OpenLdap

Servidor
Debian
Cliente
Ubuntu

Alejandro Bueno,Antonio Nogales,Iker

Jimnez

OpenLdap Servidor Debian Cliente Ubuntu

Instalacin y Configuracin

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Instalacin del servidor OpenLdap

Componentes
Hay que tener en cuenta que versin del sistema operativo vamos a usar ya que
dependiendo de la versin, la configuracin se llevar a cabo desde el archivo slapd.conf o
desde ficheros .ldif.Nosotros vamos a usar Debian 7.6 Wheezy por lo que no tendremos fichero
de configuracin slapd.conf.
OpenLdap consta de cuatro componentes principales:

slapd demonio LDAP autnomo,servidor principal de LDAP.

slurpd demonio de replicacin de actualizaciones LDAP autnomo.Permite varias

rplicas de un servidor LDAP.

Rutinas de biblioteca de soporte del protocolo LDAP(conjunto d elibreras que

implementan LDAP).

Utilidades, herramientas y aplicaciones cliente.

Prerequisitos de instalacin
Normalmente se incluyen en la instalacin del SO u otras aplicaciones pero necesitamos 3
componentes antes de instalar OpenLdap:
Software de base de datos (obligatorio).
Capa de tarnsporte segura(opcional) si se desea establecer comunicaciones seguras
mediante TLS hay que instalar las libreras TLS. En nuestro caso las tenemos ya que hemos
instalado Open SSL.
Instalacin
Vamos a instalar la versin 2.4.33 ms ldap-utils que nos facilitar herramientas del cliente.
apt-get install sladp ldap-utils

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

La seguridad de la contrasea corre a nuestra cuenta,en neustro caso ser pass

El servidor LDAP al igual que todos los servicios en Debian, dispone de un script de arranque y
parada en la carpeta /etc/init.d.
/etc/init.d/slapd stop|start|restart
Creacin y configuracin Backend y Comandos del Backend
En la instalacin del paquete slapd, por defecto se crea un nuevo rbol de directorio usando
los datos del archivo hosts. Normalmente se hace antes de instalarlo para que lo configure
durante la instalacin, nosotros lo vamos a configurar ahora y despus usamos la consola de
slapd para configurar el rbol.

Archivo hosts
-Lo normal es configurarlo antes de isntalar
openldap.

Slapcat
-

Como no hemos configurado el

archivos hosts antes de la
instalacin vemos que no hay
nign nombre de dominio

Vamos a reconfigurar elnombre del dominio y la base de datos mediante la consola

dpkg-reconfigure slapd

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Introducimos un nombre para nuestro dominio, como vemos al no haber configurado el archivo
hosts,no se ha ascociado un nombre por defecto.Asignamos el dominio deban.com

Damos el nombre de la organizacin y nos pedir la contrasea establecida en la instalacin.

Despus nos parecer esta pantalla de abajo indicacondo que motro de base de datos
vamos a usar.

Podemos ver cual se ha instalado listando el directorio /etc/ldap/slap.d

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Elegimos no borrar la base de datos despus de la configuracin y si tenemos datos en

antiguas bases de datos podemos moverlos a la nueva

La ltima opcin y despus preguntar si permitimos el protocolo LDAP-v2

Ya tenemos la base de datos y el rbol del directorio Debian.com, ahora vamos a crear la
unidad organizativa usuarios, un grupo y un usuario. El usuario debe existir en el sistema (Se
puede aadir editando los ficheros oportunos), los datos se cogern del archivo /etc/paswwd.
Usaremos el usuario Filemn y el grupo Filemn.
El fichero.ldif quedar de la siguiente manera:

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Ahora vamos a cargar el archivo:

Ldapadd c x D cn=admin,dc=deban,dc=com W f /home/mojo/usuarios.ldif
Nos solicita que es necesario un sn cuando creamos un usuario, modificamos el archivo ldif
(sn: prez)y lo volvemos a importar, si ya existe no lo reemplaza.
Comprobamos que podemos conectar:
Ldapsearch -x b dc=deban,dc=com

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Ahora comprobamos la conexin del usuario. Para poder conectar necesitamos darle un
password mediante comandos, editando el fichero passwd (no recomendado) o con una
interfaz grfica como Phpldapadmin.
root@debian>Ldappasswd -D cn=admin cn=admin,dc=deban,dc=es w pass
root@debian> -x cn=filemon,dc=deban,dc=es
-x Autenticacin simple
-D Usuario desde el que realizo la conexin
-w Password del usuario con el que realizamos la conexin

Instalacin en el cliente
Requisitos
NSS es un servicio que resuelve nombres de usuario,grupos y contraseas. Normalmente
encontramos esta informacin en los archivos /etc/passwd, /etc/shadow y /etc/group pero
puede proceder de otras fuentes, como DNS(Domain Name System), NIS (Network Information
Service), LDAP (Lightweight Directory Access Protocol) o WINS (Windows Internet Name
Service.
Tambin necesitamos editar el archivo nsswitch.conf y agregar las lneas ldap
libnss-ldapd Permite que nss obtenga de LDAP informacin de los objetos
libpam-ldapd Para autenticarse con pam
nscd Demonio que ofrece un cache para las consultas
nslcd para configurar la conexin al servidor, demonio de servicio de nombres

Instalacin
Vamos a instalar los paquetes en el equipo cliente
apt-get install libpam-ldap libnss-ldap nss-updatedb libnss nscd nslcd ldap-utils

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Aqu vamos a escoger la direccin ip del servidor 192.168.15.2

El dominio debian.com

Ahora la versin, nosotros estamos usando la 3

Esto indica, que las utilidades que utilice PAM debern comportarse del mismo modo que
cuando cambiamos contraseas locales. Esto har que las contraseas se guarden en un
archivo independiente que slo podr ser ledo por el superusuario.

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Nos pregunta si el realizar consultas en la base de datos de LDAP requiere autenticarse.

Ahora la cuenta del administrador del directorio

Nos pedir la contrasea y saldremos del asistente. Siempre podemos reconfigurar con:
dpkg-reconfigure ldap-auth-config,

Sino utilizamos este comando debemos editar el fichero /etc/ldap.conf, que detallamos en el
siguiente apartado. Por ejemplo al ejecutar de nuevo el asistente nos da la opcin usar
diferentes algoritmos de encriptacin.

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Cuando terminemos nos saltar una interfaz grfica para configurar nslcd

Configurar autenticacin
Est todo prcticamente configurado pero deberamos comprobar los siguientes archivos:
ldap.conf, ldap/ldap.conf y nsswitch.conf.

Despus, actualizaremos nssy configuraremos pam para usar Ldap

Editar el archivo /etc/ldap.conf:

Usado para la autenticacin, no es necesario configurarlo al agregar ldap a nsswitch. Se

puede ejecutando de nuevo el asistente como hemos visto antes)
#Bind_policy hard Bind_policy soft
pam_password md5 pam_password crypt | md5 |crypt...
uri ldap://192.168.1.10
Editar el archivo /etc/ldap/ldap.conf:
Archivo de configuracin global clientes Ldap. Los usuarios pueden crear un archivo de
configuracin opcional en su directorio que ser utilizado para anular todo lo descrito en el
archivo por defecto. El nombre suele ser ldaprc.

Editar el archivo /etc/nsswitch.conf:

Ahora mismo tiene el siguiente contenido:

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

As debe quedar:

Actualizar Nsswitch y configurar Pam

Primero haremos uso del paquete nssupdatedb

Herramienta grfica

10

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

11

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

Comandos para gestionar Ldap

Como ya sabemos estos son los comandos pero cada uno tiene mltiples opciones,lo mejor
en cada caso en consultar al ayuda. Comando /?
Despliega para obtener una breve descripcin de cada comando:
ldapadd

ldapadd abre una conexin a un servidor LDAP, enlaza y aade entradas.

ldapcompare
ldapcompare abre una conexin a un servidor LDAP, enlaza y hace una comparacin usando
los parmetros especificados.
ldapdelete
ldapdelete abre una conexin a un servidor LDAP, enlaza y borra una o mas entradas.
ldapmodify
ldapmodify abre una conexin a un servidor LDAP, enlaza y modifica entradas.
ldapmodrdn
ldapmodrdn abre una conexin a un servidor LDAP, enlaza y modifica el RDN de las entradas.

12

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

ldappasswd
ldappasswd es una herramienta para establecer la contrasea de un usuario LDAP.
ldapsearch
ldapsearch abre una conexin a un servidor LDAP, enlaza y hace una bsqueda usando los
parmetros especificados.
ldapwhoami
ldapwhoami abre una conexin a un servidor LDAP, enlaza y realiza una operacin whoami.
slapadd
slapadd se usa para aadir entradas especificadas en el formato Intercambio de Directorio
de LDAP (LDIF) en una base de datos slapd.
slapcat
slapcat Se usa para generar una salida LDAP LDIF basada en el contenido de una base de
datos slapd.
slapd
slapd es el servidor LDAP independiente.
slapindex
slapindex se usa para regenerar ndices slapd basados en el contenido actual de una base de
datos.
slappasswd
slappasswd es una utilidad de contraseas OpenLDAP.
Slurpd
slurpd es el servidor rplica LDAP independiente.

13

OPENLDAP SERVIDOR DEBIAN CLIENTE UBUNTU

14