NIS vs. LDAPNIS vs. LDAP

Realizado por:Jaime JaspePablo Endres

Conceptos Básicos

¿Qué es un serviciode directorio?

¿Por qué tener unservicio de directorio?

NIS

• Introducción

• ¿Cómo NIS trabaja?

• Configurando un servidor NIS

• Configurando un cliente NIS

• Chequeando la instalación del NIS

• NIS+

Introducción - NIS

• Máquinas con Linux

• Simplificar la administración de redes

• Proveer información

• Distribuir:– Login names

– Passwords

– Home directories

– Group information

¿Cómo NIS trabaja?

• NIS Servers (Maestros o Esclavos)

• NIS Domains

• NIS Databases (Formato DBM - Data Base Management)

• NIS Maps (yppush)

• NIS Clients (ypbind)

Configurando un Servidor NIS

• Compilar para generar el “ypserver” y “makedbm”

• Editar “/var/yp/securenets” y “/etc/ypserv.conf”

• Asegurarse que el Portmapper esta corriendo y luego levantar el servidor “ypserver”

• Generar la base de datos de NIS:– Para un servidor maestro ejecutar: “/usr/lib/yp/ypinit –m”

– Para un servidor esclavo:• Verificar que el servidor esclavo esta configurado como un cliente NIS

• Ejecutar: “/usr/lib/yp/ypinit -s masterhost”

• En este punto el servidor debe estar levantado y corriendo

---------------------------------------------------------------------------------------------------------------

• Si se va a agregar nuevos servidores esclavos entonces hay que verificar que estos tengan los permisos para acceder al servidor maestro y luego se ejecuta: “/usr/lib/yp/ypinit -s masterhost”

• Luego en el servidor maestro se agrega la entrada de los nuevos esclavos en el archivo “/var/yp/ypservers” y se corre make en “/var/yp” para actualizar el mapa.

Configurando un Servidor NIS

• rpc.ypxfrd :– Acelerar tiempo transferencia, entre servidores

maestros y esclavos, de mapas muy grandes.– Sólo corre en el servidor maestro

• rpc.yppasswdd :– Cambio de passwords por parte de los usuarios.– Mantener actualizada la información del NIS– Sólo corre en el servidor maestro

Configurando un cliente NIS

• Editar el archivo de configuración de “/etc/yp.conf” y colocar las direcciones IP de los servidores NIS.

• Configurar el “domain name” NIS con el nombre por defecto que se tiene en la red. Para chequear el dominio se puede usar el comando “/bin/ypdomainname”.

• Crear el directorio “/var/yp”

• Levantar el programa “/usr/sbin/ypbind”

• En este punto ya esta configurado el cliente NIS y se puede reiniciar la máquina para comenzar ya como un cliente NIS.

Chequeando la instalación del NIS

• Si todo fue bien configurado entonces ejecutar:– “ypcat passwd” y se deberá ver la

información del archivo de passwords de NIS– “ypmatch <userid> passwd” y se deberá

ver le entrada de un usuario en el archivo de passwords de NIS

NIS+

• Encriptación y autentificación• Estructura de Árbol• Dos directorios especiales: org_dir – groups_dir• Cada nodo es un objeto NIS+ que tiene seis tipos:

– Directorio

– Entrada

– Grupo

– Enlace

– Tabla

– Privado

LDAP

• Introducción

• Instalación

• Configurando LDAP Server

• Corriendo LDAP Server

• Creación de Bases de Datos.

• Información adicional

Introducción - LDAP

• ¿Cómo LDAP trabaja?

Introducción - LDAP

• ¿Cómo LDAP guarda la información?

Introducción - LDAP

• ¿Qué es slapd?– Servidor de directorio de LDAP– Capacidades:

• Simple Authentication and Security Layer

• Transport Layer Security

• Access control

• Internationalization

• Choice of databases

• Multiple database instances

• Generic modules API

• Threads

• Replication

• Configuration

Introducción - LDAP

• LDAP backends, objects and attributes– LDBM

– SHELL

– PASSWD

– Los objetos son definidos por una colección de atributos.

– Algunos tipos básicos de objetos son:

• Grupos

• Ubicación

• Organización

• Persona

Instalación - LDAP

• Pre-requerimientos

• Bajar el paquete

• Descomprimir el paquete

• Configurando el Software

• Construyendo el Servidor

Configurando LDAP Server

• Configurando File Format /usr/local/etc/openldap/slapd.conf

• Directivas Globales

• Directivas generales de Bases de Datos

• Directivas específicas del LDMB-Backend

• Control de Acceso

Sladp.confinclude /usr/local/etc/schema/core.schema referral ldap://root.openldap.org access to * by * read # ldbm definition for the example.com database ldbm suffix "dc=example,dc=com" directory /usr/local/var/openldap rootdn "cn=Manager,dc=example,dc=com" rootpw secret # replication directives replogfile /usr/local/var/openldap/slapd.replog replica host=slave1.example.com:389 binddn="cn=Replicator,dc=example,dc=com" bindmethod=simple credentials=secret replica host=slave2.example.com binddn="cn=Replicator,dc=example,dc=com" bindmethod=simple credentials=secret # indexed attribute definitions index uid pres,eq index cn,sn,uid pres,eq,approx,sub index objectClass eq

Slapd.conf (continuación)

# ldbm access control definitions access to attr=userPassword by self write by anonymous auth by dn="cn=Admin,dc=example,dc=com" write

by * none access to * by self write by dn="cn=Admin,dc=example,dc=com" write by users read # replication directives replogfile /usr/local/var/openldap/slapd.replog replica host=slave1.example.com:389 binddn="cn=Replicator,dc=example,dc=com" bindmethod=simple credentials=secret replica host=slave2.example.com binddn="cn=Replicator,dc=example,dc=com" bindmethod=simple credentials=secret

Slapd.conf (continuación)

# indexed attribute definitions index uid pres,eq index cn,sn,uid pres,eq,approx,sub index objectClass eq # ldbm access control definitions access to attr=userPassword by self write by anonymous auth by dn="cn=Admin,dc=example,dc=com" write by * none access to * by self write by dn="cn=Admin,dc=example,dc=com" write by users read

Corriendo LDAP Server

• Comenzando el LDAP Server:– /usr/local/etc/libexec/slapd [<option>]*

• Eliminando el LDAP Server– kill -TERM `cat $(ETCDIR)/slapd.pid`

Creación de Bases de Datos

• Creando una Base de Datos– Online– Offline

• Formato LDIF– Representa en un formato simple, las entradas de LDAP

– Ejemplo con tres entradas

Creación de Bases de Datos# Barbara's Entry

dn: cn=Barbara J Jensen, dc=example, dc=com

cn: Barbara J Jensen

cn: Babs Jensen

objectClass: person

sn: Jensen

# Bjorn's Entry dn: cn=Bjorn J Jensen, dc=example, dc=com

cn: Bjorn J Jensen

cn: Bjorn Jensen

objectClass: person

sn: Jensen # Base64 encoded JPEG photo

jpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALD A4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxOQ ERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG

# Jennifer's Entry dn: cn=Jennifer J Jensen, dc=example, dc=com

cn: Jennifer J Jensen

cn: Jennifer Jensen

objectClass: person

sn: Jensen

# JPEG photo from file

jpegPhoto:< file://path/to/file.jpeg

Información adicional

• Acceso Roaming

• Herramientas de migración de LDAP

• Autentificando usando LDAP

• Herramientas gráficas de LDAP

• Logs