Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Practica de Openldap

    Загружено:

    Daniel Amador Diego
    140 просмотров4 страницы

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    ODT, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате ODT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    140 просмотров4 страницы

    Practica de Openldap

    Загружено:

    Daniel Amador Diego

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате ODT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    PRACTICA DE OPENLDAP - Revisado 17/12/2012

    Slo quiero capturas identificadas con el nmero que yo he puesto (no otro) y que pongis al principio las que no se hayan hecho o nos os sale.

    A.- INSTALACIN DE SERVIDOR DE DIRECTORIO OPENLDAP


    Realizar un snapshot a vuestra mquina virtual para que queden todas las prcticas anteriores aseguradas. Es muy recomendable sacar snapshot cuando veis que se han conseguido logros en el proceso de instalacin.

    1.Crear el backend y frontend inicial (proceso de instalacin normal), con la


    estructura siguiente dc=XXxx,dc=com, cambiando estos nombres por vuestros dos apellidos. Recordar que si se falla en el backend es recomendable segn Openldap que empiece de nuevo. Adems si se cambia nombre del hosts (/etc/hosts) deberis reiniciar.

    2.Hacer que el servidor OpenLDAP sea seguro (puerto 636). 3.Vamos aadir una estructura bsica que nos servir para aadir objetos
    posteriormente como por ejemplo la que aparece en la pgina oficial de Ubuntu Server 11.10, el cual tendr dos unidades organizativas, 1 grupo y 1 usuario). Este ejemplo en un fichero ldif e importarlo al backend. a lo que a continuacin aparece.
    # Dos unidades organizativas dn: ou=personas,dc=XXxx,dc=com dn: ou=grupos,dc=XXxx,dc=com # Un grupo creado dentro de grupos. dn: cn=profesores,ou=grupos,dc=XXxx,dc=com #El usuario se describe completamente por si hay alguna duda. Cambiar Francisco #vuestro nombre (primer nombre nicamente). dn: uid=Francisco,ou=personas,dc=XXxx,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: Francisco sn: XX Xx givenName: Francisco cn: Francisco XX xx displayName: Francisco XX xx uidNumber: 10000 gidNumber: 5000 userPassword: Francisco gecos: Francisco XX xx loginShell: /bin/bash homeDirectory: /home/openldap/Francisco

    Adaptar

    este fichero

    No sacar capturas del proceso de instalacin, ni del fichero ldif slo de cuando se aade correctamente-CAPTURA N 1.

    4.Comprobar mediante el siguiente comando que se ha aadido correctamente


    todos los elementos al frontend. Anote que es comando puede valer para sacar una copia de seguridad a todo el frontend en un fichero de texto. N 2 # ldapsearch x b dc=XXxx,dc=com objectclass=*
    ______________________________________________________________________________________________ Fco. Javier Melero Lpez Administracin de Sistemas Operativos 1 de 4

    5.Aadir al frontend los siguientes elementos desde fichero ldif no con


    software cliente.

    Unidad organizativa (ou=hosts,dc=XXxx,dc=com). Aadir un equipo (cn=firewall, ou=hosts,dc=XXxx,dc=com). Este


    equipo se llamar firewall.
    dn: cn=firewall,ou=hosts,dc=XXxx,dc=com objectClass: top objectClass: ipHost objectClass: device ipHostNumber: 192.168.1??.1 (donde ?? es su nmero de clase) cn: firewall.

    Los hosts siguientes de nuestra organizacin: odn:cn=openldap,ou=hosts,dc=XXxx,dc=com odn:cn=cabinadisco,ou=hosts,dc=XXxx,dc=com odn:cn=desktop,ou=hosts,dc=XXxx,dc=com odn:cn=google,ou=hosts,dc=XXxx,dc=com (IP:8.8.8.8) 2 grupos ms.
    # Un grupo creado dentro de grupos, con gidNumber=5001, y 5002 #respectivamente. dn: cn=alumnos,ou=grupos,dc=XXxx,dc=com dn: cn=ampa,ou=grupos,dc=XXxx,dc=com

    3 unidades organizativas en la forma:


    dn: ou=profesores,ou=personas,dc=XXxx,dc=com dn: ou=alumnos,ou=personas,dc=XXxx,dc=com dn: ou=ampa,ou=personas,dc=XXxx,dc=com

    3 usuarios en la siguiente forma, cada uno dentro de su unidad organizativa.


    dn: uid=Profesor,ou=profesores,ou=personas,dc=XXxx,dc=com dn: uid=Alumno,ou=alumnos,ou=personas,dc=XXxx,dc=com dn: uid=Ampa,ou=ampa,ou=personas,dc=XXxx,dc=com

    Tenga en cuenta que el sn:XXxx, que el primero pertenece al grupo de profesores, el segundo al grupo de alumnos y el tercero al grupo de ampa. La unidad organizativa a la que pertenece ya esta descrita en su dn. Poner la contrasea y el directorio de trabajo con lo mismo que el uid, es decir (Profesor, Alumno y Ampa, respectivamente). Por supuesto los uidNumber ser consecutivos (10001, ....) y adaptar correctamente el gidNumber a su grupo.

    Unidad organizativa para meter los servicios.


    dn: ou=servicios,dc=XXxx,dc=com objectClass: organizationalUnit ou: servicios

    Meter un objeto para servicios.


    dn: cn=sshfirewall,ou=servicios,dc=XXxx,dc=com objectClass: top objectClass: ipService cn: sshfirewall ipServicePort: 8022

    ipServiceProtocol: tcp ipServiceProtocol: udp

    Volver a comprobar (N 3) que se ha aadido correctamente, mediante comando apartado 4, es decir # ldapsearch x b dc=XXxx,dc=com objectclass=*.

    1.Instalar el programa de Jxplorer y acceder via cn=admin al directorio (captura de


    esto N 4 (NO SEGURO) y N 5 (seguro ). Mostrar "explotadas" cada una de las unidades organizativas creadas hasta ahora, donde se pueda observar todo lo que se ha creado (ou,dc,cn, etc) N 6. Adems captura mediante netstat (conexiones establecidas) N 7, tcpdump N 8 e iptraf N 9 de que est funcionando tanto por seguro como por no seguro.

    2.Cada vez que se arranque el ordenador crear un script que guarde en


    /home/usuario-XX/openldap/copia-frontend-dd-mm-yy.ldif, una copia de seguridad del Openldad de todo el frontend de vuestro LDAP. Mostrar directorio donde se puede observar que se estn creado correctamente durante varios das ( N 10) y captura del interior del fichero.

    B.- INTEGRACIN DE UBUNTU SERVER (EL MISMO DONDE ESTA OPENLDAP) CON OPENLDAP
    1.Enlazar el PAM de Ubuntu Server con el mismo Ubuntu Server (Servidor Openldap
    de vuestra estructura). En el caso de que el usuario no tenga creado el directorio de trabajo tendr que crearlo automticamente. Mostrar capturas de comandos donde se vea con claridad que est bien integrado.

    a.getent passwd N 11 b.getent group N 12 c.getent hosts N 13 d.getent services N 14 (Ojo en el fichero /etc/ldap.conf, tendremos que decomentar
    la lnea que tiene que ver con los servicios (nss_base_services). Y en el fichero /etc/nsswitch.conf aadir ldap a la opcin de services).

    e.finger uid (cambiar uid por los 4 usuarios que tenemos) N 15 f.pamtest passwd uid N 16(cambia uid por los 4 usuarios que tenemos). Esta
    librera tendras que bajaros .deb e instalarlo con dpkg.

    g.pamtest group grupo (cambiar grupo por los 3 que tenemos) N 17 h.pamtest ssh uid (cambiar uid por los cuatros usuarios que tenemos). Esto es para
    probar si tiene puesto acceso a ssh. Ojo si hemos tocado Allowuser/Allowdeny del fichero de configuracin de sshd o cualquiera otra propiedad. N 18

    i.su uid (cambiar uid por los 4 usuarios que tenemos) y comprobar que se puede
    entrar con cada uno de los usuarios. Inmediatamente despus hacer pwd para observar en que directorio de trabajo estas. N 19

    j.ssh uid (cambiar uid por los cuatros usuarios que tenemos). Inmediatamente
    despus hacer pwd para observar en que directorio de trabajo estas.
    N 20

    C.- INTEGRACIN DE UBUNTU DESKTOP CON OPENLDAP.


    Lo mismo que el anterior pero teniendo en cuenta que los usuarios crearn el directorio de trabajo en el Ubuntu Server del OpenLDAP no en el Ubuntu Desktop, para ello montar antes de nada el directorio de trabajo en el arranque de Ubuntu Desktop mediante sshfs. N 21
    ______________________________________________________________________________________________ Fco. Javier Melero Lpez Administracin de Sistemas Operativos 3 de 4

    D.- INTEGRACIN DE PROXY IPCOP CON OPENLDAP.


    Se enlazar el Proxy de IPCOP con openldap, para que cada vez que se quiera salir a Internet pida el usuario/contrasea almacenado en el directorio OPENLDAP. Tenga en cuenta que tenemos que quitar el servidor proxy de Ipcop de modo transparente y que hay que configurar la red del navegador y ponerle el puerto adecuado (puerto de proxy). Mostrar capturas de configuracin de IPCOP, navegador y de cmo pide el usuario/contrasea desde el ordenador de la pata verde. N 22

    E.- INTEGRACIN DE FIREWALL - PROXY CON OPENLDAP.


    Igual al anterior pero sobre el Ubuntu Server de firewall (no ipcop).
    N 23

    G.- ADMINISTRACIN DE FRONTED VIA LDAPSCRIPTS.


    Todo lo que se hace en la pgina oficial de Ubuntu Server sobre Usuarios y grupos. Cambiar el usuario y grupos por el que queris. N 24

    F.- INTEGRACIN DE PROXY CON OTROS SERVIDORES.


    Para aquellos alumnos que queris aprender ms, os invito a que integris el servidor Openldap (ya sea en modo seguro o no) con cualquier servidor de mis mdulo o de otros.:.

    Moodle. ulo de IAW). N 25 Joomla. (Mdulo de IAW). N 26 Gestores de contenidos. N 27 Servidor FTP. N 28 Otros que hayis visto este ao. N 29,,etc.
    Este apartado aunque opcional os valdr sobre todo para investigar como se hace (que no sea siempre lo que explica el profesor). Se valorar positivamente su realizacin.

    Вам также может понравиться