Professional Documents
Culture Documents
Slapd (Independent LDAP Daemon) és un programa que s'executa en segon pla, atenent les
sol·licituds d'autenticació LDAP que es rebin al servidor. Durant la instal·lació, només us demana que
introduïu una contrasenya de l’administrador del servei LDAP, i que haureu de recordar i utilitzar
sempre que calgui fer gestions d’administració amb el domini.
Un cop instal·lat, per configurar el domini s'utilitza la comanda [sudo dpkg-reconfigure slapd], on cal
actuar de la forma següent:
• La primera pantalla que es mostra, actua com a mesura de seguretat, per assegurar-se que
no fem canvis per error. Tot i que sembli una contradicció, en aquest cas haurem de triar la
opció NO.
• El directori LDAP ha de tenir una arrel de la qual penja la resta d'elements, que tal com vam
veure amb AD, serà un nom DNS. En el nostre cas utilitzarem el domini ldapnomcognom.local
(en el meu cas doncs: ldapdavidbancells.local -> podeu fer també amb la inicial del nom:
ldapdbancells.local, vosaltres decidiu, però ho haureu de mantenir)
• Nom de l'entitat en la qual estem instal·lant el directori LDAP: ldapnomcognom (torneu a
substituir com l’apartat anterior).
• Ara us demanarà el password per administrar LDAP, poseu-hi el mateix que heu posat quan
heu instal·lat slapd.
• Després cal dir que NO a esborrar la base de dades, i posteriorment contestar que SI a moure
la base de dades antiga.
• Arribats a aquest punt, la configuració s'ha realitzat amb èxit. Us hauria de retornar un
missatge com el següent:
a) Així doncs, la primera demostració que heu de fer amb captures és adjuntar la captura (tal
com mostra la meva imatge) de que s’ha instal·lat correctament. 0,75 punts.
De totes maneres, és interessant comprovar si realment està funcionant. Per això utilitzarem la
comanda de control [systemctl] que gestiona els diferents serveis o daemons que s’estan executant
al sistema.
b) Així doncs, llanceu la comanda [sudo systemctl status slapd] i adjunteu la captura.
Comproveu que realment el servei està actiu. 0,5 punts.
Ara ens tocarà instal·lar les diferents eines i utilitats per tal de gestionar el servei de LDAP. Per això
caldrà que llancem la següent comanda:
sudo apt install ldap-utils
Això ho instal·lem a la Ubuntu Server, però també es podria instal·lar a la Ubuntu Desktop i seguir els
mateixos passos de configuració.
Un cop instal·lades les utilitats a la Ubuntu Server, per tal de comprovar que la instal·lació del servei i
de les llibreries és correcta, es pot utilitzar la comanda que teniu a la imatge adjunta i que mostra
tots els DN dels objectes del domini.
Evidentment caldrà que substituïu la IP del servidor de LDAP per la de la vostra Ubuntu Server, i el dc
pel vostre domini.
Recordeu que el DN és l’identificador de cada element dins el domini, que anirà acompanyat del seu
DC (Domain Component, que indica les diferents que composen el domini), les OU (unitats
organitzatives) i el CN o Common Name, que identifica cada objecte.
c) Adjunteu una captura conforme llanceu la comanda i el resultat que us retorna. 0,75 punts.
Per tal de no haver d’anar posant les comandes amb els paràmetres tota l’estona, es poden
preestablir a dins del fitxer /etc/ldap/ldap.conf.
Cal doncs que obriu el fitxer i descomenteu les línies de BASE i URI. A BASE hi haureu de posar les
dades del vostre domini, i a URI, la IP del vostre servidor LDAP.
d) Un cop fets els canvis, llanceu [sudo cat /etc/ldap/ldap.conf | egrep -v ^#] i adjunteu-ne la
captura. 0,75 punts. ^
Per demostrar que els canvis han sigut correctes, caldrà que llanceu novament una comanda per
obtenir la informació dels DN, però aquest cop sense paràmetres.
e) Per tant, ara toca llançar [sudo ldapsearch -x -LLL dn] i adjuntar el resultat. S’hauria de veure
el mateix que heu fet a c). 0,5 punts.
Com veieu, en aquest punt de l’activitat com elements només tenim el domini i l’admin del propi
domini. Tocarà doncs posar dades “de prova” que farem servir per comprovar el funcionament del
domini. Aquestes dades les heu de descarregar al server a partir d’un link que us he preparat.
Per fer-ho, heu d’obrir un terminal i llançar:
Això us ha baixat, al directori on hàgiu llançat la comanda, un fitxer que es diu prova.ldif. Caldrà
obrir-lo amb l’editor que vulgueu, i editar-lo. Per editar-lo, cal substituir allà on posa
ldapnomcognom pel nom de domini que heu configurat a apartats anteriors.
Aquest document prova.ldif crea una nova UO, que es diu prova, un nou grup, que es diu gprova, i
un nou usuari, que es diu uprova.
Per inserir les noves dades al domini cal que llanceu:
f) Executeu una captura amb l’execució i resultat de la comanda, i també de l’execució de [sudo
ldapsearch -x -LLL dn]. 1 punt.
Ara ja tenim unes dades de proves per comprovar el funcionament de LDAP, que ho farem des de la
Ubuntu Desktop.
Abans però, tot i que podríem instal·lar les
eines de gestió per consola, sempre serà més
fàcil administrar-ho a través d’algun gestor
web. Per LDAP, tenim el phpLDAPadmin.
Encara des de la Ubuntu Server, per instal·lar aquest gestor de LDAP només ens caldrà executar:
Ara tocarà configurar-lo, per tal que connecti i treballi amb el nostre domini. Així doncs caldrà fer
canvis al fitxer /etc/phpldapadmin/config.php.
Primer de tot, a les línies 300 i 326 tindreu dos entrades de text semblants a la que teniu a la imatge
que hi ha a continuació:
I canviar-ho els valors perquè enlloc de 1000 i 5000, siguin tots dos 10000.
h) Un cop descomentada la línia i fet els canvis de números, adjunteu l’execució de la següent
comanda [sudo cat /etc/phpldapadmin/config.php | grep 10000 ] i del resultat per
demostrar-ho. 0,5 punts.
Ara només caldrà comprovar que s’hi pot accedir correctament, i per això necessitarem la Ubuntu
Desktop. Des d’allà obriu el navegador i poseu el següent: http://172.30.X.Y/phpldapadmin on X és la
IP del vostre rang i Y la IP del bloc final que heu posat al servidor. Teniu una imatge de mostra de la
pantalla de login.
Com veieu ja us hauria de sortir el Login preparat, sinó prepareu-lo vosaltres canviant els valors
segons convingui (caldria posar cn=admin,dc=ldapnomcognom,dc=local). Pel que fa als errors que
surten com a Deprecated els podeu ignorar, és un problema de versions del PHP.
Entreu amb el password d’administració del domini que heu configurat anteriorment i entrareu a la
pantalla de gestió del domini.
i) El primer que us sortirà és la pantalla conforme l’autenticació ha sigut correcta. Adjunteu la
captura conforme es veu el missatge i la URL on us heu connectat. Us deixo la meva imatge
com a exemple, canvieu-la per la vostra. 1 punt.
A part d’aquest programa via web, és interessant també que conegueu programes en entorn GUI
que permeten fer el mateix. És el cas de JXplorer, programa d'escriptori que permet gestionar LDAP
de forma remota des d'un client o des del mateix servidor si disposa d'interfície gràfica.
Des de la Ubuntu Desktop, el podeu instal·lar amb la següent comanda:
sudo apt install jxplorer
Quan l’obriu, cal que aneu a File->Connect. Cal introduir les següents dades per tal d’establir la
connexió:
j) Un cop dins, ensenyeu una captura del menú de jxplorer que mostra el domini, l’usuari i la
part de baix que posa “Connected To”. 0,75 punts.
Ara hem d’instal·lar i configurar el client, Ubuntu Desktop, per tal que sigui membre del domini.
El client de LDAP és el programa que serveix per accedir al servei LDAP. Aquest paquet s'ha
d'instal·lar en tots els ordinadors on es vulgui validar usuaris LDAP. També es podria instal·lar, si fes
falta, al servidor, per tal de comprovar els usuaris existents. En aquest cas però, no cal.
Això si, cal anar amb molt de compte!!! Si la següent configuració no es fa correctament, el més
probable és que la màquina no s’engegui o trigui molt en fer-ho. És un bon moment per fer un
snapshot o una clonació.
Un cop llanceu el procés d’instal·lació us apareixeran diversos quadres de diàleg per tal de configurar
l’aplicació. Els paràmetres que cal introduir son els següents:
• Servidor LDAP: ldap://172.30.X.Y. (Compte, ldap, no ldapi, i amb els valors de X i Y del
servidor)
• Base del domini: dc=ldapnomcognom,dc=local (substituïu segons pertoqui)
• Versió de LDAP: 3.
• Crear una base de dades local: Sí.
• Crear administrador local per la base de dades: No.
• Usuari administrador: cn=admin,dc=ldapnomcognom,dc=local (substituïu segons pertoqui)
• Contrasenya per accedir a LDAP com a root: No posar contrasenya (Intro).
• Encriptació de contrasenyes: md5.
Després, cal modificar alguns petits paràmetres a /etc/ldap.conf. Així doncs, obriu el fitxer i
descomenteu les línies següents canviant els valors:
• timelimit 10
• bind_timelimit 10
• bind_policy soft
k) Un cop fet, llanceu la comanda [sudo grep . /etc/ldap.conf | egrep -v ^#] per comprovar els
valors canviats. 1 punt.
Ara tocarà configurar els serveis de validació de forma que utilitzin tant la base de dades d'usuaris
locals (arxius /etc/password, /etc/shadow i /etc/group) com la base de dades del servei LDAP. Per
això cal que executeu:
Posteriorment, cal entrar al fitxer /etc/nsswitch.conf per tal que les línies de paswd i group quedin
igual que la imatge següent:
Feu el canvi però no cal cap captura ni demostració. Per últim, cal editar l’arxiu /etc/pam.d/common-
session i afegir al final de l'arxiu la següent línia:
Tal com veieu doncs, no cal indicar de cap manera especial si es tracta d'un usuari local o d'un usuari
del domini. Ara ja es pot provar a validar l'usuari des de l'entorn gràfic, tot i que no cal comprovar-ho
ni adjuntar cap captura.