administracion de software para servicio de directory en linux
DESCRIPTION
ADMINISTRACION DE UN SERVIDOR DE DIRECTORY EN LINUX Administración de softwarePOR:José David Salazar NINSTRUTOR:Felipe LondoñoCODIGO:35442 ADMINISTRACION DE REDESCENTRO DE GESTION EMPRESARIAL SENA 2011PROCEDIMIENTO 1: Administración del openLDAPNOTA: El siguiente manual fue realizado en una maquina virtual con sistema operativo centos INTRODUCCION LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que hacen refereTRANSCRIPT
ADMINISTRACION DE UN SERVIDOR DE DIRECTORY EN LINUX
Administración de software
POR:
José David Salazar N
INSTRUTOR:
Felipe Londoño
CODIGO:
35442
ADMINISTRACION DE REDES
CENTRO DE GESTION EMPRESARIAL
SENA
2011
PROCEDIMIENTO 1: Administración del openLDAP
NOTA: El siguiente manual fue realizado en una maquina virtual con sistema
operativo centos
INTRODUCCION
LDAP son las siglas de Lightweight Directory Access Protocol (en
español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un
protocolo a nivel de aplicación el cual permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa información en un entorno de
red. LDAP también es considerado una base de datos (aunque su sistema de
almacenamiento puede ser diferente) a la que pueden realizarse consultas.
Utilizado para la creación y administración de directorios a bajo nivel.
NOTA: Debe desarrollar la parte 1 usando openLDAP sin entorno de
administración gráfica.
1. A partir del diagrama de la figura 1 cree una estructura LDAP en la que se pueda englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del directorio será usados como usuarios de correo electrónico). Para esto cree un archivo LDIF con todas las unidades organizativas de cada
2. Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada unidad organizativa. Luego agregue las
entradas al directorio. Cada usuario se identificará por un uid. Los atributos obligatorios de cada usuario serán:
Username
Common name
3. Realice consultas a la base de datos LDAP con la utilidad ldapsearch
Comerciales internos
dirección general
comerciales internos del directorio de uno de sus compañeros. Recuerde que es otro host y otro dominio. NOTA: Use el comando man para obtener información del comando ldapsearch. 4. Modifique los siguientes atributos de por lo menos 3 usuarios
5. Elimine del directorio un usuario del departamento de dirección técnica 6. Los usuarios autenticados podrán realizar cambios en cualquiera de sus entradas (Es su información personal) y podrán leer las entradas de otros usuarios pero no modificarlas. Además no se mostrará el password a ningún usuario. Pruebe esto con un usuario que no sea al administrador del servidor LDAP
PROCEDIMIENTO 1: INSTACION Y CONFIGURACION DE SERVIDOR
OPENLDAP
1. Vamos a instalar los paquetes. El servidor openLDAP y el cliente
openLDAP
2. Generar un password para el usuario root del servidor de directorio. Este
password será usado en el siguiente paso, cuando se modifique el archivo de
configuración para el openLDAP.
El password ha sido cifrado usando el algoritmo SSHA. Ese password cifrado la
vamos a copia y a pegar más adelante en el siguiente paso. Si deseas usar otro
algoritmo cifrado debe usar el comando slappasswd –h.
3. Modificar el archivo de configuración principal para openLDAP slapd.conf, ubicado en el directorio /etc/openldap. El archivo de slapd.conf debe modificarse para configurar las opciones de la base de datos LDAP. A continuación se numeran cada una de las líneas que deben modificarse:
A continuación se explica el significado de cada uno de los parámetros de
configuración
Suffix= Este parámetro indica el nodo raíz o sufijo de la base de datos ósea que tu
dominio, esto es, el nodo sobre el cual será derivada toda la información, en este
caso se refiere al componente sufijo DNS tu dominio.com (dc=tudominio, dc=com)
Rootdn= Es un tipo de cuenta que existe en el servidor de directorio y que
generalmente tiene acceso total a todos los datos en el servidor. Debe
especificarse el el nombre distinguido (DN) del administrador (cn=admin,
dc=solutions, dc=com
Rootpw= Es el password del root del servicio de directorio (rootdn). Observen acá
es donde pegamos el password obtenido con el comando slappasswd.
dn: es el nombre de la entrada, no es atributo ni tampoco parte de la entrada
cn: es el nombre distinguido, nombre común
dc: es el nombre distinguido a la entrada padre donde indica el dominio seguido de
componente del dominio ejemplo dc=com.
4. Copiar la base de datos de ejemplo /etc/openldap/DB_CONFIG.example en el directorio /var/lib/ldap. Luego se configurará al usuario ldap como propietario de los archivos.
5. Iniciar el servicio ldap
PROCEDIMIENTO 2: CONFIGURACION DEL CLIENTE OPENLDAP
2.1 Configurar el cliente ldap. Los comandos que se muestran en los siguientes pasos hacen parte del paquete openldap-clients. Los comandos que se usarán en este tutorial serán ldapadd (Añadir entradas al directorio) y ldapsearch (Realizar búsquedas en el directorio). El cliente LDAP también tiene el siguiente archivo de configuración /etc/openldap/ldap.conf el cual editaremos de la siguiente manera:
NOTA: Las líneas resaltadas indican el dominio y el URI (Identificador uniforme de recurso). Es recomendable usar un nombre en el URI en vez de la dirección IP. 2.2 El openLDAP no tiene entradas (objetos) en la base de datos LDAP, por esta razón es necesario ingresar por lo menos una entrada padre en la que se
especifique el dominio. Cree un archivo y nómbrelo como desee (Lo normal es poner extensión .ldif, por ejemplo start.ldif: ejm A partir aquí empezaremos a crear el árbol y haremos el organigrama
Para cada unidad organizativa crearemos un archivo con extensión .ldif pero también se puede hacer todas las unidades organizativas en el mismo archivo que cree start.ldif. En este caso será por separado ósea crear un archivo por cada unidad organizativa es una forma de ser organizado.
Esto es la raíz Dare un ejemplo crearemos 2 archivos.ldif (dirección general) y (sistemas)
Y sistemas
Explicare algunos parámetros
ObjectClass: Object
ObjectClass: Organization ------ Son los tipos de objeto que utilizaremos.
Para seguir creando la unidad organizativa (objetos) puede usar estas 2 plantillas
como ejemplo.
Vamos a agregar los objetos al directorio ldap
El comando ldapadd -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre
de Dominio,dc=Nuestro Dominio" -W -f nombre de archivo que acabamos de
crear, nos pedirá nuestro password de administrador.
Ldapadd –x –D “cn=admin,dc=maida,dc=com” –W –f Direccion.ldif
Las opciones que dimos son:
-x: Usar autenticación simple
-D: Usar el nombre distinguido de admin
-W: Pedir password
-f: Especificar el archivo desde el cual saldrá la información
Cada vez que vallamos creando un objeto lo vamos agregando
PROCEDIMIENTO 3: AGREGAR LOS USUARIOS A LA BASE DE DATOS LDAP 1. Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada unidad organizativa. Luego agregue las entradas al directorio. Cada usuario se identificará por un uid. Los atributos obligatorios.
Username
Common name
Mostrare un ejemplo de 2 usuarios la unidad organizativa (sistemas)
En este caso declaramos la raíz de maida.com llamada Dirección General y de
esta se desglosa otra llamada sistemas, nótese que el dn de Dirección General es
"ou=Dirección General,dc=maida,dc=com" y el de sistemas es
"ou=Sistemas,ou=DireccionGeneral,dc=maida,dc=com" esto significa que
sistemas esta dentro de dirección general, si fuéramos a declarar un objeto
llamado usuarios dentro de sistemas, deberíamos hacerlo así
"ou=usuarios,ou=Sistemas,ou=Dirección General,ou=maida,=com"
Luego Añadiremos la unidad organizativa que creamos para 2 usuarios
perteneciente a (SISTEMAS) al ldap de igual manera que añadimos la raíz. Ósea
lo que acabamos de hacer
Y nos deberá mostrar que añadimos todas las entradas satisfactoriamente.
2. Realice consultas a la base de datos LDAP con la utilidad ldapsearch
Utilizaremos el comando ldapsearch para buscar objetos, en este caso buscaremos la raíz "dc=maida,dc=com"
La opción -x indica usar autenticación simple y -b la base de datos a buscar.
Comerciales internos
dirección general
2. Modificarle el atributo del user3 perteneciente a la LOGISTICA con el comando Ldapmodify - El apellido
-Correo electrónico
Antes
Después
En su caso seria
ldapmodify -x -D "cn=Nuestro Usuario Administrador,dc=Nuestro Nombre de
Dominio,dc=Nuestro Dominio" -W -f el archivo a modificar.ldif 3. Si queremos borrar una entrada de todos sus atributos usaremos el comando ldapdelete y a continuación el DN que queremos eliminar: -Elimine del directorio un usuario del departamento de dirección técnica
PROCEDIMIENTO 2: Administración Grafica del openLDAP
1. Instale dos herramientas gráficas de administración LDAP. Recuerde que independiente de la implementación del servicio LDAP que haya elegido, es posible usar cualquier cliente LDAP, incluyendo las herramientas gráficas. He aquí un listado de algunas de ellas:
Apache Directory Studio (Java)
Jxplorer (Java)
2. De las herramientas que instaló, cree de manera gráfica las unidades organizativas Web y comercio electrónico y Post-venta y RMA y agregue 2 usuarios por cada departamento. 3. Con una de las herramientas que instaló, cree de manera gráfica las unidades organizativas Diseño grafico y Area de montaje y agregue 2 usuarios por cada departamento 4. Modifique la información de todos los usuarios del departamento de área de montaje. 5. Muestre el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF.
Apache Directory Studio Administracion Grafica del openLDAP
INSTALACION DE APACHE DIRECTORY STUDIO
1.Instalar el entorno java jdk en su versión mas reciente:
Instalaremos e paquete seleccionado
2. Descargamos el paquete de la página oficial.
3. El programa no requiere instalación, solo será necesario descomprimir el archivo con extensión tar.gz en algún directorio de binario. Descomprimir en el directorio /usr/bin
- Con lo anterior se tiene un directorio llamado /usr/bin/apacheds. En este
directorio hay un archivo binario llamado ApacheDirectoryStudio. Para ejecutar
este binario puede usarse el siguiente comando:
Se abrirá una ventana de bienvenida y el panel de administración:
4. Modificar la variable de entorno PATH para ejecutar el binario como root desde cualquier ubicación. En este paso modificaremos la variable PATH del usuario root modificando la línea resaltada del archivo /root/.bash_profile
Aplicamos los cambios hechos con el siguiente comando.
Ahora podemos ejecutar el binario desde cualquier ruta.
5. Agregar la aplicación ApacheDirectoryStudio a uno de los menús de programas. Primero de clic derecho sobre la barra de menus:
Seleccione el menú en el cual desea ubicar el ítem que hará referencia al
programa. En mi caso particular usaré el menú Applications y la categoría
Graficos:
Agregaremos un nuevo elementos
NOTA: No olvide buscar en el sistema de archivos el binario
ApacheDirectoryStudio, este es el campo Command. Si desea también puede
agregar un ícono.
Ahora podemos ejecutar el programa desde el entorno gráfico
Administración de Apache Directory Studio
1.Conectarse al servidor openLDAP. En la figura se muestra la opción para conectarse a una base de datos LDAP sea local o remota. En otras palabras se está usando un cliente LDAP gráfico.
-Le damos conexión al ldap
Despliegue el
cuadro
seleccionado
Especificarle que es una conexión local por el puesto del openldap (389)
Especificarse los parámetros rootdn y rootpw que fueron ingresados en el
archivo de configuración /etc/openldap/slapd.conf podemos dar siguiente y
luego finalizar.
se agregaron entradas a la base de datos LDAP importando desde archivos LDIF,
se observarán dichas entradas en modo gráfico. Se tienen: Una entrada padre
(dc=,maida,dc=com) y sus unidades organizativas con sus respetivos usuarios.
2. Agregaremos las unidades organizativas Web y Comercio Electronico
Para crear una nueva unidad organizativa nos paramos en este caso sobre la
unidad organizativa direccióngeneral clic derecho, new , new entry
Esta opción es para crear la nueva
entrada de una plantilla no existente.
Crear una nueva entrada de una
plantilla existente
En este caso la dejamos como esta
-Tener un amplio conocimiento de las clases de objetos definidos en el esquema de LDAP para saber qué atributos serán necesarios para la entrada particular. Por ejemplo si se va a crear una unidad organizativa deben especificarse las siguientes clases: top y organizationalUnit
Definimos la clase de objeto que posee una unidad organizativa
El RDN es el nombre relativo que aparecerá en el árbol jerárquico del servicio
de directorio
3. Agregaremos un usuario a la unidad organizativa recién creada
Este es el resumen de atributos colocados
Visualizamos la unidad organizativa recién creada
Igual que en el paso anterior, es necesario agregar una nueva entrada y
seleccionar las clases adecuadas para el usuario. Para esto puede basarse en el
archivo en formato LDIF cuando se agregó un usuario a la base de datos LDAP.
Seleccionamos la clases de objetos el top es siempre obligatorio
Visualizamos el usuario recién creado que está en la
unidad organizativa web y comercioelectronico.
4.Mover entradas entre contenedores ejm mover un usuario entre unidades
organizativas
-Mover el usuario Daniel que está en la unidad organizativa DireccionGeneral a la
unidad organizativa web y comercioeletronico.
Nos paramos sobre el usuario clic derecho, mover Entry
Le especificamos a cual unidad organizativa quiere mover el usuario
5. Modificamos el usuario Daniel
Podemos visualizar el usuario Daniel que ya es perteneciente a la
unidad organizativa web y comercioelectronico.
Modificaremos este usuario le pondremos password y le
cambiaremos el mail.
PHPLDAPADMIN
Nada más descargamos el paquete de phpldapadmin
En el directorio /usr/bin/ podemos ejecutar phpldapadmin
Esta opción es para cambiar el password
1. Vamos a crear una unidad organizativa llamada post-venta
-Hacemos 2 clic sobre direcciongeneral
Podemos ver las unidades organizativas creadas.
Hacemos clic en crear un
objeto hijo
En donde dice genérico: unidad organizativa damos clic
Le damos crear y nos saldrá un cuadro con los atributos correspondientes
2. Crearemos un usuario para post-venta
Damos doble clic sobre la unidad organizativa post-venta y damos crear un objeto
hijo
Podemos visualizar la unidad organizativa recién creada
Le daremos a continuación Genérico: Cuenta de usuario
A continuación crearemos el usuario María dentro de la unidad organizativa
post-venta podemos poner una contraseña con diferentes tipos de cifrado.
Le damos crear objeto
3.Exporta el archivo ldif de cualquier usuario
Doble clic sobre el usuario y le damos exportar
Visualizamos el ususario
Copiamos la sintaxis de el archivo ldif
Seleccionamos importar y pegamos el archivo.
PROCEDIMIENTO 3: Administración del 389 Directory Server
Instalación del 389 directory server
1. Instalar el entorno java jdk
NOTA: modificar el archivo que acabamos pegar y le cambiamos el nombre y a que
unidad organizativa pertenecerá.
2. Instalar el paquete con los repositorios del proyecto EPEL
3. Instalar el paquete 389-ds
4.Para que resuelva por nombre tiene que Editar el archivo hosts. En caso de trabajar con DNS simplemente cree un registro tipo A con el nombre de host para el servidor. Añada la línea que se muestra en la figura:
5. editar el archivo de hostname /etc/sysconfig/network
Instalamos la versión de java mas reciente
6. Reiniciar el servicio network para que tome la nueva configuración.
7. Iniciar el script setup-ds-admin.pl Este script nos guiará paso a paso en el proceso de configuración de 389 DS.
8. Existen dos servicios que deben iniciarse: El servicio de directorio dirsrv y el servicio de administración gráfica dirsrv-admin. En caso de que estén iniciados aparecerá que están en modo corriendo.
9. Configurar los servicios para que se inicien automáticamente después de que el
sistema Linux inicie.
10. Abra la consola de administración de 389 DS. Ejecute el siguiente comando
Llene cada uno de los campos como se muestra en la figura
ADMINISTRACION DE 389 DIRECTORY SERVER
La consola de administración de 389 DS tiene dos pestañas: Una de configuración (Servers and applications) y otra pestaña para consultas en el directorio (Users and groups
Aquí termina el proceso de instalación. A continuación se mostrará
el proceso de administración básica de 389 DS.
Para administar el servicio de directorio seleccionamos la opción Administración
Server que apunta el cursor en la figura
Doble clic
Aquí se muestran cada una de las opciones. Las más importantes son Stop
Server, Restart Server y Configure Admin Server. En esta última opción permite
redefinir los parámetros iniciales de configuración del servidor ingresados en el
paso 7.
Si le damos clic en Directory Server podemos Visualizar las entradas del directorio, el 389 DS crea unas entradas iniciales en el directorio.
11. Agregare una nueva unidad organizativa llamada contabilidad
Para crear una nueva unidad organizativa nos paramos el contenedor donde
desea crear la OU, en la entrada padre para el dominio Luego presione clic
derecho y seleccione New > Organizacional Unit
Existen tres unidades organizativas y un grupo llamado Directory
Administrators. Dentro de cada unidad organizativa existen también unos
grupos creados
12. crearemos un usuario llamado miguel a la base de datos LDAP en la unidad organizativa Contabilidad. -Para crear un usuario es igual al el proceso anterior nos paramos sobre la unidad organizativa clic derecho, new, user.
Diligencie los campos que
desee del usuario. Observe
que a medida que llena un
campo se activan otros
- Si quiere activar la autenticación de usuarios de LDAP en el Sistema Operativo
debe seleccionar la opción Posix User (panel izquierdo) y definir los atributos de
inicio de sesión para este usuario (UID, GID, Home Directory, Login Shell e
información adicional). No debe olvidar usar la utilidad authconfig-tui para habilitar
la autenticación LDAP, ya que por defecto el sistema permite solo la auetnticación
de los usuarios que están en el archivo /etc/passwd
13. Mover entradas entre (Unidades organizativas) -Para mover entradas de una unidad organizativa a otra solo basta con cortar el objeto y pegarlo en la unidad organizativa de destino. (vamos a mover el usuario recién creado)
Podrá visualizar el RDN del usuario, en este caso
mfernadez, dentro de la unidad organizativa Contabilidad
PROCEDIMIENTO 4: Administración de Mandriva Directory Server
INSTRODUCION:
Mandriva Directory Server es un servidor LDAP desarrollado por Mandriva similar
a Fedora y a RedHat DS, cuenta con ventajas como autenticación de usuario y la
gestión gracias a LDAP, una gestión Python dedicada API de LDAP, SAMBA y
SQUID (núcleo del MDS y MMC), una interfaz web muy amigable, integración con
SAMBA entre otras ventajas.
Requisitos.
En este momento cuento con:
Un servidor DNS instalado y resolviendo el dominio maida.com y la pagina
mds.maida.com.
Un servidor apache para la instalación de la interfaz web.
Un servidor LDAP.
INSTALACION DE MANDRIVA DIRECTORY SERVER
Lo primero que debemos hacer es ir al ftp oficial de Mandriva DS y descargar la
versión que queremos usar, en mi caso elegí la versión 2.3.2, ustedes pueden
elegir la que quieran, en mi caso elegí esta ya que es la última versión que está
dividida en módulos ya que la estable esta todo en un solo paquete, la dirección
del ftp es esta ftp://mds.mandriva.org/pub/mds/sources/ en mi caso descargare el
agente que se comunicara con el ldap y la plataforma web-base desde la cual
administraremos gráficamente el mandriva.
Luego de descargarlos nos dirigimos al lugar donde lo descargamos y
verificaremos que existan los archivos descargados.
Iniciaremos la configuración de el agente pero antes descomprimir el paquete. Con
el siguiente comando.
Luego de descomprimir cumpliremos dependencias necesarias para instalar el
agente, las podemos bajar desde los repositorios y son las siguientes:
Verificamos entonces que existe la carpeta mmc-agent-x.y.z y nos meteremos a
esta, si listamos veremos que hay unos archivos para compilar en python e
iniciaremos la compilacion con el comando make install.
El agente ya debería estar instalado, entonces nos devolveremos un directorio y
procederemos a instalar la interfaz web o mmc-web-base primero
descomprimimos en paquete.
Ingresamos sobre el, si listamos veremos que también son archivos para compilar
y lo haremos con el comando make install HTTPDUSER=apache, esto para definir
que apache es el usuario por defecto del mmc-web-base
Ya finalizado nos saldremos del directorio
-Ahora copiaremos el archivo mmc.schema ubicado dentro del mmc-agent a la
ruta /etc/openldap/schema
Ahora editaremos el archivo del Openldap en la ruta /etc/openldap/slapd.conf
incluyendo en este la linea señalada a continuación, la cual es la ruta que
acabamos de definir anteriormente para el mmc.schema.
Ahora para configurar la interfaz web en el servidor apache copiaremos el archivo
mmc.conf ubicado dentro de la carpeta mmc-web-base y lo pegaremos en la ruta
de hosting virtuales del apache que regularmente es /etc/httpd/conf.d/.
Ahora editaremos el archivo que acabamos de copiar, agregando las lineas que
señalo a continuacion las cuales indican:
<Virtualhost *:80> : Indica la apertura de un hosting virtual.
DocumentRoot /usr/local/share/mmc : Es la ruta donde se instala la interfaz
web
ServerName mds.maida.com : Es la manera como ingresaremos a la pagina.
DirectoryIndex index.php : Es la declaracion del index.
</VirtualHost> : Cerramos la declaración del hosting virtual.
NOTA= Recuerde configurar el servidor web y el servidor dns con un registro tipo
A.
procederemos a configurar el agente para que se comunique con la interfaz web y
con el openldap para esto editaremos el archivo /etc/mmc/agent/config.ini y en
este cambiaremos el login y el password que utilizara el agente para comunicarse
con la interfaz web.
Luego configuraremos el web-base desde el archivo /etc/mmc/mmc.ini para que se
comunique con el agente, en este ingresaremos los mismos parámetros de login y
password que usamos en la configuración del agente.
Finalmente configuraremos el plugin del agente para que se comunique con el
openldap, la configuracion esta en el archivo /etc/mmc/plugins/base.ini y
agregaremos el dn de root configurado en el openldap (en mi caso es dc=maida,
dc=com) un usuario administrador del ldap y un password.
Finalmente ejecutaremos el agente con mmc-agent
.
NOTA: Si finamente tiene los servicio dns y ftp configurado puede ir a navegador y
copiar tu url correpondiente a como lo hiciste
Nos dirigimos entonces a un navegador y al digitar la URL de la pagina nos
debería aparecer esto.
Si ejecuto el mmc-agent y te salió un error que decía que el directorio
de backup /home/archives no existía, entonces procedes a crearlo y
vuelves a ejecutar el comando mmc-agent