EXAMEN FINAL

LDAP + SAMBA

ESTUDIANTES:

CARLOS TORRES

DENIS GONZALEZ

PROFESOR:

JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERÍA DE SISTEMAS
 INTRODUCCIÓN.

En el presente documento se realizará la instalación y configuración de los servicios ldap la cual nos
permite dar acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en
un entorno de red y samba para compartir archivos el cual nos permite que computadoras con un sistema
operativo linux o mac os se vean como servidores o actúen como clientes en redes windows. la instalación
de estos servicios se realizarán en el sistema fedora y se da como supuestos que se tiene instalado y
configurado el servidor DNS.

¿Qué es LDAP?

LDAP hace referencia a un protocolo que permite el acceso a un servicio de directorios ordenado para
buscar información en un entorno de red. este servicio presenta la información bajo la forma de una
estructura jerárquica de árbol denominada DIT (Árbol de información de directorio), en la cual la
información, denominada entradas (o incluso DSE, Directory Service Entry), es representada por
bifurcaciones.

Este servicio se basa en un modelo cliente-servidor, uno o más LDAP contienen los datos que conforman
el árbol del directorio o base de datos troncal, el cliente ldap se conecta con el servidor LDAP y le hace una
consulta, el servidor contesta con la respuesta correspondiente o bien con una indicación de dónde puede
el cliente hallar más información. No importa con que servidor LDAP se conecta el cliente siempre
observará la misma vista del directorio; el nombre que le represente a un servidor LDAP hace referencia
a la misma entrada a la que haria referencia en otro servidor LDAP. Es esta una característica importante
de un servicio de directorios universal como LDAP.

¿Qué es SAMBA?

samba es un conjunto de aplicaciones para linux que utiliza el protocolo de comunicación smb que
implementa los sistemas operativos windows para compartir carpetas e impresoras, samba permite a pc
que utilizan linux, conectarse a carpetas compartidas de windows. gracias a samba podemos tener pc
windows y pc linux de forma que puedan intercambiar información en carpetas compartidas.
PROCESO DE INSTALACION SAMBA.

Para comenzar con el proceso de instalacion de samba debemos ejecutar el siguiente comando el cual
tendra como funcion instalar samba en el servidor fedora

dnf install samba

 ● Deshabilitamos el SELinux para que no se presenten inconvenientes usaremos la siguiente
instrucción para abrir el archivo
nano /etc/selinux/config

Si el valor de selinux está en enforcing lo cambiamos a disable

reiniciamos la máquina

reboot

Ahora debemos instalar los paquetes necesarios para el correcto funcionamiento de samba

dnf install cups-libs samba samba-common samba-client

Todas las modificaciones a Samba se realizan en el archivo de configuración
/etc/samba/smb.conf. Aunque el archivo predeterminado smb.conf está bien documentado,
no menciona tópicos complejos como LDAP, Active Directory y numerosas implementaciones
de controladores de dominio.

Las secciones siguientes describen las diferentes formas en que se puede configurar un
servidor Samba.

Por temas de seguridad y de cuidado es recomendable crear una copia de nuestro archivo
.conf, para ello ejecutaremos el siguiente comando:
 cp /etc/samba/smb.conf /etc/samba/smb.conf.Inicial

configuración del archivo smb.conf para ellos usaremos la siguiente instrucción:

nano /etc/samba/smb.conf

Buscaremos las siguientes líneas y las modificaremos.

 ● Buscaremos security y passdb backend, nos permite que los usuarios de linuc se
puedan loguear en SAMBA. daremos los siguientes valores.
security = user

passdb backend = tdbsam

Guardaremos el archivo.

Ahora configuraremos el inicio de samba nuestro sistema, para que inicie cada vez que
arranque el sistema, ingresamos la siguiente instrucción.

systemctl enable smb.service

iniciaremos el servicio

systemctl start smb.service

Ahora vamos a crear una carpeta compartida, para esto usaremos la siguiente instrucción

mkdir -p /home/shares/compartida

Añadimos la carpeta compartida al grupo de usuarios

chown -R root:users /home/shares/compartida

Le damos los servicios a esa carpeta

chmod -R ug+rwx,o+rx-w /home/shares/compartida

Editaremos nuestro achivo smb.conf

nano /etc/samba/smb.conf

AGREGAR

[allusers]
 comment = All

Userspath = /home/shares/compartida

valid users = @users

forcegroup = users

create mask = 0660

directory mask = 0771

writable = yes

Reiniciamos el servicio

systemctl restart smb

Agregaremos un usuario usando el comando adduser

useradd nombreusuario-m -G users

le daremos una contraseña a ese usuario con el comando passwd

passwd Nombre_Usuario

Nos pedirá la contraseña y la confirmación.

Ahora debemos desactivar el firewall.

systemctl stop firewall.service

Ingresamos el siguiente comando

smbclient //hostname/sharename -U Nombre_usuario

Ahora vamos a windows y presionamos las teclas (inicio)+R, nos aparece una ventana en
donde vamos a marcar la ip de nuestro servidor

//IP ejemplo //192.168.254.52

Nos aparece una ventana en donde debemos ingresar el usuario y la contraseña que
agregamos anteriormente.

PROCESO DE INSTALACIÓN DE LDAP

1. se procede a instalar el ldap server y el ldap cliente utilizando la siguiente instrucción

dnf -y install openldap-servers openldap-clients

luego de realizada la instalacion, por seguridad se hace un backup del archivo de /usr/share/openldap-
servers/DB_CONFIG.example en la carpeta /var/lib/ldap/DB_CONFIG

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Y por último se inicia el servicio y se especifica que siempre que se inicie el servidor el servicio también
se active

systemctl start slapd

systemctl enable slapd

2. configuración de las credenciales para el usuario administrador de ldap

para la configuración de credenciales para el usuario administrador de ldap, procedemos primero a
generar una contra encriptada. para ello ejecutamos el comando slappasswd, este nos pedirá la contra y
al final nos la devolverá encriptada.
Ahora procedemos a crear el archivo chrootpw.ldif el cual es un archivo que maneja ldap para su
configuración y colocamos los siguientes datos.

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxx

Y además en el campo olcRootPW colocamos la clave encriptada.

Una vez creado el archivo procedemos adicionarlo al servicio ldap como archivo de configuración. Para
realizando ejecutamos el siguiente comando, nótese que se utiliza el comando ldapadd indicando que es
un archivo nuevo de configuración.

ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

3. configuración de esquemas básicos

Para este paso adicionamos nuevos archivos de configuración los cuales se encuentran en la ruta
/etc/openldap/schema/ y esto son descargados en el momento que se descarga el ldap.

Ejecutamos los siguientes comandos para adicionar los siguientes archivos

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

4. Configuración del dominio en ldap

Ahora se procede a configurar nuestro dominio en el ldap. Para ello primero creamos nuevamente nuestra
contraseña encriptada ejecutando el comando slappasswd.

Creamos el archivo chdomain.ldif y colocamos los siguientes datos de configuración.

Sobre las directivas dc,dc colocar el nombre de dominio ejemplo

dc=catm,dc=asor
Después de configurado el archivo se procede a ejecutar el siguiente comando

ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

este comando indica modificar en los cn config con la nueva configuración de cada uno y adicionando
el nombre de dominio.

luego de ejcutado la instruccion procedemos a crear un nuevo archivo llamado basedomain.ldif y

colocamos las siguientes instrucciones.
Nótese que para la creación de ese archivo se están creando 3 objetos en el ldap los cuales
son Manager el cual es el usuario de administración, people el cual es creado con el fin de que
aloje lo usuarios y Group el cual es creado con el fin de que aloje los grupos.

una vez configurado el archivo procedemos a ejecutar el siguiente comando. para adicionar
este nuevo archivo de configuracion con la creacion de los 3 objetos.

ldapadd -x -D cn=Manager,dc=catm,dc=asor -W -f basedomain.ldif

5. Creación de usuarios.
En este paso crearemos usuarios en el ldap para eso generamos el siguiente archivo de configuración
ldapuser.ldif y colocamos sobre él los usuarios y grupos a generar.

dn: uid=fedora,ou=People,dc=catm,dc=asor
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: Fedora
sn: Linux
userPassword: {SSHA}xxxx
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/fedora

dn: cn=fedora,ou=Group,dc=catm,dc=asor
objectClass: posixGroup
cn: Fedora
gidNumber: 1000
memberUid: fedora

Al generar este archivo estamos indicando que se va a crear un usuario y lo estamos adicionando al
grupo Group y que su carpeta de directorio está en /home/fedora

Ejecutamos el siguiente comando

ldapadd -x -D cn=Manager,dc=catm,dc=asor -W -f ldapuser.ldif

6. Configuración de ldapclient
Ejecutamos los siguientes comandos para realizar la instalación.

dnf -y install openldap-clients nss-pam-ldapd

Una vez instalado ejecutamos los siguientes comandos para realizar la configuracion dl ldapcliente

authconfig --enableldap \

--enableldapauth \

--ldapserver=192.168.1.21 \

--ldapbasedn="dc=catm,dc=asor" \

--enablemkhomedir \

--update

Una vez ejecutado procedemos a abrir el archivo i /etc/sssd/sssd.conf

Y adicionamos la siguiente instrucción en el fin del documento

ldap_tls_reqcert = allow

Y por último reiniciamos el servicio

systemctl restart sssd

7. Configuración del ldap para que continúe el servicio de directorios en caso de que este inactivo
Para empezar con la configuracion creamos el siguiente archivo

mod_syncprov.ldif

Y sobre él colocamos los siguientes datos

# create new

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

Luego de esto procedemos adicionar la configuracion.

ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

Después procedemos a crear el archivo

syncprov.ldif

Y sobre él colocamos los siguientes datos

# create new

dn: olcOverlay=syncprov,olcDatabase={2}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

Luego adicionamos la configuracion

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

Ahora procedemos a crear el siguiente archivo

syncrepl.ldif

Y colocamos los siguientes valores

y ejecutamos el siguiente comando para visualizar la configuracion

ldapadd -Y EXTERNAL -H ldapi:/// -f syncrepl.ldif

ahora procedemos a ejecutar el siguiente comando para comprobar el funcionamiento de nuestro ldap

ldapsearch -x -b 'ou=People,dc=catm,dc=asor'
Ahora procedemos hacer la instalación de phpldapadmin el cual es una aplicación web para la
administración de usuarios en el ldap. para realizar la instalacion se toma como supuesto que el apache
ya está instalado y configurado en el servidor. Para empezar con la instalación y configuración de
phpldapadmin primero debemos instalar php, para ejecutamos el siguiente comando.

dnf -y install php php-mbstring php-pear

Se empezaran a descargar los paquetes, una vez instalados procedemos a descargar el phpldapadmin
con el siguiente comando.

dnf -y install phpldapadmin

Se empezaran a descargar los paquetes. una vez instalados se procede a realizar la configuración. vamos
al siguiente archivo /etc/phpldapadmin/config.php y configuramos la siguiente instrucción como se ve en
la imagen
Luego se debe ingresar al siguiente archivo /etc/httpd/conf.d/phpldapadmin.conf para dar permisos que
cualquier equipo de la red pueda acceder a el aplicativo

Ahora procedemo a ingresar a la aplicacion web para nuestro caso es 192.168.1.21/phpldapadmin .

Antes de loguearnos en el sistema y mostrar el funcionamiento de esta herrmienta ahora vamos a
proceder a sincronizar nuestro ldap con nuestro samba. para ello lo primero que debemos hacer es
copiar el archivo de configuracion ldif que trae samba al instalarse y pasarlo a los archivos de
configuración que tiene ldap en la carpeta schemas para hacer este proceso se procede a ejecutar el
siguiente comando.

cp /usr/share/doc/samba/LDAP/samba.ldif /etc/openldap/schema/

Una vez ejecutado este comando se pasara el archivo a la carpeta de schemas de openldap, ahora
procedemos adicionar ese archivo de configuración ejecutando el siguiente comando

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/samba.ldif

Una vez adicionado el archivo ldif ahora procedemos a ir al archivo /etc/samba/smb.conf y colocaremos
los siguientes datos en la sección de global del archivo.

Donde passdb backend hace referencia a la dirección del servidor ldap. Ahora procedemos por medio de
este comando smbpasswd -w password dar la contraseña del usuario Manager esto con el fin de realizar
la sincronización. al terminar esos pasos ahora podemos reiniciar el servicio samba con el comando
systemctl restart smb.service. Ahora podmeos ingresar a nuestra aplicacion web.

Al ingresar podemos notar que el objeto samba esta creado lo que quiere decir que samba ya esta
sincronizado con ldap.

Ahora procederemos a crear un grupo el cual va ser utilizado para asignar los usuarios
samba para eso damos clic en crear nuevo objeto en la sección de Group.
Como podemos notar en la imagen de abajo, para crear un grupo de samba damos clic en
crear samba mapeo de grupo

Ahora podemos visualizar un formulario para crear el grupo, en este ingresamos el nombre del grupo, el
nombre de la ventana, el sid samba el cual se genera en el momento de sincronizar el samba y el ldap

Ahora para la practica procederemos a crear un usuario samba y poder visualizarlo creado cmo usuario
samba. Para esto procedemos a crear un nuevo objeto en la seccion people y aparecera la siguietne
pantalla damos click en crear samba cuenta
Al dar clic podremos visualizar un formulario para crear el usuario. Colocaremos el nombre, el nombre
comun el tipo de grupo al que pertenece y sid de samba y la contraseña.
Al crearlo instantaneamente el la seccion de People se crear el usuario, se pude visualizar en la imagen el
correcto funcionamiento.

Ahora procedemos si se a creado correctamente como usuario samba, para ellos debemos ejecutar el
siguiente comando pdbedit -L utilizado para visualizar los usuarios con los que cuenta samba
Ahora podemos notar que existe un usuario llamado prueba y que está actualmente en el samba lo que
quiere decir que el ldap y el samba están configurados.

También se puede visualizar el comando pdbedit -Lv para poder visualizar mucho mejor con información
más detallada de los usuarios creados en samba.