actividad 10 administraciÓn de un servidor de … · · 2013-02-04del servidor de directorio...
TRANSCRIPT
ACTIVIDAD 10
ADMINISTRACIÓN DE UN SERVIDOR DE DIRECTORIO EN LINUX
YADFARY MONTOYA HERRERA NATALIA HERNANDEZ RAMIREZ
GESTIÓN DE REDES DE COMPUTADORES
ANDRÉS MAURICIO ORTIZ MORALES
FICHA 230490
SENA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
MEDELLÍN
2012
INSTALACIÓN Y CONFIGURACIÓN DEL SERVIDOR OPENLDAP
1. Antes que nada instalamos los paquetes que son necesarios
El servidor openLDAP
Cliente openLDAP
Servicio DNS # yum Install bind
Servicio DHCP # yum Install dhcp
2. Generamos un password cifrado (este usa el algoritmo SSHA) para el superusuario
del servidor de directorio open LDAP, para esto digitamos slappasswd
3. Modificamos el archivo LDIF para la configuración global del servidor openLDAP.
4. Una vez estemos allí editamos el archivo #nano olcDatabase\=\{0\}config.ldif
4onfiguramos los siguientes parámetros:
El DN del administrador
El password encriptado que configuramos en el paso 2.
Para hacer la prueba se usa el cliente openldap ldapsearch y realizamos una
búsqueda en el directorio que incluya todas las entradas (una vez estén correctamente configuradas), incluyendo la configuración del servidor.
5. Editamos el archivo olcDatabase={2}bdb.ldif y modificamos los siguientes
parámetros para el administrador de la base de datos:
olcSuffix: Este parámetro indica el nodo raíz o sufijo de la base de datos, esto es, el
nodo sobre el cual será derivada toda la información, en este caso se refiere al componente de dominio o sufijo DNS abcnatayadfa.com (dc=abcnatayadfa, dc=com)
olcrootdn: Es un tipo de cuenta que existe en el servidor de directorio y que
generalmente tiene acceso total a todos los datos en el servidor. Debe especificarse el el nombre distinguido (DN) del administrador (cn=admin, dc=abcnatayadfa, dc=com)
olcrootpw: Es el password del root del servicio de directorio (rootdn). Observe que se escribió el password obtenido con el comando slappasswd (Paso 2). No se recomienda usar el password en texto plano.
Ahora iniciamos el servicio # service slapd start
6. Con la configuración inicial, el openLDAP no tiene entradas (objetos) en la base de datos creada para el sufijo dc=abcnatayadfa, dc=com, por esta razón es necesario
ingresar por lo menos una entrada padre en la que se especifique el componente de dominio. Para ello creamos un archivo con la extensión .ldif que contendrá c/u de las unidades organizativas (lo editamos). # nano unidadorganiza.ldif
NOTA: Este archivo, escrito en formato LDIF, crea 11 entradas:
• Una entrada padre en la que se define el componente de dominio y la organización • Una unidad organizativa llamada dirección general • Una unidad organizativa llamada sistemas • Una unidad organizativa llamada logística • Una unidad organizativa llamada compras • Una unidad organizativa llamada marketing • Una unidad organizativa llamada dirección comercial • Una unidad organizativa llamada comerciales internos • Una unidad organizativa llamada comerciales externos • Una unidad organizativa llamada dirección técnica • Una unidad organizativa llamada dirección financiera Si desea crear más unidades organizativas puede usar el ejemplo como plantilla
CONFIGURACIÓN DEL CLIENTE LDAP
Editamos el archivo de configuración /etc/openldap/ldap.conf y modificamos los siguientes parámetros:
Dominio
URI (Identificador uniforme de recurso) se recomienda poner el FQDN en vez de la dirección IP, pero con cualquiera es funcional. Es necesario para que el cliente LDAP se conecte con el servidor de directorio.
AÑADIR LA ENTRADA AL DIRECTORIO # ldapadd -x -D ‘cn=admin,dc=abc,dc=com’ -W -f unidadorganiza.ldif
x: Se usará autenticación simple, en vez de SASL D: Se usa el nombre distinguido (DN) del usuario que tiene permisos para agregar
entradas W: Se pedirá al usuario que ingrese su password una vez se emita el comando (No confundir esta opción con w minúscula) f: A continuación debe especificarse como parámetro el nombre del archivo LDIF
HACER CONSULTA DE ENTRADA AL DIRECTORIO
AGREGAR USUARIOS A LA BASE DE DATOS LDAP
Crear un usuario en el directorio LDAP Hasta ahora solo se han creado entradas de unidades organizativas y la entrada padre unidadorganiza.ldif, ahora se crearán usuarios. Para ello creamos un archivo con extensión .ldif en donde alojaremos los 2 usuarios de cada OU.
Los atributos de cada usuario serán los siguientes:
NOTA:
DN del objeto es uid=usuario1,ou=direccióngeneral,dc=abcnatayadfa,dc=com
Para este objeto se usaron las clases de objetos predefinidas en los esquemas (posixaccount, person, inetorgPerson). La razón por la cual se usan estas
clases tiene que ver con el tipo de atributos que tendrá el objeto. En este caso el objeto va a tener un password encriptado (userPassword), uid, cn, una shell por defecto (/bin/bash), unas opciones para la cuenta, uidNumber, gidNumber, un directorio particular (/home/usuario1) y una descripción gecos.
El password se genera para c/u usuario como se hizo en el paso 2, usando el comando slapdpasswd.
Si desea agregar más usuarios no olvide cambiar los siguientes atributos: uid, cn, uidNumber, gidNumber
AGREGAR ENTRADAS AL DIRECTORIO # ldapadd -x -D ‘cn=admin,dc=abcnatayadfa,dc=com’ -W -f file.ldif
AGREGAR GRUPOS A LA BASE DE DATOS LDAP
Creamos un archivo group.ldif para cada OU.
Editamos c/u de los archivos creados con las siguientes líneas.
AGREGAR ESTA ENTRADA AL DIRECTORIO # ldapadd -x -D ‘cn=admin,dc=abcnatayadfa,dc=com’ -W -f group.ldif
REALIZAR CONSULTAS A LA BASE DE DATOS LDAP
Consulte todos los objetos de la estructura LDAP
CONFIGURAR LA AUTENTICACIÓN DE USUARIOS
Ejecutamos el comando # authconfig-tui
Habilitar autenticación LDAP
Configurar el cliente LDAP para la autenticación
Verificamos que el usuario haya sido habilitado para la autenticación.
ADMINISTRACIÓN GRÁFICA DE OPENLDAP
Herramientas:
Apache Directory Studio (Java)
Luma
INSTALACIÓN DE APACHE DIRECTORY STUDIO 1. Instalar el entorno java jdk en su versión más reciente
2. Vamos a la página http://directory.apache.org/studio/downloads.html y seleccionamos descargas para Linux
3. Seleccionamos la opción resaltada
4. Una vez descarguemos el paquete lo copiamos en el escritorio. El programa no
requiere instalación, solo será necesario descomprimir el archivo con extensión tar.gz en algún directorio de binarios. En mi caso lo voy a descomprimir en el directorio /usr/bin
5. Descomprimimos el archivo con el comando # tar xvzf ApacheDirectoryStudio-linux-x86-1.5.3.v20100330.tar.gz
Para abrir el Apache Directory studio digitamos el comando ./ApacheDirectoryStudio
Se abrirá una ventana de bienvenida y el panel de administración
ADMINISTRACIÓN DE LDAP USANDO APACHE DIRECTORY SERVER
Se realiza la conexión al servidor de directorio local por el puerto por defecto (389)
Configuramos los parámetros rootdn y rootpw que fueron ingresados en el
archivo de configuración /etc/openldap/slapd.conf clic en Finish.
Visualizar las entradas del directorio (Objetos creados) usando el LDAP BROWSER.
Como se supone que anteriormente se agregaron entradas a la base de datos LDAP importando desde archivos LDIF, se observarán dichas entradas en modo gráfico. En esta caso particular se tienen: Una entrada padre (dc=abcnatayadfa,dc=com) y un usuario que pertenece a este primer objeto (uid=usuario23).
Con una de las herramientas que instaló, cree de manera gráfica las unidades organizativas Web y comercio electrónico y Post-venta y RMA y agregue 2 usuarios por cada departamento.
Creamos una nueva entrada
Click en Next.
Seleccionamos el tipo(s) de objeto(s) necesarios para la entrada, como vamos a crear las OU Web y comercio electrónico y Post-venta y RMA seleccionamos top y organizationalUnit y las agregamos (Add),click en Next.
Seleccionamos la ubicación padre en la cual ubicaremos la unidad organizativa (Browse). En la imagen se muestra que la unidad organizativa será creada una rama
debajo de la entrada padre (dc=abcnatayadfa, dc=com). Adicionalmente se definen 2 atributos:
RDN: ou = Nombre de la unidad organizativa DN: ou=Web y comercio electrónico,ou=dirección general,dc=abcnatayadfa,dc=com
Resumen de los atributos de la unidad organizativa.
Pasamos a crear los 2 Usuarios para la OU Web y comercio electrónico pero llevamos a cabo el mismo proceso para crear los usuarios de OU Post-venta y RMA.
Nos posicionamos sobre la OU creada (Web y comercio electrónico) y damos click
derecho sobre ella para crear una nueva entrada.
ADMINISTRACIÓN GRÁFICA DE OPENLDAP CON LA HERRAMIENTA LUMA
Con una de las herramientas que instaló, cree de manera gráfica las unidades
organizativas Diseño grafico y Area de montaje y agregue 2 usuarios por cada departamento.
Antes de levar a cabo la instalación de la herramienta Luma debemos descargar los siguientes paquetes pues son requerimientos.
Phython
Phython-ldap
Jdk
Qt
Gcc-C++ Descargamos luma de la página http://sourceforge.net/projects/luma/files/luma/2.3/luma-2.3.tar.bz2/download
Descomprimimos el archivo tar -xjvf archivo.tar.bz2
Abrimos luma
Addressbook: Libreta de direcciones Admin utilities: Utilidades de administración Browser: Navegador y editor LDAP Massive user creation: Creación masiva de usuarios Schemabrowser: Navegador de esquema de directorio Search: Búsquedas Templates: Plantillas Usermanagement: Administración de usuarios
El primer paso al comenzar a usar la herramienta debería ser configurar la conexión al servidor o servidores LDAP a los que se desea acceder. Para ello es necesario seleccionar en el menú superior Preferencias → Editar la lista de servidores, o bien pulsamos la combinación de tecladoCTRL+E
Pulsamos el botón Añadir situado en la parte inferior pues la aplicación requerirá un
nombre para denominar al nuevo servidor.
Una vez definido el nombre, aparecerán en el formulario las opciones para la configuración de los siguientes parámetros.
Hostname: Nombre o dirección IP del servidor LDAP. Puerto: A través del cual se producirá la comunicación. En la mayoría de las ocasiones
será por el 389 o por el 636, este último en el caso de utilizar securización. Encriptación: Tipo de encriptación (si se usa) con el que se realizará la comunicación: Sin encriptación, TLS, SSL.
El siguiente paso lleva a configurar los datos de autenticación con los que se llevará a cabo la conexión.
En el bloque de opciones LDAP se puede configurar la posibilidad de seguir posibles referencias a otros LDAP y el sufijo o DN base del directorio, teniendo así la posibilidad de acotar el acceso al mismo.
Nombre de la OU
Damos click sobre la hoja con el lápiz que se encuentran al final de cada línea de los atributos para editar la configuración.