IES.

Gran Capitn 2 ASI

Servidor LDAP
Desarrollo de funciones en sistemas informticos

Juan Jos Aldana Mesa David Garca Martnez

ndice
ndice.............................................................................................................. 2 Introduccin................................................................................................... 3 Instalacin...................................................................................................... 3 Creacin de usuarios y grupos ...................................................................4 Instalacin de ldap en cliente.....................................................................5 Prueba de conexin..................................................................................... 9 Configuracin de NFS..................................................................................... 9 Precaucin en el cliente............................................................................ 10 Carpetas privadas en apache.......................................................................10 Ldap y libreta de direcciones.......................................................................11 Creacin de libreta en Ldap......................................................................12 Configuracin Squirrelmail........................................................................13 Configuracin de Evolution.......................................................................13 FTP en Ldap.................................................................................................. 15 Comprobaciones ...................................................................................... 16

-2-

Introduccin
Un servidor LDAP es un servidor de datos optimizado para la realizacin rpida de consultas de lectura y orientado al almacenamiento de datos de usuarios a modo de directorio. La principal utilidad de un directorio LDAP es como servidor de autentificacin para los distintos servicios de un sistema informtico como puedan ser: autentificacin para entrar en un PC, para entrar en una aplicacin web, para acceder a un servidor ftp, para acceder a servidores de correo entrante POP3 y saliente SMTP, etc...

Instalacin
Para instalar el servidor:

apt-get install slapd db4.2-util ldap-utils

Durante este paso nos pedir la contrasea de administrador Una vez instalado lo configuramos mediante esta orden:

dpkg-reconfigure slapd
Los pasos a seguir sern: Indicaremos que no deseamos omitir la configuracin.

-Nos pedir el nombre de dominio DNS y pondremos: tunaktun.virtual.gcap.net

-3-

-Nos preguntar el nombre de la organizacin el cual ser en nuestro caso tunaktun -Nos preguntar el tipo de gestor de bases de datos, elegimos la opcin HDB - Nos preguntar si deseamos borrar la base de datos cuando se purgue el paquete slapd, elegimos NO -Nos volver a pedir la contrasea de administrador anteriormente introducida. - Deseas mover la base antigua, le decimos que SI. -Permitir el protocolo LDAP v2, decimos que NO.

Instalacin de phpldapadmin Mediante el comando Apt-get install phpldapadmin Y podremos entrar desde nuestra direccin: http://www.tunaktun.virtual.gcap.net/phpldapadmin/

Creacin de usuarios y grupos

Para crear un usuario deberemos rellenar el siguiente formulario

-4-

Observamos que se han creado correctamente tal y como se muestran a la izquierda:

Instalacin de ldap en cliente

Primero deberemos instalar este cliente mediante:

sudo apt-get install libnss-ldap

Nos saldr la siguiente pantalla la cual deberemos rellenar tal y como se muestra,

Nota: prestar especial atencin en que slo son 2 barras / y que es ldap sin la i La siguiente deberemos desglosar la direccin de nuestro dominio:

-5-

En la siguiente pantalla nos muestra las versiones. En nuestro caso elegiremos la 3

(para la compatibilidad con squirrelmail opcin 2)

-6-

Elegimos No

Una vez configurado lo reconfiguraremos con la orden puesta a continuacin para completar unas opciones:

sudo dpkg-reconfigure ldap-auth-config

-7-

Reiniciamos el servicio Ldap sudo /etc/init.d/libnss-ldap restart Y actualizaremos el PAM para ya finalizar la instalacin de nuestro cliente:

sudo pam-auth-update
-8-

No es necesario pero tienen que estar todas sus opciones sealadas. Recordar que esta lnea es muy importante ya que si no la introducimos no podremos logear.

sudo auth-client-config -t nss -p lac_ldap

Prueba de conexin
Para probar que tenemos conexin podemos comprobarlo logeando como el usuario de Ldap

Su dgarcia
Para comprobar que usuarios hay en el sistema Ldap:

Getent (nos muestra los usuarios de ldap)

Configuracin de NFS
En el servidor deberemos editar el archivo /etc/exports para permitir el acceso a todos los usuarios de la red local a la carpeta raz de donde colgarn todos los home de los usuarios de ldap, en dicho archivo aadiremos la siguiente lnea. /home/nfs/ 192.168.112.0/255.255.255.0(rw)

Reiniciar el demonio unfs3

Deberemos crear obviamente las carpetas de cada usuario haciendo a stos, propietarios de las mismas. Ejemplo, la carpeta de jaldana la cual ser su directorio home. Creamos la carpeta en /home/nfs/alumnos el directorio Jaldana Le tenemos que dar permisos de propietario a la carpeta con el uid del usuario en LDAP ( El usuario solo debe estar registrado en LDAP no tiene porque existir en el sistema) /home/nfs/alumnos# chown 1001.1001 jaldana Deberemos crear la carpeta en el cliente:

Mkdir /home/nfs/jaldana
Y le daremos los permisos del usuario ldap:

chown 1000.1000 jaldana

En el archivo /etc/fstab aadimos la lnea siguiente:

-9-

192.168.112.106:/home/nfs/alumnos/jaldana rw 0 0

/home/nfs/jaldana

nfs

Cambiar la ruta del directorio home y el bash mediate el interfaz web La ruta ser : /home/nfs/[usuario] El bash ser /bin/bash

Precaucin en el cliente
Debemos tener en cuenta los siguientes puntos para no dejar colapsado nuestro cliente: En el archivo /etc/ldap.conf (para poder permitir funcionar fuera de la red ldap) o Lnea bind_policy soft (lnea 72)

En la ventana de configuracin donde se pregunta la ip del servidor hay que tener en cuenta que slo son dos barras y es ldap//.

Carpetas privadas en apache

Ldap tiene las opciones para permitir que un grupo en particular slo tenga permisos en una carpeta de apache. Aadiremos el modulo de ldap a Apache mediante este comando:

a2enmod ldap a2enmod authnz_ldap

Creamos nuestra carpeta privada tanto para alumnos como para profesores dentro del directorio /var/www. Mkdir /var/www/privadaalumnos Mkdir /var/www/privadaprofesores

Una vez hecho esto ser necesario configurar el archivo de configuracin de apache /etc/apache2/apache2.conf en el cual aadiremos el siguiente fragmento de cdigo:

-10-

<Directory "/var/www/privadaalumnos"> Options Indexes FollowSymLinks AllowOverride None Order deny,allow Deny from all AuthType basic AuthBasicProvider ldap AuthName "Identificacion LDAP tunaktun.virtual.gcap.net" AuthLDAPUrl ldap://127.0.0.1/dc=tunaktun,dc=virtual,dc=gcap,dc=net? uid AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off Require ldap-group cn=alumnos,ou=groups,dc=tunaktun,dc=virtual,dc=gcap,$ Require ldap-attribute gidNumber=1000 Satisfy any </Directory> Comprobamos su funcionamiento, escribiendo la ruta de nuestra carpeta privada http://tunaktun.virtual.gcap.net/privadaalumnos

Ldap y libreta de direcciones

Una de las mltiples funciones que tiene Ldap es la de poder crear una libreta de direcciones de correo para todos los usuarios agilizando de esta forma la trasferencia de direcciones de correo.

-11-

Creacin de libreta en Ldap

Desde la configuracin web de ldap deberemos crear una unidad organizativa en la cual aadiremos las cuentas de correo tal y como se muestra a continuacin.

Una vez dentro del formulario de nuevo correo electrnico lo rellenaremos con los datos oportunos de la siguiente forma, Una vez hecho esto ya tendremos nuestra libreta de direcciones.

-12-

Configuracin Squirrelmail
Para integrar la libreta de direcciones de Ldap en Squirrelmail es necesario editar el archivo /etc/ Squirrelmail/config.php deberemos aadir el siguiente fragmento de cdigo:

// Add your ldap server options here $ldap_server[0] = Array( 'host' => '127.0.0.1', 'base' => 'ou=libreta,dc=tunaktun,dc=virtual,dc=gcap,dc=net', 'name' => 'libreta' );

Configuracin de Evolution
El cliente de mensajera Evolution permite cargar la lista de direcciones directamente de Ldap para esto deberemos darle a correo despus botn derecho y nueva libreta (en el lateral izquierdo).

En esta pantalla indicaremos que la obtendremos de una libreta ldap indicaremos la ip del servidor, sin cifrado y mtodo de conexin annimo.

-13-

Despus pulsaremos sobre detalles, la cual nos mostrara esta pantalla:

Marcar la opcin de examinar esta libreta hasta el final. Aqu deberemos indicar nuestra unidad organizativa (libreta) la cual podremos buscar pulsando sobre el botn buscar bases de bsqueda posibles:

Si hemos seguido correctamente todos los pasos anteriores podremos ver todas las direcciones de Ldap tal y como se muestra aqu: -14-

FTP en Ldap
Para crear un subdomino ftp2 de veremos aadir el servidor DNS en su archivo de configuracin /etc/bind/tunaktun.bd la siguiente lnea: ftp2 IN A 192.168.112.106

Una vez aadida esta lnea reiniciaremos el demonio del DNS

/etc/init.d/bind9 restart
Procederemos a la configuracin de proftpd (damos por hecho que este demonio ya se encuentra instalado en nuestro sistema) para permitir que los usuarios de LDAP accedan a sus directorios home desde el servicio FTP deberemos editar su archivo de configuracin mediante esta orden:

nano /etc/proftpd/proftpd.conf
En el cual quitaremos el smbolo comentario # de estas lneas:

Include /etc/proftpd/ldap.conf
Y en el fichero /etc/proftpd/modules.conf la siguiente lnea: # Install proftpd-mod-ldap to use this LoadModule mod_ldap.c Aadiremos al final de este archivo el siguiente fragmento de cdigo:

-15-

# Para que autentifique contra nuestro servidor LDAP AuthPAM on LDAPServer localhost #LDAPDNInfo "cn=admin,dc=tunaktun,dc=virtual,dc=gcap,dc=net root" LDAPDoAuth on "ou=users,dc=tunaktun,dc=virtual,dc=gcap,dc=net"

Una vez realizada estas modificaciones reiniciaremos el demonio de proftpd

/etc/init.d/proftd restart

Comprobaciones
Podremos comprobar que esta configuracin ha tenido xito conectndonos a nuestro servidor FTP desde cualquier cliente FTP, con un usuario y contrasea de LDAP, tal y como se muestra a continuacin:

-16-