Antonio Nogales Ramos, Iker Jimenez Hierro, Alejandro Bueno Salmern

Configuracin de LDAP
en sistemas operativos
LINUX(ubuntu)
La instalacin de la herramienta openLDAP:
El servidor OpenLDAP est disponible en el paquete SLAPD. Adems
conviene instalar el paquete ldap-utils, que contiene utilidades
adicionales.
Los instalaremos mediante apt-get:
Sudo apt-get install slapd ldap-utils.
Comandos para el arranque y la parada del servicio:
El servidor LDAP dispone de un script de arranque y parada en la
carpeta /etc/INIT.d
Para arrancar o reiniciar el servidor LDAP ejecutaremos el comando:
Sudo /etc/INIT.d/sldap restart
Para parar el servidor LDAP ejecutaremos el comando:
Sudo /etc/INIT.d/slapd stop.
La creacin y manipulacin del backend: Comandos de manipulacin del
backend:
La configuracin del backend inicialmente es mnima por lo que
necesitaremos ampliar su funcionalidad.
La informacin del directorio activo se almacena en forma de arbol.
Nosotros vamos a presentar una configuracin en la que crearemos dos

nodos bajo la raiz del arbol: usuarios y grupos.

Primero debemos determinar la raiz del arbol para el directorio LDAP.
Por ejemplo, para el dominio dominiouno.com el nodo raiz ser
DC=dominiouno, DC=com.
Debemos realizar la carga de los ficheros schema para la estructura del
directorio. Los schemas estn en el directorio /etc/openldap/schema/.
Para cargarlos ejecutaremos los siguientes comandos:
-ldapadd -y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
-ldapadd -y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
-ldapadd -y EXTERNAL -H ldapi:///
-f /etc/ldap/schema/inetorgperson.ldif
Una vez aadidos los esquemas a LDAP debemos crear el fichero LDIF
de configuracin para la carga dinmica de los mdulos en el backend y
la base de datos para el directorio. Despus de crear el fichero LDIF lo
cargaremos con el siguiente comando:
-ldapadd -y EXTERNAL -H ldapi:/// -f backend.dominiouno.com.ldif
Se crearn dos entradas: una para la carga dinmica de mdulos en el
directorio y otra para la base de datos. Desde este momento podremos
poblar el directorio frontenis con informacin.
La configuracin del frontenis: comandos de busqueda, carga, borrado y
modificacin :
Crearemos un fichero LDIF en el que se crearn los distintos nodos que
deseemos registrar. (usuarios y grupos).
Rellenaremos el fichero LDIF de la siguiente manera:
#creamos el objeto del nivel superior del dominio
Dn: DC=dominiouno,DC=com
Objectclass: TOP
Objectclass: dcobject
Objectclass: organizacin
DC: dominiouno
DC: LDAP

#usuario administrador (admin)

Dn: cn=admin.,DC=dominiouno,DC=com
Objectclass: simplesecurityobject
Objectclass: organizationalrole
Cn:admin.
Descripcin: LDAP administrador
Userpassword: pass
#unidad organizacional usuarios
Dn:ou=grupos,DC=dominiouno,DC=com
Objectclass: organizationalunit
Ou: usuarios.
#unidad organizacional grupos
Dn: ou=grupos,DC=miempresa,DC=com
Objectclass: organizationalunit
Ou: grupos
#usuario Carlos Lopez
Dn: uid=carlos,ou=usuarios,DC=dominiouno,DC=com
Objectclass: inetorgperson
Objectclass: posixAccount
Objectclass: shadowAccount
Uid: Carlos
Sn: lopez
Uidnumber:123
Gidnumber:123000
Userpassword: pass
Gecos: carlos lopez
Loginshell: /bin/bash
Homedirectory: /home/carlos
Shadowexpire: -1
Shadowflag: 0
Shadowwarning: 7
Shadowmin:9
Shadowmax:9999
Shadowlastchange:12863
Mail:carlitillos@gmail.com
Postalcode:23432

#grupo grupisimo

Dn: cn=grupisimo, ou=grpos,DC=dominiouno,DC=com

Objectclass: posixgroup
Cn:ejemplo
Gidnumber: 10206
Para ejecutar las cargas de las entradas en el directorio LDAP
ejeutaremos:
- ldapadd -x -d cn=admin.,DC=dominiouno,DC=com -w
frontenddominiouno.com.ldif.
Los comandos mas utilizados son:
-ldapadd: aadir
-ldapsearch: buscar
-ldapmodify: modificar
-ldapdelete: borrar

Instalacin de alguna herramienta grfica que gestione openLDAP:

Herramientas de gestin de LDAP son por ejemplo Explorer,gq y
phpldapadmin.
Para instalar phpldapadmin:
Ejecutaremos: apt-get install phpldapadmin.

Unir un equipo cliente al dominio creado en openLDAP y probar su

conexin correcta:
Debemos configurar la mquina cliente del siguiente modo:
-apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db ldap-utils
libpam-ccreds
Para conectar debemos disponer de un certificado que debemos generar
por la CA. Una vez generados debemos moverlos al lugar
correspondiente:
-medir /etc/ldap/ssl/
-cp /etc/ssl/dominiouno/desktop-server-key.pem /etc/ldap/ssl/
-cp /etc/ssl/dominiouno/desktop-server-crt.pem /etc/ldap/ssl/
-cp /etc/ssl/dominiouno/cacert.pem /etc/ldap/ssl/
-chmod 644 /etc/ldap/ssl/*
-chown root:root /etc/ldap/ssl/*

Debemos configurar LDAP como cliente editando /etc/ldap/ldap.conf

-BASE DC=dominiouno,DC=com
-URI ldaps: host.ejemplo.com
-TLS_CACERT /etc/ldap/ssl/cacert.pem
-TLS_REQCERT demmand
-#TLS_REQCERT never # useful to check if cant contact LDAP
server because of certificate problems
Ahora debemos crear /ldaprc con el usuario que vayamos a usar para
conectarnos al servidor:
-BASE DC=dominiouno,DC=com
-URI ldaps: host.ejemplo.com
-TLS_CACERT /etc/ldap/ssl/cacert.pem
-TLS_REQCERT demmand
-#TLS_REQCERT never # useful to check if cant contact LDAP
server because of certificate problems
###user only (need to copy /etc/ldap/ldap.conf to /ldaprc)
#client certificate and key
#use these, if your server requires client autenticacin.
TLS_CERT /etc/ldap/ssl/desktop-server_crt.pem
TLS_KEY /etc/ldap/ssl/desktop-server_key.pem
En estos dos ficheros hemos especificado:
-el nombre base
-el servidor al que nos vamos a conectar y el protocolo que vamos a
utilizar.
-el usuario con el que vamos a realizar la conexin
-Los certificados y la solicitud de validacin del certificado del servidor.
Podemos probar la conexin realizando una consuta al servidor:
-ldapsearch -x -w uid=dominiouno