/ Conocer los elementos y

características de L D A P .
/ Instalar y configurar O p e n L D A P .
• Planificar l a utilización del
dominio.
/ U t i l i z a r las diferentes
herramientas y utilidades del
sistema.
 ADMINISTRACIÓN D E S I S T E M A S O P E R A T I V O S © RA-MA

INTRODUCCIÓN

L D A P (Lightweight Directory Access Protocol) e n u n protocolo de aplicación que permite el acceso a u n servicio
de directorio (dominio). L o s directorios con los que trabaja L D A P son de propósito general s i b i e n es u t i l i z a d o
comúnmente para almacenar información referente a organizaciones, usuarios, redes, etc.

L o s servidores L D A P u t i l i z a n sistemas de bases de datos como backend donde almacenar y gestionar las entradas
del directorio. Se puede d i v i d i r el árbol de directorios en subárboles de t a l m a n e r a que cada S e r v i d o r L D A P controle
u n subárbol por los siguientes casos:

Rendimiento. A l d i s t r i b u i r el directorio entre varios servidores se d i s t r i b u y e l a carga i n d i v i d u a l de cada uno

de ellos y por lo tanto se obtiene u n mayor rendimiento global.
Localización Geográfica. C a d a servidor puede dar servicio a u n a zona geográfica diferente.
Cuestiones Administrativas. C a d a servidor es gestionado por administradores diferentes.

E n L D A P se pueden d i s t i n g u i r cuatro modelos que representan los servicios que proporciona u n servidor L D A P
vistos por el cliente.

E l modelo de información establece l a e s t r u c t u r a y los tipos de datos que tiene el directorio: esquemas,
entradas, atributos, etc. Según este modelo u n directorio está formado por entradas e s t r u c t u r a d a s en forma
de árbol. C a d a e n t r a d a estará definida por u n conjunto de atributos y cada atributo esta compuesto por u n
nombre y s u valor.

E l modelo de asignación de nombres define cómo referenciar de forma única las entradas y los datos en el
árbol de directorios. C a d a e n t r a d a tendrá u n identificador único llamado D N (Distinguished Ñame). E l D N se
construye a p a r t i r de u n R D N (Relative Distinguished Ñame) que se compone de varios atributos de l a e n t r a d a,
seguido de los D N de sus ancestros.

E l modelo funcional establece las operaciones p a r a acceder a l árbol de directorio: autenticación, solicitudes
y actualizaciones.

Por último el modelo de seguridad establece los mecanismos que g a r a n t i z a para el cliente cómo probar s u
i d e n t i d a d (autenticación) y p a r a e l servidor cómo controlar el acceso (autorización).

O p e n L D A P es u n a implementación de código abierto de L D A P d e s a r r o l l a d a por O p e n L D A P Project. L a s

características más destacadas de O p e n L D A P son:

Se d i s t r i b u y e bajo licencia libre.

Es multiplataforma.

Tiene u n a buena integración con m u l t i t u d de apbcaciones, p r i n c i p a l m e n t e e n el mundo L i n u x .

Soporta IPv6, L D A P v 3 y Referrals (esquema distribuido).

© RA-MA

P e r m i t e operaciones de publicación de esquemas antes de r e a l i z a r búsquedas.

15•LDAP

•
Internacionalización mediante caracteres U T F - 8 y atributos de lenguaje.
Soporta extensiones en el protocolo y m u l t i t u d de bases de dalos como almacén de datos.
Contiene u n esquema de mapeo entre R a d i u s y O p e n L D A P .
Tiene mecanismos avanzados de búsqueda.

O p e n L D A P se puede descargar de l a página web oficial http: /1www.openldap.orgI. Los principales componentes
de O p e n L D A P son:

• s l a p d . E l servidor (demonio) p r i n c i p a l de L D A P
slurpd. E l servidor de replicación de L D A P . P e r m i t e sincroniza r v a r i a s replicas de u n s e r v i d o r L D A P .
• E l conjunto de librerías que i m p l e m e n t a el protocolo L D A P .
U n conjunto de h e r r a m i e n t a s , u t i l i d a d e s y clientes de ejemplo (http://asg.web.cmu.edu/sasl/scuil-library.
html).

INSTALACIÓN

P a r a i n s t a l a r O p e n L D A P debe disponer de los paquetes slapd y Idap-utils, el demonio servidor d e l directorio activo
y las utilidades p a r a l a administración de L D A P , respectivamente. P o r defecto, se configura slapd con u n conjunto de
opciones mínimas que g a r a n t i z a n el correcto funcionamiento del servidor. S i n embargo, es i m p o r t a n t e tener e n cuenta
que l a mayoría de aplicaciones y scripts requieren l a carga de schemas específicos o configuración a d i c i o n a l .

P u e d e i n s t a l a r opcnladap a través del gestor de paquetes o u t i l i z a n d o directamente el t e r m i n a l ejecutando:

• UBUNTU

# apt-get install slapd ldap-utils

< yum install openldap-servers openldap-clients openldap-devel

A continuación se v a a r e a l i z a r l a configuración básica de OpenLDAP (sus dos lados fundamentales -Backend y

Frontend-) a s i como empezar a poblar el Frontend con información.

CONFIGURACIÓN

U n a vez instalado OpenLDAP es importante observar que en el directorio letclldapl len Fedora Ietc.Iopenldap)
se e n c u e n t r a n disponibles los ficheros de configuración del directorio activo así como los diferentes schemas y otra
información aplicable a l funcionamiento y dinámica del mismo.

También es important e recordar que puede iniciar, detener, o r e i n i c i a r el servicio, de l a siguiente forma:

# service slapd start I stop I restart

A continuación se v a a configurar tanto del Backend (parte que i m p l i c a las directivas p a r a dinámicamente
configurar el demonio servidor slapd y las opciones par a poblar con información el directorio -Frontend) como del
Frontend de O p e n L D A P , desarrollando a l mismo tiempo un ejemplo que p e r m i t a conocer de forma s e n c i l l a en qué
consiste.
 ADMINISTRACIÓN D E S I S T E M A S O P E R A T I V O S © RA-MA

I A C T I V I D A D E S 15.1

1. I n s t a l e y c o n f i g u r e e n e l s i s t e m a openttiap p a r a q u e s e e j e c u t e automáticamente.

15,2.2.1 Creación del dominio: configuración del B a c k e n d

Toda l a información en e l directorio activo se a l m a c e n a con e s t r u c t u r a de árbol. G r a c i a s a O p e n L D A P dispone

de liberta d total para i m p l e m e n t a r el Árbol de Información del Directorio o D I T {Directory Information Tree). E n l a
configuración básica que se v a a presentar a continuación se crean dos nodos bajo l a raíz del árbol: usuarios (para
a l m a c e n a r usuarios del dominio) y grupos (para almacenar grupos de usuarios).

Lo primero que debe hacer es d e t e r m i n a r l a raíz del árbol para e l directorio L D A P , n o r m a l m e n t e e l F Q D N (Fully
Qualified Domain Ñame) del dominio. Por ejemplo, para e l dominio miempresa.com, e l nodo raíz es d&=miempresa,
dc=com.

O p e n L D A P u t i l i z a u n directorio independiente que a l m a c e n a e l D I T cn=config, que permite d e t e r m i n a r de forma

dinámica del comportamiento del servidor slapd, lo que permite r e a l i z a r modificaciones en las definiciones de los
esquemas, índices, listas de control de acceso, etc., s i l a necesidad de detener el servicio. E s t e directorio backend
i n i c i a l m e n t e dispone de u n a configuración mínima por lo que es necesario a m p l i a r s u funcionalidad con opciones,
módulos, esquemas... adicionales p a r a sentar l a base p a r a l a población d e l directorio con información (frontend)
-así, para determinadas aplicaciones, lo recomendable es consultar l a documentación específica d e las mismas. A
continuación se v a poblar e l directorio con usuarios y grupos de usuarios, en un formato compatible con aplicaciones
de libretas de direcciones o cuentas U n i x Posix. E s t e tipo de cuentas permiten a v a r i a s aplicaciones i m p l e m e n t a r
autenticación, tales como aplicaciones Web, agentes de correo electrónico, y otras.

Por tanto, se r e a l i z a la carga de los ficheros schema para l a estructura que del directorio, disponibles en este caso en el
directorio creado en l a instalación de O p e n L D A P I'etc lldapl'schema I, ejecutando los siguientes comandos como root:

# l d a p a d d -Y EXTERNAL -H l d a p i : / / / - f /etc/ldap/schema/cosine.Idif
# l d a p a d d -Y EXTERNAL -H l d a p i : / / / - f /etc/ldap/scherna/nis. I d i f
# l d a p a d d -Y EXTERNAL -H l d a p i : / / / - f /etc/ldap/schema/inetorgperson.Idif

Los schemas se encuentran en el directorio /etc/openldap/schema/

O 9 r root^mbuntu;/

Arrhivo Editar U » Bus< v Ttrmtnal Ayuda

rontoutiuntu:/# sudo ldapadd r EXTERNAL ti i d s p i ; / / / t /etc/ldap/sdiena/coslne."

Idif
SASL/EXTERKAL a u t h e n t l c a t i ó n started
SASL u s e r n a n c : 9idNumlíer=e+uidMujiiiier=iGt(-n=peercred,cnECittemal,cii=auth
SASL S 5 F : «
adding new e n t r y •cn=cosl/ie,cn«¡<heina,cn=config"

rooteubuntu:/* sudo Idapadif Y EXTERNA!. -H l d a p i : / / / • » /ílc/tdap/schema/nis. U U

t
SA5L/EXTERNAL authentKation started
SASL usernawe: qidNu^er^uidNuniLwr30,cn=peercred,en=eHternal. cn=autn
SASL S S F : B
atídinq nm entry -tn^iLs,cn-sche»a.cn=config-

Figura 15.1. Carga tic ficheros schema

© RA-MA 15 > L D A P

U n a vez añadidos los esquemas a L D A P debe crear el fichero L D I F de configuración para l a c a r g a dinámica de los
módulos en el backend y l a base de datos para el directorio. A continuación puede v e r u n ejemplo d e este fichero, e n el
que es fundamenta] especificar el directorio con l a ubicación p a r a los módulos así como el sufijo d e nuestro dominio,
identificador y contraseña p a r a el usuario privilegiado o la ubicación y permisos de acceso p a r a l a base de datos:

L i s t a d o 1. Ejemplo de fichero L D I F p a r a l a configuración del Backend: backend.miempresa.com.ldif

tt Load dynamic backend modules

dn: cn=module,cn=conf i g
objectClass: olcModuleList
en: module
olcModulepath: / u s r / l i b / l d a p
o l c M o d u l e l o a d : back_hdb

# Datábase s e t t i n g s
dn: olcDatabase=hdb,cn=confi g
objectClass: olcDatabaseConfig
o b j e c t C l a s s : olcHdbConfig
o l c D a t a b a s e : (1)hdb
o l c S u f f i x : dc=miempresa,dc=com
olcDbDirectory: / v a r / l i b / l d a p
olcRootDN: cn=admin,dc=miempresa,dc*eom
olcRootPW: hola00==
o l c D b C o n f i g : s e t _ c a c h e s i z e 0 2097152 0
o l c D b C o n f i g : set_lk_raax_objects 1500
o l c D b C o n f i g : s e t _ l k _ m a x _ l o c k s 1500
o l c D b C o n f i g : s e t _ l k _ m a x _ l o c k e r s 1500
o l c D b l n d e x : o b j e c t C l a s s eq
o l c L a s t M o d : TRUE
o l c D b C h e c k p o i n t : 512 30
o l c A c c e s s : t o a t t r s = u s e r P a s s w o rd by dn="cn=admin,dc=miempresa,dc=com" w r i t e by anonymous
auth by s e l f w r i t e by * none
olcAccess: t o attrs=shadowLastChange by s e l f w r i t e by * read
olcAccess: t o dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=miempresa,dc=»com" w r i t e by * r e a d

Las opciones especificadas en el fichero de configuración del backend y su sintaxis dependen del tipo
de base de datos utilizada para e) mismo. En el ejemplo anterior se trata de una base de datos BDB,
aunque otros tipos pueden ¡nstanciarse como por ejemplo LBDM. De esta forma recomendamos la
consulta de la documentación OpenLDAP para su correcta configuración cuando necesitemos escenarios
más complejos.

U n a vez creado el fichero L D I F debe cargarlo en el directorio, haciéndolo de forma s i m i l a r a l caso de los schemas
necesarios:

# ldapadd -y EXTERNAL -H l d a p i : / / / - f backend.miempresa.com.Idif

313
 ADMINISTRACIÓN DE S I S T E M A S O P E R A T I V O S © RA-MA

Figura 15.2. Carga del fichen: LDIF para la configuración del backend

C o m o puede observar e n l a F i g u r a 15.2, se h a n creado con éxito dos entradas; u n a p a r a l a carga dinámica de
módulos en el directorio y otra p a r a l a base de datos. Desde este momento es posible comenzar a p o b l a r el directorio
frontend con información.

I A C T I V I D A D E S 15.2

Da de alta el dominio miempresa.com.

15.2.2.2 P o b l a r e l D i r e c t o r i o : c o n f i g u r a c i ó n d e l F r o n t e n d

U n a vez que dispone, a l menos, de u n a configuración mínima del comportamiento del proceso s e r v i d o r puede
c o m e n z a r a poblar el frontend de O p e n L D A P con información, atendiendo a los schemas utilizados p a r a almacena r
la m i s m a . P a r a ello hay que crear u n fichero L D I F en el que se añaden los diferentes nodos que desea registrar e n el
árbol del directorio activo.

C o m o puede ver en el siguiente ejemplo, se crea el objeto de p r i m e r nivel del dominio idc=miempresa, dc=com>,
u n i d a d e s organizacionales p a r a usuarios y grupos, y u n ejemplo de u s u a r i o y grupo de u s u a r i o s especificando,
fundamentalmente, identificadores, clase de objeto y atributos correspondientes a cada caso.

L i s t a d o 2. Ejemplo de fichero L D I F p a r a l a población del Frontend: frontend.miempresa.com.Idif

# Creamos e l o b j e t o d e l n i v e l superior d e l dominio

dn: dc=miempresa,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: E j e m p l o d e Organización
de: miempresa
d e s c r i p t i o n : LDAP E j e m p l o

# Usuario Administrador (admin)

dn: cn=admin,dc=miempresa,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole

314
© RA-MA 15 • L D A P

en: admin
d e s c r i p t i o n : LDAP a d m i n i s t r a t o r
userPassword: h o l a 0 0 =

# Unidad O r g a n i z a c i o n a l u s u a r i o s
dn: ou=usuarios,dc=miempresa,dc=com
objectClass: organizationalUnit
ou: u s u a r i o s

# Unidad O r g a n i z a c i o n a l grupos
dn: ou=grupos, dc=miernpresa, dc=com
objectClass: organizationalUnit
ou: grupos

# U s u a r i o Juan López
dn: uid=juan,ou=usuarios,dc=miempresa,dc=com
o b j e c t C l a s s : inetOrgPerson
o b j e c t C l a s s : posixAccount
o b j e c t C l a s s : shadowAccount
u i d : juan
sn: López
g i v e nName: Jua n
en: Juan López
displayName: Juan López
uidHumber: 1000
gidNumber: 10000
userPassword: password
gecos: Juan López
l o g i n S h e l l : /bin/bash
homeDirectory: /home/juan
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
m a i l : juan.lopez@miempresa.com
p o s t a l C o d e : 31000
1: Almería
o: Ejemplo
m o b i l e : +34 (0)6 xx xx xx xx
homePhone: +34 (0)5 xx xx xx xx
t i t l e : A d m i n i s t r a d o r d e l Sistema
postalAddress:
i n i t i a l s : JL

# Grupo Ejemplo
dn: cn=ejemplo,ou=grupos,dc=miempresa,dc=com
o b j e c t C l a s s : posixGrou p
en: ejemplo
gidNumber: 10000
 ADMINISTRACIÓN D E S I S T E M A S O P E R A T I V O S © RA-MA

Se r e a l i z a l a carga de las entradas en el directorio L D A P ejecutando:

| l d a p a d d - x -D c n = a d i n i n , d c = m i e m p r e s a , dc=com -W - f f r o n t e n d . r n i e m p r e s a . c o m . I d i f

E n l a F i g u r a 15.3 se puede v e r el resultado de a p l i c a r estos cambios.

O •? rootaxibuftts: /
Ai r ní vo táHt» vo Buscar T«t t »n«J Ayudi
FQoteijbuntLj:/ a 'j'ido ldapadd -x O tr^adiiiii. dr =u!rnpresa.dc={[jrr -M ' / hptie/ u^iijr
lo/ Escritor10/ trantend mcspresa. coff. I dlt
Enter LDAP Password:

addlng newentry dc-* iecpre&a.dc=CDflr

p

adding w x entry - c n- ^ d« ur i . dc a - á e i i pf e sa . dc - - o» -

adding new eritry o u mi u a r t o i . 8 c ^ « i e « p i e vi . d c » c o « "

adding new entiy • ou- * ct i i t poi . dc= » e «pr f i a , dc- r < o»'
,

ng ne* « i t r y • md» ) « An. ou= usua r i o5 , dt « ( i t r « j i r e i a . < J( = { oo-

sddinq n<r» entry • c n« c ) e * pl o, ou= e gul pD5 . dc « nt e « pr e sa , dc - = c o« 1

r ooi üubum. u / » I

Figura IS.3. Carga del fichero LDIF para la población del frontend

Como se puede apreciar, p a r a r e a l i z a r l a carga de nuevas entradas en el directorio L D A P es necesario i n t r o d u c i r l a

contraseña del u s u a r i o a d m i n i s t r a d o r L D A P . S i quiere comprobar que las entradas h a n sido añadidas correctamente
puede consultar el contenido del directorio L D A P con la u t i l i d a d Idapsearch de la siguiente forma:

\ Idapsearch - x L L L -b "dc-miempresa,dc=com" uid=juan sn givenName e n

E n l a F i g u r a 15.4 puede v e r como efectivamente l a ejecución del comando de búsqueda devuelve l a información
s o l i c i t a d a (sn.givenName, en) p a r a el usuario con uid=juan.

' rootgtubuntu: /

Archivo tdiW ver Bi rí t ai Terminal Ayuna

r oot a uount u: / » tdapsearcti j LLi -o • dc^n.nwpiei* ,defecar ui d-i ua" n givenName
n
tfn: ul d= ) ua n. ou* ui u» r i os, do= » ue * p res a . de - c e »
sn: Lope?
gi ve n» a » e . Juan
en Juan Lope í

rootaubuntu:r#

Figura 15.4. Ejemplo de utilización de Idapsearch

\ A C T I V I D A D E S 15.3

Crea las unidades organizativas Madrid y Almería.

Da de alta varios usuarios en cada una de las unidades organizativas.

© RA-MA 15 • L D A P

E n e l la se h a n incluido parámetros para no u t i l i z a r autenticación simple S A S L (Simple Autlientication Security

Laycr), y a que es aplicada de forma predeterminad a (-x) y para d e s h a b i l i t a r l a m u e s t r a de información sobre el schema
L D I F (-LLL).

E n ocasiones, y como r e s u l t a en este caso, p a r a llevar a cabo operaciones sobre el directorio activo resulta más
cómodo o incluso eficiente trabajar con a l g u n a aplicación o h e r r a m i e n t a que ofrezca u n a interfaz gráfica para el acceso
a l mismo.

Tabla 15.1. Resumen del servicio OpenLDAP

Nombre del servicio slapd

F i c h e r o d e configuración /etc/ldap/ldap, conf (U bu ntu)

/etc/ldap. conf (Fedo ra)

Directorio de /etc/ldap/ (Ubuntu)

configuración /etc/openldap (Fedora)

Comandos mas utilizados ldapadd, Idapsearch Idapmodify, Idapdelete, slapadd, slapcat, slaplndex y
slappaswd

Puertos utilizados 389/TCP

HERRAMIENTAS Y
UTILIDADES

O p e n L D A P tiene dos tipos de utilidades. Por u n lado están las denominadas herramientas de cliente que permiten
modificar, borrar, añadir entradas e n el servidor L D A P de u n a forma remota. P a r a u s a r dichas h e r r a m i e n t a s debe estar
activo el servidor L D A P . E l otro conjunto de herramienta s trabajan sobre l a base de datos o backend directamente por
lo que no necesitan que slapd este ejecutándose. E s t a s son más útiles cuando se producen inconsistencias en l a base
de datos porque varias personas h a n actuando sobre el servidor L D A P . A continuación se describen l a s principales
h e r r a m i e n t a s existentes en cada u n a de los grupos con sus opciones más características.

|^EZEj HERRAMIENTAS DE CHENTE

A continuación se describen a l g u n a s de las denominadas herramientas de cliente que permite modificar, borrar,
añadir entradas e n el servidor L D A P de u n a forma remota. P a r a usar dichas herramienta s debe estar activo e l
servidor L D A P .

I d a p m o d i f y Permite modificar entradas de un directorio L D A P aceptando l a introducción de datos a través

de u n fichero o de l a línea de comandos s i no se especifica. S i n t a x i s :

# Idapmodify [-a] I-rJ [-ni [-w passwd] I-H l d a p u r i ) (-D b i n d d n ] |-p l d a p p o r t ] I-f
file]

donde a añade nuevas entradas; -r r e m p l a z a los valores existentes; -n s i m u l a l a operación pero no r e a l i z a el

cambio; -/"lee l a e n t r a d a d e l ficheroLDIF especificado; H especifica l a U R I del servidor L D A P ; y -D u t i l i z a el
dn que permite r e a l i z ar l a operación.
A D M I N I S T R A C I Ó N DE SISTEMAS OPERATIVOS © RA-MA

E l fichero debe tener como p r i m e r a linea el dn sobre el que se trabaja. A continuación aparece el atributo
changetype con el valor add, detete, modify o modrdn según lo que se q u i e r a hacer.

Ejemplos de Idapmodify:

dn : cn=Alex García Pérez, o u - u s u a r i o s , dc=miempresa,dc=com

changetype : modify
r e p l a c e : sn
sn : López A l e g r i a

add : t i t l e
t i t l e: Grand Poobah

add: postalCode
p o s t a l C o d e : 04120

delete : street

ldapadd. Añade entradas at directorio aceptando dichos datos a través de u n fichero L D I F o de l a línea de
comando. E n realidad se t r a t a de u n enlace lijo a Idapmodify -a. L a s i n t a x i s y opciones son las mismas que
Idapmodify.

I d a p s e a r c h . Permite buscar entradas en el directorio L D A P . S u s i n t a x i s es:

# Idapsearch [opciones] filtro [atributos]

L a s posibles opciones del comando son: -b base i n d i c a el punto base de la búsqueda; -f fichero lee l a e n t r a da de
búsqueda del fichero especificado; -H ldapuri especifica l a U R I del servidor L D A P ; y -D dn u t i l i z a el dn que
permite realizar l a operación.

Con filtro establece los patrones que tienen que c u m p l i r los registros a buscar (se permiten los comodines) y en
atributos se indica opcionalmente los atributos que se muestra n de los registros encontrados.

Por ejemplo, a continuación se m u e s t r a n todas las entrada s del directorio miempresa.com.

Idapsearch -b "dc=miempresa,dc=com" " o b j e c t c l a s s = * "

O las entradas de tipo persona del directorio:

| Idapsearch -b "dc=miempresa,dc=com" " o b j e c t c l a s s = p e r s o n " sn

ldapdelete. Permite e l i m i n a r entradas del directorio mediante un fichero o desde línea de comando. Donde -f
fichero permite leer la entrada del fichero L D I F especificado H ldapuri: Especifica l a U R I d e l servidor L D A P
-D dn: u t i l i z a el dn que permite r e a l i z ar l a operación.

A continuación, a modo de ejemplo se v a a b o r r a r l a e n t r a da de Juan Pérez García.

# l d a p d e l e t e -D "cn=root,dc=miempresa,dc=com"
> cn=Juan Pérez G a r c i a , ou=usuarios, dc=miernpresa,dc=com
© RA-MA 15 • LDAP

CONFIGURACIÓN D E L S E R V I D O R

L a s herramientas p a r a la manipulación de bases de datos o backends son las siguientes:

s l a p a d d . Permite añadir entradas desde u n fichero L D I F a u n a base de datos SLAPD. Actúa sobre l a base de
datos indicada y le añade las entradas descritas en el L D I F . S i no se especifica u n fichero L D I F la información
se lee de la e n t r a d a estándar.

L i s t a d o 3. Creación de entradas básicas p a r a mietnpresa.com:

_# cat /tmp/top.ldif

## Construye e l nodo r a i z
dn: dc=miempresa, dc=com
de: d t i c
o b j e c t C l a s s : dcObject
objectClass: organizationalUnit
ou: D t i c Dot Ua Dot Es

## C o n s t r u y e e l ou p r o f e s o r e s
dn: ou=profesores,dc=miempresa,dc»com
ou: p r o f e s o r e s
objectClass: organizationalUnit

_# slapadd -v - 1 /tmp/top.ldif
added: "dc=miempresa,dc=com"
added: "ou=profesores,dc=miempresa,dc=com"

Sintaxis:

t slapadd [-1 <inputfile>] [-f < s l a p d c o n f i g f i l e > ] [-d <debuglevel>l (-n <integer>l-b
<suffix>]

donde d i n d i c a e l nivel de depuración; -n i n d i c a que base datos se modifica en función de un número que
indica l a posición (primera, segunda, tercera, etc.) en el fichero de configuración; -6 i n d i ca que base de datos se
modifica en función del sufijo de l a m i s m a : <f especifica u n fichero de configuración alternativo y s i no se i n d i c a
se u t i l i z a el fichero por defecto de slapd; y -l especifica el L D I F de donde obtendrá lals) entrada(s) a insertar.
Por ejemplo:

# slapadd -1 a l u m n o s . I d if

s l a p c a t . P e r m i t e extraer de u n a base de datos L D A P en formato L D I F . S i no se especifica un fichero se

muestran por l a s a l i d a estándar. S u s i n t a x i s es:

ü s l a p c a t - 1 <filename> [-f < s l a p d c o n f i g f i l e > ] (-d <debuglevel>] f-n <databasenumber>|-b

<suffix>]

donde d i n d i c a el nivel de depuración: -n i n d i c a que base datos se modifica en función de u n número que
indica l a posición (primera, segunda, tercera, etc.) en el fichero de configuración; -b i n d i c a que base de datos se
modifica en función del sufijo de l a m i s m a ; -f especifica un fichero de configuración alternativo; y -l especifica
e l fichero L D I F donde se insertan las entradas extraídas. Por ejemplo:

I slapcat -1 s a l i d a . I d i f

319
 A D M I N I S T R A C I Ó N DE SISTEMAS OPERATIVOS © RA-MA

s l a p i n d e x . Se u t i l i z a p a r a l a regeneración de índices de l a base de datos.

# s l a p i n d e x [-f < s l a p d c o n f i g f i l e > ) [-d < d e b u g l e v e l > ] [-n <databasenumber>|-b <suffix>]

donde -d Índica el n i v e l de depuración; -íí i n d i c a que base datos se modificada en función de u n número que
i n d i c a l a posición (primera, segunda, tercera, etc.) e n e l fichero de configuración; -h i n d i c a que base de datos
será modificada en función del sufijo de l a m i s m a ; y -/"especifica un fichero de configuración alternativo.

s l a p p a s w d . G e n e r a u n a contraseña de usuario cifrada para u s a r con Idapmodify o el v a l o r rootpw para el

fichero de configuración slapd.conf.

# slappasswd [-h schema]

Si d e s e a más información s o b r e c u a l q u i e r c o m a n d o c o n s u l t e l a s páginas m a n .

H E R R A M I E N T A S GRÁFICAS

Las h e r r a m i e n t a s gráficas de apoyo a l a administración del directorio activo L D A P son de especial u t i l i d a d sobre
todo e n nuestra p r i m e r a toma de contacto con este servicio. D e esta forma se v a a ver en este apartad o dos de l a s
más importantes, que permitirán l l e v a r a cabo l a s operaciones habituales sobre el directorio (población d e l mismo,
importación y exportación de ficheros L D I F , exploración de las bases de datos y schemas, etc.) de f o r m a sencilla.

15.3.3.1 H e r r a m i e n t a de administración L D A P

Quizás l a Herramienta de Administración LDAP sea l a aplicación gráfica más i n t u i t i v a p a r a l a manipulación de!
directorio activo L D A P . P a r a s u puesta en m a r c h a hay que r e a l i z a r l a instalación del paquete lat (LDAPAdministration
Tool) ejecutando:

• UBUNTU

# apt-get i n s t a l l l a t

• FEDORA

# yum i n s t a l l l a t

U n a vez r e a l i z a d a l a instalación puede i n i c i a r l a h e r r a m i e n t a a través del menú Aplicaciones I Internet ILDAP

Ad?ninistration Tool,

L o primer o que debe hacer es especificar los parámetros de l a conexión con el servidor de directorio L D A P , D e
f o r m a s i m p l i f i c a d a t a n solo es necesario i n t r o d u c ir el nombre del host o dirección de red de] servidor y el puerto de
e s c u c h a , aunque s i p u l s a sobre ei botón Show more options puede i n c l u i r más parámetros como el identificador de l a
b a s e de datos, nombre de u s u a r i o y contraseña, s i quiere u t i l i z a r cifrado, o el tipo de servidor (es posible conectar esta
h e r r a m i e n t a con otros servidores que directorio activo que no sean O p e n L D A P ) ,
© RA-MA 15 • L D A P

Figuro JS.S. Conexión con el servidor LDAP en la Herramienta de Administración LDAP

E n l a F i g u r a 15.6 puede v e r el aspecto i n i c i a l de l a Herramienta de Administración LDAP u n a v e z establecida l a

conexión con el servidor.

0 *1 -o
? L0A* 1 l|Tf >t ••• Teol

• tentad.
kV croupi

Figura 15.6. Aspecto general de la Herramienta de Administración LDAP

L a h e r r a m i e n t a de administración tiene tres zonas principales:

B a r r a d e menús. Contiene los menús principales de l a aplicación a través de los que puede configurar las
opciones y preferencias p a r a trabsgar con ella así como l a manipulación de los datos, objetos, esquemas, etc.,
del directorio activo.

321
ADMINISTRACIÓN DE S I S T E M A S O P E R A T I V O S © RA-MA

B a r r a d e h e r r a m i e n t a s . Permite el acceso, dependiendo del componente, a t r i b u t o u objeto del directorio

activo que se esta visualizando, a botones que permiten ejecutar de forma rápida las operaciones asociadas más
habituales: Niti-na, Eliminar, Templates (Plantillas), Propiedades, Actualizar.

P a n e l p r i n c i p a l . E n el panel de control se r e a l i z a n las tareas principales e n l a manipulación del directorio

activo sobre l a v i s t a o aspecto que se encuentre seleccionado. Dependiendo de l a v i s t a seleccionada las
operaciones disponibles son diferentes, mostrando en la mayoría de los casos en l a parte d e r e c ha los atributos
correspondientes al objeto seleccionado en l a exploración.

' '2 Vtxven 1 fMntt • Vflfttr -mi

• 0 iDcilhmti» J ta
•JUpIflyfriin*-
• C «Imin gecoii juen López
* __ muariai , QidNumbef íoaw

• fe «qufcw* hemeOir-KtDiy
rVimvPriCKW - J If ........

II-::.I¡-

t Almería
/hin/t-ílíi

tujit lopfJtyniiynpfwa. enm

moblIP

q-JfTrplO
ofarmcum cnetOf-gPHioo

Figura 15.7. Panel principa! de ta Herramienta de Administración LDAP

A continuación se v a a ver de forma breve qué es posible r e a l i z a r en cada u n a de estas vistas:

Views ( V i s t a s ) . Permite v e r los diferentes objetos incluidos e n el directorio desde u n punto de v i s t a con n i v e l
de abstracción alto, mostrando fundamentalmente datos clasificados en los distintos tipos de objetos incluidos
en el schema. Se pueden i n t r o d u c i r nuevos datos.

Browser ( E x p l o r a d o r ) . P e r m i t e navegar por ía e s t r u c t u r a e n árbol p a ra el directorio L D A P . Como en el resto

de vistas, hay que conectarse a u n servidor v e r los dominios y l a información d i s t r i b u i d a y a l m a c e n a d a en ellos.
P a r a cada nodo puede ver los atributos que lo definen así como los valores asociados.

Search ( B ú s q u e d a ) . P e r m i t e r e a l i z a r búsquedas especificando c u a l q u i e r filtro p a r a l a m i s m a sobre los

HiferenOs servidores y h«sps rip datos a los que tiene srcpsn

«Ut: | [ é)

Figura 15.8. Vista "Search"de la Herramienta de Administración LDAP

© RA-MA 15 • L D A P

Schema l E s q u e m a I. P e r m i t e e x p l o r a r por el servidor l a s clases de objetos, tipos de a t r i b u t o s , regias de

coincidencia y s i n t a x i s L D A P que componen s u schema o esquema. Puede ver y editar los detalles de cada
uno de estos elementos seleccionándolos en el explorador con doble clic sobre s u nombre t a l y como m u e s t r a
la F i g u r a 15.9.

I j w . i l ton, l»e> O -

Smari
• „>,.•••• -
* •
Util- i ' l.ivi-,
* m i**rttfv

aJlMi
•
#pplL*tiúi£rtXV
appUtationProcvvt Oticrtptloo.
:-..-:u!:-rf»p,- f
KJ
rarchGuld-r
t i rli fl ta lio nAutbot 11 y
uu
Wparwr
dcstrtptwk

ÚCObtKt top

dtw*

tMW* í*-r-í* Vcttm*

Figura ¡S.9. Vista 'Schema'de la Herramienta de Administración LDAP

15.3.3.2 PhpLdapAdmin

PhpLdapAdmin es u n a interfaz Web que permite l a puesta en m a r c ha y m a n t e n i m i e n t o de directorios activos

O p e n L D A P . P a r a i n s t a l a r PhpLdapAdmin puede u t i l i z a r el gestor de paquetes o ejecutando:

I apt-get i n s t a l l phpldapadmin

# yum i n s t a l l phpldapadmin

U n a v e z finalizado e l proceso, puede acceder a l a página de i n i c i o de PhpLdapAdmin (http:11 localhost I

phpldapadmin) y conectarse a l servidor de directorio activo.
 A D M I N I S T R A C I Ó N DE SISTEMAS OPERATIVOS © RA-MA

<3 M 4 LZ 1

phnLDAPftnmin {t i O J ) -Mtiftlt» F W r o i

• AjUtJ

•HpnplOiMUmmdipjrj. +

W 4 GurlU U d H | VI' ti

•) My LDAP Server

-php
bLDAP
admin
• fl>l J ' U l.'Lj.Hí.ly J _ . . II

Figura 15.10. Página inicial de PhpLdapAdmin

P a r a conectarse a u n servidor pulse e n el vínculo Conectar situado e n el menú izquierdo de la página y aparece l a
p a n t a l l a de autenticación {véase l a F i g u r a 15.10).

D*"~ p#»*tOAI-i(H|lJi (1 J J J J l - M u t i l a H r i f »

Arrh*re _dümt _r. *4UOf1il Manadcus Hcr

% phpLDAP-rdm>n (1.2.0.SJ• [•

£ My LDAP Server Aulentihear aJ servidor My L D A P S e r v e r

l phpUMPttfmin ft.2.0

Figura 15.11. Inicio de conexión en PhpLdapAdmin

U n a vez identificado e n l a página se cargan los diferentes menús y opciones e n l a parte i z q u i e r d a de l a página
(véase l a F i g u r a 15.12).

324
© RA-MA 15 •LDAP

• } M y L D A P Ser ver Q

m a *» O * 4

Figura 15.12. Menús etin las opciones ile PhpLtlapAdinin

A través de ellos puede c o n s u l t ar las propiedades y características de las diferentes clases de objetos, tipos de
atributo, reglas de coincidencia y s i n t a x i s L D A P (esquema) que componen el schema del directorio activo, ejecutar
detalladas y precisas búsquedas sobre los elementos e información disponible (buscar), mostrar información sobre l a
instalación y estado actual del servidor L D A P (info) así como exportar a diversos formatos los resultados obtenidos
en u n a búsqueda o el contenido o valores de objetos y nodos del árbol del directorio.

E n la F i g u r a 15.13 se m u e s t r a como ejemplo el resultado de l a búsqueda en el dominio miempresa.com.

erconiraa.
*

% ac-rnbempfi»*a

ñ
cn-»ürniiitíc^ftinjMe5a.c^=<í)fn
ai

*****
;M --'!'.• • !:• :• . .< <:• • • i-: -

Figura 15.13. Ejemplo de resultado mostrado en una búsqueda con PhpLdapAdmin

Para más información c o n s u l t e la w e b http://phpldapadmin.sourceforge.net/.

| A C T I V I D A D E S 15.4

I n s t a l e u n a h e r r a m i e n t a gráfica q u e p e r m i t e a d m i n i s t r a r OpenLDAP y examine su funcionalidad.

•H U t i l i z a n d o la h e r r a m i e n t a gráfica c r e a u n a n u e v a u n i d a d o r g a n i z a t i v a y u n n u e v o u s u a r i o .

325
 ADMINISTRACIÓN D E S I S T E M A S O P E R A T I V O S © RA-MA

R E S U M E N D E L CAPÍTULO

E n este capítulo h a n aprendido los conceptos más importantes sobre el servicio OpenLDAP.

Se h a descrito l a instalación y configuración básica del servicio p a r a crear u n dominio.

H a aprendido a a d m i n i s t r a r e l servicio de diferentes formas a través de comandos o interfaces

gráficas.

EJERCICIOS PROPUESTOS
1. Comente brevemente los diferentes modelos de 3. Indique las diferentes formas que existen p a r a
J
representación de L D A P . a d m i n i s t r a r openldap.
2. E x p l i q u e b r e v e m e n t e l o s c o m a n d o s más
importantes par a a d m i n i s t r a r openldap.

TEST D E CONOCIMIENTOS
I n d i q u e l a característica que no se a s o c i a a O p e n L D A P es u n c o n t e n e d o r q u e permite
OpenLDAP: almacenar:
Soporta múltiples base de datos. Usuarios.
Se licencia bajo G P L . U s u a r i o s , grupos y equipos.
Permite comunicarse con servidores R a d i u s . U n i d a d e s orgnatizativas y otros datos.
Solo se u t i l i z a en equipos G N U / L i n u x . Todas las opciones son correctas.

Indique l a afirmación incorrecta:

A l i n s t a l a r O p e n L D A P automáticamente se guar-
4
Indique l a h e r r a m i e n t a que no p e r m i t e a d m i n i s t r a r
de forma gráfica O p e n L D A P :
ldapadd,
da l a configuración en u n a base de datos M y S Q L .
U n a vez i n s t a l a d o O p e n L D A P lo p r i m e ro que lat.
debe hacer es d e t e r m i n a r l a raíz del árbol par a P h pLda p Admin.
el directorio L D A P . L D A P A d m i n i s t r a ti on Tool.
E l comando ldapadd permite l a carga de schemas.
E l comando Idapassistan permite i n i c i a r el asis-
tente de configuración de O p e n L D A P .

326