Personal tools
You are here: Home Members susana Ldap
Navigation
Medio ambiente




 
Document Actions

Ldap

explicación de ldap, falta por rellenar...

En el fichero /etc/openldap/sldap.conf

Edite el fichero /usr/share/openldap/migration/migrate_common.ph y modifique los los valores de las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE a fin de que queden del siguiente modo:

# Default DNS domain

$DEFAULT_MAIL_DOMAIN = "su-red-local.com";

 

# Default base

$DEFAULT_BASE = "dc=su-red-local,dc=com";

 

Procedimientos.

Con fines de organización se creará un directorio específico para este directorio y se configurará con permisos de acceso exclusivamente al usuario y grupo ldap.

mkdir /var/lib/ldap/autenticar

chmod 700 /var/lib/ldap/autenticar

chown ldap.ldap /var/lib/ldap/autenticar

Crear la clave de acceso que se asignará en LDAP para el usuario administrador del directorio. Basta ejecutar desde una terminal:

slappasswd

Lo anterior debe dar como salida un criptograma como lo mostrado a continuación:

{SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

El texto de la salida será utilizado más adelante en el fichero /etc/openldap/slapd.conf y se definirá al usuario Administrador para como el utilizado para acceder con todos los privilegios al directorio.

 

Acceso anónimo

Vemos como en las listas de control de acceso habíamos definido una entrada para "proxyuser". Este usuario es el que se va a aplicar a las consultas que no especifiquen una validación concreta.

Para añadir este usuario, en primer lugar creamos un fichero llamado proxyuser.ldif con el siguiente contenido:

dn: cn=proxyuser,dc=bezmi,dc=es

cn: proxyuser

sn: proxyuser

objectclass: top

objectclass: person

userPassword: {SSHA}Kwk/0DzXPIh0LUtypcSf8du3v0DcVnZo

               

Ahora agregamos estos datos al árbol ldap:

ldapadd -x -D "cn=root,dc=bezmi,dc=es" -W -f proxyuser.ldif

               

 

http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-ldap-auth

Lo que sigue es utilizar ya sea authconfig o authconfig-gtk para configurar el sistema a fin de que se utilice el servidor LDAP para autenticar.

authconfig (modo texto)

Habilite las casillas Utilizar LDAP y Utilizar Autenticación LDAP y pulse la tecla Tab hasta Siguiente y pulse la tecla Enter y verifique que los datos del servidor y el directorio a utilizar sean los correctos.


.

authconfig-gtk (modo gráfico)

Si se utiliza authconfig-gtk se deben habilitar las casillas de Soporte LDAP. Antes de cerrar la ventana en la pestañas de Información del usuario y Autenticación. Antes de dar clic en Aceptar, haga clic en Configurar LDAP y verifique que los datos del servidor y el directorio a utilizar sean los correctos. 

OpenLDAP tiene dos formas de comunicación segura, SSL y TLS. SSL opera en otro puerto, el 636 y, desde el principio, realiza las comunicaciones encriptadas en modo seguro. TLS, por contra, es una solución más moderna que utiliza el puerto estándar 389 para iniciar las comunicaciones y que, despues, cambia a modo seguro a través del citado puerto 636.

Es conveniente tener los dos tipos activados, ya que no todas las aplicaciones cliente soportan este método, e incluso hay aplicaciones que no soportan las transmisiones seguras. Puedes encontrar más información en la web de OpenSSL en http://www.openssl.org/.

Para configurar el servidor OpenLDAP para que utilice la llave correspondiente, tenemos que editar el fichero /usr/local/etc/openldap/slapd.conf y añadir estas tres lineas:

TLSCipherSuite HIGH:MEDIUM:+SSLv2

TLSCertificateFile /usr/share/ssl/certs/slapd.pem

TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem

Llegados a este punto, ya podemos reiniciar el servidor OpenLDAP para que utilice el puerto seguro. Para ello, llamamos a slapd con el parámetro -h de esta forma:

# /usr/local/libexec/slapd -h '"ldap:/// ldaps:///"'

La opción -h le indica a OpenLDAP que tipo de transmisión queremos hacer, normal, segura o ambas. Teóricamente, cuando comprobemos que funciona en modo seguro, podemos cerrar el puerto inseguro, ejecutando slapd con -h "ldaps:///" sólamente.

para comprobar que tenemos el servidor escuchando en el puerto podemos hacer varias cosas:

$ netstat -a |grep LISTEN

para ver los puertos de escucha y podemos ejecutar esta orden de openssl para ver el certificado que tengamos en el puerto 636 (openLDAP seguro):

$ openssl s_client -connect localhost:636 -showcerts

con lo que nos tiene que salir por pantalla los datos relativos al certificado que hemos creado.

Con esto ya tenemos constancia de que el servidor LDAP está funcionando en modo seguro. Ahora sólo queda configurar los clientes linux para que la autentificación la hagan a través del directorio LDAP en vez de en modo local con /etc/passwd, utilizando tanto el modo seguro como el no seguro

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-pam-format.html

Pluggable Authentication Modules (PAM)

Los programas que permiten a los usuarios accesar un sistema verifican la identidad de cada usuario a través de un proceso llamado autentificación. Históricamente, cada programa tiene su forma particular de realizar la autentificación. Bajo Red Hat Enterprise Linux, muchos de tales programas son configurados para usar un proceso de autenticación centralizado llamado Pluggable Authentication Modules (PAM).

PAM utiliza una arquitectura conectable y modular, que otorga al administrador del sistema de una gran flexibilidad en establecer las políticas de autenticación para el sistema.

En la mayoría de los casos, el archivo de configuración por defecto PAM para una aplicación tipo PAM es suficiente. Sin embargo, algunas veces es necesario modificar el archivo de configuración.

 

 

This site is built with Free Software and Free Standards