servidor de autenticacion ldap
DESCRIPTION
AutenticacionLdapTRANSCRIPT
UNIV ERSIDAD CENTRAL DEL ECUADOR
Av. América y Av. Universitaria Telf.: (593)2521-744
email: [email protected]
Quito - Ecuador
CONFIDENCIAL
Servidor de autenticación LDAP
Manual
Versión 1.0.0
Servidor de autenticación LDAP
Manual Versión 1.0.0
© Universidad Central del Ecuador. CONFIDENCIAL ii
Información del Documento
TÍTULO: Servidor de autenticación LDAP SUBTÍTULO: Manual
VERSIÓN: 1.0.0 ARCHIVO: Servidor de autenticacion LDAP.docx AUTOR: Alejandro Romero
ESTADO: Inicial
Lista de Cambios
VERSIÓN FECHA AUTOR DESCRIPCIÓN
1.0.0 11/07/2014 A. Romero Emisión Inicial
Copyright © 2014 Universidad Central del Ecuador. Reservados todos los derechos. Este documento, al igual que el software descrito en el mismo, se entrega bajo licencia y puede ser utilizado y copiado
de acuerdo a los términos de su respectiva licencia. La información contenida en este documento puede estar sujeta a cambios sin previo aviso. La universidad Central del Ecuador no asume ningún tipo de responsabilidad por cualquier omisión, error o cambios que puedan darse en el presente manual.
Ninguna parte de este manual puede ser reproducida ni transmitida de ninguna forma ni por ningún medio, ni electrónico ni mecánico, para ningún propósito sin el permiso escrito de la Universidad Central del Ecuador. Los artes, imágenes o logotipos que constan en este documento también se encuentran protegidas por las leyes de derecho de
autor. Cualquier otro nombre o nombres de productos usados en este documento son marcas registradas o marcas comerciales de sus respectivos propietarios.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© Universidad Central del Ecuador. CONFIDENCIAL iii
Contenido
1 INTRODUCCIÓN ...............................................................................................................1
2 PRERREQUISITOS.............................................................................................................1
3 INSTALACIÓN Y CONFIGURACIÓN DEL SERVIDOR LDAP ..........................................................1
4 INSTALACIÓN Y CONFIGURACIÓN DE PHPLDAPADMIN ........................................................10
5 CREACIÓN DE GRUPOS ...................................................................................................12
6 CREACIÓN DE USUARIOS (CUENTAS).................................................................................14
7 CONFIGURACIÓN DE CLIENTES.........................................................................................16
Figuras FIGURA 1 INGRESO A FIREWALL ................................................................................................8 FIGURA 2 PANTALLA INICIAL FIREWALL .......................................................................................8 FIGURA 3 AÑADIR PUERTOS .....................................................................................................9 FIGURA 4 ELECCIÓN DE PUERTOS LDAP......................................................................................9 FIGURA 5 ELECCIÓN PUERTO HTTP ............................................................................................9 FIGURA 6 LISTA DE PUERTOS HABILITADOS ...............................................................................10 FIGURA 7 PANTALLA INICIAL DE PHPLDA PADMIN .........................................................................11 FIGURA 8 PANTALLA LOGIN DE PHPLDAPADMIN ..........................................................................11 FIGURA 9 PANTALLA ADMINISTRADOR LDAP...............................................................................12 FIGURA 10 GRUPOS LDAP ....................................................................................................12 FIGURA 11 CREACIÓN GRUPOS ...............................................................................................13 FIGURA 12 INGRESO DATOS GRUPO .........................................................................................13 FIGURA 13 CREAR ENTRADA DE GRUPO LDA P............................................................................13 FIGURA 14 VERIFICACIÓN DE GRUPO CREADO ...........................................................................14 FIGURA 15 CREACIÓN DE CUENTA DE USUARIO..........................................................................14 FIGURA 16 INGRESO DE DATOS DEL USUARIO ............................................................................15 FIGURA 17 CREAR ENTRADA CUENTA DE USUARIO .....................................................................15 FIGURA 18 AÑADIR OBJECTCLASS...........................................................................................16 FIGURA 19 ELECCIÓN DE ATRIBUTO SHADOWACCOUNT...............................................................16 FIGURA 20 ACTUALIZACIÓN DE OBJETO ....................................................................................16 FIGURA 21 PANTALLA CONFIGURACIÓN DE AUTENTICACIÓN .........................................................17 FIGURA 22 PANTALLA DE AJUSTES LDAP .................................................................................17
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 1
Servidor de autenticación LDAP
Manual
1 Introducción
El presente manual se lo ha realizado para detallar la forma como se procedió a instalar y configurar un servidor de autenticación LDAP . El mismo que hace referencia a un protocolo a nivel
de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.
2 Prerrequisitos
El equipamiento nec esario para poder instalar y configurar el servidor LDAP será el siguiente: Ordenador con sistema operativo CentOS 6.4.
Los siguientes paquetes son la base fundamental para montar el servidor, estos se instalaran
mediante comandos más adelante. openldap-clients-2.x
openldap-servers-2.x nss-pam-ldap authconfig
authconfig-gtk migrationtools
3 Instalación y configuración del servidor LDAP
La instalación y configuración de servidor LDAP se la detalla en los siguientes pasos : Instalamos los paquetes mencionados en el punto de PRERREQUISITOS:
Luego de haber instalado los paquetes, se procederá a la creación del certificado y firma digital,
primero nos ubicaremos en el directorio CERTS.
Una vez que estamos en el directorio CERTS, procedemos a ejecutar el siguiente comando para
eliminar algún certificado existente en el directorio.
Ahora ejecutamos la siguiente línea de comando para crearnos un nuevo certificado con toda
nuestra información.
Luego de ejecutado el paso anterior se nos pedirá que ingresemos los siguientes datos:
Código de dos letras para el país. Estado o provincia.
Ciudad
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 2
Nombre de la empresa o razón social Unidad o sección
Nombre del anfitrión Dirección de correo
La siguiente imagen muestra un ejemplo de la petición de datos para el certificado:
Figura 1. Ejemplo de certi ficado
Para nuestro caso la información que ingresaremos será la siguiente:
Conutry Name: EC State or Providence: Pichincha Locality Name: Quito Organization Name: UCE
Organizational Unit Name: DTIC Common Name: svrldap.uce.edu.ec Email Address: [email protected]
El certificado solo será válido cuando se invoque al servidor LDAP mediante su nombre de
anfitrión, es decir por el nombre definido en COMMON NAME: svrldap.uce.edu.ec, previo a esto un servidor DNS deberá ser el encargado de resolver el nombre de anfitrión del LDAP.
Le otorgamos permisos al archivo que contiene la firma digital y el certificado, le daremos
permisos de lectura y escritura al usuario root y solo permisos de lectura al grupo ldap, para ello ejecutamos lo siguiente:
Procedemos a configurar el archivo ldap, ejecutando lo siguiente:
En la l ínea 16 donde se encuentra SLAPD_LDAPS=no des comentamos (eliminamos #) y
cambiamos no por yes.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 3
Crearemos un directorio de organización denominado autenticar ejecutando lo siguiente:
Se le dará permisos de acceso exclusivamente al usuario y grupo ldap, para ello ejecutamos lo
siguiente:
Copiamos el archivo DB_CONFIG.example dentro del directorio autenticar, con el nombre
DB_CONFIG, de la siguiente manera:
Hacemos que todo el contenido de autenticar pertenezca al usuario y grupo ldap, de la
siguiente manera:
A continuación crearemos una clave de acceso para el usuario Administrador de directorio del
LDAP, ejecutamos el siguiente comando:
Lo anterior nos dará como salida un criptograma el cual debemos copiarlo en un bloc de notas
porque lo necesitaremos más adelante en la configuración del archivo slapd.conf .
Crearemos el archivo slapd.conf de la siguiente manera:
Abrimos nuestro archivo para editarlo, cabe mencionar que el presente archivo está
completamente vacío.
Como primero definiremos todos los archivos de esquema mínimos requeridos:
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 4
Estableceremos las rutas hacia el certificado y la clave mediante la habilitación de los
parámetros TLSCACertificateFile, TLSCertificateFile, TLSCertificateKeyFile.
Para permitir la conexión de clientes con OpenLDAP 2.x, estableceremos los archivos de
numero de procesos y argumentos de LDAP con sus respectivas rutas como se muestra a continuación:
Añadiremos las siguientes l íneas con el objetivo de definir la configuración del directorio que
será el encargado de autenticar toda nuestra red, como podemos observar en la l ínea 25 se ha
colocado el criptograma que generamos y guardamos en un paso anterior.
Colocaremos los índices que se mantendrán para la base de datos de nuestro servidor.
Habilitamos la supervisión de la base de datos y tambien solo le permitiremos al usuario rootdn
(Administrador) que pueda realizar esta supervisión sobre la mencionada base de datos.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 5
Guardamos y cerramos el archivo slapd.conf.
Otorgamos permisos de lectura y escritura del archivo slapd.conf solo al usuario ldap.
Debemos eliminar todo el contenido del directorio slapd.d, debido a que no son más que los
archivos de la configuración predeterminada del LDAP.
Inicializamos los archivos de la base de datos para el contenido del directorio autenticar, para
ello realizamos lo siguiente:
Convertimos el archivo slapd.conf en un subconjunto de archivos ldif que irán dentro del
directorio slapd.d .
Hacemos que todo el contenido de los directorios slapd.d y autenticar pertenezcan al usuario y
grupo ldap, mediante la ejecución de lo siguiente:
Abrimos el archivo ldap.conf para verificar que las variables BASE, URI, TLS_CACERTDIR y
TLS_REQCERT tengan los siguientes parámetros, de no estar esos parámetros añadirlos al archivo.
Iniciamos el servicio slapd y hacemos que se añada a los servicios que arrancan con el sistema
operativo, de la siguiente manera:
Vamos a editar el archivo mígrate_common.ph .
Modificamos los valores de las variables $DEFAUL T_MAIL_DOMAIN y $DEFAULT_BASE a fin de
que queden de la siguiente manera:
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 6
Generamos el archivo base.ldif que es un objeto que contendrá el resto de los datos en el
directorio, lo generamos mediante mígrate_base.pl, de la siguiente manera:
Utilizamos el comando ldapadd para insertar datos necesarios mediante los complementos que
a continuación se explica:
-x autenticación simple. -W solicitar clave de acceso. -D binddn Nombre distinguido (dn) a utilizar.
-h anfitrion Servidor LDAP a acceder. -f archivo archivo a utilizar.
Con lo explicado anteriormente se procede a insertar la información en el directorio LDAP
utilizando lo siguiente:
Ahora se procede a insertar datos en el directorio, como primero importaremos las cuentas de
usuario que existen en el sistema, es decir, importaremos tanto los usuarios como sus respectivas contraseñas de la siguiente manera:
En el paso anterior se realizo la creación de los archivos group.ldif y passwd.ldif los cuales
contienen tanto los nombres de usuarios como las contraseñas de las cuentas del sistema, entonces realizamos la siguiente ejecución para añadir estas cuentas al directorio LDAP:
Con la siguiente ejecución verificamos los directorios disponibles en el servidor:
Lo anterior debe darnos una salida como la siguiente:
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 7
La comprobación anterior se la puede realizar tambien cambiando la dirección de loopback
(127.0.0.1) por el nombre del servidor en este caso svrldap.uce.edu.ec, como se muestra a
continuación:
La salida debe ser la misma que la salida hecha con la dirección de loopback.
Podemos realizar otra prueba mostrando la información de un usuario especifico, para esta
prueba verificaremos la existencia del usuario svr-ldap, que está alojado en el servidor. Para ello ejecutamos lo siguiente:
La salida nos debe dar algo similar a esto:
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 8
En lo anterior observamos el uid=svr-ldap y ou=People, esto nos indica que el nombre de
usuario en el servidor LDAP es svr-ldap y este está en el grupo People.
Por último para aceptar las conexiones al servidor se habilitara en el firewall los puertos 389 en
udp y tcp, adicionalmente el puerto 80 tcp.
Figura 1 Ingreso a firewall
En la siguiente pantalla escogemos la opción de OTROS PUERTOS.
Figura 2 Pantalla inicial firewall
Luego damos clic en AÑADIR.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 9
Figura 3 Añadir puertos
Escogemos los puertos 389 en tcp y udp y 80 tcp para poder acceder a nuestro servidor.
Figura 4 Elección de puertos ldap
Figura 5 Elección puerto http
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 10
Por último le damos clic en APLICAR.
Figura 6 Lista de puertos habilitados
4 Instalación y configuración de PHPLDAPADMIN
Para poder administrar de mejor manera nuestro servidor LDAP instalaremos una interfaz grafica que nos facilite añadir usuarios o grupos en el servidor. Lo primero que haremos es descargar el repositorio epel para nuestra distribucio nde CentOS 6.
Luego de haber instalado el repositorio, precedemos a instalar el phpldapadmin de la siguiente
forma:
Ingresamos al archivo de configuración config.php para editarlo.
Alrededor de la l ínea 397 ubicamos la siguiente entrada $servers->setValue(‘login’,attr’,’dn’);
des comentamos dicha entrada y comentamos la entrada subsiguiente es decir $servers->setValue(‘login’,attr’,’uid’);
Lo anterior nos sirve para poder ingres ar como Administrador con el nombre de rootdn, es
decir con cn=Administrador, dc=uce.edu, dc=ec.
Abrimos el archivo phpldapadmin.conf .
Añadimos las siguientes l íneas:
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 11
LO anterior nos permite las conexiones al servidor para todas las redes 10.2.0.x.
Guardamos los cambios en el archivo e iniciamos el servicio httpd.
Para acceder al phpldapadmin abriremos el navegador web y en la url escribiremos
http://127.0.0.1/phpldapadmin en la misma máquina, o tambien podemos ingresar con la
siguiente dirección http://10.2.0.119/phpldapadmin si estamos en una maquina que no es nuestro servidor.
Figura 7 Pantalla inicial de phpldapadmin
Para ingresar le damos clic en conectar y escribimos nuestro rootdn es decir cn=Administrador,
dc=uce.edu, dc=ec y las respectiva contraseña.
Figura 8 Pantalla login de phpldapadmin
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 12
Figura 9 Pantalla administrador ldap
5 Creación de grupos
Nos ubicamos en Group y damos clic en crear nuevo objeto.
Figura 10 Grupos LDAP
Luego escogemos Genérico: Grupo Posix .
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 13
Figura 11 Creación grupos
Introducimos el nombre para nuestro nuevo grupo y damos clic en Crear objeto.
Figura 12 Ingreso datos grupo
Clic en cometer.
Figura 13 Crear entrada de grupo ldap
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 14
Luego ya podemos observar el nuevo grupo grDtic creado en el árbol de Group.
Figura 14 Verificación de grupo creado
6 Creación de usuarios (Cuentas)
Nos ubicamos en Group y damos clic en Crear nuevo objeto, y da mos clic en Genérico: Cuenta
de usuario .
Figura 15 Creación de cuenta de usuario
Llenamos los campos necesarios para el usuario, los campos con * son obligatorios , luego
damos clic en Crear objeto.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 15
Figura 16 Ingreso de datos del usuario
Clic en Cometer.
Figura 17 Crear entrada cuenta de usuario
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 16
Editamos el usuario, en la parte de objectClass añadimos un valor.
Figura 18 Añadir objectClass
Añadimos el valor shadowAccount y damos clic en Añadir objectClass .
Figura 19 Elección de atributo shadowAccount
En loginShell cambiamos sh por bash y damos clic en Actualizar objeto.
Figura 20 Actualización de objeto
7 Configuración de clientes
Instalaremos los paquetes necesarios para el cliente, ejecutando lo que se muestra a
continuación:
Configuraremos el archivo pam_ldap.conf en donde definiremos valores para los parámetros
base y uri ldaps que están alrededor de las l íneas 20 y 26 con el fin de saber a qué servidor y a
que directorio se va a conectar el cliente.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 17
Añadimos las siguientes l íneas al final del archivo.
Ejecutamos lo siguiente, para poder tener acceso a la configuración de autenticación.
Marcamos las siguientes opciones: Use LDAP, Use MD5 Password, Use LDAP Authentication,
debe quedar de la siguiente forma, para luego presionar en Next.
Figura 21 Pantalla configuración de autenticación
En la siguiente ventana modificamos las variables Server y Base DN como se muestra a
continuación con la IP del servidor y el dominio del directorio base respectivamente y luego damos Ok.
Figura 22 Pantalla de ajustes LDAP
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 18
Ahora damos los respectivos permisos de creación de directorios y consulta a la base de datos
con lo siguiente:
Modificamos el archivo system-auth.
El archivo debe quedar similar a este:
Editamos el archivo nsswitch.conf.
Comprobamos que estén presentes las siguientes l íneas, caso contrario las editaremos en el
archivo.
Servidor de autenticación LDAP
Manual Versión 1.0.0
© DTIC-UCE. CONFIDENCIAL Pág. 19
Iniciamos el servicio nslcd y lo agregamos a la l ista de servicios que arrancan con el sistema
operativo.