ADMINISTRACION DE UN SERVIDOR DE DIRECTORY EN LINUX Administracin de software

POR:

Jos David Salazar N

INSTRUTOR:

Felipe Londoo

CODIGO:

35442 ADMINISTRACION DE REDES

CENTRO DE GESTION EMPRESARIAL SENA 2011

PROCEDIMIENTO 1: Administracin del openLDAP

NOTA: El siguiente manual fue realizado en una maquina virtual con sistema operativo centos INTRODUCCION LDAP son las siglas de Lightweight Directory Access Protocol (en espaol Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicacin el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacin en un entorno de red. LDAP tambin es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Utilizado para la creacin y administracin de directorios a bajo nivel. NOTA: Debe desarrollar la parte 1 usando openLDAP sin entorno de administracin grfica. 1. A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio ser usados como usuarios de correo electrnico). Para esto cree un archivo LDIF con todas las unidades organizativas de cada

2. Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada unidad organizativa. Luego agregue las

entradas al directorio. Cada usuario se identificar por un uid. Los atributos obligatorios de cada usuario sern: Username Common name

3. Realice consultas a la base de datos LDAP con la utilidad ldapsearch

Comerciales internos direccin general comerciales internos del directorio de uno de sus compaeros. Recuerde que es otro host y otro dominio. NOTA: Use el comando man para obtener informacin del comando ldapsearch. 4. Modifique los siguientes atributos de por lo menos 3 usuarios

5. Elimine del directorio un usuario del departamento de direccin tcnica 6. Los usuarios autenticados podrn realizar cambios en cualquiera de sus entradas (Es su informacin personal) y podrn leer las entradas de otros usuarios pero no modificarlas. Adems no se mostrar el password a ningn usuario. Pruebe esto con un usuario que no sea al administrador del servidor LDAP PROCEDIMIENTO OPENLDAP 1: INSTACION Y CONFIGURACION DE SERVIDOR

1. Vamos a instalar los paquetes. El servidor openLDAP y el cliente openLDAP

2. Generar un password para el usuario root del servidor de directorio. Este

password ser usado en el siguiente paso, cuando se modifique el archivo de configuracin para el openLDAP.

El password ha sido cifrado usando el algoritmo SSHA. Ese password cifrado la vamos a copia y a pegar ms adelante en el siguiente paso. Si deseas usar otro algoritmo cifrado debe usar el comando slappasswd h. 3. Modificar el archivo de configuracin principal para openLDAP slapd.conf, ubicado en el directorio /etc/openldap. El archivo de slapd.conf debe modificarse para configurar las opciones de la base de datos LDAP. A continuacin se numeran cada una de las lneas que deben modificarse:

A continuacin se explica el significado de cada uno de los parmetros de configuracin Suffix= Este parmetro indica el nodo raz o sufijo de la base de datos sea que tu dominio, esto es, el nodo sobre el cual ser derivada toda la informacin, en este caso se refiere al componente sufijo DNS tu dominio.com (dc=tudominio, dc=com) Rootdn= Es un tipo de cuenta que existe en el servidor de directorio y que generalmente tiene acceso total a todos los datos en el servidor. Debe especificarse el el nombre distinguido (DN) del administrador (cn=admin, dc=solutions, dc=com

Rootpw= Es el password del root del servicio de directorio (rootdn). Observen ac es donde pegamos el password obtenido con el comando slappasswd. dn: es el nombre de la entrada, no es atributo ni tampoco parte de la entrada cn: es el nombre distinguido, nombre comn dc: es el nombre distinguido a la entrada padre donde indica el dominio seguido de componente del dominio ejemplo dc=com. 4. Copiar la base de datos de ejemplo /etc/openldap/DB_CONFIG.example en el directorio /var/lib/ldap. Luego se configurar al usuario ldap como propietario de los archivos.

5.

Iniciar

el

servicio

ldap

PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE OPENLDAP 2.1 Configurar el cliente ldap. Los comandos que se muestran en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarn en este tutorial sern ldapadd (Aadir entradas al directorio) y ldapsearch (Realizar bsquedas en el directorio). El cliente LDAP tambin tiene el siguiente archivo de /etc/openldap/ldap.conf el cual editaremos de la siguiente manera: configuracin

NOTA: Las lneas resaltadas indican el dominio y el URI (Identificador uniforme de recurso). Es recomendable usar un nombre en el URI en vez de la direccin IP. 2.2 El openLDAP no tiene entradas (objetos) en la base de datos LDAP, por esta razn es necesario ingresar por lo menos una entrada padre en la que se

especifique el dominio. Cree un archivo y nmbrelo como desee (Lo normal es poner extensin .ldif, por ejemplo start.ldif: ejm A partir aqu empezaremos a crear el rbol y haremos el organigrama

Para cada unidad organizativa crearemos un archivo con extensin .ldif pero tambin se puede hacer todas las unidades organizativas en el mismo archivo que cree start.ldif. En este caso ser por separado sea crear un archivo por cada unidad organizativa es una forma de ser organizado.

Esto es la raz Dare un ejemplo crearemos 2 archivos.ldif (direccin general) y (sistemas)

sistemas

Explicare algunos parmetros ObjectClass: Object ObjectClass: Organization ------ Son los tipos de objeto que utilizaremos.

Para seguir creando la unidad organizativa (objetos) puede usar estas 2 plantillas como ejemplo. Vamos a agregar los objetos al directorio ldap El comando ldapadd -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre de Dominio,dc=Nuestro Dominio" -W -f nombre de archivo que acabamos de crear, nos pedir nuestro password de administrador.

Ldapadd x D cn=admin,dc=maida,dc=com W f Direccion.ldif

Las opciones que dimos son: -x: Usar autenticacin simple -D: Usar el nombre distinguido de admin -W: Pedir password -f: Especificar el archivo desde el cual saldr la informacin

Cada vez que vallamos creando un objeto lo vamos agregando PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA BASE DE DATOS LDAP 1. Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada unidad organizativa. Luego agregue las entradas al directorio. Cada usuario se identificar por un uid. Los atributos obligatorios. Username Common name

Mostrare un ejemplo de 2 usuarios la unidad organizativa (sistemas)

En este caso declaramos la raz de maida.com llamada Direccin General y de esta se desglosa otra llamada sistemas, ntese que el dn de Direccin General es "ou=Direccin General,dc=maida,dc=com" y el de sistemas es "ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com" esto significa que sistemas esta dentro de direccin general, si furamos a declarar un objeto llamado usuarios dentro de sistemas, deberamos hacerlo as "ou=usuarios,ou=Sistemas,ou=Direccin General,ou=maida,=com" Luego Aadiremos la unidad organizativa que creamos para 2 usuarios perteneciente a (SISTEMAS) al ldap de igual manera que aadimos la raz. sea lo que acabamos de hacer

Y nos deber mostrar que aadimos todas las entradas satisfactoriamente. 2. Realice consultas a la base de datos LDAP con la utilidad ldapsearch

Utilizaremos el comando ldapsearch para buscar objetos, en este caso buscaremos la raz "dc=maida,dc=com" La opcin -x indica usar autenticacin simple y -b la base de datos a buscar. Comerciales internos

direccin general

2. Modificarle el atributo del user3 perteneciente a la LOGISTICA con el comando Ldapmodify - El apellido -Correo electrnico

Antes

Despus

En su caso seria ldapmodify -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre de Dominio,dc=Nuestro Dominio" -W -f el archivo a modificar.ldif 3. Si queremos borrar una entrada de todos sus atributos usaremos el comando ldapdelete y a continuacin el DN que queremos eliminar: -Elimine del directorio un usuario del departamento de direccin tcnica

PROCEDIMIENTO 2: Administracin Grafica del openLDAP 1. Instale dos herramientas grficas de administracin LDAP. Recuerde que independiente de la implementacin del servicio LDAP que haya elegido, es posible usar cualquier cliente LDAP, incluyendo las herramientas grficas. He aqu un listado de algunas de ellas:

Apache Directory Studio (Java) Jxplorer (Java)

2. De las herramientas que instal, cree de manera grfica las unidades organizativas Web y comercio electrnico y Post-venta y RMA y agregue 2 usuarios por cada departamento. 3. Con una de las herramientas que instal, cree de manera grfica las unidades organizativas Diseo grafico y Area de montaje y agregue 2 usuarios por cada departamento 4. Modifique la informacin de todos los usuarios del departamento de rea de montaje. 5. Muestre el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF. Apache Directory Studio Administracion Grafica del openLDAP INSTALACION DE APACHE DIRECTORY STUDIO 1.Instalar el entorno java jdk en su versin mas reciente:

Instalaremos e paquete seleccionado

2. Descargamos el paquete de la pgina oficial.

3. El programa no requiere instalacin, solo ser necesario descomprimir el archivo con extensin tar.gz en algn directorio de binario. Descomprimir en el directorio /usr/bin

- Con lo anterior se tiene un directorio llamado /usr/bin/apacheds. En este directorio hay un archivo binario llamado ApacheDirectoryStudio. Para ejecutar este binario puede usarse el siguiente comando:

Se abrir una ventana de bienvenida y el panel de administracin:

4. Modificar la variable de entorno PATH para ejecutar el binario como root desde cualquier ubicacin. En este paso modificaremos la variable PATH del usuario root modificando la lnea resaltada del archivo /root/.bash_profile

Aplicamos los cambios hechos con el siguiente comando.

Ahora podemos ejecutar el binario desde cualquier ruta.

5. Agregar la aplicacin ApacheDirectoryStudio a uno de los mens de programas. Primero de clic derecho sobre la barra de menus:

Seleccione el men en el cual desea ubicar el tem que har referencia al programa. En mi caso particular usar el men Applications y la categora Graficos: Agregaremos un nuevo elementos

NOTA: No olvide buscar en el sistema de archivos el binario ApacheDirectoryStudio, este es el campo Command. Si desea tambin puede agregar un cono.

Ahora podemos ejecutar el programa desde el entorno grfico

Administracin de Apache Directory Studio 1.Conectarse al servidor openLDAP. En la figura se muestra la opcin para conectarse a una base de datos LDAP sea local o remota. En otras palabras se est usando un cliente LDAP grfico.

Despliegue el cuadro seleccionado

-Le damos conexin al ldap

Especificarle que es una conexin local por el puesto del openldap (389)

Especificarse los parmetros rootdn y rootpw que fueron ingresados en el archivo de configuracin /etc/openldap/slapd.conf podemos dar siguiente y luego finalizar.

se agregaron entradas a la base de datos LDAP importando desde archivos LDIF, se observarn dichas entradas en modo grfico. Se tienen: Una entrada padre (dc=,maida,dc=com) y sus unidades organizativas con sus respetivos usuarios.

2. Agregaremos las unidades organizativas Web y Comercio Electronico

Para crear una nueva unidad organizativa nos paramos en este caso sobre la unidad organizativa direccingeneral clic derecho, new , new entry

Esta opcin es para crear la nueva entrada de una plantilla no existente. Crear una nueva entrada de una plantilla existente

En este caso la dejamos como esta

-Tener un amplio conocimiento de las clases de objetos definidos en el esquema de LDAP para saber qu atributos sern necesarios para la entrada particular. Por ejemplo si se va a crear una unidad organizativa deben especificarse las siguientes clases: top y organizationalUnit

Definimos la clase de objeto que posee una unidad organizativa

El RDN es el nombre relativo que aparecer en el rbol jerrquico del servicio de directorio

Este es el resumen de atributos colocados

Visualizamos la unidad organizativa recin creada

3. Agregaremos un usuario a la unidad organizativa recin creada

Igual que en el paso anterior, es necesario agregar una nueva entrada y seleccionar las clases adecuadas para el usuario. Para esto puede basarse en el archivo en formato LDIF cuando se agreg un usuario a la base de datos LDAP.

Seleccionamos la clases de objetos el top es siempre obligatorio

Visualizamos el usuario recin creado que est en la unidad organizativa web y comercioelectronico.

4.Mover entradas entre contenedores ejm mover un usuario entre unidades organizativas -Mover el usuario Daniel que est en la unidad organizativa DireccionGeneral a la unidad organizativa web y comercioeletronico.

Nos paramos sobre el usuario clic derecho, mover Entry

Le especificamos a cual unidad organizativa quiere mover el usuario

Podemos visualizar el usuario Daniel que ya es perteneciente a la unidad organizativa web y comercioelectronico.

5. Modificamos el usuario Daniel

Modificaremos este usuario le pondremos password y le cambiaremos el mail.

Esta opcin es para cambiar el password

PHPLDAPADMIN Nada ms descargamos el paquete de phpldapadmin

En el directorio /usr/bin/ podemos ejecutar phpldapadmin

Podemos ver las unidades organizativas creadas.

1. Vamos a crear una unidad organizativa llamada post-venta -Hacemos 2 clic sobre direcciongeneral

Hacemos clic en crear un objeto hijo

En donde dice genrico: unidad organizativa damos clic

Le damos crear y nos saldr un cuadro con los atributos correspondientes

Podemos visualizar la unidad organizativa recin creada

2. Crearemos un usuario para post-venta Damos doble clic sobre la unidad organizativa post-venta y damos crear un objeto hijo

Le daremos a continuacin Genrico: Cuenta de usuario

A continuacin crearemos el usuario Mara dentro de la unidad organizativa post-venta podemos poner una contrasea con diferentes tipos de cifrado.

Le damos crear objeto

Visualizamos el ususario

3.Exporta el archivo ldif de cualquier usuario Doble clic sobre el usuario y le damos exportar

Copiamos la sintaxis de el archivo ldif

Seleccionamos importar y pegamos el archivo.

NOTA: modificar el archivo que acabamos pegar y le cambiamos el nombre y a que unidad organizativa pertenecer.

PROCEDIMIENTO 3: Administracin del 389 Directory Server Instalacin del 389 directory server 1. Instalar el entorno java jdk

Instalamos la versin de java mas reciente

2. Instalar el paquete con los repositorios del proyecto EPEL

3. Instalar el paquete 389-ds

4.Para que resuelva por nombre tiene que Editar el archivo hosts. En caso de trabajar con DNS simplemente cree un registro tipo A con el nombre de host para el servidor. Aada la lnea que se muestra en la figura:

5. editar el archivo de hostname /etc/sysconfig/network

6. Reiniciar el servicio network para que tome la nueva configuracin.

7. Iniciar el script setup-ds-admin.pl Este script nos guiar paso a paso en el proceso de configuracin de 389 DS.

8. Existen dos servicios que deben iniciarse: El servicio de directorio dirsrv y el servicio de administracin grfica dirsrv-admin. En caso de que estn iniciados aparecer que estn en modo corriendo.

9. Configurar los servicios para que se inicien automticamente despus de que el sistema Linux inicie.

10. Abra la consola de administracin de 389 DS. Ejecute el siguiente comando

Llene cada uno de los campos como se muestra en la figura

Aqu termina el proceso de instalacin. A continuacin se mostrar el proceso de administracin bsica de 389 DS. ADMINISTRACION DE 389 DIRECTORY SERVER La consola de administracin de 389 DS tiene dos pestaas: Una de configuracin (Servers and applications) y otra pestaa para consultas en el directorio (Users and groups

Para administar el servicio de directorio seleccionamos la opcin Administracin Server que apunta el cursor en la figura

Doble clic

Aqu se muestran cada una de las opciones. Las ms importantes son Stop Server, Restart Server y Configure Admin Server. En esta ltima opcin permite redefinir los parmetros iniciales de configuracin del servidor ingresados en el paso 7.

Si le damos clic en Directory Server podemos Visualizar las entradas del directorio, el 389 DS crea unas entradas iniciales en el directorio.

Existen tres unidades organizativas y un grupo llamado Directory Administrators. Dentro de cada unidad organizativa existen tambin unos grupos creados 11. Agregare una nueva unidad organizativa llamada contabilidad Para crear una nueva unidad organizativa nos paramos el contenedor donde desea crear la OU, en la entrada padre para el dominio Luego presione clic derecho y seleccione New > Organizacional Unit

12. crearemos un usuario llamado miguel a la base de datos LDAP en la unidad organizativa Contabilidad. -Para crear un usuario es igual al el proceso anterior nos paramos sobre la unidad organizativa clic derecho, new, user.

Diligencie los campos que desee del usuario. Observe que a medida que llena un campo se activan otros

- Si quiere activar la autenticacin de usuarios de LDAP en el Sistema Operativo debe seleccionar la opcin Posix User (panel izquierdo) y definir los atributos de inicio de sesin para este usuario (UID, GID, Home Directory, Login Shell e informacin adicional). No debe olvidar usar la utilidad authconfig-tui para habilitar la autenticacin LDAP, ya que por defecto el sistema permite solo la auetnticacin de los usuarios que estn en el archivo /etc/passwd

Podr visualizar el RDN del usuario, en este caso mfernadez, dentro de la unidad organizativa Contabilidad 13. Mover entradas entre (Unidades organizativas) -Para mover entradas de una unidad organizativa a otra solo basta con cortar el objeto y pegarlo en la unidad organizativa de destino. (vamos a mover el usuario recin creado)

PROCEDIMIENTO 4: Administracin de Mandriva Directory Server INSTRODUCION: Mandriva Directory Server es un servidor LDAP desarrollado por Mandriva similar a Fedora y a RedHat DS, cuenta con ventajas como autenticacin de usuario y la gestin gracias a LDAP, una gestin Python dedicada API de LDAP, SAMBA y SQUID (ncleo del MDS y MMC), una interfaz web muy amigable, integracin con SAMBA entre otras ventajas. Requisitos. En este momento cuento con: Un servidor DNS instalado y resolviendo el dominio maida.com y la pagina mds.maida.com. Un servidor apache para la instalacin de la interfaz web. Un servidor LDAP.

INSTALACION DE MANDRIVA DIRECTORY SERVER

Lo primero que debemos hacer es ir al ftp oficial de Mandriva DS y descargar la versin que queremos usar, en mi caso eleg la versin 2.3.2, ustedes pueden elegir la que quieran, en mi caso eleg esta ya que es la ltima versin que est dividida en mdulos ya que la estable esta todo en un solo paquete, la direccin del ftp es esta ftp://mds.mandriva.org/pub/mds/sources/ en mi caso descargare el agente que se comunicara con el ldap y la plataforma web-base desde la cual administraremos grficamente el mandriva.

Luego de descargarlos nos dirigimos al lugar donde lo descargamos y verificaremos que existan los archivos descargados.

Iniciaremos la configuracin de el agente pero antes descomprimir el paquete. Con el siguiente comando. Luego de descomprimir cumpliremos dependencias necesarias para instalar el agente, las podemos bajar desde los repositorios y son las siguientes:

Verificamos entonces que existe la carpeta mmc-agent-x.y.z y nos meteremos a esta, si listamos veremos que hay unos archivos para compilar en python e iniciaremos la compilacion con el comando make install.

El agente ya debera estar instalado, entonces nos devolveremos un directorio y procederemos a instalar la interfaz web o mmc-web-base primero descomprimimos en paquete.

Ingresamos sobre el, si listamos veremos que tambin son archivos para compilar y lo haremos con el comando make install HTTPDUSER=apache, esto para definir que apache es el usuario por defecto del mmc-web-base

Ya finalizado nos saldremos del directorio -Ahora copiaremos el archivo mmc.schema ubicado dentro del mmc-agent a la ruta /etc/openldap/schema

Ahora editaremos el archivo del Openldap en la ruta /etc/openldap/slapd.conf incluyendo en este la linea sealada a continuacin, la cual es la ruta que acabamos de definir anteriormente para el mmc.schema.

Ahora para configurar la interfaz web en el servidor apache copiaremos el archivo mmc.conf ubicado dentro de la carpeta mmc-web-base y lo pegaremos en la ruta de hosting virtuales del apache que regularmente es /etc/httpd/conf.d/.

Ahora editaremos el archivo que acabamos de copiar, agregando las lineas que sealo a continuacion las cuales indican: <Virtualhost *:80> : Indica la apertura de un hosting virtual. DocumentRoot /usr/local/share/mmc : Es la ruta donde se instala la interfaz web ServerName mds.maida.com : Es la manera como ingresaremos a la pagina. DirectoryIndex index.php : Es la declaracion del index. </VirtualHost> : Cerramos la declaracin del hosting virtual.

NOTA= Recuerde configurar el servidor web y el servidor dns con un registro tipo A. procederemos a configurar el agente para que se comunique con la interfaz web y con el openldap para esto editaremos el archivo /etc/mmc/agent/config.ini y en este cambiaremos el login y el password que utilizara el agente para comunicarse con la interfaz web.

Luego configuraremos el web-base desde el archivo /etc/mmc/mmc.ini para que se comunique con el agente, en este ingresaremos los mismos parmetros de login y password que usamos en la configuracin del agente.

Finalmente configuraremos el plugin del agente para que se comunique con el openldap, la configuracion esta en el archivo /etc/mmc/plugins/base.ini y agregaremos el dn de root configurado en el openldap (en mi caso es dc=maida, dc=com) un usuario administrador del ldap y un password.

Finalmente ejecutaremos el agente con mmc-agent

Si ejecuto el mmc-agent y te sali un error que deca que el directorio de backup /home/archives no exista, entonces procedes a crearlo y vuelves a ejecutar el comando mmc-agent

NOTA: Si finamente tiene los servicio dns y ftp configurado puede ir a navegador y copiar tu url correpondiente a como lo hiciste Nos dirigimos entonces a un navegador y al digitar la URL de la pagina nos debera aparecer esto.