Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual LDAP
Manual LDAP
Crditos y licencia
Convenciones tipogrficas
Texto
enfatizado,
anglicismos,
texto
resaltado,
comandos,
Pgina 2 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Contenido
Crditos y licencia.......................................................................................................................2
Convenciones tipogrficas..........................................................................................................2
Unidad I: Protocolo de acceso ligero a directorios.....................................................................7
Tema 1: Servicio de directorio................................................................................................7
Protocolos utilizados en un servicio directorio ..................................................................8
Informacin contenida en un servicio de directorio .........................................................10
Tema 2: Las bases de LDAP ................................................................................................11
Protocolo de aplicacin TCP/IP: LDAP ............................................................................11
Modelos LDAP..................................................................................................................11
Modelo de Informacin.....................................................................................................12
Modelo de nomenclatura..................................................................................................12
Modelo funcional..............................................................................................................13
Modelo de seguridad........................................................................................................14
Representacin de la informacin en un directorio basado en LDAP ............................15
Atributos LDAP ............................................................................................................15
Objetos LDAP...............................................................................................................15
Acceso y referenciacin de la informacin contenida en el directorio ............................17
Arquitectura de Cliente/Servidor ..........................................................................................17
Esquemas de un directorio: metadatos ...............................................................................17
Unidad II: LDAP versin 3 ........................................................................................................21
La versin 3 de LDAP ..........................................................................................................21
Tema 1: algunas diferencias con su predecesor LDAPv2 ................................................24
Diferencias entre LDAP v2 y v3 .......................................................................................24
Tema 2: Formato de intercambio de informacin LDAP LDIF
En este apartado se mostrar como agregar un usuario al LDAP utilizando para ello los
LDIF. A continuacin se mostrar cual es la estructura de los LDIF. ..................................25
Agregar los contenidos de los ldif.........................................................................................25
Formato para nuevas entradas .......................................................................................26
Agregar usuarios .........................................................................................................26
Formato para modificaciones ..........................................................................................27
Agregar atributos..........................................................................................................27
Modificar un atributo.....................................................................................................28
Formato para eliminaciones ...........................................................................................28
Eliminar un usuario...........................................................................................................28
Para eliminar un atributo
Se debe crear un ldif como el que se muestra a continuacin, el nombre del archivo
ldif es del.ldif ................................................................................................................29
Autenticacin en LDAP ........................................................................................................29
Autenticacin de clientes en LDAP .................................................................................29
Autenticacin annima.....................................................................................................31
Autenticacin simple (segura y no segura) .....................................................................31
Pgina 3 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 5 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Ficha Descriptiva
Curso
Modalidad
A distancia.
Duracin
8 semanas
Dirigido a
Requisitos
previos
Objetivo del
curso
Redes en GNU/Linux.
Pgina 6 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 7 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 9 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 10 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 11 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Modelo de Informacin
El modelo de informacin de LDAP describe las unidades de informacin que se
almacenan en el directorio. Slo hay dos tipos de unidades de informacin que se
almacenan en un directorio LDAP:
1.Registros2
2.Tipos de datos de registros
pueden haber entradas repetibles, entradas obligatorias, entradas que deben conformar
con cierta sintaxis, entre otras.
Modelo de nomenclatura
El modelo de nomenclatura especifica como se organiza la informacin dentro del
directorio, y como un cliente puede hacer referencia a esta informacin, por ejemplo,
para recuperar un registro.
DNS, por lo que han sido considerados como protocolos y tecnologas similares que
pueden ser integradas en ciertos casos para favorecer la integracin de servicios y su
rendimiento.
Bajo
este
modelo
de
nomenclatura
buscamos
poder
hacer
referencia
Modelo funcional
El modelo funcional de LDAP determina las operaciones que un cliente puede
realizar sobre el directorio. Entendiendo que se trata de un servicio de directorio y luego
de haber repasado en este manual las expectativas funcionales de un directorio LDAP,
podemos confirmar que las funciones se agrupan en cuatro (4) grandes grupos:
1.Operaciones de bsqueda (query)
2.Operaciones de actualizacin (update)
3.Operaciones de autenticacin (authentication)
Pgina 13 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
La vasta mayora de los directorios formales LDAP que son compatibles con los
estndares cubren diversas expectativas en cada uno de estos grupos, como por ejemplo
hacer bsquedas por aproximacin o comparacin ASCII, aadir, eliminar, renombrar y
modificar entradas y autenticar usuarios.
Modelo de seguridad
Finalmente, el modelo de seguridad de LDAP define de qu formas se puede
controlar el acceso no autorizado a los contenidos del directorio. As mismo, define los
mecanismos de autenticacin, por ejemplo:
1.Contraseas en texto plano
2.Contraseas cifradas
3.SASL4
As mismo, en esta capa se ofrece cifrado de la conexin utilizando TLS 5 y SSL6, dos
protocolos de amplio uso para este propsito.
4
5
6
7
Objetos LDAP
Como se explic anteriormente, los objetos, entradas o registros de un directorio
LDAP se representan en el formato LDIF. Este es un formato basado en texto en el que se
visualiza la estructura de datos (clave-valor) y los datos en s de la estructura.
Usualmente un registro de un directorio LDAP pertenece a una o ms clases,
denominadas objectClasses. Estas clases definen qu atributos puede o no puede tener
el registro, como se ver ms adelante en el captulo de Metadatos.
A
continuacin
revisaremos
un
ejemplo
del
objeto
LDAP
dn: uid=jose,dc=cnti,dc=gob,dc=ve
objectClass: posixAccount
uid: jose
loginShell: /bin/bash
uidNumber: 10009
userPassword::
e01ENX00ZDE4NjMyMWMxYTdmMGYzNTRiMjk3ZTg5MTRhYjI
0MAo=
gidNumber: 10000
homeDirectory: /home/jose
En este objeto apreciamos distintos componentes que es importante tener en
cuenta:
1.Nombre distintivo (distinguished name, DN): es la ubicacin unvoca del registro de
acuerdo al modelo de nomenclatura
2.ID de usuario (user ID, UID): identificador POSIX del usuario
3.Consola de inicio de sesin (login shell): consola a utilizar para el inicio de sesin del
usuario
4.ID numrico del usuario (user ID number, uidNumber): identificador numrico del
usuario
5.Contrasea del usuario (userPassword): tenga en cuenta aqu que hay doble smbolo
de dos puntos (::) entre la clave (userPassword) y el valor, lo que significa que el valor
est codificado bajo el sistema de base 64, lo cual se utiliza frecuentemente para reducir
problemas de codificacin de caracteres, pero no es un algoritmo de cifrado
6.ID numrico del grupo (group ID number, gidNumber): identificador numrico del
grupo principal del usuario
7.Carpeta personal del usuario (home directory, homeDirectory): carpeta personal del
perfil del usuario
Pgina 16 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Arquitectura de Cliente/Servidor
El servicio de directorio de LDAP est basado en el modelo cliente/servidor. Uno o
ms servidores LDAP contienen los datos que conforman el DIT 9. El cliente se conecta a
los servidores y les formula preguntas. Los servidores responden con una respuesta o con
un puntero donde el cliente puede obtener informacin adicional (normalmente otro
servidor LDAP). No importa a que servidor LDAP se conecte un cliente, este siempre
obtendr la misma visin del directorio; un nombre presentado por un servidor LDAP
referencia la misma entrada que cualquier otro servidor LDAP. Esta es una caracterstica
muy importante del servicio global de directorio, como LDAP.
17./etc/ldap/schema/openldap.schema
18./etc/ldap/schema/ppolicy.schema
Estudiemos ahora el contenido de un esquema comn, por ejemplo nis.schema.
Dentro de este esquema tenemos la definicin de un objectClass, posixAccount:
definen aqu? Dentro del mismo schema, nis.schema, podemos conseguir esta
informacin:
10 http://rfc-ref.org/RFC-TEXTS/2307/kw-caseexactia5match.html
11 http://www.alvestrand.no/objectid/1.3.6.1.4.1.1466.115.121.1.26.html
Pgina 20 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Viene con una serie de backends para diferentes bases de datos. Estos incluyen
DBD, un backend de una base de datos transaccional de alto rendimiento; LDBM,
un backend ligero basado en DBM; SHELL, una interface para scripts de shell; y
PASSWD, un backend simple para el archivo passwd. El backend BDB hace uso de
Sleepcat Berkeley DB. LDBM utiliza cualquiera de las siguientes: Berkeley DB o
GDBM
Se puede configurar para servir a mltiples bases de datos al mismo tiempo. Esto
significa que un nico servidor SLAPD puede responder a peticiones de diferentes
porciones lgicas del rbol de LDAP, haciendo uso del mismo o distintos backends
de bases de datos.
Pgina 21 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
que
extendern
SLAPD
de
mltiples
maneras.
Tambin
existen
Hace uso de hilos para obtener alto rendimiento. Un proceso nico multihilo
maneja todas las peticiones entrantes haciendo uso de una piscina de hilos. Esto
reduce la carga del sistema a la vez que provee alto rendimiento.
Pgina 22 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
(Generic
Security
Services
Application
Programming
Interface)
KERBEROS.
Entre los protocolos que ahora mismo usan SASL se incluyen IMAP, LDAP, POP3,
SMTP y XMPP.
Pgina 23 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Remisiones y continuaciones
Descubrimiento de esquemas
Pgina 24 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
es people.ldif
dn: ou=people,dc=ucla,dc=edu,dc=ve
ou: people
objectclass: organizationalUnit
Creacin de los archivos ldif
Pgina 25 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
comandos:
#ldapadd -x -W -D "cn=admin,dc=ucla,dc=edu,dc=ve" -f people.ldif
#ldapadd -x -W -D "cn=admin,dc=ucla,dc=edu,dc=ve" -f group.ldif
#ldapadd -x -W -D "cn=admin,dc=ucla,dc=edu,dc=ve" -f users.ldif
Al ejecutar estos comandos te pedir el password del administrador LDAP.
Para revisar el resultado de la insercin ejecutamos el siguiente comando
#LDAPsearch -x -b "dc=ucla,dc=edu,dc=ve"
Se puede confirmar en la salida del comando anterior que la insercin de los
anteriores ldif estn presentes en la estructura del rbol del LDAP.
Pgina 26 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/marquezl
gecos: Luis Mrquez
Para agregar el nuevo usuario al nuevo rbol de LDAP se debe ejecutar el
siguiente comando:
#LDAPadd -x -W -D "cn=admin,dc=ucla,dc=edu,dc=ve" -f marquezl.ldif
Para revisar el resultado de la insercin ejecutamos el siguiente comando
#LDAPsearch -x -b "dc=ucla,dc=edu,dc=ve"
Pgina 27 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
telephoneNumber: 04127777777
Se ejecuta la siguiente sintaxis:
ldapmodify -x -D cn=admin,dc=ucla,dc=edu,dc=ve -W -f add.ldif
Modificar un atributo
Pgina 28 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
#LDAPsearch -x -b "dc=ucla,dc=edu,dc=ve"
Autenticacin en LDAP
Autenticacin de clientes en LDAP
Una vez configurado el servidor de LDAP para almacenar la informacin del
directorio, podemos configurar todos los equipos de nuestra red (servidores y clientes)
para realizar la autenticacin en el servidor LDAP.
Pgina 29 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
La
ventaja
fundamental
de
ambas
bibliotecas
consiste
en
que
pueden
Pgina 30 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Autenticacin annima
La configuracin predeterminada de OpenLDAP, Fedora Directory Server y muchos
otros productos de LDAP disponibles en el mercado permite que un cliente consulte de
forma annima algunos atributos del directorio.
Usualmente se mostrarn atributos no crticos al estilo de una libreta de
direcciones. Para hacer la autenticacin annima con un cliente como ldapsearch basta
con indicar la opcin -x y no definir ningn DN para autenticar el usuario.
ldapsearch -h servidor -p 389 -x uid=pgonzalez
Pgina 31 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Luis
Mrquez.
Un
atributo
puede
contener
un
valor
marquezl@ucla.edu.ve.
Estas entradas estn organizadas en una estructura jerrquica en forma de rbol
invertido, de la misma manera como se estructura el sistema de archivos de UNIX.
Tradicionalmente esta estructura reflejaba los lmites geogrficos y/o organizacionales.
Las entradas que representan pases aparecen en la parte superior del rbol. Debajo de
ellos, estn las entradas que representan los estados y las organizaciones nacionales.
Bajo estas, pueden estar las entradas que representan las unidades organizacionales,
empleados, impresoras, documentos o todo aquello que pueda imaginarse. La siguiente
figura muestra un rbol de directorio LDAP haciendo uso del nombramiento tradicional.
c=rectorado
ou=informtica
ou=telecomunicaciones
cn=Junior Escalona
Internet. Este tipo de nombramiento se est volviendo muy popular y en los actuales
momentos es el ms utilizado, ya que permite localizar un servicio de directorio haciendo
uso de los DNS. La siguiente figura muestra un rbol de directorio que hace uso de los
nombres basados en dominios.
dc=ve
dc=edu
dc=ucla
ou=people
ou=users
ou=adm
cn=luis
cn=pedro
cn=root
permitidos en una entrada gracias al uso del atributo denominado objectClass. El valor
del atributo objectClass determina qu reglas de diseo (schema rules) ha de seguir la
entrada.
Pgina 33 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
interceptar los datos y leer todo el contenido de los mismos, mientras ms grande es una
red esto se convierte en una amenaza mayor.
Para evitar eso los servidores LDAP implementan SSL (Secure Sockets Layer) y TLS
(Transport Layer Security), ambos mecanismos son utilizados para cifrar los datos antes
de transmitirlos por la red. SSL y TLS son similares y son ampliamente utilizados, la
principal diferencia es que TLS es mas flexible que SSL.
OpenLDAP provee dos mecanismos para cifrar el trfico en la red, el primero es
escuchar por un puerto especfico (puerto 636 por defecto), lo que hace que las
comunicaciones en ese puerto sean cifradas, este mecanismo fue introducido en LDAP
v2, y se considera un mtodo en desuso. El segundo mecanismo es parte de los
estndares de LDAP v3, el cual permite a los clientes conectarse a travs de un puerto
(389 por defecto), para conexiones cifradas o en texto plano y ser el cliente el que
seleccionar el tipo de conexin que desea. El uso de certificados permite no solo cifrar la
Pgina 34 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
informacin entre el servidor y los clientes, sino tambin garantizar que el servidor al
cual se conecta el cliente es autentico.
Actualmente existen autoridades para emitir certificados conocidos como CA
(Certification Authority), los cuales a travs de un procedimiento de recoleccin de
informacin y un pago, emiten un certificado que tiene validez por un tiempo especfico y
los servidores y los clientes reconocen el mismo.
Existe tambin la posibilidad de crear los certificados para uso de las
organizaciones o individuos de manera interna, para esto de debe generar un CA con la
cual se firmarn los certificados que se emitirn para los clientes y servidores. Estos
certificados no sern reconocidos como vlidos fuera de la organizacin que los emite,
por lo cual solo se recomienda para uso interno.
Para crear una CA, con el fin de firmar nuestros propios certificados, se debe instalar el
paquete openssl, el cual en Debian GNU/Linux, instala un script que permite la creacin
de un CA, el mismo queda instalado en la ruta /usr/lib/ssl/misc/CA.pl, debe ejecutarse de
la siguiente manera :
#/usr/lib/ssl/misc/CA.pl -newca
1. Se mostrar un mensaje con lo siguiente, CA certificate filename (or enter to
create) , en donde hay que pulsar enter.
2. Luego de generar la clave del certificado preguntar por una contrasea
para el mismo, Enter PEM pass phrase:
3. Luego solicitar una serie de informacin sobre la organizacin, y finalmente
terminar de crear el certificado para la CA.
4. Al finalizar tendremos un directorio llamado demoCA, con los certificados.
Luego de esto se tendr que generar los certificados para el servidor LDAP, lo cual ser
de la siguiente manera:
1. Ejecutar /usr/lib/ssl/misc/CA.pl -newreq desde una consola luego se repetirn
Pgina 35 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Luego
tenemos
que
firmar
los
certificados
con
el
CA
generado
TLSCACertificatePath /etc/ssl/certs/
TLSCertificateFile /etc/LDAP/clearkey.pem
TLSCertificateKeyFile /etc/LDAP/newkey.pem
El servidor slapd
slapd
slapd es el motor del servidor de directorio OpenLDAP. Es una de las tantas
Pgina 36 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
nmero
de
implementaciones;
vale
la
pena
mencionar
que
existen
varias
Pgina 37 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Elementos de configuracin
OpenLDAP
se
configura
en
el
archivo
/etc/ldap/slapd.conf.
El
gestor
de
configuracin debconf habr configurado este archivo por usted, pero en ocasiones
puede ser til hacer ciertos cambios, como por ejemplo:
1.Parmetros de registro: el parmetro loglevel puede ser ajustado para almacenar ms
o menos informacin sobre la operacin del directorio. Por ejemplo, loglevel stats es el
nivel recomendado por los desarrolladores y registra conexiones, consultas y resultados
en el archivo /var/log/syslog
2.Listas de control de acceso: OpenLDAP maneja listas ACL que permiten controlar el
acceso a los datos de forma granular13. Por ejemplo, una recomendacin comn es
12 Nombre distintitov, por sus siglas en ingls
13 http://www.openldap.org/doc/admin24/access-control.html#Access%20Control%20Common%20Examples
Pgina 38 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
proteger los atributos de contraseas de Samba con una ACL como se describe a
continuacin:
access to attr=sambantpassword, sambalmpassword, sambapasswordhistory
by cn=admin,<base DN> write
by self write
by * none
Pgina 39 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
en
el
archivo
de
configuracin
del
servidor
LDAP,
Pgina 40 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
access to [recurso]
by [quien] [tipo de privilegio]
by [quien] [tipo de privilegio]
Las directivas access pueden tener uno o mas by, as mismo pueden permitir
accesos por DN, atributos, filtros, o una combinacin de estos.
complejidad que se puede utilizar para formular las mismas. A continuacin un ejemplo
utilizando expresiones regulares:
access to dn.regex="uid=[^,]
+,ou=Users,dc=universidad,dc=edu,dc=ve"
by * none
En el ejemplo anterior se restringe el acceso a cualquier DN, con la expresin
uid=cualquier cosaou=Users,dc=universidad,dc=edu,dc=ve, donde cualquier cosa
Pgina 41 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
debe ser un texto con al menos un carcter y sin comas (,), las expresiones regulares
permiten incrementar en gran medida la utilidad de las listas de acceso.
Pgina 42 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
intercambio de informacin de directorios LDAP con el acrnimo LDIF 14, que es una
representacin en texto de los contenidos de un directorio y sirve para trasladar
porciones del directorio o incluso el directorio completo de un equipo a otro.
dn: dc=cnti,dc=gob,dc=ve
objectClass: top
objectClass: dcObject
objectClass: organization
o: CNTI
dc: cnti
structuralObjectClass: organization
Esta entrada muestra la raz del directorio LDAP para dc=cnti,dc=gob,dc=ve. Debe
ser la primera entrada de un LDIF para este directorio porque define la base.
Para aadir este registro podemos utilizar dos mtodos. Si estamos cargando todo
un directorio a partir de un archivo LDIF nuevo, y el directorio est vaco, podemos usar
slapadd. Esta es una herramienta nativa de OpenLDAP que accede directamente a la
base de datos subyacente y agrega los registros.
registro anterior en el archivo raiz.ldif, bastara con ejecutar, como el usuario openldap,
un usuario administrativo o un usuario perteneciente al grupo openldap:
slapadd < raiz.ldif
-D
<bind DN>: especifica el DN de conexin del usuario con el que se autenticar para
Pgina 44 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
cn=admin,<DN base>
-W:
comando
-x:
<base>: define la base o raz del directorio LDAP, por ejemplo dc=cnti,dc=gob,dc=ve
-h
-Z:
TLS
Pgina 45 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 46 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
dn: ou=Unidad,dc=cnti,dc=gob,dc=ve
changetype: modify
replace: description
description: nueva descripcion
-
Pgina 47 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Los algoritmos utilizados son algoritmos de resumen de una va. Estos algoritmos
producen una salida fija dada una entrada fija, por ejemplo:
hola => MD5 => 4d186321c1a7f0f354b297e8914ab240
Sin
embargo,
no
es
posible
obtener
'hola'
partir
de
Pgina 48 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 49 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
local llamado /etc/passwd para esta tarea, pero cuando se implementa un directorio
OpenLDAP se desea que NSS utilice el directorio para esta conversin. Funcionalmente,
el resultado ser que el sistema Canaima GNU/Linux podr identificar a los usuarios del
directorio. Para esto debemos instalar el paquete libnss-ldap disponible en los
repositorios de Canaima.
Pgina 50 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
En cada uno de estos cuatro (4) archivos se debe agregar la siguiente lnea:
Pgina 51 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 52 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
dominio SMB/CIFS, como Microsoft Active Directory, para lograr que los usuarios de
Microsoft Windows puedan acceder utilizando credenciales centralizadas de LDAP.
Esquemas adicionales
Hay dos elementos bsicos que podemos registrar en un directorio OpenLDAP y
que son de inters para la implementacin de un controlador de dominio con Samba:
1.Cuentas de usuario
2.Cuentas de mquina
Pgina 53 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
perteneciera.
-c
/usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz
>
/etc/ldap/schema/samba.schema
ou=People,dc=quenya,dc=org
displayName: Gerald Carter
sambaLMPassword:
552902031BEDE9EFAAD3B435B51404EE
en formato hexadecimal
sambaPrimaryGroupSID: S-1-5-21-
Identificador
2447931902-1787058256-3961074038-
de
seguridad
Pgina 54 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
del
grupo
1201
objectClass: posixAccount
Clase de objeto
objectClass: sambaSamAccount
Clase de objeto
userPassword: {crypt}BpM2ej8Rkzogo
uid: gcarter
uidNumber: 9000
loginShell: /bin/bash
gidNumber: 100
sambaPwdLastSet: 1010179230
Fecha/hora
del
ltimo
cambio
de
contrasea
sambaSID: S-1-5-21-2447931902-
1787058256-3961074038-5004
homeDirectory: /home/moria/gcarter
sambaNTPassword:
878D8014606CDA29677A44EFA1353FC7
formato hexadecimal
Pgina 55 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
3. uri "LDAP://LDAP.universidad.edu.ve/dc=universidad,dc=reacciun,dc=ve"
4. suffixmassage
"dc=universidad,dc=reacciun,dc=ve"
"dc=universidad,dc=edu,dc=ve"
Pgina 56 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Colocamos estos tres (3) archivos en un directorio, por ejemplo /etc/ldap/ssl, que el
usuario openldap pueda leer, y editamos el archivo /etc/ldap/slapd.conf para incluir la
siguiente configuracin:
TLSCACertificateFile /etc/ldap/ssl/ca.crt
TLSCertificateFile /etc/ldap/ssl/servidor.crt
TLSCertificateKeyFile
Certificado de la CA
Certificado del servidor
Llave del servidor
/etc/ldap/ssl/servidor.key
Pgina 57 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
TLSVerifyClient never
necesario que los clientes configuren sus entornos operacionales para que puedan
comunicarse de forma cifrada, con autenticidad e integridad, al servidor OpenLDAP. Esto
es natural ya que la seguridad del canal depende normalmente de la sincronizacin de
ambos extremos.
El cliente slo requiere tener el certificado de la CA. Este certificado puede ser
ledo por cualquier usuario del sistema, ya que no compromete la seguridad del
esquema. Por ejemplo, colocamos ca.crt en la carpeta /etc/ldap/ssl tal y como hicimos en
la parte de servidor. As mismo, en el archivo /etc/ldap/ldap.conf, el cual vimos en detalle
en el captulo 1.2.2 de la Unidad IV, agregamos las lneas:
TLS_CACERT /etc/ldap/ssl/ca.crt
TLS_REQCERT never
Con esta configuracin, podremos utilizar las herramientas del paquete ldap-utils
con la opcin -Z, que emite una instruccin para iniciar la conexin usando TLS. As
mismo, cualquier aplicacin que respete la configuracin de /etc/ldap/ldap.conf puede
comunicarse usando TLS con el servidor LDAP.
Pgina 58 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
El slapd esclavo devuelve una remisin hacia el cliente LDAP, referenciandolo hacia
el servidor slapd maestro.
Pgina 59 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
El proceso slurpd verifica que se ha aadido una nueva entrada al archivo log de
replicacin, lee la entrada del log de replicacin y enva el cambio hacia el servidor
slapd esclavo va LDAP.
Caractersticas
Slo
Iniciado
slurpd
Modelo
Se
Syncrepl
por el proveedor
basado en PUSH
ejecuta peridicamente
Slo
Slo
15 http://www.openldap.org/doc/admin24/replication.html
Pgina 60 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Iniciado
Modelo
Se
basado en PULL
ejecuta peridicamente
Slo
Admite
N-way multimaster
por el consumidor
Es
ejecuta constantemente
Puede
Admite
Requiere
Mirror mode
escrituras
Se
ejecuta constantemente
Permite
provider=ldap://10.10.10.1/
type=refreshAndPersist
Tipo de la replicacin
Pgina 61 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
scope=sub
attrs="*"
schemachecking=off
Verificar
esquemas
rplica
bindmethod=simple
Mecanismo de autenticacin
compatibilidad
instalados en
con
los
el servidor
Pgina 62 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
dc=cnti,dc=gob,dc=ve:
dc=mopvi,dc=gob,dc=ve:
dc=fmh,dc=gob,dc=ve:
Pgina 63 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
2.Referencia a cnti.gob.ve
dn: dc=cnti,dc=gob,dc=ve
objectClass: referral
objectClass: extensibleObject
dc: subtree
ref: ldap://ldap.cnti.gob.ve/dc=cnti,dc=gob,dc=ve
Esta ltima entrada se repetira para las otras bases y servidores que conforman el
esquema particionado.
Pgina 64 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Con esta directiva, se le indica al servidor OpenLDAP del CNTI que en caso de que
se solicite una entrada que no se encuentre en el servidor (fuera de la raz
dc=cnti,dc=gob,dc=ve) debe irse al servidor ldap.gob.ve.
Pgina 65 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Anexos
Ejercicio Propuesto N#1
Se le solicita cambiar la extensin telefnica del usuario POSIX 'malvarado' al
nmero '22155', en este escenario indique:
a) Consulta que realizara para conocer el DN del usuario
b) Archivo LDIF de cambios que utilizara para ldapmodify
c) Argumentos a utilizar para el comando ldapmodify
d) Consulta que realizara para confirmar el cambio
El nombre distintivo (DN) del usuario para hacer cualquier consulta al servidor
LDAP que amerite un cambio es el predeterminado que se configura utilizando
Debconf en la instalacin en Debian, y este usuario tiene los permisos adecuados
para realizar el cambio
ldapsearch
-b
dc=prueba,dc=cnti,dc=gob,dc=ve
-h
10.70.63
'cn=admin,dc=prueba,dc=cnti,dc=gob,dc=ve' -W -x uid=malvarado dn
b) En un archivo, por ejemplo 'cambio.ldif':
Pgina 66 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
-D
ldapmodify
-b
dc=prueba,dc=cnti,dc=gob,dc=ve
-h
10.70.63
-D
-h
10.70.63
-D
'cn=admin,dc=prueba,dc=cnti,dc=gob,dc=ve' -W -x -f cambio.ldif
d)
ldapsearch
-b
dc=prueba,dc=cnti,dc=gob,dc=ve
Pgina 67 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Referencias
OpenLDPA
(2008),
Access
Control.
Disponible
en:
ttp://www.openldap.org/doc/admin24/access-control.html#Access%20Control
%20Common%20Examples
OpenLDPA
(2008),
Replication.
Disponible
en:
http://www.openldap.org/doc/admin24/replication.html
RFC-Ref
(2009),
caseExactIA5Match.
Disponible
en:
http://rfc-ref.org/RFC-
TEXTS/2307/kw-caseexactia5match.html
syntax.
Disponible
http://www.alvestrand.no/objectid/1.3.6.1.4.1.1466.115.121.1.26.html
Pgina 68 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
en:
Glosario de trminos
ARPANET: (Advanced
Network/Red de
la
Pgina 69 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
BIND9: es una nueva versin de BIND. Fue escrita desde cero en parte para
superar las dificultades arquitectnicas presentes anteriormente para auditar el
cdigo en las primeras versiones de BIND, y tambin para incorporar DNSSEC.
BIND 9 incluye entre otras caractersticas importantes: TSIG, notificacin DNS,
nsupdate, IPv6, rndc flush, vistas, procesamiento en paralelo, y una arquitectura
mejorada en cuanto a portabilidad. Es comnmente usado en sistemas GNU/Linux.
Pgina 70 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Distribucin:
es
una
recopilacin
de
programas
ficheros
(paquetes),
Pgina 71 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
HDLS (High bit rate Digital Suscriber Line / Lnea Digital de Abonado de
alta velocidad): es un sistema de transmisin de datos de alta velocidad que
utiliza dos pares trenzados; obteniendo velocidades superiores al Megabit en
ambos sentidos.
Internet.
Pgina 74 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
ISC BIND: el nombre completo original del servidor BIND9 desarrollado por la
Internet Systems Consortium.
200
metros;
su
aplicacin
ms
extendida
es
la
interconexin
de
Pgina 75 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
componente
que
realiza
las
funciones
de
portar
administrar
las
PAM
(Pluggable
Authentication
Modules/Mdulos
enchufables
de
cifrador de bloques, que utiliza una clave pblica, la cual se distribuye (en forma
autenticada preferentemente), y otra privada, la cual es guardada en secreto por
su propietario.
SOAPHeader (Cabeceras SOAP): es una clase especial de bajo nivel para pasar
o devolver cabeceras SOAP. Es simplemente un contenedor de datos y no tiene
mtodos especiales aparte de su constructor.
Pgina 79 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
TLD (Top Level Domain): son los nombres en lo alto de la jerarqua de los DNS.
Aparecen en los nombres de dominio, como "net" en "www.example.net". Los
administradores del "dominio de la raz" o "zona de la raz" ("root domain" or "root
zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs
comnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.
TTL (Time To Live): es el tiempo que un paquete permanece activo en una red.
Hay un numero TTL en cada header de paquete IP, y a medida que un paquete
pasa por cada router o enrutador, lo reduce por 1 este nmero. Si el paquete llega
a 0, los routers o enrutadores no seguirn reenviando el paquete.
U
Pgina 80 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 81 de 81
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela
Master: (+58 212) 597.45.90 www.cnti.gob.ve