OpenLDAP. Samba como controlador de dominio en

GNU/LINUX

Unidad Trabajo nº 3

David García Fernández

2

Introducción. OpenLDAP.• OpenLDAP es una implementación libre y de

código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP.

• El software está presente en muchas de las distribuciones GNU/Linux, BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows y z/OS.

Componentes. OpenLDAP

Básicamente, OpenLDAP posee tres componentes principales:slapd - Dominio de servidor y

herramientas. Bibliotecas que implementan el protocolo

LDAP. Programas cliente: ldapsearch, ldapadd,

ldapdelete, entre otros.

3

Arquitectura. OpenLdap

Históricamente la arquitectura del servidor OpenLDAP fue dividida entre: una sección frontal (Frontend) que maneja las conexiones

de redes y el procesamiento del protocolo, y un base de datos en segundo plano (backend) que trata

únicamente con el almacenamiento de datos.

La arquitectura es modular y una variedad de backends está disponible para interactuar con otras tecnologías, no sólo bases de datos tradicionales.

4

Arquitectura. OpenLdap

Overlays:El procesamiento de una petición LDAP sigue los siguientes pasos:

La petición LDAP es recibida por el frontend, decodificada y luego transferida a un backend para procesamiento. Cuando el backend completa la petición, devuelve un resultado al frontend,

quien luego envía el resultado al cliente LDAP.

Un overlay es una pieza de código que puede ser insertada entre el frontend y el backend.

Es entonces capaz de interceptar peticiones y lanzar otras acciones en ellas antes de que el backend las reciba, y puede también actuar sobre los resultados del backend antes de que éstos alcancen el frontend.

Los Overlays tiene acceso completo a las interfaces de programación (APIs) internas del servidor slapd, y por tanto pueden invocar a cualquier función del frontend o de los backends.

5

Instalación. OpenLDAPPara instalar OpenLDAP es necesario ejecutar el siguiente comando con privilegios de administrador:

apt-get install slapd ldap-utils.

En el proceso de instalación nos preguntará la contraseña que queremos darle al administrador del directorio LDAP.

6

Configuración. OpenLDAPPara configurar OpenLDAP es necesario ejecutar el siguiente comando con privilegios de administrador:

dpkg-reconfigure --priority=low slapd.

Este comando lanzara por pantalla una serie de preguntas y generará los ficheros de configuración.

Hay que mencionar que las últimas versiones de OpenLDAP carecen del fichero de configuración slapd.conf ya que lo integran todo dentro de la base de datos.

El proceso continua realizando la configuración del servidor a través de nombres de: nombre del dominio DNS y el nombre de la organización para generar la base del directorio LDAP.

Selección del motor de Base de Datos: En este apartado se selecciona HDB ya que es más flexible a la hora de cambiar atributos.

7

Configuración. OpenLDAPBorrado de la base de datos cuando se desinstale el servidor (purgar el paquete slapd) => No se debe borrar.

Mover los datos entre bases de datos antiguas. => Se debe permitir.

Permitir el protocolo LDAPv2 => No permitir.

8

Práctica

Instala y configura OpenLDAP sobre una máquina virtual de Ubuntu.

9

Espacio de NomenclaturaEl directorio está formado por una serie de entradas que referencian univocamente a un objeto. Un objeto puede ser un nombre dns, una máquina, una impresora, un usuario, un grupo etc.La estructura de árbol resultante se llama un árbol de información de datos (DIT) . La parte superior del árbol se conoce comúnmente como la raíz (base o sufijo).Una entrada es una colección de atributos que tienen un único y global Nombre Distinguido (DN). Cada entrada está compuesta (instanciada) por uno o más objectClasses . Y son estas Objectclasses las que contienen el modelo de atributos . Los atributos tienen nombres y valor.

10

Espacio de Nomenclatura

11

Espacio de NomenclaturaLDAP Archivos de intercambio de datos (LDIF) Para la definición de entradas es común utilizar los archivos LDIF LDIFs son archivos de texto que describen la jerarquía de árbol y los

datos que se añaden a cada atributo. # esi.es Dominio principal

dn: dc=esi,dc=esobjectClass: topobjectClass: dcObjectobjectClass: organizationo: Ciclo Grado Medio Institutodc: esi

# Manager, esi.es. Administrador del dominiodn: cn=Manager,dc=esi,dc=esobjectClass: topobjectClass: organizationalRolecn: Manager

12

Espacio de NomenclaturaUna vez definido el árbol de datos en un fichero LDIF. Podemos gestionarlo a través de los comandos:

ldapadd ldapdelete ldapmodify ldapsearch

Ejemplo: Utilizando ldapsearch visualiza el árbol de datos que la instalación de OpenLDAP crea.

Ayuda: http://www.zytrax.com/books/ldap/ch14/

13

Práctica Crear una estructura LDAP para autentificar usuarios:Crea un fichero ldif con la siguiente estructura Dominio Raiz

Unidad Organizativa ou = people Usuarios = 2asir, 1asir, 1smr, 2smr, administrador

Unidad Organizativa ou = groups Grupo = alumnos

Unidad Organizativa ou = hosts Equipos = pc1 …. Pc15

Volcar el fichero ldif al directorio: Parar el servicio OpenLDAP: /etc/init.d/slapd stop Añadir el fichero al directorio: slapadd (opciones) fichero.ldif Arrancar el servicio: /etc/init.d/slapd start

Verificar los objetos creados: ldapsearch (opciones)

14

PrácticaInstalar las librerías de autentificación LDAP: libnss.-ldap y libpam-ldap En el proceso de instalación preguntará por la dirección de nuestro servidor de

directorio: Ldap://127.0.0.1

Pedirá además: Nombre distinguido de nuestra raiz de arbol, versión del protocolo y usuario administrador de la cuenta LDAP.

Una vez instaladas debemos configurar los ficheros /etc/ldap.conf nss_base_passwd ou=…, dc=… ?sub nss_base_shadow ou=..., dc = … ?sub nss_base_group ou=…, dc=… ?sub nss_base_hosts ou=..., dc = … ?sub

y /etc/nsswitch.conf passwd: compat ldap group compat ldap shadow compat ldap hosts files dns ldap

15

PrácticaLe aplicamos las contraseñas a los usuarios:

ldappasswd (opciones)

Comprobamos la conexión de los usuarios, por ejemplo, desde ssh => putty => desde un Windows XP virtual.

16

Bibliografía.

http://es.wikipedia.org/wiki/OpenLDAP

http://wiki.dolibarr.org/index.php/Instalar_y_configurar_OpenLDAP

http://www.adminso.es/index.php/OpenLDAP_Ejemplo_de_configuraci%C3%B3n_de_un_servicio_de_directorio_con_openLDAP#Crear_la_estructura_del_servicio_a_partir_de_un_fichero_LDIF

http://www.adminso.es/index.php/OpenLDAP_Configuraci%C3%B3n

http://www.zytrax.com/books/ldap/ch14/

http://informatica.iescuravalera.es/iflica/gtfinal/libro/c4659.html

17