UF2.

SISTEMES OPERATIUS LLIURES EN XARXA

NOM DE L’ALUMNE/s: Danimir Emil Tsonev

ACTIVITAT 4 –PART A - INDIVIDUAL

Aquesta activitat es troba dividida en dues parts obligatòries, on la part A compta un 60% de la nota de
l’activitat i la B un 40%.
En aquesta primera part prepararem tot el sistema de domini LDAP amb Linux, pel que treballarem amb la
Ubuntu Server per configurar el servei que actuarà com a servidor, i amb la Ubuntu Desktop perquè en
sigui el client.
IMPORTANT:
• Caldrà que adjunteu les diferents comprovacions de les diferents tasques sol·licitades dins
l’activitat segons s’indiqui, principalment en forma de captures.
• Si a la captura no hi ha cap valor que la identifiqui de forma única, cal que es vegi el fons
d’escriptori amb el vostre nomcognom!
MOLT IMPORTANT:
• Sempre que sigui possible (i ho és gairebé sempre), treballeu amb l’usuari de gestió que vam crear
per cada màquina (adminXXX o nomcognom) enlloc de root. Sinó implicarà penalització o no
correcció de l’apartat.

Part A – Configuració del servei LDAP a Ubuntu Server i Ubuntu Desktop

En primer lloc, configurarem el servei de LDAP a partir del software OpenLDAP de Linux, que és la
implementació de codi obert que permet treballar amb el protocol LDAP. Això caldrà fer-ho a la
Ubuntu Server, de forma que un cop hi entreu llanceu:

sudo apt update

sudo apt install slapd

Slapd (Independent LDAP Daemon) és un programa que s'executa en segon pla, atenent les
sol·licituds d'autenticació LDAP que es rebin al servidor. Durant la instal·lació, només us demana que
introduïu una contrasenya de l’administrador del servei LDAP, i que haureu de recordar i utilitzar
sempre que calgui fer gestions d’administració amb el domini.

Un cop instal·lat, per configurar el domini s'utilitza la comanda [sudo dpkg-reconfigure slapd], on cal
actuar de la forma següent:

• La primera pantalla que es mostra, actua com a mesura de seguretat, per assegurar-se que
no fem canvis per error. Tot i que sembli una contradicció, en aquest cas haurem de triar la
opció NO.
• El directori LDAP ha de tenir una arrel de la qual penja la resta d'elements, que tal com vam
veure amb AD, serà un nom DNS. En el nostre cas utilitzarem el domini ldapnomcognom.local
 (en el meu cas doncs: ldapdavidbancells.local -> podeu fer també amb la inicial del nom:
ldapdbancells.local, vosaltres decidiu, però ho haureu de mantenir)
• Nom de l'entitat en la qual estem instal·lant el directori LDAP: ldapnomcognom (torneu a
substituir com l’apartat anterior).
• Ara us demanarà el password per administrar LDAP, poseu-hi el mateix que heu posat quan
heu instal·lat slapd.
• Després cal dir que NO a esborrar la base de dades, i posteriorment contestar que SI a moure
la base de dades antiga.
• Arribats a aquest punt, la configuració s'ha realitzat amb èxit. Us hauria de retornar un
missatge com el següent:

a) Així doncs, la primera demostració que heu de fer amb captures és adjuntar la captura (tal
com mostra la meva imatge) de que s’ha instal·lat correctament. 0,75 punts.

De totes maneres, és interessant comprovar si realment està funcionant. Per això utilitzarem la
comanda de control [systemctl] que gestiona els diferents serveis o daemons que s’estan executant
al sistema.
b) Així doncs, llanceu la comanda [sudo systemctl status slapd] i adjunteu la captura.
Comproveu que realment el servei està actiu. 0,5 punts.

Ara ens tocarà instal·lar les diferents eines i utilitats per tal de gestionar el servei de LDAP. Per això
caldrà que llancem la següent comanda:
 sudo apt install ldap-utils

Això ho instal·lem a la Ubuntu Server, però també es podria instal·lar a la Ubuntu Desktop i seguir els
mateixos passos de configuració.
Un cop instal·lades les utilitats a la Ubuntu Server, per tal de comprovar que la instal·lació del servei i
de les llibreries és correcta, es pot utilitzar la comanda que teniu a la imatge adjunta i que mostra
tots els DN dels objectes del domini.

Evidentment caldrà que substituïu la IP del servidor de LDAP per la de la vostra Ubuntu Server, i el dc
pel vostre domini.
Recordeu que el DN és l’identificador de cada element dins el domini, que anirà acompanyat del seu
DC (Domain Component, que indica les diferents que composen el domini), les OU (unitats
organitzatives) i el CN o Common Name, que identifica cada objecte.
c) Adjunteu una captura conforme llanceu la comanda i el resultat que us retorna. 0,75 punts.

Per tal de no haver d’anar posant les comandes amb els paràmetres tota l’estona, es poden
preestablir a dins del fitxer /etc/ldap/ldap.conf.
Cal doncs que obriu el fitxer i descomenteu les línies de BASE i URI. A BASE hi haureu de posar les
dades del vostre domini, i a URI, la IP del vostre servidor LDAP.
d) Un cop fets els canvis, llanceu [sudo cat /etc/ldap/ldap.conf | egrep -v ^#] i adjunteu-ne la
captura. 0,75 punts. ^

Per demostrar que els canvis han sigut correctes, caldrà que llanceu novament una comanda per
obtenir la informació dels DN, però aquest cop sense paràmetres.
e) Per tant, ara toca llançar [sudo ldapsearch -x -LLL dn] i adjuntar el resultat. S’hauria de veure
el mateix que heu fet a c). 0,5 punts.
Com veieu, en aquest punt de l’activitat com elements només tenim el domini i l’admin del propi
domini. Tocarà doncs posar dades “de prova” que farem servir per comprovar el funcionament del
domini. Aquestes dades les heu de descarregar al server a partir d’un link que us he preparat.
Per fer-ho, heu d’obrir un terminal i llançar:

sudo wget https://pastebin.com/raw/jnr1CNu9 -O prova.ldif

Us mostro una captura d’exemple del que hauria de passar:

Això us ha baixat, al directori on hàgiu llançat la comanda, un fitxer que es diu prova.ldif. Caldrà
obrir-lo amb l’editor que vulgueu, i editar-lo. Per editar-lo, cal substituir allà on posa
ldapnomcognom pel nom de domini que heu configurat a apartats anteriors.
Aquest document prova.ldif crea una nova UO, que es diu prova, un nou grup, que es diu gprova, i
un nou usuari, que es diu uprova.
Per inserir les noves dades al domini cal que llanceu:

sudo ldapadd -x -D cn=admin,dc=ldapnomcognom,dc=local -W -f prova.ldif

f) Executeu una captura amb l’execució i resultat de la comanda, i també de l’execució de [sudo
ldapsearch -x -LLL dn]. 1 punt.

Ara ja tenim unes dades de proves per comprovar el funcionament de LDAP, que ho farem des de la
Ubuntu Desktop.
Abans però, tot i que podríem instal·lar les
eines de gestió per consola, sempre serà més
fàcil administrar-ho a través d’algun gestor
web. Per LDAP, tenim el phpLDAPadmin.

Encara des de la Ubuntu Server, per instal·lar aquest gestor de LDAP només ens caldrà executar:

sudo apt install phpldapadmin

Ara tocarà configurar-lo, per tal que connecti i treballi amb el nostre domini. Així doncs caldrà fer
canvis al fitxer /etc/phpldapadmin/config.php.
Primer de tot, a les línies 300 i 326 tindreu dos entrades de text semblants a la que teniu a la imatge
que hi ha a continuació:

Caldrà canviar els valors de dc on hi ha ‘example’ i ‘com’ per ‘ldapnomcognom’ i ‘local’

respectivament. Recordeu a canviar ‘ldapnomcognom’ tal com hàgiu creat el domini al principi’.
g) Un cop fet, per demostrar els canvis, llanceu la següent comanda [sudo cat
/etc/phpldapadmin/config.php | grep “dc=ldap” ] i adjunteu una captura amb el resultat.
0,75 punts.

Després, a la línia 440, cal descomentar la línia que trobareu a continuació:

I canviar-ho els valors perquè enlloc de 1000 i 5000, siguin tots dos 10000.
h) Un cop descomentada la línia i fet els canvis de números, adjunteu l’execució de la següent
comanda [sudo cat /etc/phpldapadmin/config.php | grep 10000 ] i del resultat per
demostrar-ho. 0,5 punts.

Ara només caldrà comprovar que s’hi pot accedir correctament, i per això necessitarem la Ubuntu
Desktop. Des d’allà obriu el navegador i poseu el següent: http://172.30.X.Y/phpldapadmin on X és la
IP del vostre rang i Y la IP del bloc final que heu posat al servidor. Teniu una imatge de mostra de la
pantalla de login.
Com veieu ja us hauria de sortir el Login preparat, sinó prepareu-lo vosaltres canviant els valors
segons convingui (caldria posar cn=admin,dc=ldapnomcognom,dc=local). Pel que fa als errors que
surten com a Deprecated els podeu ignorar, és un problema de versions del PHP.
Entreu amb el password d’administració del domini que heu configurat anteriorment i entrareu a la
pantalla de gestió del domini.
i) El primer que us sortirà és la pantalla conforme l’autenticació ha sigut correcta. Adjunteu la
captura conforme es veu el missatge i la URL on us heu connectat. Us deixo la meva imatge
com a exemple, canvieu-la per la vostra. 1 punt.

A part d’aquest programa via web, és interessant també que conegueu programes en entorn GUI
que permeten fer el mateix. És el cas de JXplorer, programa d'escriptori que permet gestionar LDAP
de forma remota des d'un client o des del mateix servidor si disposa d'interfície gràfica.
Des de la Ubuntu Desktop, el podeu instal·lar amb la següent comanda:
 sudo apt install jxplorer

Quan l’obriu, cal que aneu a File->Connect. Cal introduir les següents dades per tal d’establir la
connexió:

• Host: 172.30.X.Y (substituint segons pertoqui)

• Base DN: dc=ldapnomcognom,dc=local (substituint segons pertoqui)
• Level: User+Password
• User DN: cn=admin,dc=ldapnomcognom,dc=local (substituint segons pertoqui)
• Password: el d’administració del domini que heu definit al principi al instal·lar slapd.
Us deixo una imatge de mostra perquè veieu com ha de quedar:

j) Un cop dins, ensenyeu una captura del menú de jxplorer que mostra el domini, l’usuari i la
part de baix que posa “Connected To”. 0,75 punts.
Ara hem d’instal·lar i configurar el client, Ubuntu Desktop, per tal que sigui membre del domini.
El client de LDAP és el programa que serveix per accedir al servei LDAP. Aquest paquet s'ha
d'instal·lar en tots els ordinadors on es vulgui validar usuaris LDAP. També es podria instal·lar, si fes
falta, al servidor, per tal de comprovar els usuaris existents. En aquest cas però, no cal.
Això si, cal anar amb molt de compte!!! Si la següent configuració no es fa correctament, el més
probable és que la màquina no s’engegui o trigui molt en fer-ho. És un bon moment per fer un
snapshot o una clonació.

sudo apt update

sudo apt install libnss-ldap

Un cop llanceu el procés d’instal·lació us apareixeran diversos quadres de diàleg per tal de configurar
l’aplicació. Els paràmetres que cal introduir son els següents:

• Servidor LDAP: ldap://172.30.X.Y. (Compte, ldap, no ldapi, i amb els valors de X i Y del
servidor)
• Base del domini: dc=ldapnomcognom,dc=local (substituïu segons pertoqui)
• Versió de LDAP: 3.
• Crear una base de dades local: Sí.
• Crear administrador local per la base de dades: No.
• Usuari administrador: cn=admin,dc=ldapnomcognom,dc=local (substituïu segons pertoqui)
• Contrasenya per accedir a LDAP com a root: No posar contrasenya (Intro).
• Encriptació de contrasenyes: md5.
Després, cal modificar alguns petits paràmetres a /etc/ldap.conf. Així doncs, obriu el fitxer i
descomenteu les línies següents canviant els valors:
 • timelimit 10
• bind_timelimit 10
• bind_policy soft

k) Un cop fet, llanceu la comanda [sudo grep . /etc/ldap.conf | egrep -v ^#] per comprovar els
valors canviats. 1 punt.

Ara tocarà configurar els serveis de validació de forma que utilitzin tant la base de dades d'usuaris
locals (arxius /etc/password, /etc/shadow i /etc/group) com la base de dades del servei LDAP. Per
això cal que executeu:

sudo apt install ldap-auth-client nscd

Posteriorment, cal entrar al fitxer /etc/nsswitch.conf per tal que les línies de paswd i group quedin
igual que la imatge següent:

Feu el canvi però no cal cap captura ni demostració. Per últim, cal editar l’arxiu /etc/pam.d/common-
session i afegir al final de l'arxiu la següent línia:

session optional pam_mkhomedir.so

I ja es podrà reiniciar el client, és a dir, la Ubuntu Desktop.

Un cop reiniciat, tocarà fer les corresponents comprovacions, i per això, entreu primer amb l’usuari
local i feu el següent a un terminal:
l) Executeu les comandes [sudo gentent passwd] i [sudo getent group] i adjunteu les captures
corresponents. 0,75 punts.
S'haurien de veure tots els usuaris i grups, tant els locals com els que s'han creat amb LDAP. Els
usuaris i grups LDAP es distingeixen per les següents dades:

• Tenen un * en lloc d'una x en el segon camp.

• L'identificador ha de ser superior o igual a 10000.
• La carpeta personal ha d'estar dins de /home/ldapnomcognom (segons cada cas).
Si no es veuen els usuaris i grups LDAP, s'ha de reconfigurar el client LDAP.
A partir d'aquest moment, quan s'engegui la màquina, buscarà el servidor LDAP per validar els
usuaris, per tant:

• Cal tenir engegat el servidor abans d'engegar el client.

• Cal apagar el client abans que el servidor.
• No s'hauria de canviar l'adreça del servidor (si es canvia, cal reconfigurar el client LDAP en
totes les màquines).
Per últim, només cal demostrar la validació d’usuaris. Per això, dins el terminal que heu obert amb el
vostre usuari, cal que llanceu [sudo login uprova]. El password és ‘1234’.
m) Adjunteu les captures de l’execució de la comanda i el seu resultat. Haurieu de veure com el
prompt us marca l’usuari ‘uprova’ dins el servidor client, i també s’indica que s’ha creat el
HOME. 1 punt.

Tal com veieu doncs, no cal indicar de cap manera especial si es tracta d'un usuari local o d'un usuari
del domini. Ara ja es pot provar a validar l'usuari des de l'entorn gràfic, tot i que no cal comprovar-ho
ni adjuntar cap captura.

Fonts de referència i Ajuda

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/instalacin_y_configuracin_de_o
penldap.html
Per problemes d’arrencada ->
https://www.sapalomera.cat/moodlecf/apunts/smx/sox/uf2/nf2/2756-LDAPArrencada.html