You are on page 1of 17

UNIVERSIDAD NACIONAL DE LOJA Area de la Energ las Industrias y los Recursos a, Naturales no Renovables

Carrera de Ingenier en Sistemas a

TUTOR: Ing. Luis Chamba

TEMA: LDAP

NOMBRE: Gabriela Espinoza Magali Jimnez e Pablo Ortega Carolina Palacios Junior Snchez a

MODULO: 9no Paralelo B

Loja - Ecuador

1.

DEFINICION DE LDAP.

LDAP signica Protocolo Ligero para Acceder al Servicio de Directorio, sta implementacin se basa en el estndar X.500, el cual es un conjunto de e o a estndares de redes de computadoras de la ITU-T sobre el servicio de directoa rios. LDAP se ejecuta sobre TCP/IP o sobre otros servicios de transferencia orientado a conexin; que permite el acceso a la data de un directorio ordenado o y distribuido para buscar informacin adems LDAP es una base de datos eso a pecializada, LDAP est optimizada para hacer bsquedas es decir leer datos y a u las lecturas de estos datos se realizan de manera mucho ms frecuente que las a escrituras ya que toda la informacin es almacenada en una estructura de rbol. o a

2.

FUNCIONAMIENTO DE LDAP.

El servicio de directorio LDAP se basa en un modelo cliente-servidor. Uno o ms servidores LDAP contienen los datos que conforman el rbol del directorio a a LDAP o base de datos troncal. el cliente ldap se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicacin de donde puede el cliente hallar ms informacin que o a o normalmente es otro servidor LDAP. No importa con qu servidor LDAP se e conecte el cliente pero siempre observar la misma vista del directorio; el noma bre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que har referencia en otro servidor LDAP. a

3.

VENTAJAS DE LDAP.
Evita la duplicacin de datos, la estructura de datos obliga a que no exista o el mismo dato en dos lugares diferentes del esquema. Permite la distribucin de la administracin, al igual que el servicio de o o DNS, la responsabilidad en la administracin de los datos de un rbol se o a puede separar entre distintos equipos si es necesario. Acepta niveles de acceso bien detallados, pudiendo denir pol ticas de seguridad por cada nodo.

4.

COMO SE ALMACENA LA INFORMA CION EN LDAP?

La informacin es ordenada en el modelo de LDAP en entradas, una entrada o es una coleccin de atributos que tienen un unico Nombre Global Distinguido o (DN). El DN se utiliza para referirse a una entrada sin ambigedades. Cada u atributo de una entrada posee un tipo y uno o ms valores. a

Los tipos son normalmente palabras nemotcnicas, como cn para come mon name, o mail para una direccin de correo. La sintaxis de los atributos o depende del tipo de atributo. Por ejemplo, un atributo cn puede contener el valor Carolina Palacios. Un atributo email puede contener un valor cepalaciosm@unl.edu.ec.

5.
5.1.

SLDAP (Servidor LDAP) en Ubuntu.


Pasos para la Instalacin de SLAPD. o

1. Se ejecuta el siguiente comando: # install slapd ldap-utils 2. Se conrma la ejecucin del comando. o 3. Se introduce la clave del administrador del LDAP. 4. Se conrma la clave.

5.2.

Reconguracin del Paquete SLAPD. o

1. Se ejecuta el siguiente comando: # dpkg-recongure slapd El objetivo es recongurar el LDAP. No se puede omitir esta seccin. o

2. Se congura el dominio.

3. Se congura el nombre de la organizacin. o

4. Se congura el password del administrador en LDAP. 5. Se conrma el password del administrador. 6. Se elige la base de datos.

7. Se selecciona que no se remueva la base de datos cuando se desinstale el SLAPD.

8. Como se est recongurando el SLAPD se hace una copia de la base de a datos anterior. 9. No se da soporte para la versin 2 de LDAP. o

Y con esto se termina la instalacin del LDAP. o

6.

Administracin de Usuarios. o

En este apartado se mostrar como agregar un usuario al LDAP utilizando a para ello los ldif (LDAP Data Interchange Format). A continuacin se mostrar cual o a es la estructura de los ldif. ldif para la creacin de una unidad organizacional personas. El nombre o del archivo es personas.ldif. dn: ou=personas,dc=unl,dc=edu,dc=ec ou: personas objectclass: organizationalUnit

6.1.

Creacin de los Archivos ldif. o

1. ldif para la creacin de una unidad organizacional grupos. El nombre o del archivo es grupos.ldif dn: ou=grupos,dc=unl,dc=edu,dc=ec 5

ou: grupos objectclass: organizationalUnit 2. ldif para la creacin de un grupo usuarios. El nombre del archivo es o usuarios.ldif dn: cn=usuarios,ou=grupos,dc=unl,dc=edu,dc=ec objectclass: posixGroup objectclass: top cn: usuarios userPassword: crypt* gidNumber: 100

6.2.

Agregar los Contenidos de los ldif.

Para agregar los contenidos de los ldif al LDAP se ejecutan los siguientes comandos. #dapadd -x -W -D cn=admin,dc=unl,dc=edu,dc=ec -f personas.ldif #ldapadd -x -W -D cn=admin,dc=unl,dc=edu,dc=ec -f grupos.ldif #ldapadd -x -W -D cn=admin,dc=unl,dc=edu,dc=ec -f usuarios.ldif Al ejecutar estos comandos se pedir el password del administrador LDAP. a Para revisar el resultado de la insercin se ejecuta el siguiente comando: o #ldapsearch -x -b dc=unl,dc=edu,dc=ec

Se puede conrmar en la salida del comando anterior que la insercin de los o anteriores ldif estn presentes en la estructura del rbol del LDAP. a a

6.3.

Agregar Usuarios.

Se debe crear un ldif como se muestra a continuacin: o Nombre del archivo ldif espinozag.ldif dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec uid: espinozag cn: Gabriela Espinoza objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: 12345678 loginShell: /bin/bash uidNumber: 1001 gidNumber: 100 homeDirectory: /home/espinozag Para agregar el nuevo usuario al nuevo rbol de LDAP se debe ejecutar el a siguiente comando:

#ldapadd -x -W -D cn=admin,dc=unl,dc=edu,dc=ec -f espinozag.ldif

Para revisar el resultado de la insercin se ejecuta el siguiente comando: o

#ldapsearch -x -b dc=unl,dc=edu,dc=ec

6.4.

Eliminar Usuarios.

Para eliminar un usuario del rbol del directorio se debe crear un archivo a del tipo ldif como se muestra a continuacin: o dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec changetype: delete Se ejecuta el siguiente comando para eliminar un usuario del rbol LDAP: a

#ldapmodify -x -D cn=admin,dc=unl,dc=edu,dc=ec -W -f borrar.ldif

Para revisar el resultado de la eliminacin se ejecuta el siguiente comando:: o #ldapsearch -x -b dc=unl,dc=edu,dc=ec

6.5.

Agregar Atributos.

Para agregar un atributo se debe crear un ldif como se muestra a continuacin. El nombre del ldif es add.ldif. o dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec changetype: add objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson

cn: Gabriela Espinoza sn: espinozag telephonenumber: 0985847804 Se ejecuta la siguiente sintaxis: #ldapmodify -x -D cn=admin,dc=unl,dc=edu,dc=ec -W -f add.ldif Para vericar el resultado se ejecuta la siguiente sintaxis: #ldapsearch -x -b dc=unl,dc=edu,dc=ec

6.6.

Modicar Atributos.

Para modicar un atributo se debe crear un ldif como se muestra a continuacin. El nombre ldif es modify.ldif. o dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec changetype: modify replace: telephonenumber telephonenumber: 0993121694 Se ejecuta la siguiente sintaxis: #ldapmodify -x -D cn=admin,dc=unl,dc=edu,dc=ec -W -f modify.ldif Para vericar el resultado se ejecuta la siguiente sintaxis: #ldapsearch -x -b dc=unl,dc=edu,dc=ec

6.7.

Eliminar Atributos.

Se debe crear un ldif como el que se muestra a continuacin, el nombre del o archivo ldif es del.ldif. dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec changetype: modify delete: telephonenumber Se ejecuta la siguiente sintaxis: #ldapmodify -x -D cn=admin,dc=unl,dc=edu,dc=ec -W -f del.ldif Para vericar el resultado se ejecuta la siguiente sintaxis: #ldapsearch -x -b dc=unl,dc=edu,dc=ec 9

6.8.

Manejo de Contrase as. n

Primero se debe construir un password, para ello se utiliza el comando slappasswd, el resultado se inserta en un archivo del tipo ldif para modicar el atributo password llamado change password.ldif.

#slappasswd -h CRYPT El chero change password.ldif contiene: dn: uid=espinozag,ou=usuarios,dc=unl,dc=edu,dc=ec changetype: modify replace: userPassword userPassword: CRYPTMfvpC3Qt5OkmQ Se ejecuta la siguiente sintaxis:

#ldapmodify -x -D cn=admin,dc=unl,dc=edu,dc=ec -W -f del.ldif

7.

Autenticacin de Clientes en LDAP. o

Congurar la autenticacin del inicio de sesin para que conecte o o con el servidor LDAP. Para que esto sea posible se debe instalar el paquete libnss-ldap:

sudo apt-get instalL libnss-ldap Aparece la conguracin del paquete y se la realiza de la siguiente forma: o

10

11

Despus se modica el archivo /etc/nsswitch.conf aadiendo la palabra e n ldap a continuacin de passwd, group y shadow : o

Ya est todo listo en el cliente para que la autenticacin sea posible. Ahora a o se debe modicar algunos archivos en el servidor. Se debe modicar el archivo /etc/pam.d/common-auth insertando antes de la siguiente l nea: auth [success=1 default=ignore] pam unix.so nullok secure Esta otra l nea: auth sucient pam ldap.so use rst pass Quedar as a :

El siguiente chero que se debe modicar es /etc/pam.d/common-account insertando antes de la siguiente l nea: account [success=1 new authtok reqd=done default=ignore] pam unix.so 12

Esta otra l nea:

account sucient pam ldap.so nullok secure El siguiente chero ha modicar es /etc/pam.d/common-session insertando antes de la siguiente l nea:

session required pam unix.so Esta otra:

session sucient pam ldap.so El ultimo archivo a modicar es /etc/pam.d/common-password aadin endo antes de la siguiente l nea:

password [succes=1 default=ignore] pam unix.so obscure sha512 Esta otra:

password sucient pam ldap.so A continuacin reiniciamos servidor y cliente y ya est congurada la auto a enticacin de inicio. o

8.
8.1.

Conguracin de la Autenticacin en Mooo o dle.


Conguracin del Servidor LDAP en Moodle. o

Se inicia sesin como usuario admin y se ingresa en Administracin, luego o o en Usuarios y nalmente en Autenticacin . En la lista desplegable titulada o Escoger un mtodo de autenticacin: se habilita la opcin Usar un servidor e o o LDAP. Se obtiene una pgina donde se deben modicar los siguientes parmeta a ros:

13

14

15

Al nal se guardan los cambios realizados. 16

8.2.

Carga de los Usuarios de LDAP a Moodle.

Se ejecuta en la consola del sistema el siguiente comando: C:\xampp\php\php.exe -f C:\xampp\htdocs\moodle\auth\ldap\auth ldap sync users.php Con lo cual se mostrar si los usuarios se han agregado correctamente: a

Con esto se cargar el perl de los usuarios que tengamos dados de alta en a nuestro servidor LDAP.

9.

Errores.

Warning: The PHP LDAP module does not seem to be present. Please ensure it is installed and enabled. Esto normalmente signica que el dll ldap o uno de los dlls de soporte falta. Se comienza con el dll principal(LDAP), para lo cual se usa el archivo de conguracin php.ini. Si no se sabe que php.ini se est utilizando, se debe escribir en o a el navegador la siguiente direccin: http://(moodleserver)/admin/phpinfo.php o Ej: http://localhost/moodle/admin/phpinfo.php Luego se busca la ruta del php.ini y se lo abre. Se busca en el archivo la l nea extension=php ldap.dll y se quita el punto y coma en caso que est. Con e el archivo todav abierto se busca extension dir (normalmente est al inicio a a del documento). Se abre dicha carpeta y se debe asegurar que el archivo php ldap.dll est prea sente. Si no est se debe copiarlo ah Para ver que dlls faltan se habre la consola a . del sistema, se navega hasta el directorio de php y se ejecuta la l nea php -m. Esto debe devolver un lista de los dlls que faltan o tienen problema. Se busca los dll que estn en la lista y se los copia para el directorio de php. e Se ejecuta el comando php -m otra vez y no debe devolver ningn error. u 17