CONFIGURACIÓN

1. Instalar los paquetes de OpenLDAP requeridos por el servidor.

• openldap
• openldap-servers
• openldap-clients
• nss-pam-ldapd
• sssd-ldap
• phpldapadmin (EPEL)
• migrationtools (opcional)
• bind (opcional)
• authconfig y/o authconfig-gtk
2. Configurar la interfaz de red con direccionamiento estático.

3. Configurar el servidor DNS para que pueda resolver (al menos) el nombre del servidor LDAP.

4. Activar el log para que muestre los errores asociados al servicio

Archivo: /etc/openldap/ldap.conf
 Añadir loglevel 128

Archivo: /etc/rsyslog.conf
Añadir: local4.* /var/log/slap.log

Reiniciar el servicio rsyslog: systemctl restart rsyslog.

5. Editamos los archivos de configuración .ldif que están en “/etc/openldap/slapd.d/cn=config/” y agregamos las
siguiente información en cada uno de estos

Generamos la contraseña con slappasswd

• olcDatabase={0}config.ldif;
olcRootDN: cn=***,cn=***
olcRootPW: {SSHA}contraseña generada con slappasswd

• olcDatabase={1}monitor.ldif;
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth" read by dn.base="cn=***,dc=***,dc=***" read by * none

• olcDatabase={2}hdb.ldif
olcSuffix: dc=***,dc=***
olcRootDN: cn=***,dc=***,dc=***
olcRootPW: {SSHA} contraseña generada con slappasswd
6. Editar el archivo de configuración de LDAP para colocar los valores de nuestro servidor.Ruta:
/etc/openldap/ldap.conf
BASE dc=***,dc=***
URI ldap://**** (dominio o la IP)

7. Copiar el archivo de ejemplo DB_CONFIG.example a la ruta de librerias de LDAP con el nombre DB_CONFIG.
Ruta Origen: /usr/share/openldap-servers/DB_CONFIG.example
Ruta Destino: /var/lib/ldap/DB_CONFIG
8. Probamos la configuración de los archivos con el comando slaptest -u.

9. Iniciar el servicio de LDAP: systemctl start slapd.

10. Añadir los esquemas a usar por el openldap a la base de datos.

Comando: ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
Comando: ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
Comando: ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

PROCEDIMIENTO 1: ADMINISTRACIÓN DE OPENLDAP

1. A partir del diagrama que se presenta a continuación, cree una estructura LDAP en la que se pueda
englobar a todos los empleados de la empresa para poder autenticarlos (Posteriormente los usuarios del
directorio serán usados como usuarios de correo electrónico). Para esto cree un archivo LDIF con todas las
unidades organizativas de cada departamento excepto los departamentos Web y comercio electrónico,
Diseño gráfico, Área de montaje y Post-venta y RMA. Luego importe las entradas al directorio.
i. Creamos la carpeta donde guardaremos las nuestros archivos .ldif

ii. Creamos nuestro archivo .ldif con las unidades organizativas el usuario y el dominio

En este agregaremos lo siguiente

* #(Dominio Principal)
dn: dc=abc,dc=com
 dc: abc
objectClass: top
objectClass: dcObject
objectClass: organization
o: abc

* #Usuarios
dn: cn=admin,dc=abc,dc=com
objectClass: simpleSecurityObject
objectClass: OrganizationalRole
cn: admin
description: administrador
userPassword: {SSHA}pEkiJ2exvyUtEmWYmtIrMtmKmZVUkxRu

* # Direccion General
dn: ou=direcciongeneral,dc=abc,dc=com
ou: direcciongeneral
objectClass: top
objectClass: organizationalUnit
description: Direccion General

* # Sistemas
dn: ou=sistamas,ou=direcciongneral dc=abc,dc=com
ou: sistemas
objectClass: top
objectClass: organizationalUnit
description: Sistemas

* # Logistica
dn: ou=logistica,ou=direcciongeneral,dc=abc,dc=com
ou: logistica
objectClass: top
objectClass: organizationalUnit
description: logística

* # Compras
dn: ou=compras,ou=direcciongeneral,dc=abc,dc=com
ou: compras
objectClass: top
objectClass: organizationalUnit
description: Compras

* # Direccion Tecnica
dn: ou=direcciontecnica,ou=direcciongeneral,dc=abc,dc=com
ou: direcciontecnica
objectClass: top
objectClass: organizationalUnit
description: Direccion Tecnica

* # Direccion Finaciera
dn: ou=direccionfinanciera,ou=direcciongeneral,dc=abc,dc=com
ou: direccionfinaciera
objectClass: top
objectClass: organizationalUnit
description: Direccion Financiera
 * # Direccion Comercial
dn: ou=direccioncomercial,ou=direcciongeneral,dc=abc,dc=com
ou: direccioncomercial
objectClass: top
objectClass: organizationalUnit
description: Direccion Comercial

* # Comerciales Internos
dn: ou=comercialesinternos,ou=direcioncomercial,ou=direcciongeneral,dc=abc,dc=co,
ou: comercialesinternos
objectClass: top
objectClass: organizationalUnit
description: Comerciales Internos

* # Comerciales externos
dn: ou=comercialesexternos,ou=direcioncomercial,ou=direcciongeneral,dc=abc,dc=c$
ou: comercialesexternos
objectClass: top
objectClass: organizationalUnit
description: Comerciales Externos

iii. Ahora agregamos la lista con el siguiente comando

“ldapadd -xWD 'cn=***,dc=***,dc=***’ -f *.ldif”
2. Cree un archivo LDIF separado para cada departamento en el que especifique por lo menos dos usuarios por cada
unidad organizativa. Luego agregue las entradas al directorio. Cada usuario se identificará por un uid. Los atributos
obligatorios de cada usuario serán:
• Username
• common name
• Apellido
• Shell por defecto
• UID (Identificador de Usuario)(Numero)
• GID (Identificador de Grupo)(Numero)
• Directorio particular
• Password del usuario
i. Creamos cada uno de los archivos .ldif con el comando touch y el nombre que queramos y agregamos
a cada uno lo siguiente

ii. Lo que se debe agregagar en cada .ldf

* dn: uid=****,ou=*** ,dc=***,dc=****

* uid: ****
* cn: ****
* gn: ****
 * sn: **
* objectClass: person
* objectClass: posixAccount
* objectClass: inetOrgPerson
* userPassword: {SSHA}pEkiJ2exvyUtEmWYmtIrMtmKmZVUkxRu
* loginShell: /bin/bash
* uidNumber: ****
* gidNumber: ****
* homeDirectory: /home/****
* gecos: ****

iii. agregamos a nuestra base con el siguiente comando

ldapadd -xWD “cn=***,dc=***,dc=***” -f *.ldif”

3. Realice las siguientes consultas a la base de datos LDAP con la utilidad ldapsearch y guarde los resultados
ldapsearch -h 192.168.0.2 -x -b "ou=d,dc=***,dc=**"
• Consulte todos los objetos de la estructura LDAP
• Busque todos los objetos pertenecientes al departamento Comerciales internos.
# ldapsearch -h 192.168.0.2 -x -b
"ou=comercialesinternos,ou=direccioncomercial,ou=direcciongeneral,dc=abc,dc=com"

• Busque todos los objetos pertenecientes a la Dirección general.

• Busque todos los objetos de Comerciales Internos del directorio de uno de sus compañeros. Recuerde que es otro
host y otro dominio.
4. Modifique los siguientes atributos de por lo menos 3 usuarios:
 ldapmodify -x -D 'cn=admin,dc=abc,dc=com' -W -f sn.ldif
• DN
➢Originales

➢Archivo

➢Comando
 ➢Modificados

• Apellidos
➢Originales
➢Archivo

➢Comando
 ➢Modificados

5. Elimine del directorio un usuario del departamento de Dirección Técnica.

ldapdelete -x 'uid=***,ou=***,ou=***,dc=***,dc=***' -D 'cn=admin,dc=abc,dc=com' -W
6. Los usuarios autenticados podrán realizar cambios en cualquiera de sus entradas (O sea su información personal) y
podrán leer las entradas de otros usuarios, pero no modificarlas. Además, no se mostrará el password a ningún
usuario. Pruebe esto con un usuario que no sea al administrador del servidor LDAP.

PROCEDIMIENTO 2: ADMINISTRACIÓN GRÁFICA DE OPENLDAP

1. Instale dos herramientas gráficas de administración LDAP. Recuerde que independiente de la implementación
del servicio LDAP que haya elegido, es posible usar cualquier cliente LDAP, incluyendo las herramientas gráficas.
He aquí un listado de algunas de ellas:
• Phpldapadmin (Web)
• Apache Directory Studio (Java)
• Jxplorer (Java)
• Luma
• Kldap
• LDAP Admin Tool (Privativo)
i. Instalar el paquete phpldapadmin con yum.
ii. Editar el archivo de configuración de phpldapadmin:
Ruta: /etc/phpldapadmin/config.php
Descomentar la línea 397:
$servers→SetValue('login','attr','dn');
Comentar la línea 398
// $servers→SetValue('login','attr','uid');
iii. Editar el archivo de configuración de httpd para phpldapadmin (virtualHost)
Ruta: /etc/httpd/conf.d/phpldapadmin.conf
Contenido del archivo del virtual host para phpldapadmin:
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require all granted
DirectoryIndex index.php
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 10.10.5.10 10.10.5.15 = Hosts con acceso
Allow from ::1
</IfModule>
</Directory>
iv. Editar el archivo de configuración de httpd (httpd.conf) y permitir el acceso al directorio de

phpldapadmin:
Ruta: /etc/httpd/conf/httpd.conf
<Directory /usr/share/phpldapadmin/htdocs>
AllowOverride None
Require all granted
</Directory>
v. Reiniciar apache.
vi. Ingresar desde el servidor (o el cliente permitido) para gestionar el servidor de directorio vía
Web.
vii. Digitar: http://server.redes.corp/ldapadmin.
 Credenciales:
Usuario: cn=admin,dc=redes,dc=corp
Contraseña: La asignada anteriormente con slappasswd.
viii.
2. Con una de las herramientas que instaló, cree de manera gráfica las unidades organizativas Web y comercio
electrónico y Post-venta y RMA y agregue 2 usuarios por cada departamento.

3. Con una de las herramientas que instaló, cree de manera gráfica las unidades organizativas Diseño gráfico y Área
de montaje y agregue 2 usuarios por cada departamento.
4. Modifique la información de todos los usuarios del departamento de Área de montaje.
5. Detalle el procedimiento para agregar entradas al directorio, importando desde un archivo LDIF.

PROCEDIMIENTO 3: ADMINISTRACIÓN DE APACHE DIRECTORY SERVER (BONUS OPCIONAL)

Instale el servidor de directorio Apache Directory Server y repita todos pasos de los procedimientos 1 y 2.