/ Conocer los lo s elementos y características de L D A P . / Instalar y configurar Op enL DAP . • Planificar la utilización utilización del dominio.
/ U t i l i z a r l as diferentes herramientas y utilidades del sistema.
ADMINISTRACIÓN DE S I S T E M A S O P E R A T I V O S
© RA-MA
INTRODUCCIÓN L D A P (Lightweight Directory Access Protocol) en un protocolo de aplicación que permite e l acceso a u n servicio de directorio (dominio). L o s directorios con los que trabaja LDAP son de propósito general s i bien es utilizado comúnmente para almacenar información referente a organizaciones, usuarios, redes, etc.
Los servidores servidores LD AP u t i l i z a n sistemas d e bases de datos como backend donde donde almacena r y gestionar la s entradas d el directorio. S e puede dividir el árbol de directorios en subárboles de tal manera qu e cada Servi dor L D A P controle u n subárbol por los siguientes casos:
Rendimiento. A l d i s t r i b u i r e l directorio entre varios servidores se distribuye l a carga i n d i v i d u a l de cada uno de ellos y por lo tanto se obtiene u n mayor rendi miento global. Localización Geográfica. Cada servidor puede d ar servicio a una zona geográfica diferente. Cuestiones Administrativas. Cuestiones Administrativas. Cada servidor es gestionado po r administ radores diferentes. diferentes. E n L D A P se pueden dis tin guir cuatro modelos modelos qu e representan los servicios qu e proporciona u n servidor LDAP vistos por el cliente.
E l modelo de información establece l a estructura y los tipos de datos qu e tiene el directorio: esquemas, entradas, atributos, etc. Según este modelo u n directorio está formado po r entradas entradas estructuradas e n forma de árbol. Cada entrada estará definida por un conjunto de atributos y cada atributo esta compuesto por un nombre y s u valor. E l modelo de asignación de nombres define cómo referenciar de forma única las entradas y los datos en el árbol de directorios. directorios. Cada entra da tendrá un identificador único llamado D N (Distinguished Ñame). E l D N se construye a partir de un R D N ( Relative Distinguished Distinguished Ñame) que se compone de varios atributos de la entrada, seguido de los D N de de sus ancestros. E l modelo funcional establece l as operaciones par a acceder al árbol de directorio: autenticación, solicitudes y actualizaciones.
Por último el modelo de seguridad establece los mecanismos qu e garantiza para el cliente cómo probar s u i d e n t i d a d (autenticac ión) y para e l servidor cómo controlar e l acceso (autorización).
O p e n L D A P es un a implementación implementación de código código abierto de LDAP desarrollada po r OpenLDAP Project. Las
características más destacadas de OpenLDAP son: Se dist ribu ye bajo bajo l icenc ia libre . E s multiplataforma.
Ti ene en e una un a bu ena integración con m u l t i t u d de apbcaciones, principalmente en el mundo L i n u x . Soporta IPv6, LDAPv3 y Referrals (esquema distribuido).
© RA-MA
15 •L DA P
•
Permite operaciones de publicación de esquemas antes de realizar búsquedas.
Internacionalización mediante caracteres UTF-8 y atributos de lenguaje. S o p o r t a extensiones en el protocolo y m u l t i t u d de bases de dalos como almacén de datos.
Contiene u n esquema de mapeo entre Radius y OpenLDA P. Ti en e mec anis an is mos mo s av anza an za do s de búsqueda. O p e n L D A P se puede descargar de la página web oficial http: /1www.openldap.orgI. /1www.openldap.orgI. de OpenLDAP son:
• •
componentes Lo s principa les componentes
s l a p d . E l servidor (demonio) p r i n c i p a l de L D A P slurpd. E l servidor de replicación de L DAP . Permite sincroni zar varias replicas de un servidor LDAP. E l conjunto de librerías que implementa e l protocolo LDAP. ejemplo U n conjunto de herramientas, utilidades y clientes de ejemplo (http://asg.web.cmu.edu/sasl/scuil-library. html).
INSTALACIÓN instalar OpenL DAP debe disponer de los paquetes paquetes slapd y Idap-utils, P a r a instalar Idap-utils,
e l demonio servidor d e l directorio activo respectivamente amente.. P o r defecto, se configura slapd configura slapd con un conjunto d e y la s utilidades para l a administración de LD AP , respectiv opciones mínimas que garantizan el correcto funcionami ento del servidor. Sin embargo, es e s importante tener e n cuenta que qu e la mayoría de aplicaciones y scripts requieren l a carga d e schemas específicos o configuración adicional. Puede instalar opcnladap instalar opcnladap a través de l gestor de paquetes o utilizando directamente directamente el terminal ejecutando: •
UB UN TU
# apt-get
< yum yum
i n s t a l l
i n s t a l l
s l a p d l d a p - u t i l s
openldap-servers
openldap-clients
openldap-devel
A continuación se va a realizar la configuración básica de OpenLDAP Frontend-) a s i como empeza r a poblar e l Frontend con información.
fundamentales -Backend y (sus dos lados fundamentales -Backend
CONFIGURACIÓN instalado OpenLDAP U n a ve z instalado OpenLDAP
directorio letclldapl es importante observar que en el directorio le n Fedora Ietc.Iopenldap) se encuentran disponibles los ficheros de configuración del directorio activo así como los diferentes diferentes schemas y otra otra información aplicable a l funcionamiento y dinámica del mismo.
Tambié Tam bié n es importante recordar q ue puede iniciar, detener, o reiniciar el servicio, de la siguient e forma:
# s e r v i c e s l a p d s t a r t
I stop I r e s t a r t
A continuación se va a configurar tanto de l Backend (parte qu e i m p l i c a la s directivas para dinámicamente configurar el demonio servidor servidor slapd y las opciones para poblar con información información e l directorio -Frontend) como del Frontend de OpenLDAP, desarrollando a l mismo tiempo un ejemplo qu e permita conocer de forma sencilla en qué consiste.
ADMINISTRACIÓN
I
DE SISTEMAS
OPERATI VOS
© RA-MA
ACTIVIDADES 15.1
1. Instale y configure configure e n e l s i s t e m a a openttiap
para que s e ejecute automáticamente.
15,2.2.1 C r e a c i ó n d e l dominio: c o n f i g u r a c i ó n d e l B a c k e n d Tod a l a información en e l directorio activo se almace na con estructu ra de árbol. Gracias a Op en LD AP dispone dispone de libertad total para implementar el Árbol de Información del Directorio o DI T {Directory Information Tree). E n l a configuración básica que se va a presentar a continuación s e cr ean dos no dos bajo l a raíz del árbol: usuarios (para almace nar usua rios del del dominio) y grupos (para a lmac enar grupos de usuarios). Lo primero que debe hacer es determinar la raíz del de l árbol para e l director directorio io LDA P, normalmente e l F Q D N (Fully el nodo raíz e s d&=miempresa, Qualified Domain Ñame) del domini o. Por ejemplo, para el dominio miempresa.com, dc=com. O p e n L D A P u t i l i z a un directorio independiente que almacena e l DI T cn=config, cn=config, que permite de te rmi nar de forma dinámica del comportamiento del servidor slapd, lo que permit e rea li zar modificaciones en las def inicio nes de los esquemas, índices, listas d e control de acceso, etc., s i l a necesidad de detener el servicio. Este directori o backend i n i c i a l m e n t e dispone de una configuración mínima por lo que es necesario amp li ar su func iona lid ad con opciones, opciones, módulos, esquemas... adicionales para sentar l a base par a l a población d e l directo rio con información información (frontend) -así, para determin adas aplicaciones, lo recomendable es consultar l a documentació n espe cífica d e las mismas. A directorio con usuario s y grupos grupos de usuar ios, en un formato compati ble con aplicacio nes continuación se va poblar e l directorio de libretas d e direcciones o cuentas U n i x Posix. Este tipo de cuentas pe rmiten a varia s aplicaciones imple menta r autenticación, tale s como como apli caci ones Web, agentes de correo electrónico, y otras. otras.
Por tant o, se rea li za la carga de los fiche fichero ross schema para la estructura que del directorio, disponibles en este caso en el lldapl'schema I , ejecutando los siguientes comandos como root: directorio creado en la instalación de de OpenL DAP I'etc lldapl'schema # l d a p a d d
-Y EXTERNAL -H l d a p i : / / /
- f /
# l d a p a d d
-Y EXTERNAL -H l d a p i : / / /
- f / e t c / l d a p / s c h e r n a / n i s .
# l d a p a d d
-Y EXTERNAL -H l d a p i : / / /
-
Los schemas se encuentran en el directorio O 9
r
A r r h i v o
et c/ldap/schema/cosine.Id if Id if f / e t c / l d a p / s c h e m a / i n e t o r g p e r s o n . I d i f
/etc/openldap/schema/
root^mbuntu;/ Editar
U
r o n t o u t i u n t u : / # #
»
sudo
Bus< v
lda padd
Ttrmtnal
Ayu da
EXTERNAL
r
t i i d s p i ; / / /
t
/etc/ldap/ sdiena/coslne."
Idi f SASL/EXTERKAL a u t h e n t l c a t i ó n n SASL u s e r n a n c :
star ted
9idNumlíer=e+uidMujiii ier=iGt(-n=peercred,cn ECittemal,cii=auth
SASL S 5 F : « adding
n e w e n t r y y
root eubu ntu :/*
•cn=cosl/i e,cn«¡
s u d o o
Idapadif
Y E X T E R N A ! .
- H l d a p i : / / /
• »
/ílc/tdap/schema/nis.
t S A 5 L / E X T E R N A L
S A S L u s e r n a w e :
a u t h e n t K a t i o n
star ted
qidNu^er^ uidNuniLwr30 ,cn=peercr ed,en=eHte rnal.
SASL S S F : B atídinq
e n t r y y
nm
-tn^iLs,cn-sche»a.cn=config-
Figura 15.1. Carga tic ficheros schema
c n = a u tn
U U
©
RA-MA
15 > LDAP
U n a vez añadidos los esquemas a L D A P debe crear el fichero L D I F de configuración p a r a l a c a r g a dinámica de los módulos módulos en e l backend y l l a base de d e datos para el directorio. A continuación puede v e r u n ejemplo d e este fichero, en el ubicación p a r a los módulos módulos así como e l sufijo d e nuestro dominio , qu e es fundamenta] especificar el directorio con l a ubicación ubicación y permisos de acceso p a r a l a base d e datos: identificador y contraseña p a r a el usuario privilegiado o la ubicación
configuració uración n del Backend: L i s t a d o 1. Ejemplo de fichero L D I F p a r a la config
backend.miempresa.com.ldif
Load dynamic backe nd modules dn: cn=module,cn=conf i g objectClass: olcModuleList en : module tt
olcModulepath: / u s r / l i b / l d a p olcModuleload: back_hdb # Datábase s e t t i n g s dn: olcDatabase =hdb,cn=conf ig o b j e c t C l a s s : olcDatabaseConfig o b j e c t C l a s s : olcHdbConfig
o l c D a t a b a s e : ( 1 ) hdb o l c S u f f i x : dc=miempresa,dc=com olcDbDirectory: /var/lib/ldap olcRootDN: cn=admin,dc=miempresa,dc*eom olcRootPW:
hola00==
olcDbConfig: s e t _ c a c h e s i z e 0 2097152 0 o l c D b C o n f i g : s e t _ l k _ r a a x _ o b j e c t s 1500 olcDbConfig: set_lk_max_locks 1500 olcDbConfig: set_lk_max_lockers 1500 olcDblndex: o b j e c t C l a s s eq olcLastMod: TRUE olcDbCheckpoint: 512 30 o l c A c c e s s : t o attrs=userPassword by dn="cn=admin,dc=miempresa,dc=com" w r i t e by anonymous auth by s e l f w r i t e by * none o l c A c c e s s : to attrs=sh adowLast Change by s e l f w r i t e by * read o l c A c c e s s : to dn.base="" by * read o l c A c c e s s : to * by dn="cn=admin,dc=miempresa dn="cn=admin,dc=miempresa,dc=»com" ,dc=»com" w r i t e by * read
Las opciones especificadas en el fichero de configuración d el backend y su sintaxis dependen del tipo de base de datos utilizada para e) mismo. En el ejemplo anterior s e trata de una base de datos BDB, aunque otros tipos pueden ¡nstanciarse como por ejemplo LBDM. De esta forma recomendamos la consulta de la documentación OpenLDAP para su correcta configuración cuando necesitemos escenarios más complejos.
fo r m a s i m i l a r a l caso de los schemas U n a ve z creado e l fichero L D I F debe cargarlo en el directorio, haciéndolo de fo necesarios:
# ldapadd -y EXTERNAL -H l d a p i : / / / / - f backend.miempresa.com.Idif
313
ADMINISTRACIÓN DE S I S T E M A S O P E R A T I V O S
Figura
© RA-MA
15.2. Carga del fichen: LDIF para la configuración del backend
Como puede observar en la F i g u r a 15.2, se han creado con éxito dos entradas; u n a para l a carga dinámica de módulos en el directorio y otra para l a base de datos. Desde este momento es posible comenzar a poblar el directorio frontend con información.
I
ACTIVIDADES 15.2
Da de alta el dominio
miempresa.com.
15.2.2.2 Pob lar el Directorio: configuración del Frontend U n a vez que dispone, a l menos, de un a configuración mínima d el comportamiento de l proceso servid or puede
comenzar a poblar e l frontend de O p e n L D A P con información, atendiendo a los schemas utiliz ados par a almacena r l a misma. Para ello hay que crear u n fich ficher ero o LD I F en el que se añaden los diferentes nodos nodos qu e desea reg istrar en el árbol del directorio activo. Como puede ver en el siguiente ejemplo, se crea e l objeto de primer nivel de l dominio idc=miempresa, dc=com>, unidades organizacionales para usuarios y grupos, y u n ejemplo de usuario y grupo de usuarios especificando, fundamentalmente, identificadores, clase de objeto y atributos correspondientes correspondientes a cada caso. L i s t a d o 2. Ejemplo de fichero LDIF para la población del Frontend: del Frontend: # Creamos dn :
e l o b j e t o
d e l n i v e l s u p e r i o r
dc=miempresa,dc=com
o b j e c t C l a s s : : t o p o b j e c t C l a s s : d c O b j e c t objectCl ass: o:
organi zation
E j e m p l o de Organización
de : miempresa d e s c r i p t i o n : LDAP E j e m p l o # U s u a r i o A d m i n i s t r a d o r d n :
cn=admin,dc=miempresa,dc=com
obje ctCl ass: objectClas s:
314
(admin)
simpleS ecurity Object organiz ationa lRole
d e l d o m i n i o
frontend.miempresa.com.Idif
© RA-MA
15 •LDAP
en : admin d e s c r i p t i o n : LDAP LDAP a d m i n i s t r a t o r userPassword: h o l a 0 0 = # Unidad Organ izaci onal usuar ios dn : ou=usuarios,dc=miempresa,dc=com objectClass: organizationalUnit ou : usuarios # Unidad Organizacional grupos dn : ou=grupos, dc=miernpresa, dc=com objectClass: organizationalUnit ou : grupos # Usuario Juan López dn : uid=juan,ou=usuarios,dc=miempresa,dc=com o b j e c t C l a s s : inetOrgPerson o b j e c t C l a s s : posixAccount o b j e c t C l a s s : shadowAccount u i d : juan s n : López g ive nName: Jua n en : Juan López displayName: Juan López uidHumber: 1000 gidNumber: 10000 userPassword: password gecos: Juan López l o g i n S h e l l : /bin/bash homeDirectory: /home/juan shadowExpire: -1 shadowFlag: 0 shadowWarning: 7 shadowMin: 8 shadowMax: 999999 shadowLastChange: 10877 m a i l :
[email protected] po p o s ta l C o de : 31000 1: Almería o: Ejemplo mob m ob il e: +34 (0) 6 xx xx xx xx +34 (0 )5 xx xx xx xx homePhone: +34 t i t l e : Administrador d e l Sistema
pos p os ta lA d dr e ss : initials:
JL
# Grupo Ejemplo dn : cn=ejemplo,ou=grupos,dc=miempresa,dc=com o b j e c t C l a s s : posixGroup en : ejemplo gidNumber: 10000
ADMINISTRACIÓN DE S I S T E M A S O P E R A T I V O S
© RA-MA
Se realiza l a carga de las entradas en el directorio LDAP ejecutando: | l d a p a d d
- x -D c n = a d i n i n , dc=miempresa, dc=com -W - f
f r o n t e n d . r n i e m pr p r e s a . c o m . I d i f
E n l a Figura 15.3 se puede ver el resultado de aplicar estos cambios.
O
•? rootaxibuftts: /
táHt» vo Buscar
Airnívo
T«tt»n«J
FQoteijbuntLj:/ a 'j' 'j' ido ld ldap apadd -x -x
Ayudi
O tr^a tr^adiiiii. diiiii. dr = u!rnpresa.dc={[ jrr -M
'
/ hpt ptie/ ie/ u^iijr
lo/ Escritor10 / trantend mcs mcspresa.coff. presa.coff. Idl t Enter Ent er LDAP Password:
addlng newentry dc-* iecpre&a.dc=CDflr p
adding w x entry
-cn-^d«uri.dca-áeiipfesa.dc--o»-
adding new eritry
oumiuartoi.8c^«ie«pievi.dc»co«"
adding new entiy
• o uu- * c t i i t p o i . d c= c= » e « p r f i a , d c - r < o » ' ,
ne* * «it ry ng ne
• md ») ») « An An . ou ou = us us ua ua r i o5 o5 , d t « ( i t r « j i r ei ei a . < J( J( = { o oo-
sddinq n
•
c n « c ) e * p l o , o u = e gu gu l p D 5 . d c « n t e « p r e sa sa , d c - = c o «
1
rooiüubum. u /» I
Figura IS.3. Carga del fichero LDIF para la población población del frontend
d e nuevas entradas e n el directorio LDAP es e s necesario introducir l a Como se puede puede apreciar, para realiz ar l a carga de contraseña del usuario administrador administrador LDA P. S i quiere comprobar que las entradas h a n sido añadidas correctamente puede consultar el contenido de l directorio LDAP con la utilidad Idapsearch de la siguiente forma: "dc-miempresa,dc=com" uid=juan s n givenName en \ Idapsearch - x L L L -b
ejecución del comando de búsqueda devuelve la información E n l a Figura 15.4 puede v e r como efectivamente la ejecución s o l i c i t a d a (sn.givenName,
en) para el usuario con con uid=juan. '
rootgtubuntu: /
tdiW
Archivo
ver
Birítai
Terminal
Ayuna
r o ot ot a u o un un t u : / » tdapsearcti j LLi -o • dc^n.nwpiei * ,def ecar ui d- i ua" n n tfn: u l d = ) u a n . o u* u* u i u » r i o s, s, d o = » ue ue * p res a . d e - c e » sn: Lope? g i v e n » a » e . Juan en Juan Lopeí
rootaubuntu:r#
Figura 15.4. Ejemplo de utilización utilización de de Idapsearch
\
ACTIVIDADES 15.3 Crea las unidades organizativas Madrid y Almería. Da de alta varios usuarios en cada una de las unidades organizativas.
givenName
© RA-MA
15 •LDAP
se ha n incluido parámetros para n o u t i l i z a r autenticación simple SASL (Simple Autlientication Security Laycr), ya que es aplicada de forma predet erminada ( -x) -x) y para deshabilitar la muestra de información sobre e l schema E n ella
L D I F (-LLL). E n ocasiones, y como resulta e n este caso, para llevar a cabo operaciones sobre el directorio activo resulta más cómodo o incluso eficiente tra bajar con alguna aplicación o herramienta que qu e ofrezca u na interfaz gráfica para el acceso al mismo.
Tabla 15.1. R e s u m e n N o m b r e d e l servici o
d e l s e r v i c i o
OpenLDAP
slapd
F i c h e r o d e configuración Directorio de configuración
/etc/ldap/ldap, /etc/ldap/ldap, conf (U bu ntu) (Fedo ra) /etc/ldap. conf (Fedo
/etc/ldap/ (Ubuntu) (Fedora)
/etc/openldap
C o m a n d o s m a s utili zados
ldapadd, Idapsearch slappaswd
Puertos utilizados
389/TCP
Idapmodify,
Idapdelete,
slapadd,
slapcat,
slaplndex
y
HERRAMIENTAS Y UTILIDADES O p e n L D A P tiene dos do s tipos d e utilidades. Por un lado están las denominadas herramientas
cliente qu e permiten de cliente
servidor LD A P de una forma forma re mota. Para us ar dichas herrami entas debe estar modificar, borrar, modificar, borrar, añadir entradas e n e l servidor activo e l servidor servidor LDAP . E l otro conjunto d e herramienta s trabajan sobre l a base de datos o backend directamente por s e producen lo q ue no necesitan que slapd este ejecutándose. Estas so n más útiles cuando se producen inconsistenci as en la base de datos porque varias personas h a n actuando sobre el servid servidor or LD AP. A continuación se describen l a s principales má s características. herramientas existentes e n cada u n a d e lo s grupos con sus opciones más
|^EZEj
H E R R A M I E N T A S D E C H E N T E
cliente q ue permit e modificar, borrar, A continuación se describen describen alguna s de las denominadas herramientas de cliente añadir entradas en el servidor LDAP de una forma remota. Para usar dichas herramientas debe estar activo e l servidor LDAP. Ida pmo dif y Permite modificar modificar entradas de un directorio LDAP aceptando l a introducción de datos a través de u n fichero o de la línea d e comandos si no se especifica. especifica. Sintax is:
# I d a p m o d i f y file]
[ - a] a]
I - r J [- ni
[ -w -w passwd]
I - H l d a p u r i )
(- D b i n d d n ]
| - p l d a p p o r t ]
I-f
donde a añade añade nuevas entradas; -r remplaza lo s valores e xistent es; - n s i m u l a l a operación pero no realiza el cambio; -/"lee l a entrada d e l ficheroLDIF especificado; H especifica la UR I del servidor servidor LD AP ; y -D u t i l i z a e l dn qu e permite reali zar l a operación.
A D M I N I S T R A C I Ó N DE SISTEMAS OPERAT IVOS
©
RA-MA
E l fichero debe tener como primera linea el dn sobre el que se trabaja. A continuación aparece el atributo changetype con el valo r add, detete, modify o modrdn según lo que se quiera hacer.
Ejemplos de Idapmodify:
: cn=Alex García Pérez, o u - u s u a r i o s , dc=miempresa,dc=com changetype : modify
dn
re pla ce : sn sn : López A l e g r i a add t i t l
: t i t l e Poobah e: Grand
add: postalCode p o s t a l C o d e : 04120 delete
: s t r e e t
fichero o L D I F o de la línea de ldapadd. Añade entradas at directorio aceptando dichos datos a través de un ficher comando. E n real idad se trat a de de un enlace lijo a Idapmodify -a. L a sin taxi s y opciones opciones son las mismas que
Idapmodify. Id ap se ar ch . Permi te buscar entradas en el directorio LDA P. Su sinta xis es: es:
# Idapsearch
[opciones]
f i l t r o
[atributos]
Las posibles opciones del comando son: son: -b base in di ca el punto base de la búsqueda; -f fichero fichero lee la entr ada de fichero ro espe cificado ; -H ldapuri especifica especifica la UR I del del servidor L DA P ; y -D dn u t i l i z a el dn que búsqueda del fiche permite realizar la operación. Co n
filtro establece los patrones que tienen que cu mp li r los registros a buscar (se permi ten los comodines) y en atributos se indi ca opciona lmente los atribu tos que se mue stra n de los registros encontrados. Por ejemplo, a continuación se muestran todas las entradas del directorio
Idapsearch
miempresa.com.
-b "dc=miempresa,dc=com" " o b j e c t c l a s s = * "
O las entr adas de tipo persona del di recto rio:
|
Idapsearch
-b "dc=miempresa,dc=com" " o b j e c t c l a s s = p e r s o n "
sn
ldapdelete. Permite eliminar entradas del directorio mediante un fichero o desde línea de comando. Donde -f fichero permit e leer la entra da del fich ficher ero o L D I F especificado H ldapuri: -D dn: utiliza el dn que permite realizar la operación.
Especifica la UR I del servidor L D A P
A continuación, a modo de ejemplo se va a bor rar la entr ad a de de Juan Pérez García.
# ldapdelete -D "cn=root,dc=miempresa,dc=com" > cn=Juan Pérez G a r c i a , ou=usuarios, dc=miernpresa,dc=com
© R A - M A
1 5 • LDAP
C O N F I G U R A C I Ó N D E L S ER VIDO R L a s herramientas para la manipulación de bases de datos o backends son las siguientes: s l a p a d d . Permite añadir entradas desde u n fichero fichero L DI F a una base de datos SLAPD.
Actúa sobre l a base de añade la s entradas descritas en el LDIF. Si no se especifica u n fich datos indicada y le añade ficher ero o LD I F la información se lee de la entrada estándar. L i s t a d o 3. Creación de entradas básicas para
mietnpresa.com:
_# _# c a t /tmp/top.ldif ## Construye e l nodo r a i z dn : dc=miempresa, dc=com de : d t i c o b j e c t C l a s s : dcObject o b j e c t C l a s s : o r g a n i z a t i o n a l U n i t ou: ou : D t i c Dot Ua Dot Es ## Construye el ou profesores dn: ou=profesores,dc=miempresa,dc»com ou : profesores o b j e c t C l a s s : o r g a n i z a t i o n a l U n i t _# _# slapadd -v - 1 /tmp/top.ldif added: "dc=miempresa,dc=com" added: "ou=profesores,dc=miempresa,dc=com" Sintaxis:
t slapadd [-1
] ]
[-f ] [-d [-d l
(-n l-b
donde d indica e l nivel de depuración; -n indica q ue base datos se modifica en función de un número que posición (pri mera, segunda, tercera, indica l a posición tercera, etc.) en el fichero de configuración; -6 indica qu e base de datos se modifica en función del sufijo de la misma:
# slapadd -1 alumnos.Idif s l a p c a t . Permite extraer de una base de datos LDAP en formato LDIF. Si no se especifica un fichero se muestran por la salida estándar. estándar. S u sintaxis es:
ü slapcat - 1 [-f ] ] (-d ] f-n |-b ] donde d indica el nivel de depuración: -n indica que base datos se modifica e n funció función n d e u n número que indica que base de datos se posición (primer a, segunda, tercera, etc.) en el fichero de configuración; -b indica indica l a posición modifica en función del sufijo de la misma; -f especifica especifica un fichero de configuración alternativo; y -l especifica el ficher fichero o L D I F donde se insertan l as entradas extraídas. Por ejemplo:
I s l a p c a t - 1 s a l i d a . I d i f
319
A D M I N I S T R A C I Ó N DE SISTEMAS OPERATI VOS
© RA-MA
s l a p i n d e x . S e u t i l i z a para l a r egeneración de índices de la base de datos. # s l a p i n d e x
[- f < s l a p d c o n f i g f i l e > )
|-b >|-b < s u f f i x > ] [-d < d e b u g l e v e l > ] [-n [-n
Índica e l nivel de depuración; -íí indica qu e base datos se modificada en función de u n número que donde -d Índica i n d i c a l a posición (primera, segunda, tercera, etc.) en el fichero de configuración; indica q u e base de datos configuración; -h indica será modificada en función función de l sufijo de la misma; y -/"especifica un fichero de configuración alternativo. s l a p p a s w d . Genera un a contraseña e l valor rootpw para e l contraseña de usuario cifrada para usar con Idapmodify o e
fichero de configuración slapd.conf. # s l a p p a s s w d
Si
[-h schema]
d e s e a m ás información sobre cualqu ier coma ndo consulte l a s páginas páginas ma n.
H E R R A M I E N T A S GRÁFICAS herramientas gráficas de apoyo a l a administración d el director directorio io activo activo L D A P so n de especial uti lid ad sobre sobre todo e n nuestra primera toma de contacto c on este servicio. D e esta forma se v a a ver en este apartado dos de las más importantes, que permitirán llevar a cabo l a s operaciones h abit uale s sobre el directorio (población d e l mismo, importación y exportación d e ficheros LDIF, exploración de la s bases de datos y schemas, etc.) de form a sencilla. La s
15.3.3.1 H e r r a m i e n t a d e administración L D A P Quizás la Herramienta de Administración LDAP se a la aplicación gráfica más intuit iva para l a manipulación de! instalación de l paquete lat (LDAPAdministration directorio activo LD AP . Para su puesta en marcha hay q ue realizar la instalación Tool) ejecutando:
• UBUNTU # a p t - g e t
•
i n s t a l l l
a t
FEDORA # yum
Una
i n s t a l l l
a t
ve z realizada l a instalación puede i n i c i a r l a herramienta a través de l menú Aplicaciones I Internet Internet
Ad?ninistration
ILDAP
Tool,
Lo primero qu e debe hacer es especificar lo s parámetros de la conexión c on el servidor de directorio LDAP, De forma simplificada t an solo es necesario introducir el nombre de l host o dirección de re d de] servidor y e l puerto d e e s c u c h a , aunque s i p u l s a sobre ei botón Show more options puede incluir más parámetros como e l identificador de la (e s posible conectar esta base de datos, nombre de usuario y contraseña, si quiere ut ili zar cifrado cifrado,, o el tipo d e servidor (es h e r r a m i e n t a co n otros servi dores qu e directorio activo qu e no sean OpenLDA P),
15 •LDAP
© RA-MA
Herramienta de Administración Figuro JS.S. Conexión con el servidor LDAP en la Herramienta
l a F i g u r a 15.6 puede v er el aspecto inicial de la Herramienta conexión con el servidor. En
0
*1 L0A* 1
?
LDAP
de Administración LDAP u na ve z establecida l a
-o
l|Tf >t ••• Teol
• tentad.
kV croupi croupi
Figura
15.6. Aspecto general de la Herramienta de Administración
LDAP
L a herramienta de administración tiene tres zonas principales:
aplicación ión a través de los que puede configurar las B a r r a de menús. Contiene los menús principales de l a aplicac opciones y preferencias para trabsgar c on ella así como la manipulación de los datos, objetos, esquemas, etc., de l directorio activo.
321
ADMINISTRACIÓN DE SISTE MAS OPER ATI VOS
© RA-MA
B a r r a d e herramientas. Permite el acceso, dependiendo d e l componente, atributo u objeto d e l directorio
activo q ue se esta visualizando, a botones qu e permite n ejecutar de forma rápida las operaciones asociadas más habituales: Niti-na, Eliminar, Templates (Plantillas), Propiedades, Actualizar. P a n e l p r i n c i p a l . E n el panel d e control se realizan l as tareas principales en la manipulación del directorio activo sobre l a vista o aspecto que se encuentre seleccionado. Dependiendo de la vista seleccionada las operaciones disponibles son diferentes, mostr ando e n la mayoría de los casos en la parte derecha lo s atributos s on diferentes, exploración. correspondientes al objeto seleccionado en la exploración. '
'2
Vtxven
0
•
iDcilhmti»
1 fMntt
J
• Vflfttr
-mi
ta •JUpIflyfriin*-
•
C
* __ •
«Imin
muariai
fe «qufcw*
gecoii
juen López
, QidNumbef
íoaw
hemeOir-KtDiy rVimvPriCKW
- J If
.. .. .. ..
II-::.I¡II-::.I¡-
t
Almería /hin/t-ílíi
tujit tujit lopfJt yniiynp fwa. enm moblIP
q-JfTrplO ofarmcum
Figura
cnetOf-gPHioo
15.7. Panel principa! principa! de ta Herramienta Herramienta de Administración
LDAP
continuación ón se va a ver de forma breve qué es posible realizar en e n cada una de estas A continuaci estas vistas: Views (Vistas). Permite ver los diferentes objetos incluidos en el directorio desde u n punto d e vista c on nivel de abstracción alto, mostrando fundamentalmente datos clasificados en los distinto s tipos de d e objetos incluidos en el schema. Se pueden i ntro ducir nuevos datos. navegar por ía estructura en árbol para e l directorio LD AP . Como en el resto Browser (Ex plo rad or) . Permite navegar de vistas, hay que conectarse a u n servidor ve r los los dominios y l a información información d i s t r i b u i d a y almacenada en ellos. P a r a cada nodo puede ver los atributos que lo definen así como los valores asociados. Search (Búsqueda). Permite realizar búsquedas especificando cualquier filtro para l a misma sobre los HiferenOs servidores y h«sps rip datos a los que tiene srcpsn
«Ut:
|
[ é)
Figura 15.8. Vista "Search"de la Herramienta Herramienta de Administración
LDAP
© RA-MA
15 • L D A P
I. Permite explorar por el servidor las clases de objetos, tipos de atribut os, regias regias d e Schema l E s q u e m a I. su schema o esquema. Puede ver y editar los detalles de cada coincidencia y sintaxis LDAP que componen su schema un o de estos el ementos seleccionándolos en el explorador con doble clic sobre su nombre tal y como como muestra la F i g u r a 15.9. I j w . i l l ton, l»e> O
* •
*
m
-
Smari • „>,.•••• - Util- i ' l.ivi-, ' l.ivi-,
i**rttfv
aJlMi
•
#pplL*tiúi£rtXV appUtationProcvvt :-..-:u !:-rf »p,»p,- f
Oticrtptloo.
KJ t i rli fl ta lio nAutbot 1 1y
rarchGuld-r
uu Wparwr
dcstrtptwk
top
ÚCObtKt dtw*
tMW*
Figura
í*-r-í*
Vcttm*
¡S.9. Vista 'Schema'de
la Herramienta
de Administración Administración
LDAP
15.3.3.2 P h p L d a p A d m i n PhpLdapAdmin es una interfaz Web que permite l a puesta e n marcha y mantenimiento de directorio s act ivos puede u t i l i z a r el gestor de paquetes o ejecutando: O p e n L D A P . P a ra ra i n s t a l a r PhpLdapAdmin
I apt-get i n s t a l l phpldapadmin
# yum i n s t a l l
phpldapadmin
U n a v e z finalizado e l proceso, puede acced er a l a página de i n i c i o de PhpLdapAdmin phpldapadmin) phpldapadmin) y conectarse conectarse al servidor de directo rio activo.
(http:11 localhost I
A D M I N I S T R A C I Ó N D E SISTEMAS OPE RATIVO S
© RA-MA
4
<3 M
L Z
1
phnLDAPftn m in { t i O J ) -Mtiftlt» F W r o i
•
AjUtJ
+
•HpnplOiMUmmdipjrj.
W 4 GurlU U
d H | VI' VI' ti
•) My LDAP Server
-php b LDAP
admin
•
Figura
fl>l J' U l.'Lj l.'Lj.Hí.ly .Hí.ly J _ . . II
15.10. Página inicial de
PhpLdapAdmin
Para conectarse a u n servidor pulse e n el vínculo vínculo Conectar situado e n el menú menú izquierdo de la página y aparece aparece l a 15.10). p a n t a l l a de autenticación {véase la Fi gu ra 15.10).
D * " ~
p#»*tOAI-i(H|lJi (1 J J J J l - M u t i l a Hrif»
Arrh*re _dümt _r. Arrh*re _r. * 4UOf1il Manadcus Hcr
n (1.2.0.SJ % phpLDAP-rdm>n (
[ •
•
£ My LDAP Server Server
Au le nt ih ea r aJ s e r v i d o r M y L D A P S e r v e r
c l
phpUMPttfmin ft .2.0 ft.2.0
Figura
15.11. Inicio de conexión en
PhpLdapAdmin
U n a ve z identificado en la página se cargan los diferentes menús y opciones en la parte izqu ierda de la página (véase la Fi gu ra 15.12). 15.12).
324
© RA-MA
15 •LDAP
• } M y
L D A P Server Q
m
a
*»
O
*
4
15.12. Menús etin las opciones ile ile PhpLtlapAdinin
Figura
A través de ellos puede consultar l a s propiedades y características de las diferentes clases de objetos, tipos de atributo, reglas de coincidencia y sintaxis LDAP (esquema) que componen el schema de l directorio activo, ejecutar
detalladas y precisas búsquedas sobre l os elementos e información disponible (buscar (buscar), ), mostrar información sobre l a instalación y estado actual d e l servidor LDAP (info) así como exportar a diversos formatos los lo s resultados obtenidos en una búsqueda o el contenido o valores de objetos y nodos d el árbol árbol del directorio. En
15.13 se muestra como ejemplo el resultado de la búsqueda en el dominio la Fig ura 15.13
miempresa.com.
erconiraa. *
% ac-rnbempfi»*a ac-rnbempfi»*a
ñ cn-»ürniiitíc^ftinjMe5a.c^=<í)fn ai
***** ;M
Figura
--'!'.•• ' .•• !:• :•.
.<
<:•
•
•
i-: -
15.13. Ejemplo de resultado resultado mostrado en una búsqueda con
Para más información c o n s u l t e la web
PhpLdapAdmin
http://phpldapadmin.sourceforge.net/.
| ACTIVIDADES 15.4 Instale u n a h e r r a m i e n t a gráfica que permite administrar OpenLDAP administrar OpenLDAP
y e x a m i n e s u funcionalida d.
•H U t i l i z a n d o la h e r r a m i e n t a gráfica crea u n a nueva unidad organizati va y u n nuevo usuari o.
325
© RA-MA
ADMINISTRACIÓN DE SIST EMAS OPER ATIV OS
RESUMEN DEL CAPÍTULO E n este capítulo
han aprendido l os conceptos más importantes sobre el servicio
OpenLDAP.
Se h a descrito l a instalación y configuración básica del servicio par a crear u n dominio. H a aprendido a administrar e l servicio de diferentes formas a través de comandos o interfaces
gráficas.
EJERCICIOS PROPUESTOS 1. Comente brevemente los lo s diferentes modelos de representación de LDA P. 2. E x p l i q u e b r e v e m e n t e l o s comandos más importantes para administrar openldap.
J
3. Indique la s diferentes formas qu e existen para administrar openldap.
TEST D E CONOCIMIENTOS CONOCIMIE NTOS Indique la característica que no se asocia a
O p e n L D A P es
OpenLDAP: S o p o r t a múltiples base de datos.
almacenar:
326
q u e permite
Usuarios. Usuarios, grupos y equipos.
Se li cenc ia bajo bajo G P L . co n servidores Permite comunicarse con servidores Radi us. Solo s e u t i l i z a en equipos G N U / L i n u x .
afirmación incorrecta: Indique l a afirmación A l instalar Ope nLD AP automáticamente se guarda l a configuració datos MyS QL . configuración n e n u na base de datos U n a ve z instalado OpenLDAP lo primero que debe hacer es determinar la raíz del árbol para el directorio LD AP . E l comando ldapadd comando ldapadd permite l a carga de schemas. E l comando comando Idapassistan permite i n i c i a r el asistente de configuración de OpenLDAP .
un contenedor
Unidades orgnatizativas y otros datos. Toda s la s opciones so n correctas.
4
Indique l a herramienta que no permite administra r de forma gráfica OpenLDAP: ldapadd, lat. P h p L d a p Ad min . L D A P A d m i n i s t r a ti on Tool.
