Professional Documents
Culture Documents
ndice de contenido
Introduccin a los servicios de directorio.............................................................................4 Introduccin a los servicios de directorio...............................................................................5 Instalacin de Directory Server...............................................................................................6 Instalacin de Directory Server..............................................................................................7 Administracin de Directory Server......................................................................................27 Administracin de Directory Server......................................................................................28 Bsqueda de entradas desde la lnea de comandos......................................................28 Agregando entradas con ldapmodify usando un archivo LDIF........................................30 Modificando entradas con el comando ldapmodify.........................................................31 Borrando entradas usando el comando ldapdelete.........................................................31 Manteniendo la base de datos del directorio.......................................................................33 Exportando la base de datos del directorio..........................................................................34 Importando la base de datos del directorio usando ldif2db.................................................34 Importando la base de datos del directorio usando la Consola...........................................36 Respaldando la base de datos de Directory Server.............................................................37 Restaurando la base de datos de Directory Server.............................................................37 Control de acceso al directorio.............................................................................................41 Administrando ACIs desde la Consola.................................................................................42 Verificacin del acceso sobre la OU People........................................................................45 Configuracin de la ACI para la ou=Groups....................................................................46 Configuracin de los clientes LDAP.....................................................................................48 Configurando la autenticacin por LDAP.............................................................................49 Creacin de directorios HOME.............................................................................................51 Configuracin de la cuenta root...........................................................................................52 Seguridad del Directorio........................................................................................................57 Comunicacin encriptada con SSL/TLS..............................................................................58 Obtencin y configuracin de de Certificados Digitales para Directory Server...............58 Configuracin de TLS/SSL en Directory Server y la Consola..........................................59 Configuracin del archivo de contrasea para Directory Server.....................................60 Obtencin y configuracin de de Certificados Digitales para Administration Server......60 Configuracin de TLS/SSL en Administration Server......................................................60 Configuracin del archivo de contrasea para Directory Server.....................................61 Verificacin de la configuracin........................................................................................62 Configuracin de SSL/TLS en los clientes LDAP................................................................63 Permitiendo conexiones no autenticadas............................................................................64 Configurando polticas de contraseas global utilizando la Consola...................................65 Configuracin del cliente LDAP.......................................................................................68 Verificacin de polticas de contrsea..............................................................................69
Verificacin de polticas de cuenta...................................................................................69 Deshabilitando las politicas de cuenta y contrasea ..........................................................72 Herramientas de administracin del Directorio..................................................................73 PhpLDAPadmin....................................................................................................................74 LdapAdmin............................................................................................................................78 Integracin de servicios con el Directorio...........................................................................84 Servidor Web Apache...........................................................................................................85 Servidor Proxy Squid............................................................................................................88 Integracin de SUDO con LDAP..........................................................................................91 Servidor Postfix.....................................................................................................................93 Controlador de dominio SAMBA........................................................................................100 Instalacin de paquetes requeridos para el controlador de dominio.............................100 Configuracin del Directorio y SAMBA para el controlador de dominio........................105 Configuracin de smbldap-tools.....................................................................................109 Inicio del controlador de dominio SAMBA......................................................................110 Unin de los clientes Windows al Dominio....................................................................112 Configuracin de las cuentas de usuario para el dominio SAMBA...............................114
5. Asegrese que en el archivo /etc/pam.d/system-auth existe el mdulo pam_limits.so en el grupo de gestin session:
session required pam_limits.so
6. Reinicie el equipo:
# shutdown -r now
7. Obtenga los paquetes de instalacin de directory server. El instructor indicar la ubicacin de los archivos. Ubique el archivo dirserv.tar en el directorio /tmp y ejecute los siguientes comandos:
# cd / # tar xpvf /tmp/dirserv.tar
10
Dependencies Resolved ===================================================================================== ========================================================================= Package Arch Version Repository Size ===================================================================================== ========================================================================= Installing: 389-admin i386 1.1.8-4.el5 /opt/dirserv/389-admin-1.1.8-4.el5.i386.rpm 368 k 389-admin-console noarch 1.1.4-1.el5 /opt/dirserv/389-admin-console-1.1.4-1.el5.noarch.rpm 201 k 389-admin-console-doc noarch 1.1.4-1.el5 /opt/dirserv/389-admin-console-doc-1.1.4-1.el5.noarch.rpm 39 k 389-console noarch 1.1.3-3.el5 /opt/dirserv/389-console-1.1.3-3.el5.noarch.rpm 72 k 389-ds noarch 1.1.3-4.el5 /opt/dirserv/389-ds-1.1.3-4.el5.noarch.rpm 8.6 k 389-ds-base i386 1.2.2-1.el5 /opt/dirserv/389-ds-base-1.2.2-1.el5.i386.rpm 1.7 M 389-ds-console noarch 1.2.0-4.el5 /opt/dirserv/389-ds-console-1.2.0-4.el5.noarch.rpm 1.4 M 389-ds-console-doc noarch 1.2.0-4.el5 /opt/dirserv/389-ds-console-doc-1.2.0-4.el5.noarch.rpm 53 k 389-dsgw i386 1.1.4-1.el5 /opt/dirserv/389-dsgw-1.1.4-1.el5.i386.rpm 1.1 M adminutil i386 1.1.8-2.el5.centos.0 /opt/dirserv/adminutil-1.1.8-2.el5.centos.0.i386.rpm 68 k antlr i386 2.7.6-4jpp.2 /opt/dirserv/antlr-2.7.6-4jpp.2.i386.rpm 978 k cyrus-sasl-gssapi i386 2.1.22-5.el5 /opt/dirserv/cyrus-sasl-gssapi-2.1.22-5.el5.i386.rpm 28 k cyrus-sasl-md5 i386 2.1.22-5.el5 /opt/dirserv/cyrus-sasl-md5-2.1.22-5.el5.i386.rpm 45 k db4-utils i386 4.3.29-10.el5 /opt/dirserv/db4-utils-4.3.29-10.el5.i386.rpm 119 k gjdoc i386 0.7.7-12.el5 /opt/dirserv/gjdoc-0.7.7-12.el5.i386.rpm 793 k idm-console-framework noarch 1.1.3-9.el5.centos.2 /opt/dirserv/idm-console-framework-1.1.3-9.el5.centos.2.noarch.rpm 1.0 M java-1.4.2-gcj-compat i386 1.4.2.0-40jpp.115 /opt/dirserv/java-1.4.2-gcj-compat-1.4.2.0-40jpp.115.i386.rpm 29 k jss i386 4.2.5-1.fc6 /opt/dirserv/jss-4.2.5-1.fc6.i386.rpm 679 k ldapjdk i386 4.18-2jpp.3.el5 /opt/dirserv/ldapjdk-4.18-2jpp.3.el5.i386.rpm 782 k libgcj i386 4.1.2-46.el5_4.2
11
Transaction Summary ================================================================================ Install 27 Package(s) Update 5 Package(s) Remove 0 Package(s) Total download size: 34 M Is this ok [y/N]: y Downloading Packages: Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Updating : cyrus-sasl-lib Installing : libicu Installing : libgcj Updating : db4 Installing : svrcore Installing : mozldap Installing : perl-Mozilla-LDAP Installing : adminutil Installing : mozldap-tools Installing : db4-utils Installing : cyrus-sasl-gssapi Installing : cyrus-sasl-md5 Updating : cyrus-sasl-plain Updating : cyrus-sasl Updating : giflib Installing : mod_nss mod_nss certificate database generated. Installing Installing Installing Installing Installing Installing Installing Installing Installing Installing Installing : : : : : : : : : : : lm_sensors 389-ds-base 389-admin 389-dsgw 389-ds-console 389-admin-console 389-admin-console-doc 389-ds-console-doc java-1.4.2-gcj-compat gjdoc jss [17/37] [18/37] [19/37] [20/37] [21/37] [22/37] [23/37] [24/37] [25/37] [26/37] [27/37]
[ 1/37] [ 2/37] [ 3/37] [ 4/37] [ 5/37] [ 6/37] [ 7/37] [ 8/37] [ 9/37] [10/37] [11/37] [12/37] [13/37] [14/37] [15/37] [16/37]
12
Installed: 389-admin.i386 0:1.1.8-4.el5 389-admin-console.noarch 0:1.1.4-1.el5 389admin-console-doc.noarch 0:1.1.4-1.el5 389-console.noarch 0:1.1.3-3.el5 389-ds.noarch 0:1.1.3-4.el5 389-ds-base.i386 0:1.2.2-1.el5 389-ds-console.noarch 0:1.2.0-4.el5 389ds-console-doc.noarch 0:1.2.0-4.el5 389-dsgw.i386 0:1.1.4-1.el5 adminutil.i386 0:1.1.8-2.el5.centos.0 antlr.i386 0:2.7.6-4jpp.2 cyrus-sasl-gssapi.i386 0:2.1.225.el5 cyrus-sasl-md5.i386 0:2.1.22-5.el5 db4-utils.i386 0:4.3.29-10.el5 gjdoc.i386 0:0.7.7-12.el5 idm-console-framework.noarch 0:1.1.3-9.el5.centos.2 java-1.4.2-gcjcompat.i386 0:1.4.2.0-40jpp.115 jss.i386 0:4.2.5-1.fc6 ldapjdk.i386 0:4.18-2jpp.3.el5 libgcj.i386 0:4.1.2-46.el5_4.2 libicu.i386 0:3.6-5.11.4 lm_sensors.i386 0:2.10.74.el5 mod_nss.i386 0:1.0.3-8.el5 mozldap.i386 0:6.0.5-1.el5 mozldap-tools.i386 0:6.0.5-1.el5 perl-Mozilla-LDAP.i386 0:1.5.2-4.el5 svrcore.i386 0:4.0.4-3.el5 Updated: cyrus-sasl.i386 0:2.1.22-5.el5 cyrus-sasl-lib.i386 0:2.1.22-5.el5 cyrussasl-plain.i386 0:2.1.22-5.el5 db4.i386 0:4.3.29-10.el5 giflib.i386 0:4.1.37.1.el5_3.1 Complete!
13
Would you like to continue? [no]: yes ============================================================================== Choose a setup type: 1. Express Allows you to quickly set up the servers using the most common options and pre-defined defaults. Useful for quick evaluation of the products. 2. Typical Allows you to specify common defaults and options. 3. Custom Allows you to specify more advanced options. This is recommended for experienced server administrators only. To accept the default shown in brackets, press the Enter key. Choose a setup type [2]: ENTER ============================================================================== Enter the fully qualified domain name of the computer on which you're setting up server software. Using the form <hostname>.<domainname> Example: eros.example.com. To accept the default shown in brackets, press the Enter key. Computer name [ds1.linux.com.py]: ENTER ============================================================================== The servers must run as a specific user in a specific group. It is strongly recommended that this user should have no privileges on the computer (i.e. a non-root user). The setup procedure will give this user/group some permissions in specific paths/files to perform server-specific operations. If you have not yet created a user and group for the servers, create this user and group using your native operating system utilities. System User [nobody]: ldap System Group [nobody]: ldap ============================================================================== Server information is stored in the configuration directory server. This information is used by the console and administration server to configure and manage your servers. If you have already set up a configuration directory server, you should register any servers you set up or create with the configuration server. To do so, the following information about the configuration server is required: the fully qualified host name of the form <hostname>.<domainname>(e.g. hostname.example.com), the port number
14
15
16
14. En el panel izquierdo, desplieque el host ds1.linux.com.py del dominio linux.com.py. 15. Haga clic sobre el nodo Directory Server
16. Verifique su estado y el puerto que esta utilizando. 17. Haga clic en el botn Open 18. Visualice las opciones que se presentan en la pestaa Tasks
17
19. En la pestaa Configuration seleccione el nodo Data, ubique los sufijos raz dc=linux,dc=com,dc=py y o=NetscapeRoot. Obserque que bases de datos corresponde con cada sufijo.
18
21. En la pestaa Directory, despliegue el rbol linux e identifique las OUs que existen por defecto y los objetos dentro de ella.
19
22. En la OU People cree un nuevo usuario haciendo clic derecho y seleccionando New User. Establezca los siguientes valores:
First Name: Juan Last Name: Perez Comman Name(s): Juan Perez UID: jperez Password: 12345678 Confirm Password: 12345678 E-Mail: jperez@linux.com.py Phone: 555-555
23. Habilite los atributos para Posix User y establezca los siguientes valores:
20
24. En la OU Groups cree un nuevo grupo haciendo clic derecho y seleccionando New Group. Establezca los siguientes valores para el grupo:
21
25. Haga clic sobre Members en el panel izquierdo. Presione el botn Add. Presione el botn Search y seleccione el usuario Juan Perez. Haga clic en OK.
26. Haga clic en el botn Advanced..., Haga clic sobre el cuado Object Class y presione el botn Add value. Seleccione Posix Group de la lista desplegada.
Ing. Ivan Ferreira 22
27. Utilice como gidnumber el valor 500 y haga clic en el botn OK.
28. Una vez creado el usuario, haga clic sobre el icono del mismo y observe su DN. Cul es el DN para el usuario? Cual es el RDN?
23
29. Haga clic derecho sobre el usuario Juan Perez y seleccione Advanced Properties. Que clases de objectos (ObjectClass) utiliza la entrada de Juan Perez?
24
30. Marque la clase de objeto posixAccount y presione el botn Delete Value, an no presione el botn OK. Que atributos han desaparecido del usuario?
31. Presione el botn Cancel, 32. En una terminal, cmbise al directorio /etc/dirsrv/slapd-ds1/schema/
# cd /etc/dirsrv/slap-ds1/schema
33. Visualice el archivo 10rfc2307.ldif con el comando more. 34. Segn la definicin de posixAccount en el esquema del directorio, que atributos seran eliminados de una entrada del directorio si se remueve la clase de objeto posixAccount? que atributos para esa clase de objetos son mandatorios y que atributos son opcionales? 35. Utilizando el mismo procedimiento anterior, cree un nuevo grupo y usuario para Pedro Lopez. Establezca los siguientes valores: Para el grupo:
25
First Name: Pedro Last Name: Lopez Comman Name(s): Pedro Lopez UID: plopez Password: 12345678 Confirm Password: 12345678 E-Mail: plopez@linux.com.py Phone: 555-556
User Name: plopez UID Number: 501 GID Number: 501 Home Directory: /home/plopez Login Shell: /bin/bash
26
Iniciar la busqueda a partir de del sufijo dc=linux,dc=com,dc=py Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple
Iniciar la busqueda a partir de del sufijo dc=linux,dc=com,dc=py Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple La clase de objeto sea posixAccount
Iniciar la busqueda a partir de del sufijo dc=linux,dc=com,dc=py Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple El atributo gidnumber es igual a 500
Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple El atributo gidnumber es igual a 500 y... La clase de objeto es posixGroup Mostrar unicamente el atributo DN y CN
Iniciar la busqueda a partir de del sufijo dc=linux,dc=com,dc=py Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple La clase de objeto es posixAccount o... La clase de objeto es posixGroup
Iniciar la busqueda a partir de del sufijo dc=linux,dc=com,dc=py Utilizar como DN cn=Directory Manager y que solicite la contrasea Inciar al comando que utilice autenticacin simple La clase de objeto es person y... No tiene direccin de correo electrnico definida
29
3. Utilice el comando ldapmodify para agregar la entrada para el usuario Hugo Gomez a partir del archivo /tmp/usuario.ldif:
# ldapmodify -a -x -D -f /tmp/usuario.ldif "cn=Directory Manager" -H ldap://localhost -W \
4. Utilice el comando ldapsearch para buscar la entrada que corresponde con la clase de objeto posixGroup y el cn=jperez. Redireccione la salida al archivo /tmp/grupo.ldif.
# ldapsearch -x -D "cn=Directory Manager" -H ldap://localhost -W \ -b "dc=linux,dc=com,dc=py" '(&(objectclass=posixGroup)(cn=jperez))' > /tmp/grupo.ldif
6. Utilice el comando ldapmodify para agregar la entrada para el grupo del usuario
Ing. Ivan Ferreira 30
2. Edite el archivo /tmp/correos.ldif y agregue los comandos requeridos para agregar una direccin de correo adicional en el formato Nombre.Apellido@linux.com.py:
dn: uid=jperez,ou=People, dc=linux, dc=com, dc=py changetype: modify add: mail mail: juan.perez@linux.com.py dn: uid=plopez,ou=People, dc=linux, dc=com, dc=py changetype: modify add: mail mail: pedro.lopez@linux.com.py dn: uid=hgomez,ou=People, dc=linux, dc=com, dc=py changetype: modify add: mail mail: pedro.lopez@linux.com.py
3. Utilice el comando ldapsearch para buscar las entradas que correspondan con la clase de objeto posixAccount para verificar el resultado. Obtenga nicamente el atributo mail.
# ldapsearch -x -D "cn=Directory Manager" -H ldap://localhost -W \ -b "dc=linux,dc=com,dc=py" '(objectClass=posixAccount)' mail
31
32
2. Visualice el contenido del archivo ldif generado para la base de datos userRoot. Encuentre la entrada para la OU People. A que clase de objeto pertenece esta entrada? 3. Utilice el comando ldapsearch para localizar las entradas de clase posixAccount en la OU=people.
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" -W 'objectclass=posixAccount' dn
4. Utilice el comando ldapdelete para eliminar las entras de los usuarios jperez y plopez en la OU People.
# ldapdelete -x -H ldap://localhost -D "cn=Directory Manager" -W \ "uid=JPerez,ou=People, dc=linux, dc=com, dc=py" \ "uid=plopez,ou=People, dc=linux, dc=com, dc=py"
5. Utilice el comando ldapsearch para verificar las entradas de clase posixAccount en la OU=people han sido eliminadas.
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" -W 'objectclass=posixAccount' dn
34
6. Utilice el comando ldapsearch para verificar las entradas de clase posixAccount en la OU=people han sido importadas.
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" -W 'objectclass=posixAccount' dn
4. Al utilizar el comando ldif2db, la base de datos userRoot fue inicializada o simplemente se agregaron los datos? 7. Utilice el comando ldapdelete para eliminar las entras de los usuarios jperez y plopez en la OU People.
# ldapdelete -x -H ldap://localhost -D "cn=Directory Manager" -W \ "uid=JPerez,ou=People, dc=linux, dc=com, dc=py" \
35
8. Utilice el comando ldapsearch para verificar las entradas de clase posixAccount en la OU=people han sido eliminadas.
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" -W 'objectclass=posixAccount' dn
3. Ingrese la ruta al archivo LDIF y marque la casilla de verificacin Add only y Continue con error
4. Observe los mensajes de error retornados. Cual es el motivo de los errores? 5. Cambiese a la pestaa Directory y verifique que las entradas posixAccount para jperez y plopez fueron importadas.
36
6. Al utilizar este mtodo de importacin, la base de datos userRoot fue inicializada o simplemente se agregaron los datos?
37
5. Utilize el comando bak2db para restaurar los datos de la base de datos userRoot
# /usr/lib*/dirsrv/slapd-ds1/bak2db \ /var/lib/dirsrv/slapd-ds1/bak/ds1-<fecha-hora> [23/Feb/2010:09:47:08 -0300] Deleting log file: ds1/db/log.0000000001) [23/Feb/2010:09:47:08 -0300] Restoring file 1 ds1/db/log.0000000001) [23/Feb/2010:09:47:08 -0300] Restoring file 2 ds1/db/DBVERSION) [23/Feb/2010:09:47:08 -0300] Restoring file 3 ds1/db/NetscapeRoot/numsubordinates.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 4 ds1/db/NetscapeRoot/cn.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 5 ds1/db/NetscapeRoot/parentid.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 6 ds1/db/NetscapeRoot/aci.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 7 ds1/db/NetscapeRoot/entrydn.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 8 ds1/db/NetscapeRoot/DBVERSION) [23/Feb/2010:09:47:08 -0300] Restoring file 9 ds1/db/NetscapeRoot/nsuniqueid.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 10 ds1/db/NetscapeRoot/id2entry.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 11 ds1/db/NetscapeRoot/sn.db4) [23/Feb/2010:09:47:08 -0300] Restoring file 12 ds1/db/NetscapeRoot/uid.db4) [23/Feb/2010:09:47:09 -0300] Restoring file 13
(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd-
38
file file file file file file file file file file file file file file file file file file file file file file file file file file file file file file file
14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44
(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd(/var/lib/dirsrv/slapd-
39
7. Verifique que los datos han sido restaurdados utilizando la Consola de Directory Server o el comando ldapsearch.
40
42
5. Haga clic en OK 6. Haga clic derecho sobre la OU People y seleccione Set Access Permissions... del menu desplegable 7. Haga clic en el botn New 8. En el cuadro de texto ACI Name ingrese Acceso para Supervisores 9. En la pestaa Users seleccione All Users y presione el botn Remove. Agregue el grupo supervisores.
43
44
12. Haga clic en el botn Edit Manually y verifique la sintaxis de la ACI creada:
13. Haga clic en el botn Check Syntax. La sintaxis de la ACI debe ser correcta. 14. Haga clic en el botn OK.
2. Con el comando ldapmodify, intente agregar la OU con el usuario plopez y contrasea 12345678. Como este usuario no es miembro del grupo supervisores la operacin fallar.
# ldapmodify -a -x -H ldap://localhost \ -D "uid=plopez,ou=people,dc=linux,dc=com,dc=py" -W -f /tmp/sistemas.ldif Enter LDAP Password: adding new entry "ou=Sistemas, ou=People, dc=linux, dc=com, dc=py" ldapmodify: Insufficient access (50) additional info: Insufficient 'add' privilege to add the entry 'ou=Sistemas, ou=People, dc=linux, dc=com, dc=py'.
3. Con el comando ldapmodify, intente agregar la OU con el usuario jperez y contrasea 12345678. Como este usuario si es miembro del grupo supervisores la operacin ser realizada con xito.
# ldapmodify -a -x -H ldap://localhost \ -D "uid=jperez,ou=people,dc=linux,dc=com,dc=py" -W -f /tmp/sistemas.ldif Enter LDAP Password: adding new entry "ou=Sistemas, ou=People, dc=linux, dc=com, dc=py"
46
9. Haga clic en el boton Edit Manually 10. Borre el contenido de la ventana y poresione las teclas CTRL+V 11. Cambie el valor de target= de ou=People a ou=Groups
12. Haga clic en el boton Check Syntax. La sintaxis debe ser correcta. 13. Haga clic en el boton OK.
47
3. En la seccin Informacin de usuario, marque la casilla de verificacin Utilizar LDAP utilizando la barra espaciadora 4. En la seccin Autenticacin, marque la casilla de verificacin Utilizar Autenticacin LDAP utilizando la barra espaciadora 5. En la seccin Autenticacin, marque la casilla de verificacin La autorizacin local es suficiente para permitir el acceso a los usuarios creados localmente en el sistema utilizando la barra espaciadora
49
7. Ingrese ldap://ds1.linux.com.py en el campo Servidor 8. Ingrese dc=linux,dc=com,dc=py en DN base 9. Seleccione el botn Aceptar y presione la tecla Enter 10. Utilice el comando getent passwd para verificar que las cuentas de usuario del servidor LDAP son listadas en la salida del comando:
# getent passwd | tail dbus:x:81:81:System message bus:/:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin avahi:x:70:70:Avahi daemon:/:/sbin/nologin avahi-autoipd:x:100:103:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin ldap:x:389:389::/home/ldap:/sbin/nologin jperez:$1$.0b89jvA$5p6epX9kArifP5zEo3Y42.:500:500:Juan Perez:/home/jperez:/bin/bash plopez:*:501:501:Pedro Lopez:/home/plopez:/bin/bash
11. Utilice el comando getent group para verificar que los grupos del servidor LDAP son listados en la salida del comando:
# getent group | tail dbus:x:81: haldaemon:x:68: avahi:x:70: avahi-autoipd:x:103: xfs:x:43:
50
12. Inicie sesin utilizando la cuenta jperez y contrasea 12345678. Que mensaje recibe? En que directorio ha iniciado sesin?
Last login: Sat Mar 6 07:51:30 2010 from 10.129.5.220 Could not chdir to home directory /home/jperez: No such file or directory /usr/bin/xauth: error in locking authority file /home/jperez/.Xauthority -bash-3.2$ pwd /
Linux
para
crear
51
optional pam_keyinit.so revoke required pam_limits.so [success=1 default=ignore] pam_succeed_if.so service in crond quiet required optional required pam_unix.so pam_ldap.so pam_mkhomedir.so skel=/etc/skel umask=022
5. Inicie sesin utilizando la cuenta jperez y contrasea 12345678. Que mensaje recibe? En que directorio ha iniciado sesin?
Creating directory '/home/jperez'. Creating directory '/home/jperez/.mozilla'. Creating directory '/home/jperez/.mozilla/plugins'. Creating directory '/home/jperez/.mozilla/extensions'. Last login: Sat Mar 6 09:04:09 2010 from 10.129.5.220 /usr/bin/xauth: creating new authority file /home/jperez/.Xauthority [jperez@ds1 ~]$ pwd /home/jperez
52
2. En el cuadro de texto First Name, ingrese LDAP proxy, en el cuadro de texto Last Name ingrese root, en el cuadro de texto User ID ingrese root, establezca la contrasea a 12345678.
53
3. En el panel de navegacin izquierdo haga clic derecho sobre nodo linux y seleccione Set Access Permissions
54
4. Cree una nueva ACI para permitir la escritura al atributo userPassword para el usuario uid=root,cn=config
(targetattr = "userPassword") (target = "ldap:///ou=People,dc=linux,dc=com,dc=py") (version 3.0; acl "LDAP Proxy Root Access"; allow (all) userdn="ldap:///uid=root,cn=config";)
5. Haga clic en OK 6. Edite el archivo /etc/ldap.conf, busque la lnea rootbinddn y configurela como sigue:
rootbinddn uid=root,cn=config
8. Verifique que puede cambiar la contrasea del usuario plopez desde el sistema operativo utilizando el comando passwd con el usuario root, estableciendola a 12345678:
# passwd plopez Changing password for user plopez.
55
56
2. Cree una copia de seguridad de todos los archivos del directorio por precaucin:
# tar cvf /tmp/db-backup.tar *
4. Cree un archivo que sera utilizado como alimentador de datos aleatorios para la generacin de la clave publica RSA:
# ps | sha1sum > noise
Is this a CA certificate [y/N]? y Enter the path length constraint, enter to skip [<0 for unlimited path]: > Is this a critical extension [y/N]? y
58
10. Establezca el propietario y los permisos correctos para los archivos generados:
# chown ldap:ldap key3.db cert8.db pwdfile # chmod 640 key3.db cert8.db pwdfile
59
3. Cambiese al directorio donde las bases de datos de certificados de Administration Server son almacenados:
# cd /etc/dirsrv/admin-serv/
4. Marque la casilla de verificacin Use this Cipher Family 5. Marque la casilla de verificacin Disable client authentication
61
Verificacin de la configuracin
1. Verifique que Directory Server est escuchando conexiones en el puerto 636:
# netstat -an | grep 636.*LISTEN tcp 0 0 :::636 :::* LISTEN
3. En la Consola de Directory Server, verifique que el puerto para Directory Server es 636:
4. Utilice el comando /usr/lib/mozldap/ldapsearch para verificar una conexin al puerto 636 usando SSL:
# /usr/lib/mozldap/ldapsearch -Z -h ds1.linux.com.py -p 636 \ -D "cn=Directory Manager" -P /etc/dirsrv/slapd-ds1/cert8.db \ -b "dc=linux,dc=com,dc=py" -w - objectclass=*
La opcin -Z indica al comando ldapsearch que realice una conexin utilizando encriptacin SSL, la opcin -p indica el puerto LDAPs y la opcin -P indica la ruta a la base de datos de certificados. 5. Utilice el comando /usr/lib/mozldap/ldapsearch para verificar una conexin al
Ing. Ivan Ferreira 62
La opcin -ZZZ indica al comando ldapsearch que realice una conexin utilizando encriptacin TLS, la opcin -p indica el puerto LDAP y la opcin -P indica la ruta a la base de datos de certificados.
4. Verifique los cambios efectuados por la herramienta authconfig-tui en los archivos /etc/openldap/ldap.conf y /etc/ldap.conf utilizando el comando diff:
63 Red Hat Certified Engineer
2. Intente realizar una bsqueda en el directorio utilizando una conexin no autenticada omitiendo el parmetro -W en el comando ldapsearch:
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" objectclass=* ldap_bind: Server is unwilling to perform (53) additional info: Unauthenticated binds are not allowed
nsslapd-allow-unauthenticated-binds en el archivo
5. Intente realizar una bsqueda en el directorio utilizando una conexin no autenticada omitiendo el parmetro -W en el comando ldapsearch:
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" \ -b "dc=linux,dc=com,dc=py" objectclass=* # extended LDIF # # LDAPv3 # base <dc=linux,dc=com,dc=py> with scope subtree # filter: objectclass=* # requesting: ALL # .
64
65
7. Haga clic en la pestaa Account Lockout 8. Marque la casilla de verificacin Accounts may be locked out 9. Establezca 3 en el valor para Lockout account after X login failures 10. Establezca 60 en el valor para Reset failure count after X minutes 11. Seleccione Lockout Forever
66
12. Haga clic en el boton Save 13. Haga clic en la pestaa Directory 14. Seleccione en el panel de navegacin izquierdo la OU=People 15. En el panel de navegacin derecho, haga clic sobre el usuario jperez 16. Establezca la contrasea para el usuario a 87654321
67
2. Asegrese de que pam_ldap se encuentra listado antes que pam_unix en el archivo /etc/pam.d/system-auth-local, verifique adems los argumentos try_first_pass y use_first_pass en cada mdulo:
auth auth auth auth auth required sufficient sufficient requisite required pam_env.so pam_ldap.so try_first_pass pam_unix.so nullok use_first_pass pam_succeed_if.so uid >= 500 quiet pam_deny.so
68
# JPerez, People, linux.com.py dn: uid=JPerez,ou=People, dc=linux, dc=com, dc=py passwordRetryCount: 0 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
Observacin: El comando podra no mostrar ninguno de los atributos solictados indicando que la cuenta no tiene intentos invlidos de inicio de sesin y que la cuenta no se encuentra bloqueada. 2. Introduciendo una contrasea equivocada, intente iniciar sesin con el usuario jperez. 3. Verifique los atributos accountUnlockTime y passwordRetryCount para el usuario jperez con el comando ldapsearch. Que atributo ha cambiado?
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" "dc=linux,dc=com,dc=py" uid=jperez accountUnlockTime passwordRetryCount # extended LDIF # -b
69
# JPerez, People, linux.com.py dn: uid=JPerez,ou=People, dc=linux, dc=com, dc=py passwordRetryCount: 1 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
4. Introduciendo una contrasea equivocada por segunda vez, intente iniciar sesin con el usuario jperez. 5. Verifique los atributos accountUnlockTime y passwordRetryCount para el usuario jperez con el comando ldapsearch. Que atributo ha cambiado?
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" "dc=linux,dc=com,dc=py" uid=jperez accountUnlockTime passwordRetryCount # extended LDIF # # LDAPv3 # base <dc=linux,dc=com,dc=py> with scope subtree # filter: uid=jperez # requesting: accountUnlockTime passwordRetryCount # # JPerez, People, linux.com.py dn: uid=JPerez,ou=People, dc=linux, dc=com, dc=py passwordRetryCount: 2 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 -b
6. Introduciendo una contrasea equivocada por tercera vez, intente iniciar sesin con el usuario jperez. 7. Verifique los atributos accountUnlockTime y passwordRetryCount para el usuario jperez con el comando ldapsearch. Que atributo ha cambiado? Que atributo indica que la cuenta ha sido bloqueada?
# ldapsearch -x -H ldap://localhost -D "cn=Directory Manager" "dc=linux,dc=com,dc=py" uid=jperez accountUnlockTime passwordRetryCount # extended LDIF # # LDAPv3 # base <dc=linux,dc=com,dc=py> with scope subtree # filter: uid=jperez # requesting: accountUnlockTime passwordRetryCount -b
70
8. Introduciendo la contrasea LE304lab8, intente iniciar sesin con el usuario jperez. 9. Elimine los atributos passwordRetryCount y accountUnlockTime de la cuenta jperez. Para ello, cree un script llamado ldap_unlock_user.sh con el siguiente contenido:
#!/bin/bash if [ $# -eq 0 ] then echo "Uso: $0 <usuario> <OU>" exit 1 fi USUARIO=$1 if [ -z $2 ] then OU=People else OU=$2 fi cat > /tmp/unlock.ldif <<EOF dn: uid=$USUARIO,ou=$OU,dc=linux,dc=com,dc=py changetype: modify delete: passwordRetryCount changetype: modify delete: accountUnlockTime EOF ldapmodify -x -H ldap://localhost -D "cn=Directory Manager" -W -f /tmp/unlock.ld if
12. Introduciendo la contrasea LE304lab8, intente iniciar sesin con el usuario jperez.
71
72
PhpLDAPadmin
En este laboratorio, configurar phpLDAPadmin para administrar el Directorio utilizando una interfaz Web. 1. Asegrese de tener instalado los paquetes httpd, php, php-ldap y mod_ssl. Si los paquetes no estan instalados, instlelos utilizando el comando yum install.
# yum info httpd php php-ldap mod_ssl Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * c5-media: Installed Packages Name : httpd Arch : i386 Version : 2.2.3 Release : 22.el5.centos Size : 3.1 M Repo : installed Summary : Apache HTTP Server URL : http://httpd.apache.org/ License : Apache Software License Description: The Apache HTTP Server is a powerful, efficient, and extensible web server. Name : mod_ssl Arch : i386 Epoch : 1 Version : 2.2.3 Release : 22.el5.centos Size : 173 k Repo : installed Summary : SSL/TLS module for the Apache HTTP server URL : http://httpd.apache.org/ License : Apache Software License Description: The mod_ssl module provides strong cryptography for the Apache Web server via the Secure Sockets : Layer (SSL) and Transport Layer Security (TLS) protocols. Name : php Arch : i386 Version : 5.1.6 Release : 23.el5 Size : 2.9 M Repo : installed Summary : The PHP HTML-embedded scripting language. (PHP: Hypertext Preprocessor) URL : http://www.php.net/ License : The PHP License v3.01 Description: PHP is an HTML-embedded scripting language. PHP attempts to make it easy for developers to write dynamically generated webpages. PHP also offers built-in database integration for several commercial and non-commercial database management systems, so writing a database-enabled webpage with PHP is fairly simple. The most common use of PHP coding is probably as a replacement for CGI scripts. The php package contains the module which adds support for the PHP language to Apache HTTP Server. Name Arch Version Release : : : : php-ldap i386 5.1.6 23.el5
74
3. Obtenga el paquete de instalacin de phpldapadmin y ubiquelo en el directorio /tmp 4. Cree un directorio para la instalacin de phpldapadmin por debajo del DocumentRoot de Apache, por defecto /var/www/html
# mkdir /var/www/html/phpldapadmin
8. Copie el archivo de configuracin ejemplo y modifiquelo para indicar los valores de conexin al Directory Server. Elimine la doble barra inicial de las lneas para descomentarlas:
# cp config/config.php.example config/config.php # vi config/config.php /*********************************************/ /* Define your LDAP servers in this section */ /*********************************************/ $servers = new Datastore(); /* $servers->NewServer('ldap_pla') must be called before each new LDAP server
75
76
10. Utilizando el navegador web, conctese al URL https://ds1.linux.com.py 11. Haga clic en conectar e inicie sesin con cn=Directory Manager y contrasea 12345678
12. En el panel de navegacin izquierdo, despliegue la ou=Groups y seleccione Crear nuevo objeto. En el panel derecho, seleccione Genrico Groupo Posix 13. Ingrese hgomez en el campo Grupo y haga clic en el boton Crear nuevo objeto:
77
14. En la ventana de resumen, haga clic en el boton Cometer 15. En el panel de navegacin izquierdo, despliegue la ou=People y seleccione Crear nuevo objeto. En el panel derecho, seleccione Genrico Cuenta de Usuario 16. Ingrese en el campo Nombre el valor Hugo, en el campo Apellido el valor Gomez, establezca la contrasea a 12345678, seleccione hgomez de la lista en el campo Nmero GID, y seleccione /bin/bash de la lista en el campo Consola de Login. Haga clic en el botn Crear objeto. 17. En la ventana de resumen, haga clic en el boton Cometer
LdapAdmin
En este laboratorio, configurar LdapAdmin para administrar el Directorio utilizando una interfaz GUI desde un equipo con MS Windows. 1. Obtenga el archivo LdapAdmin.exe y haga doble clic sobre el mismo 2. Haga clic en Start, Connect... La ventana Connections aparece. Seleccione New Connection 3. En el cuadro de texto Connection name, ingrese 389 Directory Server 4. En el cuadro de texto Host ingrese ds1.linux.com.py. Marque la casilla Use SSL
Ing. Ivan Ferreira 78
secure connection 5. En el cuadro de texto Base introduzca dc=linux, dc=com, dc=py 6. En el cuadro de texto Username, ingrese cn=Directory Manager 7. Deje sin completar el cuadro de texto Password
8. Haga clic en el botn OK 9. Haga doble clic sobre la conexin creada e ingrese la contrasea para Directory Manager 10. Haga clic en el men Tools y seleccione Session Preferences... 11. Haga clic en el botn Create default, la ventana Profile Wizard aparece, haga clic en el botn Next para continuar 12. Para el formato de nombre de usuario, seleccione Initial letter of first name, Last name y haga clic en el botn Next 13. Seleccione Last Name, First Name para el formato que sera mostrado en pantalla 14. Presione el boton Next aceptando los valores por defecto hasta finalizar el asistente 15. Modifique el shell para utilizar por defecto /bin/bash
79
16. Haga clic en el boton OK 17. En el panel de navegacin izquierdo, haga clic derecho sobre la ou=Groups y seleccione New Group 18. En el campo Group Name, ingrese jmendez
80
19. En el panel de navegacin izquierdo, haga clic derecho sobre la ou=People y seleccione New User 20. En el cuadro de texto First Name, ingrese Jose, en el cuadro de texto Second Name ingrese Mendez, acepte los valores autocompletados 21. Marque la casilla de verificacin Shadow Account
81
22. Haga clic en la pestaa Membership y presione el botn Set... 23. Seleccione jmendez de la lista de grupos
24. Haga clic en el botn OK 25. En el panel de navegacin derecho, haga clic derecho sobre el usuario jmendez y
Ing. Ivan Ferreira 82
seleccione Set Password... 26. Ingrese 12345678 como contrasea para el usuario y haga clic en el botn OK
83
[1/1]
2. Cree un directorio donde almacenara archivos para los usuarios del grupo admin:
# mkdir /var/www/admin
3. Cree el archivo de configuracin para el directorio virtual admin en Apache con el siguiente contenido:
# vi /etc/httpd/conf.d/admin_authz_ldap.conf
85
Alias /admin
"/var/www/admin"
<Directory "/var/www/admin"> Options Indexes SymLinksIfOwnerMatch AllowOverride None Order allow,deny Allow from all AuthType basic AuthName Administracion AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off AuthLDAPURL ldaps://ds1.linux.com.py/ou=People,dc=linux,dc=com,dc=py?uid?sub require ldap-group cn=admin,ou=Groups,dc=linux,dc=com,dc=py </Directory>
6. Utilizando la herramienta LdapAdmin, cree un grupo llamado admin en la OU=Groups y agregue al usuario plopez al grupo:
86
9. Intente iniciar sesin con el usuario hgomez, el inicio de sesion debe ser denegado ya que no es miembro del grupo admin. 10. Intente iniciar sesin con el usuario plopez, el inicio de sesin debe ser satisfactorio y debera visualizar el contenido del directorio /var/www/admin.
87
4. Agregue las siguientes lneas en esa seccin del archivo de configuracin para permitir el acceso a Internet a los miembros del grupo admin:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # Example rule allowing access from your local networks. Adapt # to list your (internal) IP networks from where browsing should # be allowed #acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access allow our_networks # And finally deny all other access to this proxy # http_access allow localhost external_acl_type ldap_group_match %LOGIN /usr/lib/squid/squid_ldap_group -b "ou=Groups,dc=linux,dc=com,dc=py" -f "(&(objectClass=posixGroup)(cn=%g)(memberUid= %u))" -H ldaps://ds1.linux.com.py -v 3 -s sub acl grupo_admin external ldap_group_match admin http_access allow grupo_admin http_access deny all
7. Verifique que el usuario jperez no es miembro del grupo admin y que el usuario plopez si es miembro del grupo admin:
Ing. Ivan Ferreira 88
8. Inicie el navegador firefox y configure el servidor Proxy haciendo clic en Editar, Preferencias, Avanzado. Seleccione la pestaa Red y haga clic en el botn Configuracin.
9. Haga clic en Configuracin manual del proxy e ingrese ds1.linux.com.py en el cuadro de texto Proxy HTTP. Ingrese 3128 en el cuadro de texto Puerto. Marque la casilla de verificacin Usar el mismo proxy para todo.Haga clic en el botn Aceptar.
89
11. Intente autenticarse con el usuario jperez. Como este usuario no es miembro del grupo admin, el acceso ser denegado.
90
12. Cierre el navegador e inicielo nuevamente. Intente acceder al sitio www.centos.org y autentiquese con el usuario plopez. Como el usuario plopez es miembro del grupo admin el acceso debe ser concedido. 13. Para permitir a grupos creados con la consola de Directory Server, es necesario modificar el filtro de la siguiente forma:
external_acl_type ldap_group_match %LOGIN /usr/lib/squid/squid_ldap_group -b "ou=Groups,dc=linux,dc=com,dc=py" -f "(&(objectClass=posixGroup)(cn=%g)(|(memberUid= %u)(uniqueMember=%u,*))" -H ldaps://ds1.linux.com.py -v 3 -s sub
2. Obtenga la plantilla sudo-role.ltf para LdapAdmin y ubiquela en el mismo directorio que la aplicacin. 3. Inicie la aplicacin LdapAdmin y conectese al servidor ds1. 4. Utilice la herramienta LdapAdmin para crear una OU llamada Sudoers por debajo del
91 Red Hat Certified Engineer
sufijo raz. En el panel de navegacin izquierdo, haga clic derecho sobre dc=linux,dc=com,dc=py y seleccione New Organizational Unit...
5. Haga clic derecho sobre la ou=sudoers y seleccione New, More..., Sudo Role 6. Cree una nueva entrada con los siguientes valores
cn: dirsrv sudoHost: ALL sudoUser: %admin sudoCommand: /sbin/service dirsrv * sudoOption: !authenticate sudoRunAs: root
92
27. Edite el archivo /etc/ldap.conf y agregue la siguiente lnea al final del archivo:
sudoers_base ou=sudoers,dc=linux,dc=com,dc=py
28. Inicie sesin con el usuario plopez y verifique que es miembro del grupo admin:
$ id uid=501(plopez) gid=501(plopez) grupos=501(plopez),45494(admin) context=user_u:system_r:unconfined_t
30. Reinicie el servicio de Directory Server con el usuario plopez ejecutando el siguiente comando:
$ sudo /sbin/service dirsrv restart Shutting down dirsrv: ds1... Starting dirsrv: ds1...
[ [
OK OK
] ]
Servidor Postfix
En este laboratorio, configurar Postfix para obtener los datos de aliases y listas de correo del directorio. 1. Obtenga o cree el archivo 61postfix.ldif para extender el esquema del directorio y almacenelo en el directorio /tmp 2. Mueva el archivo al directorio /etc/dirsrv/slapd-ds1/schema/
93 Red Hat Certified Engineer
[ [
OK OK
] ]
[1/1]
8. Agregue al final del archivo los siguientes parmetros de configuracin para LDAP:
virtual_maps = ldap:/etc/postfix/ldap-mailgroups.cf, ldap:/etc/postfix/ldapaliases.cf local_recipient_maps = unix:passwd.byname $alias_maps $virtual_maps
95
12. Inicie la herramienta LdapAdmin y conectese al servidor ds1 13. Haga doble clic sobre la entrada de usuario jperez 14. Marque la casilla de verificacin Mail Account
15. Seleccione la pestaa Mail 16. En el cuadro de texto Maildrop ingrese jperez 17. Presione el boton Add e ingrese jperez@linux.com.py 18. Haga clic en el botn OK 19. Presione el boton Add e ingrese juan.perez@linux.com.py 20. Haga clic en el botn OK
96
21. Ejecute el comando postmap para verificar el Maildrop para la direccin de correo jperez@linux.com.py
# postmap -q jperez@linux.com.py ldap:/etc/postfix/ldap-aliases.cf jperez
22. Ejecute el comando postmap para verificar el Maildrop para la direccin de correo juan.perez@linux.com.py
# postmap -q juan.perez@linux.com.py ldap:/etc/postfix/ldap-aliases.cf jperez
23. Agregue las direcciones de correo plopez@linux.com.py y pedro.lopez@linux.com.py utilizando el mismo procedimiento estableciendo como maildrop plopez.
97
24. Haga clic derecho sobre la ou=People y seleccione New, Mailing list... 25. En el cuadro de texto Group Name ingrese soporte 26. En la pestaa Members presione el boton Add, seleccione la entrada jperez y haga clic en OK 27. En la pestaa Members presione el boton Add, seleccione la entrada plopez y haga clic en OK
98
99
29. Ejecute el comando postmap para verificar la expansin del grupo de correo a los miembros del mismo:
# postmap -q soporte@linux.com.py ldap:/etc/postfix/ldap-mailgroups.cf jperez,plopez
100
101
102
103
Installed: perl-Convert-ASN1.noarch 0:0.22-1.el5.rf perl-Crypt-SmbHash.noarch 0:0.126.el5 perl-Digest-MD4.i386 0:1.5-4.el5 perl-Jcode.i386 0:2.06-1.el5.rf perlLDAP.noarch 1:0.33-3.fc6 perl-Unicode-Map.i386 0:0.112-12.el5 perl-Unicode-Map8.i386 0:0.13-1.el5.rf perl-Unicode-MapUTF8.noarch 0:1.11-7.el5 perl-Unicode-String.i386 0:2.09-6.el5 perl-XML-NamespaceSupport.noarch 0:1.10-1.el5.rf perl-XML-SAX.noarch 0:0.96-1.el5.rf perl-libwww-perl.noarch 0:5.805-1.1.1 samba.i386 0:3.0.333.15.el5_4.1 smbldap-tools.noarch 0:0.9.5-1.el5.rf Dependency Installed: perl-Compress-Zlib.i386 0:1.42-1.fc6 perl-Digest-SHA1.i386 0:2.11-1.2.1 perl-HTML-Parser.i386 0:3.55-1.fc6 perl-HTML-Tagset.noarch 0:3.10-2.1.1 perl-IO-Socket-SSL.noarch 0:1.01-1.fc6 perl-Net-SSLeay.i386 0:1.30-4.fc6 perlURI.noarch 0:1.35-3 Updated: samba-client.i386 0:3.0.33-3.15.el5_4.1 samba-common.i386 0:3.0.333.15.el5_4.1 Complete!
104
[ [
OK OK
] ]
105
Abajo del parmetro passdb backend agregue los siguientes parmetros de configuracin:
ldap ssl = on ldap admin dn = cn=Directory Manager ldap suffix = dc=linux,dc=com,dc=py ldap user suffix = ou=People ldap machine suffix = ou=Computers ldap group suffix = ou=Groups ldapsam:trusted = yes unix password sync = yes passwd program = /usr/bin/passwd %u pam password change = yes
Abajo del parmetro domain logons agregue los siguientes parmetros de configuracin:
logon home = logon drive = H:
Busque el parametro logon path y descomente aquel que esta configurado a una ruta vaca:
logon path =
4. Ejecute el comando testparm para asegurarse que no existen errores de sintaxis en el archivo de configuracin:
# testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[netlogon]" Processing section "[Profiles]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Press enter to see a dump of your service definitions
107
8. Verifique que el dominio ha sido creado en el servidor de directorio con el comando ldapsearch:
# ldapsearch -x -D "cn=Directory Manager" -H ldap://ds1.linux.com.py -W \ -b "dc=linux,dc=com,dc=py" objectclass=sambaDomain Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=linux,dc=com,dc=py> with scope subtree # filter: objectclass=sambaDomain # requesting: ALL # # LINUX-<X>, linux.com.py dn: sambaDomainName=LINUX-<X>,dc=linux,dc=com,dc=py sambaDomainName: LINUX-80 sambaSID: S-1-5-21-1524996228-2808715951-2724009969 sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain sambaNextUserRid: 1000 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
9. Obtenga el archivo LDIF samba.ldif para la configuracin de SAMBA y ubiquelo en el directorio /tmp 10. Agregue las entradas utilizando el comando ldapmodify:
# ldapmodify -a -x -D "cn=Directory Manager" -H ldap://ds1.linux.com.py -W \ -f /tmp/samba.ldif Enter LDAP Password: adding new entry "ou=Computers,dc=linux,dc=com,dc=py" adding new entry "ou=Idmap,dc=linux,dc=com,dc=py" adding new entry "cn=Domain Admins,ou=Groups,dc=linux,dc=com,dc=py" adding new entry "cn=Domain Users,ou=Groups,dc=linux,dc=com,dc=py" adding new entry "cn=Domain Guests,ou=Groups,dc=linux,dc=com,dc=py" adding new entry "cn=Domain Computers,ou=Groups,dc=linux,dc=com,dc=py" adding new entry "cn=NextFreeUnixId,dc=linux,dc=com,dc=py"
108
Configuracin de smbldap-tools
1. Edite el archivo de configuracin /etc/smbldap-tools/smbldap.conf y configure los siguientes parmetros:
SID="S-1-5-21-1524996228-2808715951-2724009969" sambaDomain="LINUX-80" slaveLDAP="ds1.linux.com.py" slavePort="389" masterLDAP="ds1.linux.com.py" masterPort="389" ldapTLS="0" verify="optional" suffix="dc=linux,dc=com,dc=py" usersdn="ou=People,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Groups,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" userSmbHome= userProfile=
# smbldap-usershow nobody dn: uid=nobody,ou=People,dc=linux,dc=com,dc=py objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSAMAcco unt cn: nobody sn: nobody givenName: nobody
109
110
111
2. Haga clic derecho sobre el icono de Mi PC y seleccione Propiedades 3. Seleccione la pestaa Nombre de equipo
112
113
114
4. En la pestaa Membership, establezca como grupo primario para el usuario el grupo Domain Users y como grupo adicional el grupo jperez:
115
5. Establezca una contrasea para el usuario jperez y seleccione la casilla de verificacin Set Samba Password:
6. Inicie sesin con la cuenta de usuario jperez en el cliente Windows seleccionando el dominio Linux-<X> en la ventana de inicio de sesin
116