PT1. LDAP

De Lordwektabyte Wiki
Salta a la navegació Salta a la cerca

1a part. Configuració del servidor LDAP

1. Canviem el nom dels servidor

Editarem els arxius /etc/hostname per a definir el nom del servidor i editarem l'arxiu /etc/hosts per a resoldre aquell nom de host a la seva IP.

2. Instal·lació i configuració d'una màquina virtual amb LDAP per a que s'executi automàticament

A partir d'una màquina virtual neta, amb un Ubuntu Server 16.04, instal·larem els paquets demanats mitjançant

apt-get install slapd ldap-utils -y
Instal·lo els paquest slapd i ldap-utils


Configurarem el servidor amb

dpkg-reconfigure -plow slapd

definint el domini del directori actiu, contrasenya de l'administrador, etc.

M06UF1PT1-2.png


M06UF1PT1-3.png


M06UF1PT1-4.png


M06UF1PT1-5.png


Una vegada configurat, queda a punt per a ser utilitzat


3. Ara configurarem la informació del nostre arbre. Fixa’t en el següent exemple d’un suposat fitxer LDIF pel ni asix2.cat al que hem anomenat add_content.ldif

Crea un fitxer especialment per a definir dues unitats organitzatives

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


Crea un fitxer on hi col·loquis un grup en cada unitat organitzativa

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


Crea un fitxer on hi donis d'alta un usuari en cada una de les unitats organitzatives anteriors

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


4. Respon

Quin protocol i port utilitza LDAP de forma predeterminada?
LDAP utilitza el port 389 per al protocol en sí. Però l'autenticació es fa a través de Kerberos (88) i també pot fer servir el protocol SMB/CIFS per a compartició de dades (445).
Posa exemples d'utilització de les comandes de gestió de LDAP en sistemes GNU/Linux
ldapadd, ldapsearch, ldapmodify, ldapdelete, slapadd)
  • ldapadd serveix per a crear objectes:
ldapadd -x -D "cn=admin,dc=tecnics,dc=esed" -f usuaris.ldif -W
  • ldapsearch permet buscar objectes dins del directori actiu que compleixin un filtre definit:
ldapsearch -x -D "cn=guillem,dc=gerencia,dc=esed"
  • ldapmodify modifica un objecte a partir d'un arxiu .ldif:
ldapmodify -x -D "cn=guillem,dc=gerencia,dc=esed" -f guillem_modificat.ldif
  • ldapdelete elimina un objecte de l'Active Directory a partir d'un arxiu:
ldapdelete -x -D "cn=guillem,dc=gerencia,dc=esed" -f usuaris_eliminar.ldif
  • slapadd afegeix el contingut d0un arxiu .ldif a la base de dades de l'LDAP:
sldapadd -l usuaris_nous.ldif

5. Instal·lació de gestors gràfics o webs del servei de directori actiu

Instal·lació d'Apache Directory Studio

Primer necessitarem instal·lar Java:

sudo add-apt-repository ppa:webupd8team/java
sudo apt install oracle-java8-installer

Una vegada instal·lat el Java, podrem instal·lar Apache Directory Studio descarregant un tarball', descomprimint-lo i executant el programa:

wget http://ftp.cixug.es/apache/directory/studio/2.0.0.v20170904-M13/ApacheDirectoryStudio-2.0.0.v20170904-M13-linux.gtk-x86_64.tar.gz
tar -xzf ApacheDirectoryStudio-2.0.0.v20170904-M13-linux.gtk.x86_64.tar.gz
./ApacheDirectoryStudio

Indica amb quina configuració accedeixes al LDAP

Des del menú LDAPNew connection

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


Omplirem els paràmetres que ens demanen: nom del domini, direcció IP del servidor i contrasenya d'administració del LDAP

Crea i indica com crear una Unitat Organitzativa, un Grup i un Usuari nou

Des de la màquina client, farem botó dret →New →New Entry...

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
Crearem un nou element des de zero (from scratch)


Triarem el "tipus" d'objecte que volem afegir:

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
En el nostre cas, afegirem una Organizational Unit


A la següent pantalla li posarem un nom i acabarem (Finish).

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
Ja tenim la UO creada


Per a afegir grups, ho farem de la mateixa manera però escollint groupOfNames per al tipus d'objecte que volem afegir:

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


I el mateix procés per als usuaris:

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació


2a part. Connexió d'un client Linux al servidor LDAP

Com en el cas anterior, els exemples que tenim a continuació s’han fet amb un Xubuntu. Però, tu pots fer servir el que t’agradi més. És evident, que algunes comandes i utilitats podrien canviar.

Instal·lem el paquet de configuració pel client

sudo apt-get install libnss-ldap ldap-utils libpam-ldap nslcd auth-client-config ldap-auth-client ldap-auth-config libnss-db nscd nss-updatedb

Durant la instal·lació, configurarem el client LDAP on haurem de definir la IP del servidor d'Active Directory, nom del domini, etc.:

S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
Adreça IP del servidor LDAP


S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
Versió del protocol a utilitzar


S'ha produït un error en crear la miniatura: No es pot desar la miniatura a la destinació
Contrasenya de l'usuari administrador del controlador de domini


Configurem el NSS perquè utilitzi LDAP

sudo auth-client-config -t nss -p lac_ldap

Configurar el sistema PAM perquè utilitzi el servidor LDAP

Serveix perquè quan un usuari faci login a la màquina Linux, es miri a la base de dades del LDAP en comptes dels usuaris locals.

sudo pam-auth-update

Editar l'arxiu /etc/nsswitch.conf de la manera següent

nano /etc/nsswitch.conf
passwd: compat ldap
group : compat ldap  
shadow: compat ldap

Executar la comanda

sudo update-rc.d nslcd enable

I haurem de reiniciar la màquina client.

Comprovació de funcionament

Fets aquests punts, ja hauríeu de ser capaços de fer LOGON des d’un terminal de client usant un usuari present al servidor LDAP:

Faig login des del client amb un usuari creat Pol i tinc accés per terminal. Notar el missatge que ha creat el home definit per a aquest usuari