practica inicial ldap (jlg)
TRANSCRIPT
Práctica Inicial LDAP Jesús López González
2012
Jesús López González IES Gran Capitán
25/09/2012
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo:
1
Contenido CONFIGURACIÓN DEL SERVIDOR .................................................................................................. 2
Instala el servicio OpenLDAP según la documentación (asir2.gcap.net). ................................. 2
Crear para el dominio una estructura de unidades organizativas donde se puedan dar de alta
los usuarios del sistema (users, groups). ................................................................................... 5
Configurar el servicio NFS para que permita el acceso a la carpeta /home/nfs/ con permisos
de lectura y escritura desde la subred del aula. ........................................................................ 6
Crear una serie de usuarios en LDAP mediante las herramientas de consola indicando que los
directorios de cada usuario se crearán en /home/nfs/ ............................................................. 7
Comprobar mediante las herramientas de consola que los usuarios se han creado
adecuadamente. ....................................................................................................................... 8
Crear los directorios en /home/nfs/<<usuario>> asignándoles a cada directorio el uid y gid
que se le ha asignado en OpenLDAP. ........................................................................................ 9
Instalar la herramienta phpldapadmin y comprobar mediante un navegador la configuración
realizada desde consola. ........................................................................................................... 9
CONFIGURACIÓN DEL CLIENTE.................................................................................................... 11
Montar el directorio /home/nfs del servidor en /home/nfs del cliente cuando arranque el
sistema. ................................................................................................................................... 11
Configurar la autentificación del inicio de sesión para que conecte con el servidor LDAP. .... 11
Configurar un cliente de correo electrónico como Evolution o Thunderbird para usar el
servidor openldap como libreta de direcciones. ...................................................................... 15
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
2
CONFIGURACIÓN DEL SERVIDOR
Instala el servicio OpenLDAP según la documentación
(asir2.gcap.net).
Comenzamos instalando el servidor LDAP en nuestra máquina servidor (Debian
6 en mi caso) mediante el siguiente comando:
apt-get install slapd ldap-utils
Introducimos la contraseña de administración y pasamos a configurar el
servidor. Para ello ejecutamos el siguiente comando:
dpkg-reconfigure slapd
A continuación iré mostrando las pantallas de cómo lo he configurado yo según
pide la práctica:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
3
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
4
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
5
Crear para el dominio una estructura de unidades organizativas
donde se puedan dar de alta los usuarios del sistema (users,
groups). Para ello debemos de crear un archivo .ldif que posteriormente cargaremos en el
servidor LDAP para que interprete los datos y estructure el sistema. El archivo ldif que
he creado es el siguiente:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
6
A continuación paramos el servidor LDAP para poder cargar el archivo ldif :
/etc/init.d/slapd stop
Ahora cargamos el archivo al servidor LDAP con el siguiente comando:
slapadd –v –l ou.ldif
Nos debe aparecer algo como esto:
Eso quiere decir que se ha cargado correctamente el archivo.
Ahora volvermos a iniciar el servidor LDAP:
/etc/init.d/slapd start
Configurar el servicio NFS para que permita el acceso a la carpeta
/home/nfs/ con permisos de lectura y escritura desde la subred del
aula. Instalamos el servidor y cliente nfs en nuestra máquina::
apt-get install nfs-common nfs-kernel-server
Ahora pasamos a configurar el servidor nfs. Para ello debemos editar el archivo
/etc/exports de la siguiente forma:
Como vemos en el archivo, hemos compartido la carpeta /home/nfs (que previamente
hemos creado) a la subred de la clase con los permisos de lectura y escritura.
A continuación reiniciamos el servicio nfs:
/etc/init.d/nfs-kernel-server restart
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
7
Creamos un archivo llamado prueba dentro de la carpeta compartida y robamos que
funciona correctamente montando la carpeta compartida:
mount –t nfs 192.168.1.1:/home/nfs /media/servidor
Como se puede ver el archive prueba está en la carpeta, por lo que podemos confirmar
que funciona correctamente.
Crear una serie de usuarios en LDAP mediante las herramientas de
consola indicando que los directorios de cada usuario se crearán en
/home/nfs/ Ahora, con el servidor NFS configurado, vamos a agregar los usuarios. Primero
agregaré un usuario llamado admin que será el encargado de administrar el servidor y el
que tendrá todos los permisos. Para ello ejecutamos el siguiente comando:
ldapadd –x –D cn=admin,dc=2asir,dc=gcap,dc=net –W –f /home/usuario/ou.ldif
También vamos a crear un usuario llamado jesus y otro llamado user1 con la siguiente
configuración en el archivo usuario.ldif:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
8
Cargamos el archivo ldif al servidor:
slapadd –v –l usuario.ldif
Reiniciamos el servidor LDAP:
/etc/init.d/slapd restart
Comprobar mediante las herramientas de consola que los usuarios
se han creado adecuadamente.
Para comprobar que el usuario se ha creado correctamente escribimos el siguiente
comando en consola:
ldapsearch –xL LL “dc=2asir,dc=gcap,dc=net” uid=jesus sn givenName cn
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
9
Crear los directorios en /home/nfs/<<usuario>> asignándoles a
cada directorio el uid y gid que se le ha asignado en OpenLDAP.
Ahora entramos al directorio /home/nfs/ y le asignamos a la carpeta del usuario que
hemos creado el gid y el uid de éste. Para ello ejecutamos el siguiente comando
dentro del directorio nfs :
chown 1000.10000 jesus
chown 1101.10000 user1
Las cifras se corresponden al uid y gid que asignamos a los usuarios en el archivo
usuario.ldif :
Instalar la herramienta phpldapadmin y comprobar mediante un
navegador la configuración realizada desde consola.
Instalamos el paquete phpldapadmin:
apt-get install phpldapadmin
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
SER
VID
OR
1
0
Por defecto trae configurado como servidor example.com por lo que tendremos que
poner el dominio de nuestra práctica. Para ello modificamos el archivo
/etc/phpldapadmin/config.php :
nano /etc/phpldapadmin/config.php
Buscamos las líneas (tenemos que cambiarlo en 2) en las que se encuentre
dc=example,dc=com y lo sustituimos por dc=2asir,dc=gcap,dc=net quedando de la
siguiente forma:
Ahora reiniciamos el servidor LDAP y comprobamos desde la máquina cliente y
con el phpldapadmin que la configuración que hemos hecho desde consola en el
servidor ha sido correcta:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
1
CONFIGURACIÓN DEL CLIENTE
Montar el directorio /home/nfs del servidor en /home/nfs del cliente
cuando arranque el sistema. Para ello antes hemos creado una carpeta en nuestro cliente en la ruta /media/servidor/
que será donde montemos el /home/nfs/ :
sudo mkdir /home/nfs
A continuación si queremos que se monte cuando arranque el sistema debemos de
insertar en una línea el comando de montaje en el siguiente archivo /etc/fstab de esta
forma:
Ahora pasamos a reiniciar el cliente y vamos a comprobar que se ha montado
correctamente:
Como se puede ver existen los mismos archivos que en la carpeta /home/nfs del
servidor.
Configurar la autentificación del inicio de sesión para que conecte con el
servidor LDAP. Para que esto sea posible debemos de instalar el paquete libnss-ldap:
sudo apt-get instal libnss-ldap
Nos aparece la configuración del paquete y hay que hacerla de la siguiente forma:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
2
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
3
Después vamos a modificar va a ser /etc/nsswitch.conf añadiendo ldap a continuación
de passwd, group y shadow:
Ya está todo listo en el cliente para que la autentificación sea posible. Ahora debemos
de modificar algunos archivos en el servidor.
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
4
El primero que vamos a modicicar va a ser /etc/nsswitch.conf añadiendo ldap a
continuación de passwd, group y shadow:
Otro archivo que debemos de modificar es /etc/pam.d/common-auth insertando antes de
la siguiente línea:
auth [success=1 default=ignore] pam_unix.so nullok_secure
Esta otra línea:
auth sufficient pam_ldap.so use_first_pass
Quedaría así:
El siguiente fichero a modificar es /etc/pam.d/common-account insertando antes de la
siguiente línea:
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
Esta otra línea:
account sufficient pam_ldap.so nullok_secure
Otro fichero que hay que modificar es /etc/pam.d/common-session insertando antes de
la siguiente línea:
session required pam_unix.so
Esta otra:
session sufficient pam_ldap.so
El ultimo archive a modificar es /etc/pam.d/common-password añadiendo antes de la
siguiente línea:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
5
password [succes=1 default=ignore] pam_unix.so obscure sha512
Esta otra:
password sufficient pam_ldap.so
A continuación reiniciamos servidor y cliente y ya está configurada la autentificación de
inicio.
Ahora probamos a hacer login con uno de los usuarios que creamos en LDAP. En mi
caso lo he hecho con user1:
Como vemos se loguea perfectamente.
Configurar un cliente de correo electrónico como Evolution o
Thunderbird para usar el servidor openldap como libreta de direcciones.
Primero debemos de instalar el paquete evolution-data-server en nuestro servidor:
apt-get install evolution-data-server
A continuación debemos de crear una unidad organizativa que actuará como libreta de
direcciones. Para ello creamos un fichero llamado libreta.ldif con el siguiente contenido
y paramos el servidor LDAP:
Y lo añadimos al servidor LDAP con el siguiente comando:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
6
slapadd –v –l libreta.ldif
Volvemos a iniciar el servicio LDAP.
Ahora nos movemos a la máquina cliente para configurar el cliente de correo, que en mi
caso será Evolution.
Abrimos Evolution y configuramos la cuenta de la siguiente forma:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
7
A continuación pulsamos en Nuevo->Libreta de Direcciones y le asignamos los
siguientes valores:
Práctica Inicial LDAP
Jesús López González
Cap
ítu
lo: C
ON
FIG
UR
AC
IÓN
DEL
CLI
ENTE
1
8
Con esto hemos terminado la práctica de LDAP.