Realizado por: Fabin Quijosaca 5475

CENT
OS
6.4
INTRODUCCION
En este documento se describe el funcionamiento del directorio activo (OpenLDAP)
que es un software que proporciona servicios de directorio ligero para mejor
administracin de una red Esto inclu!e informacin para instalar ! configurar LDAP
para el sistema operativo "E#$O% &'( esto se lo )ar* mediante la terminal el del
%O al igual que su configuracin( tambi+n se e,plicar* cmo crear un dominio(
grupos( usuarios ! permisos mediante comando de centos( por -ltimo se instalara
una aplicacin para administrar el directorio activo mediante una interfa. gr*fica
amigable para el usuario denominada P/P0!Admin Esta introduccin solo se
dise1 para proporcionar suficiente informacin para que uno pueda empe.ar
aprendiendo sobre LDAP ! servicios de directorio
Qu es el Servicio de Directorio?
%ervicio de Directorio es un conjunto complejo de componentes que trabajan de
forma cooperativa para prestar un servicio
Qu es LDA?
LDAP son las siglas de Lig)tweig)t Director! Access Protocol (en espa1ol Protocolo
Ligero de Acceso a Directorios) que )acen referencia a un protocolo a nivel de
aplicacin que permite el acceso a un servicio de directorio ordenado ! distribuido
para buscar diversa informacin en un entorno de red LDAP tambi+n se considera
una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la
que pueden reali.arse consultas
2n directorio es un conjunto de objetos con atributos organi.ados en una manera
lgica ! jer*rquica El ejemplo m*s com-n es el directorio telefnico( que consiste
en una serie de nombres (personas u organi.aciones) que est*n ordenados
alfab+ticamente( con cada nombre teniendo una direccin ! un n-mero de tel+fono
adjuntos Para entender mejor( es un libro o carpeta( en la cual se escriben
nombres de personas( tel+fonos ! direcciones( ! se ordena alfab+ticamente
Ter!i"olo#$%
La terminolog3a de LDAP que puede encontrarse es en ocasiones engorrosa Esto en
parte se debe a malentendidos( otros ejemplos son debido a or3genes )istricos(
otros surgen cuando se us con servicios distintos de 4566 que usan terminolog3a
distinta Por ejemplo( 7LDAP7 es a veces utili.ado para referirse al protocolo( otras
veces para el protocolo ! los datos 2n 7directorio LDAP7 puede ser los datos o
tambi+n el punto de acceso 2n 7atributo7 puede ser el tipo de atributo( o los
contenidos de un atributo en un directorio o la descripcin de un atributo (un tipo
de atributo con opciones) 2n enlace (bind) annimo es un m+todo distinto de un
enlace no autenticado( aunque ambos producen estados de autenticacin annima(
por lo cual ambos t+rminos son usados para ambas variantes El atributo 7uid7 debe
almacenar nombres de usuarios en lugar de identificadores num+ricos de usuarios
Qu es u" Directorio?
Para comprender que funcin tiene o puede desempe1ar LDAP( debemos
comprender como funciona un servicio de directorio
2n directorio es un conjunto de objetos con atributos organi.ados de una manera
lgica ! jer*rquica( es una infraestructura compartida de la informacin para
locali.ar( manejar( administrar( ! organi.ar los componentes ! recursos comunes de
una red que pueden incluir vol-menes( carpetas( arc)ivos( impresoras( usuarios(
grupos( dispositivos( n-meros de tel+fono ! otros objetos
El dise1o del directorio es bastante diferente del dise1o de una base de datos
relacional "on las bases de datos se tiende a dise1ar un modelo de datos para
asuntos de negocio ! los requisitos de procesos( a veces on8line con los valores de
escala de presencia ! sistema son omitidos
La diferencia principal con las bases de datos ! directorios es en el nivel de sistema
donde una base de datos se utili.a para automati.ar un proceso con un modelo
(relacional) de datos dedicado( pero un directorio se utili.a para llevar a cabo
objetos identificados que se pueden utili.ar para muc)os usos %e aplica un servicio
de directorio donde se encuentran muc)as aplicaciones ! usuarios( por ra.ones de
integridad ! de eficiencia( usando la misma informacin
Para )acernos un poco m*s a la idea qui.* es conveniente ver algunas
implementaciones de LDAP9
Active Director!
#ovell Director! %ervices
OpenLDAP
:ed /ar Director! %erver
%un O#E Director! %erver
Estructur% or#%"i&%tiv% de l% Cervecer$% N%cio"%l ilse"er
I"st%l%"do O'e"LDA e" CENTOS 6.4
LOS RI(EROS ASOS SON LA INSATALCION DE OENLDA ) AQUETES
NECESARIOS
*.+I"res%r co!o su'er usu%rio e" l% ter!i"%l
su + pw
,.+I"st%l%r O'e"LDA
yum install -y *openldap*
-.+.usc%r u"% "uev% %ctu%li&%ci/" de OENLDA
yum -y install openldap openldap-clients openldap-servers nss-pam-ldapd
4.+INSTALACION DE AUT0CON1I2
yum -y install authconfig authconfig-gtk migrationtools
3.+El co"te"ido del directorio LDA de4e te"er el co"te5to sl%'d6d46t
;root<local)ost =>? chcon -R -t slapd_db_t /var/lib/ldap/
6.+A7%di!os certi8ic%dos '%r% TSL9SSL
-cd /etc/pki/tls/certs
-make slapd.pem
Llenamos datos9 Ec
")imbora.o
:io
Espoc)8%istemas
%istemas
fquijosacacom (mi dominio)
mi@correo<@@com
:.+Otor#%!os 'er!isos de %cceso de lectur% ; escritur% '%r% el usu%rio
root
8chown root:ldap /etc/pki/tls/certs/slapd.pem
Permisos de acceso de solo lectura para grupo LDAP
8chmod !" /etc/pki/tls/certs/slapd.pem
<.+Edit%!os %rc=ivo LDA
8gedit /etc/sysconfig/ldap
<.* Cu%"do se %4r% el %rc=ivo lo edit%!os e" l% l$"e% SLAD6LDAS>"o
'or ;es? lo #u%rd%!os ; s%li!os.
@.+Se cre%r% u" directorio '%r% Aue co"te"#% tod% l% co"8i#ur%ci/" de LDA
8mkdir /var/lib/ldap/autenticar
*B.+D%!os 'er!isos de %cceso % usu%rio ; #ru'o LDA
8chmod #"" /var/lib/ldap/autenticar
*B.*.+ cp /usr/share/openldap-servers/$%_&'()*+.e,ample /var/lib/ldap/
autenticar/$%_&'()*+
chown -R ldap:ldap /var/lib/ldap/autenticar
11.-Co'i%!os l% 4%se de d%tos de eCe!'lo D.6CON1I2
-chown ldap:ldap /var/lib/ldap/autenticar
*,.+Cre%cio" de cl%ves de %cceso '%r% LDA
slappasswd
0e pide ingreso de una clave ! al final nos lan.a un cadena )as) (mi clave
encriptado en este caso9)
A%%/ABCpqo!DE/qF/6slG&u5!f"EHtHlqptIC. (esta cadena /A%/ no la debo perder
durante la configuracin de OPE# LDAP)
*-.+Cre%cio" de %rc=ivo sl%'d.co"8
8 touch /etc/openldap/slapd.conf
C'8Edito el arc)ivo que acabo de crear que esta vac3o por el momento
Junto con este tutorial va un arc)ivo llamado 7mi slapd ojo7
Abro el arc)ivo ! copio todo el contenido de ese arc)ivo al arc)ivo que acabo de
crear (primero copio el contenido del arc)ivo manualmente ! luego por comandos
edito el arc)ivo creado recientemente
Ka copiado edito la l3nea de 7su88i57Lpor mi dominio que esto! trabajando tambi+n
7rootd"7 el c"LAdministrador no lo cambio( pero si dcLMMM(dcLMM al igual por mi
dominio( por ultimo 7root'D7 asigno la cadena )as) obtenida anteriormente ! por
-ltimo en la ante8pen-ltima l3nea 4; d".e5%ct......... en dc por mi dominio guardo
! salgo) ac* el linF para m*s informacin de la p*gina de donde se lo )a obtenido
http://hack,an.wordpress.com/-"../../-//instalacion-de-openldap-en-centos-/
8gedit /etc/openldap/slapd.conf
"omo se puede observar en la siguiente imagen( el arc)ivo slapdconf se encuentra
vac3o pero no se asustenN !a que anteriormente se inform de donde se pude copiar
la informacin para copiar en este arc)ivo manualmente
Listo el arc)ivo deber* quedar as39
"opiado manualmente sin comando en la terminal
*3.+C%!4i%!os el 'ro'iet%rio '%r% el #ru'o LDA
8chown ldap:ldap /etc/openldap/slapd.conf
*6.+er!isos de lectur% ; escritur%
8chmod "" /etc/openldap/slapd.conf
*:.+Eli!i"e el co"Cu"to de %rc=ivos ; directorios Aue co!'o"e" l%
co"8i#ur%ci/" 'redeter!i"%d%
8 rm -rf /etc/openldap/slapd.d/*
*<.+ I"ici%li&%r los %rc=ivos de l% 4%se de d%tos '%r% el co"te"ido del
directorio % %ute"tic%r (Aqu3 me puede dar error en el arc)ivo de slapdconf pero
)a! que intentar cop! ! paste nuevamente recu+rdenloNN)
8 echo 00 1 slapadd -f /etc/openldap/slapd.conf
"OOE:$P0O% EL A:"/POO %LAPD"O#Q E# EL #2EOO %2G"O#J2#$O DE
A:"/POO% LDPQ R2E P:A# DE#$:O DEL DP:E"$O:PO %LAPDD
8 slaptest -f /etc/openldap/slapd.conf -) /etc/openldap/slapd.d
*@.+Todo el directorio de sl%'d.d ; el directorio %ute"tic%r de4e"
'erte"ecer %l usu%rio ; #ru'o ld%'.
8 chown -R ldap:ldap /etc/openldap/slapd.d /var/lib/ldap/autenticar
,B.+I"ici%r servicio LDA ; d%r i"icio %uto!Etico co" el siste!%
8 service slapd start
- chkconfig slapd on
,*.+(i#r%ci/" de cue"t%s e5iste"tes e" el siste!% buscamos
SDEQA2L$@0APL@DO0AP# ! lo cambiamos por mi dominio fquijosacacom o el
tu!o( m*s abajo en dc tambi+n fquijosaca
8 gedit /usr/share/migrationtools/migrate_common.ph
Lo guardamos ! salimosNN
De los siguientes pasos no se mostrar* las capturas de pantalla( comprendemos
que el lector !a est* familiari.ado con los t+rminos de la instalacin
,,.+Cre%re!os el o4Ceto Aue co"te"drE el resto de los d%tos e" el
directorio
/usr/share/migrationtools/migrate_base.pl 2 base.ldif
,-.+ I"sert%r i"8or!%ci/" #e"er%d% e" el directorio
ldapadd -, -3 -$ 4cn56dministrador7dc5f8ui9osaca7dc5com4 -h .-#.".".. -f
base.ldif
Luego inserto la contrase1a !a creada
,4.+Cre%!os #rou'.ldi8 ; '%ssDd.ldi8 Aue co"te"drE" los usu%rios ; #ru'os
del siste!%
/usr/share/migrationtools/migrate_group.pl /etc/group group.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/group passwd.ldif
,3.+ Los d%tos se 'odrE" i"sert%r del si#uie"te !odo
ldapadd -, -3 -$ 4cn56dministrador7dc5f8ui9osaca7dc5com4 -h .-#.".".. -f
group.ldif
8,9 Autenticacin simple
8D9 #ombre distinguido (dn)
8T9 Pedir* la contrase1a
8f9 Pndicar* que ser* un arc)ivo ldif
8ldapadd -, -$ 4cn56dministrador7dc5f8ui9osaca7dc5com4 -3 -f passwd.ldif
U&8"omprobacion9 verifica que directorios disponibles e,isten en el servidor local
ldapsearch -h .-#.".".. -, -b 44 -s base 4:ob9ectclass5*;4 naming&onte,ts
Ka est* casi listoNN
PO: 2L$P0O cerramos la terminal ! /AGPLP$A: UERTO -<@
E# %K%$E08VAD0P#P%$:A"PO#8VQP:ETALL
Ot)er PO:$% 8VA1adir ! asigno HDW
$odo esto lo )acemos para poder ingresar en la aplicacin de P/PLdapAdmin para
trabajar mediante una interfa. gr*fica si no lo deseo as3 pues no es necesario este
paso
o < la instalaci=n est> terminada.
INSTALACION 0AD(IN
La ip del servidor es CWUC&DC'&CH5
*.+I"st%l%!os de'e"de"ci%s
yum install httpd php*
,.+0%4ilit%!os A'%c=e
chkconfig httpd on
service httpd start
-.+Nos c%!4i%!os de directorio ; desc%r#%!os l% Flti!% versi/" de
'='ld%'%d!i"? e" este c%so l% *.,.- ; l% desco!'ri!i!os.
cd /var/www/html
wget -c
http://downloads.sourceforge.net/pro9ect/phpldapadmin/phpldapadmin-
php?/..-.@/phpldapadmin-..-.@.tgA
tar ,Avf phpldapadmin-..-.@.tgA
4.+C%!4i%!os el "o!4re del directorio? e"tr%!os ; re"o!4r%!os el
8ic=ero de eCe!'lo de co"8i#ur%ci/"
mv phpldapadmin-..-.@ phpldapadmin
cd phpldapadmin
cp config/config.php.e,ample config/config.php

3.+Activ%!os 'er!isos de %'%c=e

c)own 8: apac)eapac)e Ip)pldapadmin
6.+A4ri!os u" 4roDser ; "%ve#%!os al url
)ttp9IICWUC&DC'&CH5Ip)pldapadminI
PA:A 0X% P#QO:0A"PO# OP%P$E9 )ttp9IIdrivemecablogspotcomIU6CHICCIcomo8
instalar8p)pldapadmin8en8centos)tml
:.+D%!os clic %l li"G Lo#i" ; escri4i!os los d%tos del usu%rio
%d!i"istr%tivo de O'e"LDA? e" este c%so (%"%#er del do!i"io test.co! ;
d%!os clic %l 4ot/" Aut=e"tic%te.
<.+)% de"tro vere!os l%s o'cio"es % l% i&Auierd% e" u" Er4ol des'le#%4le

C68%i damos clic a la primera rama del *rbol( el ouLpeople se nos mostraran las
opciones que tenemos como por ejemplo agregar otro atributo
CC8%i escogemos crear un nuevo objeto( se mostraran las plantillas (templates)
que podemos usar
CU8K al terminar es recomendable cerrar la seccin desde el botn logout
IN2RESO DE OU? USER (EDIANTE LA TER(INAL E INTER1AH
Antes de empe.ar se crear una unidad organi.ativa que abarque a todos en este
caso cervecer3a primero nos autenticamos como su ! procedemos a crear los
arc)ivos ldif de nuestra organi.acin !a que no es importante
el lugar donde se creen los arc)ivos( lo )aremos en la carpeta de root que !a est*
predefinido( esta se puede crear con e,tensin .ldi8 en las carpeta donde !a
anteriormente se cre baseldif( groupldif( passwdldif pero para no acceder a ese
directorio lo )arems en root(al autentificarme como su !a esto! en dic)a carpeta
7root7)
*.+CREACION DE OU
Primero creo un arc)ivo con cualquier nombre en este caso cervecerialdif
nano cerveceria.ldif o tambi+n uso gedit cerveceria.ldif
K lo guardo vac3o si no deseo usar dic)os comandos puedo buscar otro comando q
me cree el arc)ivo enseguida En este punto se creara el arc)ivo la O2 como
muestra la imagen lo guardamos ! salimos
Ejecuto el comando ldapadd 8, 8D 7cnLAdministrador(dcLfquijosaca(dcLcom7 8T 8f
cervecerialdif( para crear mi O2 ! ListoNNNN
,.+CREACION DE OUS DEARTA(ENTO I(ERCADEO 1INAHAS SUCURSALESJ
Los mismos paso q el anterior creo arc)ivo ldif creo ou dentro del arc)ivo ! ejecuto
el comando creacin definitivaNN
ldapadd -, -$ 0cn56dministrador7dc5f8ui9osaca7dc5com0 -3 -f
deartamentos.ldif
-.+LISTAR O.KETOS CREADOS ITODOSJ
ldapsearch -BBB -h .-#.".".. -, -b 0dc5f8ui9osaca7dc5com0
4.+LISTAR O.KETOS DENTRO DE UNA OU
ldapsearch -BBB -h .-#.".".. -, -b 0ou5cerveceria_sa7dc5f8ui9osaca7dc5com0
3. CREACION DE SUCURSALES RIO.A(.A ) QUITO
6. LISTADO DE O.KETOS DENTRO DE SUSURSALES
:.+CREACION DE USUARIOS DE (ERCADEO
ldapadd 8, 8D 7cnLAdministrador(dcLfquijosaca(dcLcom7 8T 8f users@mercadeoldif
dn9 uidLjuan(ou Lmercadeo(ouLcerveceria@sa(dcLfquijosaca(dc Lcom
uid9 juan
cn9 juan
sn9 mera
object"lass9 inetorgperson
object"lass9 posi,Account
object"lass9 top
userPassword9 A%%/ABCpqo!DE/qF/6slG&u5!f"EHtHlqptIC.
mail9 mercadeo<gmailcom
login%)ell9 IbinIbas)
uid#umber9 CC
gid#umber9 CC
)omeDirector!9 I)omeIjuan
'C' &D*$6$' $E (' $EC6 EFG6&*'F $EFGDEF $E &6$6 6HR*%DH'
<.+CRACION DE OU EN RIO(A.A
ldapadd 8, 8D 7cnLAdministrador(dcLfquijosaca(dcLcom7 8T 8f ou@rioldif
dn9
ouLou@distri(ouLriobamba(ouLsucursales(ouLcerveceria@sa(dcLfquijosaca(dcLcom
objectclass9 top
objectclass9 organi.ationalunit
ou9 ou@distri
description9 O2 de :iobamba Distribuidor
@.+Cre%cio" de usu%rios ou@conta ! ou@distri de riobamba
ldapadd 8, 8D 7cnLAdministrador(dcLfquijosaca(dcLcom7 8T 8f ou@rioldif
*B.+CREACION DE USERS DESDE 0AD(IN
Co"clusio"es
La administracin mediante LDAP es muc)o mejor para una empresa
La implementacin de LDAP permite mantener de manera uniforme la
informacin de los usuarios que se encuentran dentro del directorio como lo
requiere la organi.acin( disponiendo as3 f*cilmente a los datos de los
usuarios
La utili.acin de OpenLDAP constitu!e una buena alternativa libre !
econmica !a que permite servicios de directorio con alto desempe1o
Reco!e"d%cio"es
Al momento de instalar ! configurar OpenLDAP se debe )acerlo con cuidado
caso contrario se puede cometer errores de digitacin ! por tanto da1ar
parte de la configuracin
Al descargar arc)ivos mediante la terminal de centos se debe contar con
internet fijo esto se debe a que si la descarga no se completa es dif3cil volver
a configurar la instalacin
%e debe conocer el nivel organi.ativo de la empresa para la reali.acin de un
directorio
LINLO2RA1IA
*nforme proporcionado por el *ng. 3ashington Buna
http://drivemeca.blogspot.com/-".@/../como-instalar-phpldapadmin-en-
centos.html
http://hack,an.wordpress.com/-"../../-//instalacion-de-openldap-en-
centos-/