ADMINISTRACION DE OPENLDAP

NOTA: El siguiente manual fue realizado en una maquina virtual con sistema
operativo centos

INTRODUCCION

LDAP son las siglas de Lightweight Directory Access Protocol

(en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un

protocolo a nivel de aplicación el cual permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa información en un entorno de
red. LDAP también es considerado una base de datos (aunque su sistema de
almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Utilizado para la creación y administración de directorios a bajo nivel.

NOTA: Debe desarrollar la parte 1 usando openLDAP sin entorno de

administración gráfica.

1. A partir del diagrama de la figura 1 cree una estructura LDAP en la que se

pueda englobar a todos los empleados de la empresa para poder autenticarlos
(Posteriormente los usuarios del directorio será usados como usuarios de correo
electrónico). Para esto cree un archivo LDIF con todas las unidades organizativas
de cada

2. Cree un archivo LDIF separado para cada departamento en el que especifique

por lo menos dos usuarios por cada unidad organizativa. Luego agregue las
entradas al directorio. Cada usuario se identificará por un uid. Los atributos
obligatorios de cada usuario serán:

Username
Common name
Apellido
Shell por defecto
numero de uid
numero de gid
Directorio particular
Password del usuario
Correo electrónico

3. Realice consultas a la base de datos LDAP con la utilidad ldapsearch

Consulte todos los objetos de la estructura LDAP

Busque todos los objetos pertenecientes al departamento Comerciales internos
Busque todos los objetos pertenecientes a la dirección general
Busque todos los objetos de comerciales internos del directorio de uno de sus
compañeros. Recuerde que es otro host y otro dominio. NOTA: Use el comando
man para obtener información del comando ldapsearch.

4. Modifique los siguientes atributos de por lo menos 3 usuarios

El apellido
Correo electrónico
DN

5. Elimine del directorio un usuario del departamento de dirección técnica

6. Los usuarios autenticados podrán realizar cambios en cualquiera de sus

entradas (Es su información personal) y podrán leer las entradas de otros usuarios
pero no modificarlas. Además no se mostrará el password a ningún usuario.
Pruebe esto con un usuario que no sea al administrador del servidor LDAP

PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE SERVIDOR

OPENLDAP

1. Vamos a instalar los paquetes. El servidor openLDAP y el cliente

openLDAP

2. Generar un password para el usuario root del servidor de directorio. Este

password será usado en el siguiente paso, cuando se modifique el archivo de
configuración para el openLDAP.

El password ha sido cifrado usando el algoritmo SSHA. Ese password cifrado la

vamos a copia y a pegar más adelante en el siguiente paso. Si deseas usar otro
algoritmo cifrado debe usar el comando slappasswd –h.

3. Modificar el archivo de configuración principal para openLDAP slapd.conf,

ubicado en el directorio /etc/openldap. El archivo de slapd.conf debe modificarse
para configurar las opciones de la base de datos LDAP. A continuación se
numeran cada una de las líneas que deben modificarse:

A continuación se explica el significado de cada uno de los parámetros de

configuración

Suffix= Este parámetro indica el nodo raíz o sufijo de la base de datos ósea que tu
dominio, esto es, el nodo sobre el cual será derivada toda la información, en este
caso se refiere al componente sufijo DNS tu dominio.com (dc=tudominio, dc=com)

Rootdn= Es un tipo de cuenta que existe en el servidor de directorio y que

generalmente tiene acceso total a todos los datos en el servidor. Debe
especificarse el el nombre distinguido (DN) del administrador (cn=admin,
dc=solutions, dc=com
Rootpw= Es el password del root del servicio de directorio (rootdn). Observen acá
es donde pegamos el password obtenido con el comando slappasswd.

dn: es el nombre de la entrada, no es atributo ni tampoco parte de la entrada

cn: es el nombre distinguido, nombre común

dc: es el nombre distinguido a la entrada padre donde indica el dominio seguido de

componente del dominio ejemplo dc=com.

4. Copiar la base de datos de ejemplo /etc/openldap/DB_CONFIG.example en el

directorio /var/lib/ldap. Luego se configurará al usuario ldap como propietario de
los archivos.

5. Iniciar el servicio ldap

PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE OPENLDAP

2.1 Configurar el cliente ldap. Los comandos que se muestran en los siguientes
pasos hacen parte del paquete openldap-clients. Los comandos que se usarán en
este tutorial serán ldapadd (Añadir entradas al directorio) y ldapsearch (Realizar
búsquedas en el directorio).

El cliente LDAP también tiene el siguiente archivo de configuración

/etc/openldap/ldap.conf el cual editaremos de la siguiente manera:

NOTA: Las líneas resaltadas indican el dominio y el URI (Identificador uniforme de

recurso). Es recomendable usar un nombre en el URI en vez de la dirección IP.

2.2 El openLDAP no tiene entradas (objetos) en la base de datos LDAP, por esta
razón es necesario ingresar por lo menos una entrada padre en la que se
especifique el dominio. Cree un archivo y nómbrelo como desee (Lo normal es
poner extensión .ldif, por ejemplo start.ldif: ejm

A partir aquí empezaremos a crear el árbol y haremos el organigrama

Para cada unidad organizativa crearemos un archivo con extensión .ldif pero
también se puede hacer todas las unidades organizativas en el mismo archivo que
cree start.ldif. En este caso será por separado ósea crear un archivo por cada
unidad organizativa es una forma de ser organizado.

Esto es la raíz

Dare un ejemplo crearemos 2 archivos.ldif (dirección general) y (sistemas)

Y sistemas

Explicare algunos parámetros

ObjectClass: Object

ObjectClass: Organization ------ Son los tipos de objeto que utilizaremos.

Para seguir creando la unidad organizativa (objetos) puede usar estas 2 plantillas
como ejemplo.

Vamos a agregar los objetos al directorio ldap

El comando ldapadd -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre

de Dominio,dc=Nuestro Dominio" -W -f nombre de archivo que acabamos de
crear, nos pedirá nuestro password de administrador.

Ldapadd –x –D “cn=admin,dc=maida,dc=com” –W –f Direccion.ldif

Las opciones que dimos son:

-x: Usar autenticación simple
-D: Usar el nombre distinguido de admin
-W: Pedir password
-f: Especificar el archivo desde el cual saldrá la información
Cada vez que vallamos creando un objeto lo vamos agregando

PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA BASE DE DATOS

LDAP

1. Cree un archivo LDIF separado para cada departamento en el que especifique

por lo menos dos usuarios por cada unidad organizativa. Luego agregue las
entradas al directorio. Cada usuario se identificará por un uid. Los atributos
obligatorios.
Username
Common name
Apellido
Shell por defecto
numero de uid
numero de gid
Directorio particular
Password del usuario
Correo electrónico

Mostrare un ejemplo de 2 usuarios la unidad organizativa (sistemas)

En este caso declaramos la raíz de maida.com llamada Dirección General y de
esta se desglosa otra llamada sistemas, nótese que el dn de Dirección General es
"ou=Dirección General,dc=maida,dc=com" y el de sistemas es
"ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com" esto significa que
sistemas esta dentro de dirección general, si fuéramos a declarar un objeto
llamado usuarios dentro de sistemas, deberíamos hacerlo así
"ou=usuarios,ou=Sistemas,ou=Dirección General,ou=maida,=com"

Luego Añadiremos la unidad organizativa que creamos para 2 usuarios

perteneciente a (SISTEMAS) al ldap de igual manera que añadimos la raíz. Ósea
lo que acabamos de hacer

Y nos deberá mostrar que añadimos todas las entradas satisfactoriamente.

2.
Realice consultas a la base de datos LDAP con la utilidad ldapsearch
 Consulte todos los objetos de la estructura LDAP

Utilizaremos el comando ldapsearch para buscar objetos, en este caso

buscaremos la raíz "dc=maida,dc=com"
La opción -x indica usar autenticación simple y -b la base de datos a buscar.

Busque todos los objetos pertenecientes al departamento Comerciales internos

Busque todos los objetos pertenecientes a la dirección general
2. Modificarle el atributo del user3 perteneciente a la LOGISTICA con el comando
Ldapmodify
- El apellido
-Correo electrónico

Antes
Después

En su caso seria

ldapmodify -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre de

Dominio,dc=Nuestro Dominio" -W -f el archivo a modificar.ldif

3. Elimine del directorio un usuario del departamento de dirección técnica

Fin

ELABORADO POR: Fecha 1 04 2011

José David Salazar