Este articulo no esta completo y puede contener imprecisiones ya que aun esta siendo elaborado

Situación

Necesitamos un directorio LDAP para almacenar datos de usuarios en una máquina con Ubuntu 7.04 (Fesity). El objetivo del servicio LDAP es la centralización de usuarios para diversos servicios:

Servicio Software
DokuWiki Dokuwiki
SMTP Postfix
IMAP Dovecot
POP3 Dovecot

Tenemos varios dominios, todos ellos los vamos a albergar bajo la raiz LOCOLANDIA.NET

Estructura

Esta es la estructura que vamos a mantener para posibilitar mantener varios dominios:

dc=locolandia,dc=net
 |
 |--ou=groups
 |   |--cn=admin
 |--ou=domains
     |
     |--ou=foo.bar
     |   |--ou=people
     |       |--uid=usuario1
     |   |--ou=alias
     |       |--mail=algo@foo.bar
     |--ou=otro.com
     |   |--ou=people
[...]

Instalación

Utilizaremos slapd como demonio LDAP y ldap-tools para gestionarlo por consola, también hay aplicaciones gráficas como phpldapadmin para administrar ldap gráficamente.

sudo apt-get install slapd ldap-utils

Lo primero que hare sera borrar el arbol que me genera la instalación porque no es lo que me interesa, habra maneras más elegantes de hacerlo pero así lo hice yo:

sudo /etc/init.d/slapd stop
sudo rm -rf /var/lib/ldap/*

Como hemos borrado toda la estructura necesitamos cr

Y ahora montamos nuestra estructura mediante un fichero ldif con el siguiente contenido:

Creación del dominio

Securización

Pues bien, necesitamos configurar que el demonio SLAPD escuche en las interfazes internas con direcciones IP 127.0.0.1 y 192.168.23.23, y forzar las consultas LDAP a través de la red para que vayan cifradas con SSL.

SSL

Para configurar SSL, es necesario tener una clave privada y un certificado SSL, si todavía no tienes en el Manual de SSL.

Por lo que: 1) Copiar1) las claves SSL a un directorio para OpenSSL.

usuario@maquina:~ $ sudo mkdir /etc/ldap/ssl/
usuario@maquina:~ $ sudo chmod 750 /etc/ldap/ssl/
usuario@maquina:~ $ sudo cp -l /etc/ssl/private/locolandia.net.key /etc/ldap/ssl/
usuario@maquina:~ $ sudo cp -l /etc/ssl/certs/locolandia.net.pem /etc/ldap/ssl/
usuario@maquina:~ $ sudo chmod 400 /etc/ldap/ssl/locolandia.net.key
usuario@maquina:~ $ sudo chown openldap: -R /etc/ldap/ssl/

2) Configurar SSL para el demonio SLAPD

usuario@maquina:~ $ cd /etc/ldap
usuario@maquina:/etc/ldap $ sudo editor slapd.conf
-- Añadimos al principio (Global Directives) --
TLSCertificateFile /etc/ldap/ssl/locolandia.net.pem
TLSCertificateKeyFile /etc/ldap/ssl/locolandia.net.key
--                   Fin                     --

3) Configurar los puertos en los que escucha SLAPD

usuario@maquina:/etc/ldap $ sudo editor /etc/default/slapd
-- Añadimos la linea SLAPD_SERVICES --
SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps://192.168.23.23/"
--             Fin                  --

4) Reiniciar el demonio

usuario@maquina:/etc/ldap $ sudo /etc/init.d/slapd restart
1) Se hará un enlace duro y así cuando se renueve el certificado se realizará el cambio en los servicios
 
Subir
howto/openldap.txt · Última modificación: 26/10/2007 20:27 por snaker