Instalación de un servidor LDAP

Describiremos como montar un servidor LDAP simple que nos permita la gestión de usuarios y grupos

• el servidor mantendrá la lista de usuarios y grupos del dominio
• en los clientes la autenticación de usuarios y los permisos se basará en el servidor LDAP

Pasos para la instalación del servidor en Debian

1. Instalar los paquetes slapd (servidor OpenLDAP) y ldap-utils (utilidades del paquete OpenLDAP: ldapsearch, ldapadd)
   • En la configuración, elegir una contraseña para el administrador del LDAP (no tiene que ser la contraseña de root del sistema)
   • El comando slapcat permite ver la estructura creada
     • comprobar que la estructura creada por defecto es correcta
   • Podemos hacer búsquedas sencillas con ldapsearch

   # ldapsearch -x -b dc=midominio,dc=test cn=admin

2. Ficheros de configuración:
   1. Fichero de opciones del demonio /etc/default/slapd
      • Permite, entre otras cosas, especificar las interfaces donde se desea que escuche ldap (por defecto, todas las interfaces usando TCP puerto 389, URI ldap://389)
      • La variable SLAPD_SERVICES indica los mecanismos de escucha de slapd
        • Puede aceptar conexiones estándar (ldap://), conexiones seguras con SASL (Simple Authentication and Security Layer), usando ldaps:/// o peticiones realizadas desde sockets UNIX (ldapi:///)
      • Indicar que acepte conexiones estándar en la red del cliente (ldap://172.25.25.1:389/), y reiniciar el servicio (service slapd restart)
   2. Fichero de configuración del servidor /etc/ldap/sldap.conf
      • Fichero de configuración del demonio slapd (en principio, no es necesario cambiarlo)
      • En versiones recientes, cambiado por ficheros LDIF en el directorio /etc/ldap/slapd.d
      • Para más info, ver man slapd.conf
   3. Fichero /etc/ldap/ldap.conf
      • Fichero de configuración global para los clientes LDAP
      • Permite especificar la base por defecto, el servidor LDAP, etc. (cambiarlo para poner nuestra configuración, comprobar que tiene permisos 644)
      • Para más info, ver man ldap.conf
3. Crear la estructura de la base de datos: crearemos los nodos de People y Group del árbol LDAP
   1. Crear el siguiente fichero estructura.ldif en formato LDIF:

          dn: ou=People,dc=midominio,dc=test
          objectClass: top
          objectClass: organizationalUnit
          ou: People
          
          dn: ou=Group,dc=midominio,dc=test
          objectClass: top
          objectClass: organizationalUnit
          ou: Group
      

   2. Añadir los nodos a la base de datos:

      # ldapadd -x -D 'cn=admin,dc=midominio,dc=test' -W -f estructura.ldif

      • -x autenticación simple sin SASL
      • -D nombre distinguido con el que nos conectamos a LDAP (ponemos el del administrador)
      • -W pide la contraseña de forma interaciva
      • -f fichero a cargar
4. Añadir un usuario y un grupo a la base de datos
   1. Crear un fichero como este, que tiene la información para un usuario y un grupo:

          dn: uid=pepe,ou=People,dc=midominio,dc=test
          objectClass: top
          objectClass: account
          objectClass: posixAccount
          objectClass: shadowAccount
          uid: pepe
          cn: Jose Pena
          uidNumber: 2000
          gidNumber: 2000
          homeDirectory: /home/pepe
          loginShell: /bin/bash
          gecos: Jose Pena, Despacho 22,,
      
          dn: cn=pepe,ou=Group,dc=midominio,dc=test
          objectClass: top
          objectClass: posixGroup
          cn: pepe
          gidNumber: 2000
      

      • define un usuario pepe y un grupo pepe con información similar a la aparece en el fichero /etc/passwd
      • puede añadirse más información, como la que aparece en el fichero /etc/shadow: campos shadowMax, shadowExpire, shadowWarning, etc.
   2. Añadir el fichero con:

      # ldapadd -x -D 'cn=admin,dc=midominio,dc=test' -W -f user-group.ldif

   3. Probarlo haciendo búsquedas, tipo:

      # ldapsearch -x uid=pepe

   4. Añadir una contraseña al usuario: puede hacerse directamente metiendo un campo userPassword en el fichero anterior, pero es preferible hacerlo mediante el comando ldappasswd

   # ldappasswd -x 'uid=pepe,ou=People,dc=midominio,dc=test' -D 'cn=admin,dc=midominio,dc=test' -W -S

5. Por último, también podemos querer instalar el servidor como cliente, por lo que debemos seguir los pasos indicados en la sección de instalación de un cliente