo
consultas, por esto es muy importante tener claro como poder realizar diferentes tipos de
búsquedas en el directorio.
Para que el servicio de directorio sea más seguro, y contenga políticas de seguridad requeridas,
se implementan las “ACL”, las cuales sirven para controlar como los usuarios y administrador
acceden a la información y datos del directorio.
Para llevar a cabo la implementación de los controles de acceso, se tuvo que proceder a
implementarlas por medio de un método de ensayo-error, para que los requerimientos pudieran
ser acobijados completamente.
El proceso de implementación de las “ACL”, se lleva a cabo en los backend del directorio del
LDAP, estas listas de control al acceso de la información se llevan a cabo en un orden específico,
y además se deben implementar comenzando desde la más específica, y terminando por la más
general para de esta forma poder realizar un exitoso filtrado de todo el control que se desee
realizar.
