Tema 9. Contenido 01/03/2016

Transcripción

1 1 Tema 9 LDAP, OpenLDAP 2 Contenido Conceptos: PAM, NSS, LDAP Árbol de Directorios Instalación de OpenLDAP Configuración de estructura básica Gestión de usuarios en red con OpenLDAP LDAP Account Manger 1

2 3 LDAP La autenticación de clientes en entornos de servidor Linux se realiza normalmente mediante la utilización combinada de PAM, NSS y LDAP PAM(Pluggable Authentication Modules) Interface que hace transparente para el usuario el método de autenticación ( combinación de usuario/contraseña, token, identificación biométrica ) NSS (Name Service Switch) Servicio que resuelve nombres de usuario mediante acceso a bases de información. Permite gestionar sin tener que conocer el lugar de almacenamiento LDAP (Lightweight Directory Access protocol) es un protocolo de acceso al servicio de directorio. 4 Conceptos LDAP Entradas organizadas en árbol jerárquico con atributos de un objeto Se identifican mediante el Nombre Global Único (Distinguished Name- DN) Cada atributo se muestra como el binomio Atributo Valor y pueden ser Normales u Operativos El DN está formado por estos binomios separados por comas ( reflejan la ruta inversa desde la posición lógica del objeto hasta la raíz del árbol. Algunos atributos (de usuario): uid (user id): Identificación única. objectclass: Tipo de objeto. cn (common name): Nombre completo de la persona givenname: Nombre. sn (surname): Apellido. o (organization): Entidad a la que pertenece la persona. u (organizational unit): Departamento. mail: dirección de correo electrónico de la persona. 2

3 5 Funcionamiento de OpenLDAP Ejemplo de entrada LDAP dn: uid=jjgarcia, ou=almacen, dc= smb00, dc=es objectclass: person cn: Juan Garcia givenname: Juan sn: Garcia o: smb00 u: almacen mail: 6 Árbol de directorio LDAP LDAP utiliza DNS para niveles superiores al árbol. Es frecuente que almacene información de autenticación. dc=es / dc=com entidades dc=smb00 unid. organiz. ou= almacen ou= gerencia usuarios uid= jjgarcia 3

4 7 Instalación de OpenLDAP En Ubuntu LTS Nombre del servidor: ldapserverxx Añadir línea en /etc/hosts xxx ldapserverxx.smb00.local ldapserverxx $ sudo apt-get install sldap ldap-utils y Con slapcat (obtiene la información de la base de datos LDAP en formato LDIF) 8 Configuración de estructura básica Directory Information Tree(DIT) Con ficheros texto plano con formato LDIF (LDAP Dat Interchange Format) # comentario dn: <nombre global único> <atributo>: <valor> <atributo>: <valor> $ sudo nano estructurabasica.ldif dn: ou=usuarios,dc=smb00,dc=local objectclass: organizationalunit ou: usuarios dn: ou=grupos,dc=smb00,dc=local objectclass: organizationalunit ou: grupos 4

5 9 Añadir información a la BBDD LDAP Añadir usuarios manualmente: 1.- Crear fichero : $ sudo nano usuarios.ldif dn: uid=jjgarcia,ou=usuarios,dc=smb00,dc=local objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount uid: jjgarcia sn: Garcia givenname: Juan cn: Juan Garcia Perez displayname: Juan Garcia uidnumber: 2000 ( el sistema empieza en UID 1000) gidnumber: / 10 Añadir información a la BBDD LDAP userpassword: P@ssw0rd gecos: Juan Garcia loginshell: /bin/bash homedirectory: /home/jjgarcia shadowexpire: -1 shadowflag: 0 shadowwarning: 7 shadowmin: 8 shadowmax: shadowlastchange: o: smb00 initials: JJ Y se añade información a la BBDD: $ sudo ldapadd x D cn=admin,dc=smb00,dc=local W f estructurabasica.ldif 5

6 11 Añadir información a la BBDD LDAP 2.- Añadir nuevos usuarios en el directorio activo $ sudo ldapadd -x -D cn=admin,dc=smb00,dc=local -W -f usuarios.ldif Añadir grupos manualmente $ sudo nano grupos.ldif dn: cn=almacen,ou=grupos,dc=smb00,dc=local objectclass: posixgroup cn: almacen gidnumber: y después sudo ldapadd -x -D cn=admin,dc=smb00,dc=local -W -f grupos.ldif 12 Comprobación ldapsearch -xlll -b "dc=smb00,dc=local" uid=jjgarcia sn givenname cn Muestra atributos sn, givenname y cn del usuario jjgarcia $ sudo slapcat Muestra contenido completo del directorio Buscar elementos: ldapsearch uid=* Se obtiene en formato LDIF Modificar: ldapmodify Con fichero LDIF Borrar: ldapdelete 6

7 13 Importar usuarios y grupos locales a OpenLDAP Mediante script se obtienen los datos de /etc/passwd para crear un LDIF y se ejecuta el comando ldapadd Mediante script se obtienen los datos de /etc/group para crear un LDIF y se ejecuta el comando ldapadd 14 Configuración de cliente linux $ sudo apt-get install libnss-ldap libpam-ldap ldap-utils y libnss-ldap: Para que NSS obtenga de LDAP información de las cuentas, de los grupos, de las máquinas ) libpam-ldap: Para la autenticación con LDAP a los usuarios que utilicen PAM. ldap-utils: Para la conexión con LDAP desde una máquina de la red. 7

8 15 LDAP Account Manager Cliente gráfico (web) para administrar OpenLDAP phpldapadmin $ sudo apt-get install ldap-account-manager Se accede con Es necesaria la parametrización previa de la configuración general y de los perfiles del servidor 8