Академический Документы
Профессиональный Документы
Культура Документы
LICENCIA
Atribución — Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciante (pero no de
una manera que sugiera que tiene su apoyo o que apoyan el uso que hace de su obra).
Sin Obras Derivadas — No se puede alterar, transformar o generar una obra derivada a partir de esta obra.
Entendiendo que:
Renuncia — Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor
Dominio Público — Cuando la obra o alguno de sus elementos se halle en el dominio público según la ley vigente
aplicable, esta situación no quedará afectada por la licencia.
Otros derechos — Los derechos siguientes no quedan afectados por la licencia de ninguna manera:
Los derechos derivados de usos legítimos u otras limitaciones reconocidas por ley no se ven afectados por lo anterior.
Derechos que pueden ostentar otras personas sobre la propia obra o su uso, como por ejemplo derechos de imagen o de
privacidad.
Subdirección de Seguridad de la Información/ UNAM-CERT
CONTENIDO
Objetivo ........................................................................................................................................... 4
Desarrollo ........................................................................................................................................ 4
Referencias .................................................................................................................................... 19
Página 3 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
OBJETIVO
Tener un mecanismo de autenticación centralizada para facilitar la autenticación y administración
de usuarios.
DESARROLLO
Se configurará el gestor de paquetes para que realice todas las preguntas necesarias para
configurar el software.
# dpkg-reconfigure debconf
Interface to use
Dialog
Organization name
AdminUNAM
Administrator password
admin
Página 4 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Página 5 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
# openssl x509 -req -days 365 -in server.csr -out server.crt -signkey
server.key
Signature ok
subject=/C=MX/ST=Distrito Federal/L=Coyoacan/O=Universidad Nacional
Autonoma de Mexico/OU=Subdireccion de Seguridad de la
Informacion/CN=AdminUNAM
Getting Private key
INSTALAR EL CERTIFICADO
...
server.crt => dc373df2.0
...
# /etc/init.d/slapd stop
# vi /etc/default/slapd
olcTLSCertificateFile: /etc/ssl/certs/server.crt
olcTLSCertificateKeyFile: /etc/ssl/private/server.key
Página 6 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
# slapindex -F /etc/ldap/slapd.d/
# chown -R openldap:openldap /var/lib/ldap/
Iniciar el servicio
# /etc/init.d/slapd start
En este punto se tiene el servicio slapd configurado pero no se han creado usuarios ni se ha
configurado el sistema para que utilice LDAP como mecanismo de autenticación.
apt install ldap-utils
ldapsearch -v -x -W -D ‘cn=admin,dc=becarios,dc=local’ -b ‘dc=becarios,dc=local’ >directorio.ldif
enter password:hola123.,
cat directorio.ldif
Use StartTLS?
<No>
Página 7 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Instalar el demonio
# cd /etc/apache2/mods-enabled/
# ln -s ../mods-available/ssl.conf
# ln -s ../mods-available/ssl.load
# ln -s ../mods-available/rewrite.load
ln -s /etc/apache2/mods-available/socache_shmcb.load
Habilitar el VirtualHost con soporte para SSL
# cd ../sites-enabled/
# ln -s ../sites-available/default-ssl
default-ssl.conf
Editar el archivo /etc/apache2/sites-enabled/default-ssl y cambiar estas lineas para que apunten al
certificado y a la llave privada que se genero previamente.
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Por estas
SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
Reiniciar el servicio
# /etc/init.d/apache2 restart
Alias name
lam
Página 8 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
<IfModule mod_rewrite.c>
<IfModule mod_ssl.c>
<Location /lam>
RewriteEngine on
RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule . https://%{HTTP_HOST}%{REQUEST_URI} [L]
</Location>
</IfModule>
</IfModule>
# /etc/init.d/apache2 reload
Página 9 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Página 10 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Una vez en la interfaz dar click en "LAM configuration", y entrar en la sección "Edit Server
Profiles". Pedirá una contraseña que por defecto es "lam".
Server settings
Server address:
ldap://localhost:389/
Activate TLS:
No
Tree suffix:
dc=admin,dc=unam,dc=mx
Cache timeout:
0
LDAP search limit:
-
Security settings
Login method:
Fixed-list
LDAP search
List of valid users:
cn=admin,dc=admin,dc=unam,dc=mx
LDAP suffix:
dc=admin,dc=unam,dc=mx
LDAP filter:
cn=%USER%
New password:
<password>
Reenter password:
<password>
Página 11 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Aqui se configuraran las opciones de las nuevas cuentas, por lo general solo se necesita habilitar
usuarios y grupos, por lo que se deshabilitaran las otras opciones al dar click en el icono [006 -
Delete] que aparece después de las opciones "Hosts" y "Samba domains".
ou=users,dc=admin,dc=unam,dc=mx
ou=groups,dc=admin,dc=unam,dc=mx
Página 12 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Aquí se pueden ocultar ciertos campos no necesarios de los módulos seleccionados para facilitar la
búsqueda y la creación de nuevas cuentas. En la siguiente imagen se muestra un configuración que
solo muestra los campos de descripción, nombre de oficina y dirección de correo electrónico.
Página 13 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Iniciar sesión en la interfaz administrativa para agregar usuarios. La configuración para iniciar
sesión requiere que se introduzca el Common Name (cn) en el campo "User name", el password
en esta configuración de ejemplo es "admin".
Despues de iniciar sesión se preguntara si se desean crear las "Unidades Organizacionales" (ou)
donde se crearan los usuarios y los grupos. Dar click en "Create".
Página 14 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Dar click en la pestaña "Groups" y despues en el boton "New group". Llenar los campos Group
name y Description. El número correspondiente al identificador del grupo se calculara
automáticamente.
Por ultimo dar click en el botón "Save" para guardar los cambios.
Si se desea crear otro grupo dar click en "Create new group", de lo contrario dar click en "back to
group List".
Página 15 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Para crear usuarios dar click en la pestaña "Users" y despues en el botón "New user". De manera
similar llenar los campos. Incluso si se tiene una imagen en formato jpeg se puede utilizar como la
fotografía del usuario.
Al terminar de llenar los campos de esta sección dar click en la pestaña "Unix" para configurar los
párametros de la cuenta UNIX en caso de que se desee cambiar la ubicación del directorio home o
el shell. De igual manera que en la creación de un nuevo grupo si no se especifica un identificador
numérico se calcula automáticamente.
Página 16 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Después de llenar los datos es muy importante que se establezca una contraseña para el usuario.
Dar click en el botón y establecer la contraseña para el usuario, misma que
se guardara cuando se almacenen los datos del usuario en el directorio.
Por ultimo dar click en el botón "Save" para agregar el nuevo usuario y guardar sus datos.
Cuando se desee ver el árbol de directorio dar click en la pestaña "Tree view" y se mostrara una
pantalla similar a esta.
Página 17 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Con los usuarios creados en el directorio y el servidor configurado para buscarlos en LDAP se
puede iniciar sesión remotamente. Para esto se tiene que crear el directorio home del usuario y
asignar los permisos adecuados, por ejemplo para agregar el home de los dos usuarios anteriores.
La cantidad de cuentas a agregar puede ser grande y se necesita un mecanismo automatizado para
crearlas. Una de las características de LDAP Account Manager es la generación de cuentas en el
directorio utilizando un archivo de valores separados por coma (CSV).
Página 18 de 19
Subdirección de Seguridad de la Información/ UNAM-CERT
Si se desea obtener un archivo CSV de muestra en la parte final de la pagina se viene la opción de
descargarlo, solo se tienen que eliminar las siguientes columnas
posixAccount_additionalGroups
posixAccount_createHomeDir
Después de subir el archivo al servidor, este lo verifica y si no hay errores se da la opción de aplicar
los cambios en el directorio..
REFERENCIAS
Listado de las fuentes de información en las que se apoyó para el desarrollo del documento.
Página 19 de 19