servidor de autenticacion ldap

UNIV ERSIDAD CENTRAL DEL ECUADOR

Av. América y Av. Universitaria Telf.: (593)2521-744

email: [email protected]

Quito - Ecuador

CONFIDENCIAL

Servidor de autenticación LDAP

Manual

Versión 1.0.0


Manual Versión 1.0.0

© Universidad Central del Ecuador. CONFIDENCIAL ii

Información del Documento

TÍTULO: Servidor de autenticación LDAP SUBTÍTULO: Manual

VERSIÓN: 1.0.0 ARCHIVO: Servidor de autenticacion LDAP.docx AUTOR: Alejandro Romero

ESTADO: Inicial

Lista de Cambios

VERSIÓN FECHA AUTOR DESCRIPCIÓN

1.0.0 11/07/2014 A. Romero Emisión Inicial

Copyright © 2014 Universidad Central del Ecuador. Reservados todos los derechos. Este documento, al igual que el software descrito en el mismo, se entrega bajo licencia y puede ser utilizado y copiado

de acuerdo a los términos de su respectiva licencia. La información contenida en este documento puede estar sujeta a cambios sin previo aviso. La universidad Central del Ecuador no asume ningún tipo de responsabilidad por cualquier omisión, error o cambios que puedan darse en el presente manual.

Ninguna parte de este manual puede ser reproducida ni transmitida de ninguna forma ni por ningún medio, ni electrónico ni mecánico, para ningún propósito sin el permiso escrito de la Universidad Central del Ecuador. Los artes, imágenes o logotipos que constan en este documento también se encuentran protegidas por las leyes de derecho de

autor. Cualquier otro nombre o nombres de productos usados en este documento son marcas registradas o marcas comerciales de sus respectivos propietarios.



© Universidad Central del Ecuador. CONFIDENCIAL iii

Contenido

1 INTRODUCCIÓN ...............................................................................................................1

2 PRERREQUISITOS.............................................................................................................1

3 INSTALACIÓN Y CONFIGURACIÓN DEL SERVIDOR LDAP ..........................................................1

4 INSTALACIÓN Y CONFIGURACIÓN DE PHPLDAPADMIN ........................................................10

5 CREACIÓN DE GRUPOS ...................................................................................................12

6 CREACIÓN DE USUARIOS (CUENTAS).................................................................................14

7 CONFIGURACIÓN DE CLIENTES.........................................................................................16

Figuras FIGURA 1 INGRESO A FIREWALL ................................................................................................8 FIGURA 2 PANTALLA INICIAL FIREWALL .......................................................................................8 FIGURA 3 AÑADIR PUERTOS .....................................................................................................9 FIGURA 4 ELECCIÓN DE PUERTOS LDAP......................................................................................9 FIGURA 5 ELECCIÓN PUERTO HTTP ............................................................................................9 FIGURA 6 LISTA DE PUERTOS HABILITADOS ...............................................................................10 FIGURA 7 PANTALLA INICIAL DE PHPLDA PADMIN .........................................................................11 FIGURA 8 PANTALLA LOGIN DE PHPLDAPADMIN ..........................................................................11 FIGURA 9 PANTALLA ADMINISTRADOR LDAP...............................................................................12 FIGURA 10 GRUPOS LDAP ....................................................................................................12 FIGURA 11 CREACIÓN GRUPOS ...............................................................................................13 FIGURA 12 INGRESO DATOS GRUPO .........................................................................................13 FIGURA 13 CREAR ENTRADA DE GRUPO LDA P............................................................................13 FIGURA 14 VERIFICACIÓN DE GRUPO CREADO ...........................................................................14 FIGURA 15 CREACIÓN DE CUENTA DE USUARIO..........................................................................14 FIGURA 16 INGRESO DE DATOS DEL USUARIO ............................................................................15 FIGURA 17 CREAR ENTRADA CUENTA DE USUARIO .....................................................................15 FIGURA 18 AÑADIR OBJECTCLASS...........................................................................................16 FIGURA 19 ELECCIÓN DE ATRIBUTO SHADOWACCOUNT...............................................................16 FIGURA 20 ACTUALIZACIÓN DE OBJETO ....................................................................................16 FIGURA 21 PANTALLA CONFIGURACIÓN DE AUTENTICACIÓN .........................................................17 FIGURA 22 PANTALLA DE AJUSTES LDAP .................................................................................17



© DTIC-UCE. CONFIDENCIAL Pág. 1


Manual

1 Introducción

El presente manual se lo ha realizado para detallar la forma como se procedió a instalar y configurar un servidor de autenticación LDAP . El mismo que hace referencia a un protocolo a nivel

de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.

2 Prerrequisitos

El equipamiento nec esario para poder instalar y configurar el servidor LDAP será el siguiente: Ordenador con sistema operativo CentOS 6.4.

Los siguientes paquetes son la base fundamental para montar el servidor, estos se instalaran

mediante comandos más adelante. openldap-clients-2.x

openldap-servers-2.x nss-pam-ldap authconfig

authconfig-gtk migrationtools

3 Instalación y configuración del servidor LDAP

La instalación y configuración de servidor LDAP se la detalla en los siguientes pasos : Instalamos los paquetes mencionados en el punto de PRERREQUISITOS:

Luego de haber instalado los paquetes, se procederá a la creación del certificado y firma digital,

primero nos ubicaremos en el directorio CERTS.

Una vez que estamos en el directorio CERTS, procedemos a ejecutar el siguiente comando para

eliminar algún certificado existente en el directorio.

Ahora ejecutamos la siguiente línea de comando para crearnos un nuevo certificado con toda

nuestra información.

Luego de ejecutado el paso anterior se nos pedirá que ingresemos los siguientes datos:

Código de dos letras para el país. Estado o provincia.

Ciudad




Nombre de la empresa o razón social Unidad o sección

Nombre del anfitrión Dirección de correo

La siguiente imagen muestra un ejemplo de la petición de datos para el certificado:

Figura 1. Ejemplo de certi ficado

Para nuestro caso la información que ingresaremos será la siguiente:

Conutry Name: EC State or Providence: Pichincha Locality Name: Quito Organization Name: UCE

Organizational Unit Name: DTIC Common Name: svrldap.uce.edu.ec Email Address: [email protected]

El certificado solo será válido cuando se invoque al servidor LDAP mediante su nombre de

anfitrión, es decir por el nombre definido en COMMON NAME: svrldap.uce.edu.ec, previo a esto un servidor DNS deberá ser el encargado de resolver el nombre de anfitrión del LDAP.

Le otorgamos permisos al archivo que contiene la firma digital y el certificado, le daremos

permisos de lectura y escritura al usuario root y solo permisos de lectura al grupo ldap, para ello ejecutamos lo siguiente:

Procedemos a configurar el archivo ldap, ejecutando lo siguiente:

En la l ínea 16 donde se encuentra SLAPD_LDAPS=no des comentamos (eliminamos #) y

cambiamos no por yes.

mailto:[email protected]




Crearemos un directorio de organización denominado autenticar ejecutando lo siguiente:

Se le dará permisos de acceso exclusivamente al usuario y grupo ldap, para ello ejecutamos lo

siguiente:

Copiamos el archivo DB_CONFIG.example dentro del directorio autenticar, con el nombre

DB_CONFIG, de la siguiente manera:

Hacemos que todo el contenido de autenticar pertenezca al usuario y grupo ldap, de la

siguiente manera:

A continuación crearemos una clave de acceso para el usuario Administrador de directorio del

LDAP, ejecutamos el siguiente comando:

Lo anterior nos dará como salida un criptograma el cual debemos copiarlo en un bloc de notas

porque lo necesitaremos más adelante en la configuración del archivo slapd.conf .

Crearemos el archivo slapd.conf de la siguiente manera:

Abrimos nuestro archivo para editarlo, cabe mencionar que el presente archivo está

completamente vacío.

Como primero definiremos todos los archivos de esquema mínimos requeridos:




Estableceremos las rutas hacia el certificado y la clave mediante la habilitación de los

parámetros TLSCACertificateFile, TLSCertificateFile, TLSCertificateKeyFile.

Para permitir la conexión de clientes con OpenLDAP 2.x, estableceremos los archivos de

numero de procesos y argumentos de LDAP con sus respectivas rutas como se muestra a continuación:

Añadiremos las siguientes l íneas con el objetivo de definir la configuración del directorio que

será el encargado de autenticar toda nuestra red, como podemos observar en la l ínea 25 se ha

colocado el criptograma que generamos y guardamos en un paso anterior.

Colocaremos los índices que se mantendrán para la base de datos de nuestro servidor.

Habilitamos la supervisión de la base de datos y tambien solo le permitiremos al usuario rootdn

(Administrador) que pueda realizar esta supervisión sobre la mencionada base de datos.




Guardamos y cerramos el archivo slapd.conf.

Otorgamos permisos de lectura y escritura del archivo slapd.conf solo al usuario ldap.

Debemos eliminar todo el contenido del directorio slapd.d, debido a que no son más que los

archivos de la configuración predeterminada del LDAP.

Inicializamos los archivos de la base de datos para el contenido del directorio autenticar, para

ello realizamos lo siguiente:

Convertimos el archivo slapd.conf en un subconjunto de archivos ldif que irán dentro del

directorio slapd.d .

Hacemos que todo el contenido de los directorios slapd.d y autenticar pertenezcan al usuario y

grupo ldap, mediante la ejecución de lo siguiente:

Abrimos el archivo ldap.conf para verificar que las variables BASE, URI, TLS_CACERTDIR y

TLS_REQCERT tengan los siguientes parámetros, de no estar esos parámetros añadirlos al archivo.

Iniciamos el servicio slapd y hacemos que se añada a los servicios que arrancan con el sistema

operativo, de la siguiente manera:

Vamos a editar el archivo mígrate_common.ph .

Modificamos los valores de las variables $DEFAUL T_MAIL_DOMAIN y $DEFAULT_BASE a fin de

que queden de la siguiente manera:




Generamos el archivo base.ldif que es un objeto que contendrá el resto de los datos en el

directorio, lo generamos mediante mígrate_base.pl, de la siguiente manera:

Utilizamos el comando ldapadd para insertar datos necesarios mediante los complementos que

a continuación se explica:

-x autenticación simple. -W solicitar clave de acceso. -D binddn Nombre distinguido (dn) a utilizar.

-h anfitrion Servidor LDAP a acceder. -f archivo archivo a utilizar.

Con lo explicado anteriormente se procede a insertar la información en el directorio LDAP

utilizando lo siguiente:

Ahora se procede a insertar datos en el directorio, como primero importaremos las cuentas de

usuario que existen en el sistema, es decir, importaremos tanto los usuarios como sus respectivas contraseñas de la siguiente manera:

En el paso anterior se realizo la creación de los archivos group.ldif y passwd.ldif los cuales

contienen tanto los nombres de usuarios como las contraseñas de las cuentas del sistema, entonces realizamos la siguiente ejecución para añadir estas cuentas al directorio LDAP:

Con la siguiente ejecución verificamos los directorios disponibles en el servidor:

Lo anterior debe darnos una salida como la siguiente:




La comprobación anterior se la puede realizar tambien cambiando la dirección de loopback

(127.0.0.1) por el nombre del servidor en este caso svrldap.uce.edu.ec, como se muestra a

continuación:

La salida debe ser la misma que la salida hecha con la dirección de loopback.

Podemos realizar otra prueba mostrando la información de un usuario especifico, para esta

prueba verificaremos la existencia del usuario svr-ldap, que está alojado en el servidor. Para ello ejecutamos lo siguiente:

La salida nos debe dar algo similar a esto:




En lo anterior observamos el uid=svr-ldap y ou=People, esto nos indica que el nombre de

usuario en el servidor LDAP es svr-ldap y este está en el grupo People.

Por último para aceptar las conexiones al servidor se habilitara en el firewall los puertos 389 en

udp y tcp, adicionalmente el puerto 80 tcp.

Figura 1 Ingreso a firewall

En la siguiente pantalla escogemos la opción de OTROS PUERTOS.

Figura 2 Pantalla inicial firewall

Luego damos clic en AÑADIR.




Figura 3 Añadir puertos

Escogemos los puertos 389 en tcp y udp y 80 tcp para poder acceder a nuestro servidor.

Figura 4 Elección de puertos ldap

Figura 5 Elección puerto http




Por último le damos clic en APLICAR.

Figura 6 Lista de puertos habilitados

4 Instalación y configuración de PHPLDAPADMIN

Para poder administrar de mejor manera nuestro servidor LDAP instalaremos una interfaz grafica que nos facilite añadir usuarios o grupos en el servidor. Lo primero que haremos es descargar el repositorio epel para nuestra distribucio nde CentOS 6.

Luego de haber instalado el repositorio, precedemos a instalar el phpldapadmin de la siguiente

forma:

Ingresamos al archivo de configuración config.php para editarlo.

Alrededor de la l ínea 397 ubicamos la siguiente entrada $servers->setValue(‘login’,attr’,’dn’);

des comentamos dicha entrada y comentamos la entrada subsiguiente es decir $servers->setValue(‘login’,attr’,’uid’);

Lo anterior nos sirve para poder ingres ar como Administrador con el nombre de rootdn, es

decir con cn=Administrador, dc=uce.edu, dc=ec.

Abrimos el archivo phpldapadmin.conf .

Añadimos las siguientes l íneas:




LO anterior nos permite las conexiones al servidor para todas las redes 10.2.0.x.

Guardamos los cambios en el archivo e iniciamos el servicio httpd.

Para acceder al phpldapadmin abriremos el navegador web y en la url escribiremos

http://127.0.0.1/phpldapadmin en la misma máquina, o tambien podemos ingresar con la

siguiente dirección http://10.2.0.119/phpldapadmin si estamos en una maquina que no es nuestro servidor.

Figura 7 Pantalla inicial de phpldapadmin

Para ingresar le damos clic en conectar y escribimos nuestro rootdn es decir cn=Administrador,

dc=uce.edu, dc=ec y las respectiva contraseña.

Figura 8 Pantalla login de phpldapadmin

http://127.0.0.1/phpldapadmin

http://10.2.0.119/phpldapadmin




Figura 9 Pantalla administrador ldap

5 Creación de grupos

Nos ubicamos en Group y damos clic en crear nuevo objeto.

Figura 10 Grupos LDAP

Luego escogemos Genérico: Grupo Posix .




Figura 11 Creación grupos

Introducimos el nombre para nuestro nuevo grupo y damos clic en Crear objeto.

Figura 12 Ingreso datos grupo

Clic en cometer.

Figura 13 Crear entrada de grupo ldap




Luego ya podemos observar el nuevo grupo grDtic creado en el árbol de Group.

Figura 14 Verificación de grupo creado

6 Creación de usuarios (Cuentas)

Nos ubicamos en Group y damos clic en Crear nuevo objeto, y da mos clic en Genérico: Cuenta

de usuario .

Figura 15 Creación de cuenta de usuario

Llenamos los campos necesarios para el usuario, los campos con * son obligatorios , luego

damos clic en Crear objeto.




Figura 16 Ingreso de datos del usuario

Clic en Cometer.

Figura 17 Crear entrada cuenta de usuario




Editamos el usuario, en la parte de objectClass añadimos un valor.

Figura 18 Añadir objectClass

Añadimos el valor shadowAccount y damos clic en Añadir objectClass .

Figura 19 Elección de atributo shadowAccount

En loginShell cambiamos sh por bash y damos clic en Actualizar objeto.

Figura 20 Actualización de objeto

7 Configuración de clientes

Instalaremos los paquetes necesarios para el cliente, ejecutando lo que se muestra a

continuación:

Configuraremos el archivo pam_ldap.conf en donde definiremos valores para los parámetros

base y uri ldaps que están alrededor de las l íneas 20 y 26 con el fin de saber a qué servidor y a

que directorio se va a conectar el cliente.




Añadimos las siguientes l íneas al final del archivo.

Ejecutamos lo siguiente, para poder tener acceso a la configuración de autenticación.

Marcamos las siguientes opciones: Use LDAP, Use MD5 Password, Use LDAP Authentication,

debe quedar de la siguiente forma, para luego presionar en Next.

Figura 21 Pantalla configuración de autenticación

En la siguiente ventana modificamos las variables Server y Base DN como se muestra a

continuación con la IP del servidor y el dominio del directorio base respectivamente y luego damos Ok.

Figura 22 Pantalla de ajustes LDAP




Ahora damos los respectivos permisos de creación de directorios y consulta a la base de datos

con lo siguiente:

Modificamos el archivo system-auth.

El archivo debe quedar similar a este:

Editamos el archivo nsswitch.conf.

Comprobamos que estén presentes las siguientes l íneas, caso contrario las editaremos en el

archivo.




Iniciamos el servicio nslcd y lo agregamos a la l ista de servicios que arrancan con el sistema

operativo.

servidor de autenticacion ldap

Documents