Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ldap
Ldap
23 de noviembre de 2006
1/52
n Motivacio
En esta charla se presenta la implantaci on de un servidor con OpenLDAP para autenticar a todos los usuarios de una red.
2/52
Internet
Etherswitch
192.168.36.1
Punto de Acceso
M. Kershaw, Linux-Powered Wireless Hot Spots, Linux Journal , 133, Sep 2003.
3/52
LDAP (1/4)
El Protocolo Ligero de Acceso a Directorio (Lightweight Directory Access Protocol) puede ser visto como un repositorio donde podemos colocar informaci on para despu es consultarla para su procesamiento. El repositorio se asemeja a una base de datos, pero en LDAP ha sido dise nada y optimizada para realizar operaciones de consulta.
4/52
LDAP (2/4)
Las principales caracter sticas de LDAP son: Est a basado en el modelo cliente-servidor Organiza la informaci on de modo jer arquico, utilizando directorios. Es capaz de propagar sus directorios a otros servidores LDAP Tiene un API de programaci on bien denido
5/52
LDAP (3/4)
Un directorio LDAP puede contener cualquier tipo de informaci on, desde im agenes, direcciones de correo electr onico, contrase nas y referencias html, hasta certicados digitales, direcciones IP, etc.
6/52
LDAP (4/4)
La gran diversidad de informaci on que puede ser almacenada en estos directorios los hace aptos para utilizarse en aplicaciones como: Directorios de p aginas blancas o amarillas Servidor de direcciones electr onicas Servidores de nombres de dominio (DNS) Repositorio para certicados digitales Repositorios de cuentas de usuario
7/52
Objetivo
Se presentar a la conguraci on del servicio de LDAP como un repositorio de la informaci on de cuentas de usuario y una medici on de su rendimiento en redes IPv6.
8/52
Ventajas/Desventajas
1. Ventaja: Facilita la administraci on de una red al centralizar la informaci on. 2. Desventaja: LDAP resulta complicado de congurar ya que es un sistema complejo.
9/52
Internet
Servidor WEB
Zona Desmilitarizada
Cortafuegos
10.10.10.2/32
Zona Militarizada
Cliente2
10/52
El servicio de autenticaci on nos permitir a: Administrar mejor la red. Se centraliza el dar de alta, baja o cambiar las cuentas y contrase nas de usuarios. Un usuario podr a cambiar su contrase na desde cualquier m aquina cliente.
11/52
n Pasos de la configuracio
1. Organizaci on del directorio 2. Conguraci on del servidor LDAP primario 3. Conguraci on de los clientes 4. Creaci on y mantenimiento de la base de datos 5. Autenticaci on 6. Replicaci on del servidor LDAP
12/52
13/52
El software necesario se instal o de los RPMS de RedHat: openldap openldap-clients openldap-servers El archivo que mantiene la conguraci on del servidor LDAP es: /etc/openldap/slapd.conf
15/52
17/52
# Control de acceso a la base de datos access to dn=".*,dc=sc,dc=cinvestav,dc=mx" attr=userPassword by dn="cn=Manager,dc=sc,dc=cinvestav,dc=mx" write by dn="cn=replicator,dc=sc,dc=cinvestav,dc=mx" write by dn="cn=proxyuser,dc=sc,dc=cinvestav,dc=mx" auth by self write by anonymous auth by * none access to * by dn="cn=Manager,dc=sc,dc=cinvestav,dc=mx" write by dn="cn=replicator,dc=sc,dc=cinvestav,dc=mx" write by * read
19/52
# The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain index objectClass,uid,uidNumber,gidNumber,memberUid index cn,mail,surname,givenname eq,subinitial
eq
21/52
/etc/rc.d/init.d/ldap start|stop|restart
23/52
El archivo de conguraci on /etc/ldap.conf es usado para aplicar los valores por defecto a los par ametros usados por los clientes de ldap.
25/52
host 10.200.100.1 base dc=sc,dc=cinvestav,dc=mx uri ldaps://servidor.sc.cinvestav.mx pam_login_attribute uid # Specify a minimum or maximum UID number allowed pam_min_uid 100 pam_max_uid 9000 pam_password md5 nss_base_passwd ou=People,dc=sc,dc=cinvestav,dc=mx?one nss_base_shadow ou=People,dc=sc,dc=cinvestav,dc=mx?one nss_base_group ou=Group,dc=sc,dc=cinvestav,dc=mx?one ssl start_tls ssl on
27/52
Para probar el servidor podemos agregar un usuario a la base de datos y realizar la consulta. Para la prueba debemos agregar un usuario que no aparezca en /etc/passwd y realizar ldapsearch -x uid=prueba
29/52
Se usaron las herramientas de migraci on, que en realidad son scripts hechos en perl, que vienen en la distribuci on de OpenLDAP en /usr/share/openldap/migration. Se usaron los scripts migrate base.pl migrate group.pl migrate passwd.pl
30/52
Usando el script migrate base.pl se generan los primeros registros de la base de datos: ./migrate_base.pl > base.ldif y el contenido del archivo base.ldif debe de editarse ya que no necesitamos toda la informaci on.
32/52
34/52
El script migrate group.pl cambia la informaci on en /etc/group a formato LDIF. El script migrate passwd.pl cambian la informaci on de los archivos /etc/passwd y /etc/shadow a formato LDIF.
35/52
37/52
Ahora podemos agredar los archivos %.ldif creados para llenar la base de datos. Esto se realiza con el comando ldapadd:
ldapadd ldapadd ldapadd -x -W -D cn=Manager,dc=sc,dc=cinvestav,dc=mx -f base.ldif -x -W -D cn=Manager,dc=sc,dc=cinvestav,dc=mx -f group.ldif -x -W -D cn=Manager,dc=sc,dc=cinvestav,dc=mx -f usuarios.ldif
39/52
Para generar autom aticamente una contrase n para el usuario prueba realizamos;
ldappasswd -x -W -D cn=Manager,dc=sc,dc=cinvestav,dc=mx \ uid=prueba,ou=People,dc=sc,dc=cinvestav,dc=mx
41/52
n (1/3) Autenticacio
La informaci on del usuario consiste del mapeo entre los n umeros de identicaci on de usuario y los nombres de usuario (que se usa, por ejemplo, al realizar el comando ls -l) o la localizaci non de los directios de casa (usado, por ejemplo, al realizar cd ~. La consulta a tal informaci on es manejada por el subsistema del Servicio de Conmutaci on de Nombres (NSS, Nameservice Switch). La autenticaci on, que es el chequeo de las contrase nas, es manejada por el subsistema PAM (plugable authentication module). Estos dos subsistemas se conguran de forma separada, pero los requerimos para trabajar con LDAP.
42/52
n (2/3) Autenticacio
44/52
n (3/3) Autenticacio
La forma f acil de congurar la autenticaci on en RedHat es usando el comando authconfig Este comando abre una interfaz gr aca y modica los archivos /etc/ldap.conf y /etc/pam.d/system-auth
45/52
Internet
Servidor WEB
Zona Desmilitarizada
Cortafuegos
10.10.10.2/32
Zona Militarizada
Cliente2
46/52
La conguraci on del servidor secundario LDAP se realiza de la misma forma que la conguraci on del servidor primario. Adem as se debe agregar la siguiente informaci on en el archivo /etc/openldap/slapd.conf del servidor primario:
# Replicas to which we should propagate changes replogfile /var/lib/ldap/replog replica host=replicador:389 tls=yes binddn="cn=replicator,dc=sc,dc=cinvestav,dc=mx" bindmethod=simple credentials=a890linux
48/52
0.01
0.008
Tiempo (seg)
0.006
0.004
0.002
0 100
200
300
400
700
800
900
1000
49/52
Conclusiones
1. Se ha presentado la conguraci on de un servicio para centralizar la informaci on y autenticaci on de usuarios usando LDAP. 2. El proceso de conguraci on result o una tarea ardua de varias semanas, conllev o la activaci on y revisi on de los archivos de auditor a para la vericaci on del funcionamiento de cada parte de la conguraci on. 3. El funcionamiento en IPv6 es eciente por lo que se podr a migrar este servicio a una red IPv6 sin ning un problema.
50/52
Trabajo a futuro
Probar realizaciones del servidor de autenticaci on con RADIUS y kerberos. Esta presentaci on puede encontrarse en: http://delta.cs.cinvestav.mx/fraga/Charlas/
51/52
52/52