cargo del Programa Operativo del FSE 2014-2020 para Extremadura gastos de Ciclos Formativos de SOR - Francisco Javier Rufo Grados Medio y Superior. 1. Gestión de dominios en sistemas Linux 1. Instalación y configuración de un servicio de directorio (OpenLDAP). 2. Herramientas de gestión de OpenLDAP.
SOR - Francisco Javier Rufo
1.1. Instalación y configuración de un servicio de directorio (OpenLDAP)
1. Instalar paquetes slapd y ldap-utils.
2. Cuando sea solicitada, introducir contraseña de administrador de directorio. 3. Configurar servicio slapd (dpkg-reconfigure slapd).
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo En este caso, la base es dc=smr, dc=ex
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 1.2. Configuración de clientes para conexión a dominio
● Paquetes libpam-ldap y libnss-ldap.
● Fichero nsswitch.conf.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo Configuración de libpam-ldap
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Configuración de libnss-ldap
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Configuración nsswitch.conf (/etc/nsswitch.conf)
SOR - Francisco Javier Rufo
Comprobación de funcionamiento ● Comando getent passwd muestra tanto usuarios locales como ldap. ● Para probar, podemos hacer login normal con las credenciales de un usuario ldap. ● Reiniciar servicio nscd.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 1.3. Herramientas de gestión de OpenLDAP ● Existen numerosas herramientas para gestionar OpenLDAP. ● Algunas de ellas: ○ Apache Directory Studio ○ Phpldapadmin ○ JXplorer
SOR - Francisco Javier Rufo
1.3.1. Apache Directory Studio ● Acceder a la web de ADS y descargar la versión para Linux. ● Descomprimir en el directorio que deseemos instalarlo. ● Requiere Java.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 1.3.2. JXplorer ● Paquete jxplorer. ● Requiere entorno gráfico, por ejemplo xfce (paquete xfdesktop4). ○ Podemos conectarnos en local o remoto.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 1.3.3. phpldapadmin ● Paquete phpldapadmin (no disponible en Debian 10). ● URL de acceso http://host/phpldapadmin
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Debemos modificar el fichero de configuración /etc/phpldapadmin/config.php para que nos permita trabajar con nuestros ficheros. ● Para ello, comentaremos las líneas en las que aparezca el valor dc=example.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2. Cuentas de usuario y grupo en sistemas Linux
○ Usuarios y grupos predeterminados y especiales del sistema.
○ Creación de cuentas de usuario. ○ Modificación de cuentas de usuario. ○ Creación y gestión de cuentas para equipos. ○ Gestión de grupos. ○ Tipos y ámbitos. ○ Propiedades.
SOR - Francisco Javier Rufo
● Al instalar Linux, al igual que en Windows, se crean numerosas cuentas de usuario para poder llevar a cabo diferentes tareas en el sistema. ● Existen diferentes tipos de grupos y de usuarios predefinidos: ○ Grupos de usuarios: Los usuarios no suelen tener privilegios de superusuario, por lo que los añadidos a algunos grupos especiales para poder llevar a cabo ciertas operaciones. ○ Grupos de sistema: Grupos utilizados para llevar a cabo diferentes tareas administrativas del sistema. ○ Grupos de software: Utilizados por software no esencial. En la mayoría de los casos son usados de forma interna por el software, por lo que no se suelen añadir usuarios a estos grupos. SOR - Francisco Javier Rufo ● Grupos de usuarios: games, rfkill, users, uucp, wheel. ● Grupos de sistema: bin, daemon, dbus, ftp, fuse, http, kmem, mail, mem, nobody, polkitd, root, tty. ● Grupos de software: adbusers, avahi, cdemu, clamav, gdm, locate, ntp, vboxusers, …
SOR - Francisco Javier Rufo
2.1. Creación de cuentas de usuario
SOR - Francisco Javier Rufo
Apache Directory Studio ● En la OU que alberga los usuarios (si lo deseamos, podemos hacerlo sobre el grupo que queremos que alberque el usuario), hacemos clic derecho y seleccionamos “New New Entry…”: ○ Create from scratch. ○ Seleccionar las clases: ■ posixAccount ■ inetOrgPerson ■ organizationalPerson
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Indicar mediante el atributo CN el nombre del objeto.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Rellenar los atributos
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Debemos añadir el atributo ”userPassword” para asignarle la contraseña y habilitar el usuario.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo JXplorer ● En la OU que alberga los usuarios (si lo deseamos, podemos hacerlo sobre el grupo que queremos que alberque el usuario), hacemos clic derecho y seleccionamos “New”, añadiendo las siguientes clases al objeto nuevo: ○ posixAccount ○ inetOrgPerson ○ organizationalPerson
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● A continuación, se solicitan todos los datos para el nuevo usuario, teniendo en cuenta que: ○ Uid: Será el nombre del usuario ○ uidNumber: Será el número de identificación del usuario. ○ Debemos introducir la contraseña para que el usuario pueda iniciar sesión.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo phpldapadmin ● Otra forma para añadir usuarios es utilizando la aplicación web phpldapadmin. ● Para ello, nos situamos en la UO o el grupo dentro del cual deseamos crear el usuario y seleccionamos “Crear un objeto hijo”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo ● Seleccionamos “Genérico: Cuenta de usuario” y rellenamos los campos solicitados. ● OJO: Seleccionar crypt como mecanismo para encriptar la contraseña.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Pulsar sobre “Crear objeto” y una vez comprobada la información, pulsar sobre “Cometer”
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.2. Modificación de cuentas de usuario
SOR - Francisco Javier Rufo
Apache Directory Studio ● Seleccionar el elemento deseado y modificar el atributo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo JXplorer ● Seleccionar el usuario deseado y editar los atributos. Posteriormente, pulsar sobre “Submit”. ● Dos tipos de vista: ○ HTML View: Se muestran los atributos por apartados. ○ Table Editor: Muestra todos los atributos del objeto. ● También podemos (haciendo clic derecho sobre el objeto): ○ Cut/Copy/Paste: Para replicar el objeto. ○ Rename: Para renombrarlo. ○ Delete: Para borrarlo.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo phpldapadmin ● Seleccionar el usuario, modificar los datos que se desee y pulsar en “Actualizar Objeto”. ● Otras opciones: ○ Copiar el objeto: Permite crear otro objeto a partir de los datos del actual. ○ Renombar: Cambia el CN del objeto. ○ Borrar: Borra el objeto. ○ Añadir atributo: Añade un nuevo atributo. Útil cuando se desea usar LDAP con otros servicios (radius, etc.). ○ Mostrar atributos internos
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo 2.3. Creación y gestión de cuentas para equipos
SOR - Francisco Javier Rufo
Apache Directory Studio ● Debemos crear un elemento de las clases account y posixAccount.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo JXplorer ● Debemos crear un elemento de las clases account y posixAccount.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo phpldapadmin ● Insertamos un nuevo objeto del tipo “Samba: Equipo”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo 2.4. Gestión de grupos ● Un grupo de usuarios es una colección de cuentas de usuario que tienen en común los mismos derechos de seguridad. ● Una cuenta de usuario puede ser miembro de más de un grupo.
SOR - Francisco Javier Rufo
Apache Directory Studio ● Al crear un objeto nuevo, deberemos seleccionar la clase “Posix Group”. ● Debemos rellenar los datos, teniendo en cuenta que “memberUid” contendrá los usuarios del grupo. ● Para modificarlo, sólo debemos entrar en él y llevar a cabo los cambios deseados.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo JXplorer ● Al crear un objeto nuevo, deberemos seleccionar la clase “Posix Group”. ● Debemos rellenar los datos, teniendo en cuenta que “memberUid” contendrá los usuarios del grupo. ● Para modificarlo, sólo debemos entrar en él y llevar a cabo los cambios deseados.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo phpldapadmin ● Al añadir un hijo, seleccionar “Grupo posix”. ● Indicar el nombre del grupo y los usuarios que pertenecen a él.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo ● Si el grupo no tiene miembros y deseamos añadirlos, debemos seleccionar el grupo y pulsar sobre “Añadir atributo”, seleccionando el atributo “Member UID” e introducir en él los usuarios. ● Para modificar (añadir/quitar) los miembros del grupo una vez se han insertado, pulsaremos en “Modificar miembros de grupo” en el atributo “Member Uid”.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo Crear home del usuario al vuelo ● Añadir la siguiente línea al fichero /etc/pam.d/common- session: session required pam_mkhomedir.so skel=/etc/skel umask=0022
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo SOR - Francisco Javier Rufo