Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LABORATORIO N° 10
Alumno(s) Nota
Nro. DD-106
Servicio LDAP en Linux Página 2/13
Nota
Apellidos y Nombres: Lab. Nº 10
:
I. OBJETIVOS
II.SEGURIDAD
Advertencia:
En este laboratorio está prohibida la manipulación del hardware,
conexiones eléctricas o de red; así como la ingestión de alimentos
o bebidas.
III.FUNDAMENTO TEÓRICO
El laboratorio está detallado paso a paso. Es importante que revise su texto para poder responder
algunas de las preguntas planteadas.
IV.NORMAS EMPLEADAS
No aplica
V.RECURSOS
● En este laboratorio cada alumno trabajará con un equipo con Windows 7 o posterior.
● Este equipo debe tener instalado el programa VMware Workstation para la definición y
administración de los equipos virtuales o tener una cuenta educativa en AWS para la creación
de instancias.
● Cada equipo debe contar con una plantilla de CentOS 7 para la clonación de los equipos
solicitados y en el caso de AWS debe lanzar dos instancias de CentOS7.
VII.PROCEDIMIENTO
1. (En VMWare) Abrir el VMware Workstation. Definir los equipos virtuales con las siguientes
características:
Opción Valor
Clon de La plantilla de Linux indicada por el instructor (CentOS 7)
Nombre LDAP Srv
Memoria 2 GB
Red Bridge
Opción Valor
Clon de La plantilla de Windows indicada por el instructor
Nombre LDAP Cli
Memoria 2 GB
Red Bridge
3. Iniciar el equipo LDAP Srv y configure dicho sistema de acuerdo a los siguientes datos:
Opción Valor
Dirección IP <Archivo de direccionamiento IP>
Máscara de subred <Máscara_de_red_local>
Servidores DNS <Servidores_de_Google>
Nombre de Equipo 1. El hostname del sistema operativo deberá contar con la siguiente
estructura: primera letra de su primer nombre, seguido de su
apellido paterno y de las letras ldap. Un nombre válido sería
jdiazldap para alguien que se llame Juan Diaz.
2. Edite el archivo /etc/hosts con nano y agregue la siguiente línea
al final:
<IP_Srv> <Nombre_de_equipo>.aqp
3. Salir e iniciar sesión nuevamente: logout
4. Configurar el equipo LDAP Cli de acuerdo a los siguientes datos (X es su número asignado):
Opción Valor
Dirección IP <Archivo de direccionamiento IP>
Máscara de subred <Máscara_de_red_local>
Servidores DNS <Servidores_de_Google>
Nombre de Equipo 4. El hostname del sistema operativo deberá contar con la siguiente
estructura: CliX, donde X es el número que le corresponde.
5. Salir e iniciar sesión nuevamente: logout
5. En todas las configuraciones del laboratorio cambiar la X por el número que le corresponde.
Nro. DD-106
Servicio LDAP en Linux Página 4/13
Nota
Apellidos y Nombres: Lab. Nº 10
:
dc=aqp
dc=redesX
2. De acuerdo al árbol con el que se trabajará tendremos los siguientes DN para los usuarios.
jalmacen
jinventarios
jrrhh
jplanta
Nota: En caso no tenga instalado netstat, ejecutar el siguiente comando #sudo yum -y
install net-tools y luego volver a ejecutar el comando netstat
# sudo vi /etc/rsyslog.conf
9. Del comando anterior tendrá una salida similar a la siguiente, la cual deberá guardar para ser
usado más adelante para configurar LDAP
Crear el archivo db.ldif, agregar el siguiente contenido, donde crearemos la raíz para
redesX.aqp, el administrador adminX y le asignaremos la contraseña generada con el
comando slappasswd anteriormente, luego guardar los cambios:
# Contenido
1 dn: olcDatabase={2}hdb,cn=config
2 changetype: modify
3 replace: olcSuffix
4 olcSuffix: dc=redesX,dc=aqp
5
6 dn: olcDatabase={2}hdb,cn=config
7 changetype: modify
8 replace: olcRootDN
9 olcRootDN: cn=adminX,dc=redesX,dc=aqp
1
0
1
dn: olcDatabase={2}hdb,cn=config
1
1
changetype: modify
2
1
replace: olcRootPW
3
1
olcRootPW: <salida de slappasswd {SSHA}…>
4
Para verificar que los cambios se realizaron, usamos el utilitario ldapsearch. Para ello
ejecutar el siguiente comando:
Mostrar la salida del comando anterior y marcar los parámetros modificados olcSuffix,
olcRootDN y olcRootPW.
Nro. DD-106
Servicio LDAP en Linux Página 7/13
Nota
Apellidos y Nombres: Lab. Nº 10
:
12. También debemos permitir el acceso a la base de datos LDAP al usuario administrador que se
especificó en el paso anterior (adminX):
# Contenido
1 dn: olcDatabase={1}monitor,cn=config
2 changetype: modify
3 replace: olcAccess
4 olcAccess: {0}to * by
dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,
cn=auth" read by dn.base="cn=adminX,dc=redesX,dc=aqp" read by *
none
Para verificar que los cambios se realizaron, usamos el utilitario ldapsearch. Para ello
ejecutar el siguiente comando y verificar los cambios realizados:
Nota: Para tener una salida más general de los parámetros de la base de datos de LDAP puede
usar el comando ldapsearch -Y EXTERNAL -H ldap:/// -b cn=config
olcDatabase=\*
1. Copiar la plantilla del archivo de configuración de base de datos a la ruta /var/lib/ldap con el
nombre DB_CONFIG y actualizar los permisos:
# sudo cp /usr/share/openldap-servers/DB_CONFIG.example
/var/lib/ldap/DB_CONFIG
# Contenido
1 dn: dc=redesX,dc=aqp
Nro. DD-106
Servicio LDAP en Linux Página 8/13
Nota
Apellidos y Nombres: Lab. Nº 10
:
2 objectClass: top
3 objectClass: domain
4 dc: redesX
5
6 dn: cn=adminX,dc=redesX,dc=aqp
7 objectClass: organizationalRole
8 cn: adminX
9 Description: Administrador LDAP
Nota: La contraseña que se solicita para el comando ldapadd debe ser del usuario administrador
de directorio (adminX)
# ldapsearch -x -b "dc=redesX,dc=aqp"
5. Tomar una captura a la salida del comando anterior donde se muestre la creación de la raíz
dc=redesX,dc=aqp y del usuario cn=adminX,dc=redesX,dc=aqp.
# Contenido
1 dn: ou=gerencia,dc=redesX,dc=aqp
2 objectClass: top
3 objectClass: organizationalUnit
4 ou: gerencia
5 description: Dirección General
6
7 dn: ou=administracion,dc=redesX,dc=aqp
8 objectClass: top
9 objectClass: organizationalUnit
1 ou: administracion
0
1 description: Área de administración
1
Nota: La contraseña que se solicita para el comando ldapadd debe ser del usuario administrador
de directorio (adminX)
Ejecutar el siguiente comando cuando termine de crear todas las unidades organizacionales:
Mostrar la salida del comando anterior, donde se muestren todas las unidades
organizacionales:
# Contenido
1 dn: uid=personaX,ou=gerencia,dc=redesX,dc=aqp
2 objectClass: top
3 objectClass: inetOrgPerson
4 objectClass: posixAccount
5 objectClass: shadowAccount
6 cn: personaX
7 sn: apellidoX
8 uid: personaX
9 uidNumber: 9999
10 gidNumber: 100
11 homeDirectory: /home/personaFolderX
12 loginShell: /bin/bash
13 userPassword: {crypt}x
14 shadowLastChange: 17058
15 shadowMin: 0
16 shadowMax: 99999
17 shadowWarning: 7
18 displayName: <PrimerNombre> <PrimerApellido>
Nota: La contraseña que se solicita para el comando ldapadd debe ser del usuario administrador
de directorio (adminX)
# Contenido
1 dn: uid=usertestX,ou=administracion,dc=redesX,dc=aqp
2 objectClass: top
3 objectClass: inetOrgPerson
4 objectClass: posixAccount
5 objectClass: shadowAccount
6 cn: usertestX
7 sn: apellidoTestX
8 uid: usertestX
9 uidNumber: 9998
10 gidNumber: 100
11 homeDirectory: /home/usertestX
12 loginShell: /bin/bash
13 userPassword: {crypt}x
14 shadowLastChange: 17058
15 shadowMin: 0
16 shadowMax: 99999
17 shadowWarning: 7
18 displayName: Usuario Test
Enviar el archivo usuarios.ldif al servidor LDAP para crear el nuevo usuario. Indique el
comando que usó:
# Contenido
1 dn: uid=usertestX,ou=administracion,dc=redesX,dc=aqp
2 Changetype: modify
3 Replace: sn
4 sn: <PrimerApellido>
5 -
6 add: telephoneNumber
7 telephoneNumber: 123456789
8 -
9 Replace: displayName
10 displayName: Persona non-grata
Tomar una captura del comando anterior y marcar los cambios realizados en este usuario
# ldapdelete -x -W "uid=usertestX,ou=administracion,dc=redesX,dc=aqp" -D
"cn=adminX,dc=redesX,dc=aqp"
Para verificar que se borró el usuario ejecutar el comando siguiente, lo esperado es que ya no
se muestre el usuario usertestX ni sus atributos.
2. Ejecutar el siguiente comando para agregar el cliente al servidor LDAP y reiniciar el servicio
cliente LDAP
5. (Sólo AWS) Para ingresar a la instancia con un usuario remotamente debemos configurar el
archivo /etc/ssh/sshd_config los parámetros:
PermitRootLogin yes
PasswordAuthentication yes
PasswordAuthentication yes
7. Cerrar sesión con el usuario actual e iniciar sesión con el usuario personaX. Tomar una captura
del directorio donde se encuentra cuando ingresa con este usuario:
Nro. DD-106
Servicio LDAP en Linux Página 13/13
Nota
Apellidos y Nombres: Lab. Nº 10
:
VIII.OBSERVACIONES
IX.CONCLUSIONES: