Archivo de la categoría: ldap

[OpenLDAP] Bitácora de instalación

He decidido recuperar mi blog técnico, y para comenzar su uso, he incluído una completa guía de instalación, configuración y personalización del servicio de directorio OpenLDAP bajo Debian GNU/Linux.

Espero poder contar con sus visitas y comentarios en esta nueva etapa de documentación en mi blog.

Gracias y allá nos vemos!

[LDAP] Easy LDAP: una manera rápida de instalar un Directorio LDAP

openLDAP es, de facto, el servicio para instalación de directorios LDAP v.3 en software libre más utilizado, pero su instalación es a veces engorrosa y/o complicada para muchas personas.

Aún con conocimientos de openLDAP, el gestionar los cambios en la base de configuración cn=config puede hacerse complicado y/o tedioso y la instalación de un primer DIT (Directory Information Tree) o su configuración puede alargarse innecesariamente.

Para resolver esos detalles, he creado un muy simple y conciso script en Bash que nos permite instalar un openLDAP básico con las siguientes características:

  • * openLDAP en Debian Squeezy/Wheezy con soporte a cn=config
  • * Instalación completamente desasistida (la mayoría de los parámetros los auto-descubre)
  • * Incorpora un DIT DC utilizando el nombre de dominio del equipo (ej: ejemplo.com.ve genera un root DN dc=ejemplo,dc=com,dc=ve)
  • * Seguridad TLS/SSL con certificados x.509 auto-generados
  • Logging personalizado (/var/log/slapd.log) con rsyslog y logrotate
  • Reglas ACLs básicas
  • Tunning básico de cn=config y olcBackend
  • cn=auditlog y changelog habilitados
  • Incorporación de una larga lista de esquemas incluyendo:
      • Samba
      • Asterisk
      • DNSzone
      • ISC DHCP-ldap
      • RFC2307-bis (posixGroup auxiliary)
      • Trac
      • sudo-ldap, entre otros
  • Indexación de todos los atributos necesarios para todos los esquemas
  • Habilitación de SASL Auth (requiere configuración previa de SASL Digest-MD5)
  • Incorporación de las reglas básicas para replicación usando SyncRPEL
  • cn=Monitor habilitado
  • Incorporación de los siguientes módulos (overlays)
      • Integridad Referencial de atributos
      • Datos únicos (uidNumber, gidNumber, etc)
      • Constraints (ej. jpegPhoto !> 512k ó userPassword debe ser mayor que 5 caracteres)
      • Password Policy (ej. auto-cifrado de claves a SSHA)
      • Dynamic Listing (permite crear listas y grupos dinámicos)
      • Ordenamiento por valor (ValSort)

Easy LDAP incorpora un DIT básico FLAT (plano) del que necesita por ejemplo Samba, por lo que las personas no tendrán que convivir con un DIT muy complicado.

El DIT Incorpora:

  • Grupos y Grupos dinámicos
  • Reglas Sudo para root y Administradores
  • Grupo Administradores con permisos de “manage” (administración) sobre todo el DIT LDAP
  • Reglas por defecto del password Policy
  • Grupos para administración de cuentas (account-admins), del LDAP (ldap-admins) y de réplica (replicators) con sus permisos respectivos.
  • Data de ejemplo de algunas entradas (usuarios, grupos, grupos dinámicos y hosts)

Instalando

Para utilizar el script deben descargarlo desde Gitorious:

git clone https://git.gitorious.org/easy-ldap/easy-ldap.git

Página web oficial del proyecto > https://www.gitorious.org/easy-ldap/

encontrarán un archivo install-ldap.conf y uno llamado install-ldap.sh, en el archivo “.conf”, este archivo permite personalizar cosas como el SUFIJO (SUFFIX) si lo desea para algo distinto a “dc=ejemplo,dc=com”, el dominio del equipo (si va a ser distinto al dominio configurado de la máquina), de estar este valor en blanco y el dominio de la máquina no está configurado, este lo preguntará.

Usando

Usar el script es bastante sencillo, solo tiene un parámetro que es la actividad que deseamos hacer:

install-ldap.sh install

Inicia el proceso de instalación de openldap y:

install-ldap.sh uninstall

Desinstala y borra la base de datos existente.

Eso es todo!, respondan las preguntas en pantalla, y dejen que finalice el script.

TODO

Queda por hacer:

  • Que las personas puedan incorporar su propio DIT ú otros DIT (más árboles al bosque LDAP)
  • Configurar una entidad certificadora (para que el certificado no sea auto-firmado) y SASL
  • Configuración de réplicas

¿Más información?

openLDAP es un servicio del cual hay poca documentación en español para actividades complejas como configuración de overlays, tunning del olcBackend o personalización de servicios, aún cuando llevo un wiki en phenobarbital.gnu.org.ve este está bastante desafasado (mi culpa, no tengo Internet en mi apartamento y a veces voy a un cibercafé a conectarme y subir cosas como esta) pero estaré mejorando la documentación y la guía:libro que acompañará este script.

¿Te resultó de Utilidad?, pues dona algo para la causa!, no seas pichirre! …

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 3.235 seguidores

A %d blogueros les gusta esto: