PDF de programación - ldap - Instalacion Inicial

Instalacion Inicial

Instalación Basica

1.

2.

3.

4.

5.

6.

7.

Una vez obtenido el archivo Tar que contiene OpenLDAP, este debe ser descomprimido en un directorio
temporal ( /tmp por lo general) para poder iniciar la instalación.
Dentro del directorio temporal ( /tmp ) donde fue descomprimido OpenLDAP ejecute el comando:
./configure , este comando configura los archivos de instalación de acuerdo a su sistema.
Posteriormente debe ejecutar make depend seguido de make , esto genera OpenLDAP dentro del mismo
directorio temporal.
Debe ejecutar ciertas pruebas para garantizar que OpenLDAP funcione correctamente, coloquese dentro del
directorio tests y ejecute make
Ahora si debe instalar OpenLDAP en el sistema, descienda del directorio tests y como raiz ejecute: make
install
El comando anterior instala OpenLDAP bajo el directorio /usr/local/etc/openladp (si no cambio este
parametro al tiempo de compilar OpenLDAP).
La instalación esta completa, ahora debe configurar los parametros basicos.

slapd.conf

El archivo slapd.conf ubicado dentro del directorio /usr/local/etc/openldap/ contiene los parametros globales y
especificos por arbol que serán utilizados por el servidor LDAP, éste es descrito a detalle en Configuración y
Ejecución de OpenLDAP

Configuración y Ejecución

slapd.conf

Es el archivo principal de OpenLDAP y es aqui donde se configuran todos sus parametros,si realizó la instalación de
acuerdo a esta guia, slapd.conf se encuentra dentro del directorio /usr/local/etc/openldap

Parametros Globales

Los parametros dentro de esta sección afectan el funcionamiento de todo el Servidor OpenLDAP, cualquier definición
antes de un parametro database es considerado global, cabe mencionarse que los valores de parametros globales
pueden ser contrarrestados al nivel de bases de datos, esto es, si se define el parametro access globalmente, es posible
alterar el valor de este parametro en "X" base de datos y el resto de las bases de datos permanecerán con el valor
global.

Los siguientes son parametros globales basicos para slapd.conf :

include /usr/local/etc/openldap/slapd.at.conf
include /usr/local/etc/openldap/slapd.oc.conf
schemacheck off
#referral ldap://root.openldap.org/
#access to * by * write
pidfile /usr/local/var/slapd.pid
argsfile /usr/local/var/slapd.args
loglevel 0

include : Este parametro indica otros archivos de configuración utilizados por el Servidor OpenLDAP, la
declaración anterior carga los archivos slapd.at.conf y slapd.oc.conf, otros archivos de configuración
ampliamente utilizados globalmente son denomidos schemas .

schemacheck: Es utilizado para la varificación de schemas , la utilización de Schemas es un tema muy amplio
por ahora basta desactivarlo (off).

referral: Indica un Servidor LDAP alterno en dado caso de no poderse efectuar la búsqueda en el servidor
LDAP actual.(Desactivado con comentario #).

access to ...: Parametro utilizado para restringir acceso al servidor LDAP, la utilización de acceso también
es un tema muy amplio descrito en otra sección de esta guia. (Desactivado con comentario #)

pidfile : Contiene el numero de proceso asignado al servidor LDAP al arranque. (Vea: Ejecución y
Terminación del Servidor LDAP )

argsfile : Contiene parametros utilizados en la linea de comandos al iniciar el servidor OpenLDAP (Vea:
Ejecución y Terminación del Servidor LDAP )

loglevel : Indica el nivel de registros ("log") producidos por el servidor LDAP, posibles valores:

Level Description

-1 enable all debugging

1 trace function calls

4 heavy trace debugging
16 print out packets sent and

received

64 configuration file processing

256

stats log
connections/operations/results

1024 print communication with

shell backends

Level Description
0 no debugging
2 debug packet
handling
8 connection
management
32 search filter
processing
access
control list
processing
stats log
entries sent
print entry
parsing
debugging

2048

128

512

Parametros por Base de Datos

Dentro de cada servidor LDAP se pueden encontrar varias base de datos, es dentro de estas bases de datos que
residirá toda información del Servidor OpenLDAP.

NOTA: En el sentido más estricto de la palabra
OpenLDAP no utiliza una base de datos , la "base de
datos" utilizada en OpenLDAP es un tipo de "Flat File"
generalmente ldbm .

Una definición para base de datos seria la siguiente:

database ldbm
suffix "dc=osmosislatina, dc=com"

#suffix "o=Osmosislatina, c=MX"
rootdn "cn=Admin, dc=osmosislatina, dc=com"
#rootdn "cn=Admin, o=Osmosislatina, c=MX"
rootpw daniel
directory /usr/local/var/openldap-ldbm

database: Indica el tipo de "base de datos" a utilizarse, generalmente del tipo ldbm (Otras alternativas:
shell,passwd), además indica el inicio de "base de datos", esto es, cada declaración de database se cosidera
una "base de datos" por separado, esto será descrito a mayor detalle en Insertar datos en OpenLDAP .

suffix: Este parametro indica el nodo raiz de la base de datos, esto es, el nodo sobre el cual será derivada toda
la información, en este caso dc=osmosislatina, dc=com (Notese que este también pudo ser
o=Osmosislatina, c=MX). Lo anterior indica que toda información dentro de esta "base de datos" LDAP
descenderá de la jerarquia dc=osmosislatina, dc=com (Esta jerarquia fue ilustrada en LDAP ). Lo anterior
será descrito a mayor detalle en Insertar datos en OpenLDAP

rootdn : Establece el nodo ("usuario") que tiene privilegios globales para modificar la "base de datos" LDAP ,
en este caso cn=Admin, notese que desciende del nodo raiz (suffix) dc=osmosislatina, dc=com .

rootpw : Indica la contraseña para el usuario rootdn.

directory : Define el directorio donde residirá la base de datos, este directorio debe existir antes iniciar el
Servidor LDAP.

Ejecución y Terminación del Servidor LDAP

Ejecución

Para iniciar OpenLDAP se ejecuta el comando slapd , ubicado en /usr/local/libexec/ , esto inicia el Daemon
LDAP bajo el puerto TCP 389 por default. Al momento de ejecutar slapd también es posible indicar ciertos
parametros de arranque como el (los) puerto(s) TCP: slapd -h "ldaps:// ldap://127.0.0.1:978" , lo anterior
inicia el servidor LDAP bajo SSL (Secure Socket Layer) bajo el puerto defualt 636 y bajo el puerto TCP 978 (en vez
del default 389).

El indicar estos parametros en la linea de comandos cada ocasión puede ser tedioso, por lo que se recomienda agregar
estos parametros al archivo slapd.args ubicado generalmente en /usr/local/var/ (ambos modificables de
slapd.conf ).

Para cerciorarse que el servidor LDAP esta operativo realize un telnet al puerto TCP en cuestion: telnet localhost
389 , si la conexión no es aceptada verifique los registros ("logs") de OpenLDAP.

Terminación

Para terminar el Daemon LDAP se debe ejecutar: kill -INT ‘cat /usr/local/var/slapd.pid‘ , lo anterior asume
que el parametro pidfile en slapd.conf se encuentra definido como: pidfile /usr/local/var/slapd.pid .

Registros ("Logs")

En el archivo slapd.conf se indico un nivel de registro ("logs") mediante el parametro loglevel , pero a que archivo
("logfile") es enviada esta información ?

OpenLDAP por "default" envia su información de registro ("log") al Daemon syslog( syslogd ) bajo el canal LOCAL4,
sin entrar en los detalles de syslogd se deben realizar los siguientes pasos:

Modificar el archivo syslog.conf , agregando una linea como la siguiente:

local4.* /var/log/openldap

Lo anterior indica enviar todo mensaje del canal LOCAL4 al archivo /var/log/openldap

Reiniciar el daemon syslogd con el comando: killall -HUP syslogd

Busquedas e Insercion de Datos

El insertar información en un servidor LDAP es uno de los primeros pasos a seguir después de su instalación, pero
antes de insertar información es conveniente saber cual es su estructura dentro de las bases de datos (LDBM)
utilizadas por LDAP .

Todo nodo o fragmento en un servidor LDAP es un DN Distinguished Name

Es dentro de cada Distinguished Name que son definidos distintos atributos los cuales contienen información
relevante como: Contraseñas, Apellidos, Fotografias, Nodos IP, o cualquier otro fragmento de información
imaginable.

Distinguished Name Raiz (suffix)

Cuando son definidos parametros para base de datos siempre se indica un DN (Distinguished Name) raiz, éste debe
ser representativo de la estructura jerarquica que se intenta captar.

mexico

mexico

brasil

brasil

venezuela

venezuela

DISTINGUISHED NAME Raiz

drubio
3ffw12eg
(52)-(6)-3422321 (52)-(5)-2353312 (55)-(11)-8696446 (55)-(21)-7453242 (58)-(2)-4943421 (58)-(61)-6543231

lsantos
we334faf

garaiza
2emndfs

ffontes
tert232

kpiment
4fhlzpqa

agarcia
dfvn24f

La jerarquia anterior representa una organización , por lo que el Distinguished Name Raiz puede ser:

"dc=osmosislatina, dc=com"

o

"o=Osmosislatina, c=MX"

La composición de cada distinguished name puede variar, en este caso se utilizaron los vocablos dc de "Domain
Component", c de "Country", o de "Object", sin embargo también hubiera sido posible utilizar p de "Pais",cd de
"Componente Dominio". Los vocablos son solo descriptivos y su única restricción (si existiese) es llevada acabo en la
definicion de Schemas .

Distinguished Name Administrativo (rootdn)

Además del DN distinguished name raiz, previa inserción de datos también existe un DN el cual posee acceso global
sobre la base de datos (LDBM) en cuestión. Este DN es derivado del DN raiz, por lo que puede ser: "cn=Admin,
dc=osmosislatina, dc=com", donde se utiliza cn como vocablo y Admin como valor, sin embargo, al igual que el DN
raiz, este vocablo y valor pueden variar.

Para accesar la base de datos (LDBM) utilizando el DN administrativo se emplea la contraseña también definida en
slapd.conf mediante el parametro rootpw.

Archivos LDIF

Estas estrucutras o DN dist