Instalación y configuración de OpenLDAP

• Enrutamiento, proxy y OpenLDAP

• Enrutamiento en Linux
• Cortafuegos iptables
• Proxy squid
• OpenLDAP
• Instalación y configuración de OpenLDAP
• Administración de OpenLDAP
• Autentificación del sistema con OpenLDAP
• Autentificación segura OpenSSL y OpenLDAP
• Acceso a carpetas privadas con autentificación por LDAP

Para simplificar la administración de los usuarios del sistema es ideal utilizar una base de datos
accesible mediante LDAP. Almacenar las cuentas de usuario de forma centralizada en un único
repositorio facilitará la creación, modificación y eliminación de cuentas de usuario y grupos de
usuarios. Será necesario configurar los PCs de la red para que utilicen el servidor LDAP como servidor
de autentificación.

Instalación de OpenLDAP
El servidor OpenLDAP está disponible en el paquete slapd por tanto, lo instalaremos utilizando apt-
get. También nos conviene instalar el paquete ldap-utils que contiene utilidades adicionales:
// Instalación del servidor LDAP
sudo apt-get install slapd ldap-utils

Configuración inicial de OpenLDAP

Los archivos de configuración del servidor LDAP se almacenan en la carpeta /etc/ldap/. En lugar de
editar manualmente dichos archivos, es mejor lanzar el asistente de configuración de slapd. Para ello
debemos ejecutar el siguiente comando:
//Lanzar el asistente de configuración de slapd
sudo dpkg-reconfigure slapd

Lo primero que nos pregunta el asistente es si deseamos omitir la configuración del servidor LDAP:
Asistente de configuración de slapd
Obviamente responderemos que no, ya que precisamente lo que queremos es configurar el servidor
LDAP.
Después nos preguntará si queremos que se elimine la base de datos cuando quitemos slapd. Para evitar
confusiones con bases de datos anteriores, lo mejor es responder Sí:

Pregunta sobre la eliminación de la base de datos

Luego nos preguntará si deseamos utilizar LDAP versión 2, respondemos que no ya que apenas se
utiliza.

Utilización LDAP versión 2

Con esto habremos concluido la configuración inicial del servidor LDAP.

Arranque y parada manual del servidor LDAP

El servidor LDAP, al igual que todos los servicios en Debian, dispone de un script de arranque y parada
en la carpeta /etc/init.d.
// Arrancar o reiniciar el servidor LDAP
sudo /etc/init.d/slapd restart

// Parar el servidor LDAP

sudo /etc/init.d/slapd stop

Arranque automático del servidor LDAP al iniciar el sistema

Para un arranque automático del servicio al iniciar el servidor, debemos crear los enlaces simbólicos
correspondientes tal y como se indica en el apartado Trucos > Arranque automático de servicios al
iniciar el sistema.

¿Sabías que?
La configuración del servidor LDAP se guarda en /etc/ldap pero...
...es mejor no tocar manualmente los archivos de configuración

Administración de OpenLDAP
• Enrutamiento, proxy y OpenLDAP
• Enrutamiento en Linux
• Cortafuegos iptables
• Proxy squid
• OpenLDAP
• Instalación y configuración de OpenLDAP
• Administración de OpenLDAP
• Autentificación del sistema con OpenLDAP
• Autentificación segura OpenSSL y OpenLDAP
• Acceso a carpetas privadas con autentificación por LDAP

Introducción
Una vez instalado y configurado el servidor LDAP, la siguiente tarea es la del diseño de la estructura y
la introducción de datos en el directorio.
Puesto que la finalidad de nuestro servidor LDAP es que sirva de almacén de usuarios y grupos para
autentificar sistemas linux y servicios como ftp y web, deberemos crear una estructura que parta de la
base de nuestro directorio, para almacenar dicha información. Tal y como se explica más abajo,
crearemos una unidad organizativa (ou) llamada groups, para almacenar los grupos de usuarios y
crearemos otra unidad organizativa llamada users para almacenar a los usuarios. 

Paso 1: Cargar plantillas

Al instalar el servidor LDAP, se instalan también unas plantillas que nos serviran para crear el esquema
básico para almacenamiento de usuarios unix para LDAP, lo que nos permitirá almacenar en nuestro
directorio, cuentas de usuario. Para instalar las plantillas necesarias, debemos ejecutar los siguientes
comandos:
// Instalar plantillas para almacenamiento de usuarios unix
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
 

Paso 2: Archivo de configuración del esquema básico

Después crearemos un archivo en formato ldif con la configuración de nuestro esquema básico. En
dicho archivo debemos configurar :
• Base del directorio: Se configura en el parámetro olcSuffix del archivo de configuración del
esquema básico. En nuestro ejemplo usaremos: dc=ieslapaloma,dc=com
• Nombre de usuario administrador: Se configura en el parámetro olcRootDN del archivo de
configuración del esquema básico. En nuestro ejemplo usaremos:
cn=admin,dc=ieslapaloma,dc=com
• Contraseña: Se configura en el parámetro olcRootPW del archivo de configuración del
esquema básico. En nuestro ejemplo usaremos: ldapadmin
• Permiso de acceso a contraseñas: Se configura en el parámetro olcAccess: to
attrs=userPassword. Daremos al usuario administrador permiso de escritura y a cada usuario
para cambiar su propia contraseña 
• Permiso de acceso global al directorio: Se configura en el parámetro olcAccess: to *.
Daremos al usuario administrador permiso de escritura y a todos los usuarios, permisos de
lectura
Almacenaremos el archivo en la carpeta temporal porque una vez procesado se debería borrar, ya que
contiene la contraseña de administrador en texto plano.
#  ---------- Archivo /tmp/ldapcurso-esquema-basico.ldif ----------
# Load dynamic backend modules
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb

# Database settings
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=ieslapaloma,dc=com
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=ieslapaloma,dc=com
olcRootPW: ldapadmin
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=admin,dc=ieslapaloma,dc=com" write by anonymous
auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=ieslapaloma,dc=com" write by * read
# ---------------------------------- 
Ahora habrá que cargar el servidor ldap con el archivo de configuración creado:
// Cargar en ldap el archivo ldapcurso-esquema-basico.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/ldapcurso-esquema-basico.ldif

Paso 3: Creación de unidades organizativas para almacenar cuentas unix

Para que nuestro directorio LDAP pueda almacenar cuentas unix, necesitamos crear una unidad
organizativa (dn: ou=users) para los usuarios y otra (dn: ou=groups) para los grupos de usuarios. Antes
debemos crear la base del directorio (dn: dc=ieslapaloma,dc=com) y el usuario administrador (dn:
cn=admin,dc=ieslapaloma,dc=com). Después podemos crear usuarios y grupos para hacer pruebas.
Crearemos los usuarios javier, joaquin y miguel en el grupo profesores y los usuarios jessica y joel en
el grupo alumnos. 
# ---------- Archivo /tmp/ldapcurso-usuarios.ldif ---------- 
dn: dc=ieslapaloma,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: ieslapaloma
o: ieslapaloma

dn: cn=admin,dc=ieslapaloma,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fXdSVDNLMEpKSlQydmM=

dn: ou=users,dc=ieslapaloma,dc=com
objectClass: organizationalUnit
objectClass: top
ou: users

dn: ou=groups,dc=ieslapaloma,dc=com
objectClass: organizationalUnit
objectClass: top
ou: groups

dn: cn=Francisco Javier,ou=users,dc=ieslapaloma,dc=com

objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: Francisco Javier
gidNumber: 1001
homeDirectory: /home/javier
loginShell: /bin/bash
sn: Corcuera Ruiz
uid: javier
uidNumber: 1001

dn: cn=Joaquin,ou=users,dc=ieslapaloma,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: Joaquin
gidNumber: 1001
homeDirectory: /home/joaquin
loginShell: /bin/bash
sn:: R8OzbWV6
uid: joaquin
uidNumber: 1002

dn: cn=Miguel Angel,ou=users,dc=ieslapaloma,dc=com

objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: Miguel Angel
gidNumber: 1001
homeDirectory: /home/miguel
loginShell: /bin/bash
sn: Martinez
uid: miguel
uidNumber: 1003

dn: cn=Jessica,ou=users,dc=ieslapaloma,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: Jessica
gidNumber: 1002
homeDirectory: /home/jessica
loginShell: /bin/bash
sn: Perez
uid: jessica
uidNumber: 1004

dn: cn=Joel Javier,ou=users,dc=ieslapaloma,dc=com

objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: top
cn: Joel Javier
gidNumber: 1002
homeDirectory: /home/joel
loginShell: /bin/bash
sn: Moreno
uid: joel
uidNumber: 1005

dn: cn=profesores,ou=groups,dc=ieslapaloma,dc=com
objectClass: posixGroup
objectClass: top
cn: profesores
gidNumber: 1001
memberUid: javier
memberUid: joaquin
memberUid: miguel

dn: cn=alumnos,ou=groups,dc=ieslapaloma,dc=com
objectClass: posixGroup
objectClass: top
cn: alumnos
gidNumber: 1002
memberUid: jessica
memberUid: joel
# ---------------------------------- 
Ahora habrá que cargar el servidor ldap con el archivo de usuarios creado:
// Cargar en ldap el archivo ldapcurso-usuarios.ldif (cuando pida la contraseña: ldapadmin)
sudo ldapadd -c -x -D cn=admin,dc=ieslapaloma,dc=com -W -f /tmp/ldapcurso-
usuarios.ldif

A partir de este momento ya tendremos un servidor LDAP apto para almacenar usuarios y grupos de
cuentas unix.

Explorador de directorios LDAP

Aunque LDAP permite trabajar con comandos y archivos ldif, para acceder al directorio LDAP y poder
crear y modificar elementos en dicho directorio, es más práctico utilizar un explorador de directorios
LDAP (LDAP browser). Existen muchos exploradores LDAP tanto de pago como libres. Entre las
aplicaciones libres destacamos gq, phpldapadmin (aplicación web) y JXplorer.
Para instalar gq, podemos utilizar apt-get install gq. Una vez instalada, para ejecutar gq tan solo
debemos pulsar alt+f2 y escribir gq.
Para instalar phpldapadmin, al igual que otras aplicaciones web, deberemos descargarla desde
http://phpldapadmin.sourceforge.net/ y descomprimirla dentro del DocumentRoot de apache, es decir,
dentro de la carpeta /var/www, por ejemplo en /var/www/phpldapadmin. Para ejecutarla, si la hemos
descomprimido en la carpeta anterior, debemos ir a http://ip_del_servidor_web/phpldapadmin/ con el
navegador y veremos la página principal de la aplicación:
Instalación de phpldapadmin

JXplorer - Explorador LDAP en java

Por su calidad superior, utilizaremos JXplorer para administrar el directorio LDAP.

Instalación de JXplorer
Previo a instalar jxplorer, es necesario instalar la máquina virtual java de Sun, para lo cual utilizaremos
apt-get, pero antes debemos activar los repositorios -partner- de Ubuntu (ver capítulo Trucos >
Archivo /etc/apt/sources.list):
// Instalación de Java (previamente activar repositorios partner)
sudo apt-get install sun-java6-bin sun-java6-jre sun-java6-plugin sun-java6-fonts
El comando anterior instalará java en la carpeta /usr/lib/jvm/java-6-sun/jre/bin/. Posteriormente
tendremos que editar el archivo /root/.bashrc y añadir las variables que permitan al shell encontrar los
binarios del JRE:
// Añadir en /root/.bashrc
CLASSPATH=/usr/lib/jvm/java-6-sun/jre/bin/
JAVA_HOME=/usr/lib/jvm/java-6-sun/jre/bin/
PATH=/usr/lib/jvm/java-6-
sun/jre/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/bin/X11:/usr/local/sbin:/usr/local/bin

Una vez instalado el java y establecidas las variables CLASSPATH, JAVA_HOME y PATH en el
archivo /root/.bashrc, debes cerrar el terminal y volver a abrirlo, para que cargue nuevamente las
variables de entorno. Si ejecutas el comando set en el terminal, podrás comprobar que ha cargado las
variables de entorno y podrás instalar JXplorer. JXplorer no está disponible en los repositorios de
paquetes de debian, pero se puede descargar haciendo clic aquí. Debemos copiar el archivo en la
carpeta /tmp de nuestro sistema y ejecutar:
// Instalar JXplorer (como usuario, no como root)
sh /tmp/jxplorer3.2_linux.bin

Se iniciará un sencillo asistente de instalación que al finalizar habrá creado la carpeta JXplorer en
nuestra carpeta home y el script de inicio jxplorer.sh dentro de ella, por lo tanto para ejecutarlo
debemos escribir:
// Ejecutar JXplorer: Entran en la carpeta de instalación y ejecutar:
~/JXplorer/jxplorer.sh

Veremos la pantalla principal de JXplorer:

Pantalla principal de JXplorer

Conexión con el servidor LDAP

La conexión con el servidor LDAP podemos hacerla como usuario anónimo o como usuario
administrador. Si conectamos de forma anónima solo podremos visualizar los elementos pero no
podremos hacer cambios. Si conectamos como administrador, podremos crear, modificar y eliminar
elementos de cualquier tipo.
Para conectar al servidor LDAP como administrador necesitamos la siguiente información:
• Dirección IP del servidor LDAP
• Protocolo del servidor (LDAP v3 en nuestro caso)
• Base del directorio (dc=ieslapaloma,dc=com en nuestro caso)
• Nombre de usuario administrador (cn=admin,dc=ieslapaloma,dc=com en nuestro caso)
• Contraseña (ldapadmin en nuestro caso)
La base del directorio se suele denominar en inglés 'base DN' o 'Nombre Distinguido de la base del
directorio'. Se corresponde con el parámetro 'suffix' del archivo de configuración del servidor LDAP
/etc/ldap/slapd.conf.
El nombre del usuario con el que nos conectamos se suele denominar en inglés 'user DN' o también
'bind DN'.

El nombre de usuario administrador por defecto suele ser admin y a menudo hay que proporcionar
nombre y base del directorio: cn=admin,dc=ieslapaloma,dc=com
Al hacer clic en el botón 'conectar' (marcado con círculo rojo en la figura) nos aparecerá el diálogo de
conexión para que introduzcamos los datos de la conexión. Para no tener que introducir dicha
información cada vez que conectemos, podemos grabar los datos pulsando 'Save'.

Diálogo para introducir los datos de la conexión

Si pulsamos OK, JXplorer conectará con el servidor LDAP y mostrará el directorio:

JXplorer mostrando el directorio

Vemos que en nuestro directorio ya tiene creada la organización llamada 'ieslapaloma', el usuario
administrador llamado 'admin' y dos unidades organizativas: groups y users en las cuales se encuentran
los grupos y los usuarios anteriormente creados.

Creación de usuarios y grupos con jxplorer

Anteriormente hemos creado el grupo alumnos y el grupo profesores mediante el archivo ldapcurso-
usuarios.ldif. Ahora veremos cómo crear usuarios y grupos desde la herramienta jxplorer. Como
ejemplo, crearemos un nuevo grupo y un nuevo usuario. Crearemos el siguiente grupo:
• jefesdpto (gid=1003)
Además, crearemos un usuario nuevo:
• carlos (uid=1006, jefesdpto)
Creación de grupos
Para crear los grupos, haremos clic con el derecho en la unidad organizativa 'groups' y haremos clic en
'New'. Observamos en 'Selected Classes' (clases seleccionadas) que está seleccionada la clase
'posixGroup'. El nombre (RDN) será jefesdpto, por tanto debemos escribir 'cn=jefesdpto' (cn=
Common Name - Nombre Común):

Creación de grupos
Al pulsar OK nos aparecerá la siguiente figura, en la cual observamos los atributos clásicos de un grupo
posix. Debemos rellenar al menos el campo gidNumber. También podemos introducir miembros al
grupo. En el parámetro memberUid añadimos javier. Luego, haciendo clic con el derecho en javier >
Add another value podemos añadir más miembros.
Atributos clásicos de un grupo posix

Creación de usuarios
Para crear los usuarios, haremos clic con el derecho en la unidad organizativa 'users' y haremos clic en
'New'. Observamos en 'Selected Classes' (clases seleccionadas) que están seleccionadas las clases
'inetOrgPerson','organizationalPerson','person' y 'posixAccount'. Si su nombre es Carlos, podemos
escribir en la casilla RDN 'cn=Carlos'.
Creación de usuarios
Al pulsar OK nos aparecerá la siguiente figura, en la cual observamos los atributos de las tres tipologías
de nuestro elemento: persona, usuario de internet y cuenta posix. Debemos rellenar al menos los
campos gidNumber (grupo primario que será el 1003), homeDirectory, uid (identificador), uidNumber
y sn (surname - apellidos). También podemos configurar la contraseña en el atributo userPassword
escribiendo la nueva contraseña cifrada con MD5.
Atributos de las tres tipologías de nuestro elemento
Lo mismo haremos con el resto hasta que tengamos creados los cinco usuarios. Al final nuestro
servidor LDAP tendrá la siguiente información:

Información ofrecida por nuestro servidor LDAP

Ya tendríamos creada la estructura, los grupos y los usuarios que necesitamos para nuestro sistema.

¿Sabías que?
Trabajar con herramientas gráficas como jxplorer o phpldapadmin resulta interesante cuando hay que
realizar consultas o pequeñas modificaciones...

...pero cuando se trata de crear usuarios de forma masiva, lo mejor es utilizar archivos ldif y el
comando ldapadd para cargarlos al servidor

Autentificación del sistema con OpenLDAP

• Enrutamiento, proxy y OpenLDAP
• Enrutamiento en Linux
• Cortafuegos iptables
• Proxy squid
• OpenLDAP
• Instalación y configuración de OpenLDAP
• Administración de OpenLDAP
• Autentificación del sistema con OpenLDAP
• Autentificación segura OpenSSL y OpenLDAP
• Acceso a carpetas privadas con autentificación por LDAP

Como ya hemos comentado anteriormente, una de las utilidades más importantes de un servidor LDAP
es como servidor de autentificación. Autentificarse es necesario para entrar en un sistema linux.
También para acceder a algunos servicios como un servidor FTP o a páginas privadas en un servidor
web. Aquí veremos las modificaciones que hay que realizar en un sistema Linux para que autentifique a
los usuarios en un servidor LDAP en lugar de utilizar los clásicos archivos /etc/passwd, /etc/group y
/etc/shadow.

Paso 1: Instalación de ldap-auth-client

Para que el PC cliente se autentifique por LDAP, instalaremos el meta-que instalará los paquetes y
herramientas necesarias para configurar el cliente. También instalaremos el paquete nscd que es un
caché de nombres y acelerará todas las operaciones de autentificación:
// Instalar meta-paquete ldap-auth-client y nscd
sudo apt-get install ldap-auth-client nscd

Acto seguido ejecutaremos auth-client-config que configurará el archivo /etc/nsswitch.conf para que
utilice ldap:
 // Configurar /etc/nsswitch.conf para que utilice ldap
sudo auth-client-config -t nss -p lac_ldap

Paso 2: Instalación de libpam-ldapd

Después instalaremos y configuraremos libpam-ldapd para que conecte con nuestro servidor LDAP
cuando haya que realizar alguna operación de autentificación. La librería libpam-ldapd permite que las
aplicaciones que utilizan PAM para autentificarse, puedan hacerlo mediante un servidor LDAP. Para
que el sistema linux se autentifique mediante un servidor LDAP es necesario instalar esta librería ya
que utiliza PAM. El archivo de configuración de ésta librería es /etc/nslcd.conf. pero no será necesario
editarlo ya que al instalar el paquete, se iniciará el asistente de configuración.
// Instalar librería libpam-ldapd
sudo apt-get install libpam-ldapd

Después se iniciará el asistente de configuración de libpam-ldapd al que tendremos que proporcionar

los datos básicos como quién es el servidor LDAP (nombre o IP):

URI del servidor LDAP

Después debemos indicar cuál es la base de nuestro directorio LDAP (base DN):
Base DN del directorio LDAP
Y finalmante debemos indicar los servicios que se habilitarán para búsquedas por LDAP. En nuestro
caso solamente seleccionaremos el servicio group:
Servicios a configurar por LDAP

Paso 3: Actualización de PAM

Para que el sistema PAM se reconfigure para utilizar LDAP, es necesario ejecutar el comando pam-
auth-update:
// Reconfiguración de PAM
sudo apt-get install pam-auth-update

Aparecerá el asistente de configuración de PAM: pulsaremos Aceptar:

Asistente de configuración de PAM
Posteriormente debemos indicar los perfiles PAM a habilitar. Seleccionaremos todos: 
Perfiles PAM a habilitar
Acto seguido debemos reiniciar el servico caché de nombres:
// Reiniciar el servico caché de nombres 
sudo /etc/init.d/nscd restart

A partir de este momento ya podemos comenzar a utilizar la autentificación del sistema por LDAP.
Nota: Si quieremos autentificarnos en el sistema con un usuario del LDAP, debemos previamente crear
la carpeta home de dicho usuario y cambiar el propietario y el grupo de dicha carpeta para que coincida
con el usuario y el grupo del usuario configurado en el LDAP.

Probar la autentificación
Nuestro servidor LDAP ya debería autentificar correctamente . Podemos probar la autentificación de
los servicios mediante el comando pamtest. Si deseamos probar que funciona el servicio passwd
(cambiar contraseña) sobre un usuario del directorio LDAP (ejemplo jessica) , podemos ejecutar:
// Probando el cambio de contraseña
pamtest passwd jessica
Trying to authenticate for service .
Password: // Introducimos el password de jessica
Authentication successful. // La autentificación ha sido satisfactoria
También podemos utilizar el comando finger sobre usuarios que estén solamente en el directorio
LDAP, por ejemplo joel:
// Probando finger
finger joel
Login: joel Name: Joel Javier
Directory: /home/www/alumnos Shell: /bin/sh
Last login Tue Sep 27 18:02 (CEST) on pts/3 from 192.168.1.213
No mail.
No Plan.

Podemos por ejemplo, desde una consola de root, cambiar mediante el comando 'su' (su=Switch User -
cambiar de usuario) a un usuario que esté en el directorio LDAP, para lo cuál no nos pedirá contraseña
ya que root tiene permiso para cambiar a cualquier usuario. Si posteriormente cambiamos a otro
usuario del directorio, ahora sí que nos pedirá contraseña. Deberemos introducir la contraseña que esté
almacenada en el directorio LDAP para dicho usuario:
// Cambiando de usuario
su joel // Somos root y cambiamos a joel
joel@ubuntu: // No nos pide password
joel@ubuntu:/$ su jessica // Somos joel, y cambiamos a jessica
Password: // Nos pide password, le introducimos
jessica@ubuntu:/$ // Ha cambiado correctamente

Reflexión
Si configuramos los PCs de un aula de informática para que se autentifiquen en el servidor LDAP,
¿podrán los usuarios utilizar su cuenta de usuario en cualquier PC sin necesidad de crear los usuarios
en cada PC?

Por supuesto, esa es la principal ventaja de centralizar los usuarios y contraseñas en un servidor LDAP
centralizado

Autentificación segura OpenSSL y OpenLDAP

• Enrutamiento, proxy y OpenLDAP
• Enrutamiento en Linux
• Cortafuegos iptables
• Proxy squid
• OpenLDAP
 • Instalación y configuración de OpenLDAP
• Administración de OpenLDAP
• Autentificación del sistema con OpenLDAP
• Autentificación segura OpenSSL y OpenLDAP
• Acceso a carpetas privadas con autentificación por LDAP

Los permisos que los usuarios tienen sobre los sistemas se basan en la autentificación del usuario.
Aunque ya se han desarrollado sofisticados métodos de autentificación como sistemas de tarjeta
electrónica (DNI electrónico) o sistemas biológicos como la huella dactilar o el iris del ojo, la realidad
es que requieren de elementos caros para su aplicación. En entornos educativos y en pequeñas y
medianas empresas, se sigue utilizando el mecanismo tradicional de autentificación del usuario
mediante su nombre de usuario (login) y su contraseña (password).

Desde que el usuario introduce su contraseña hasta que ésta llega al servidor para comprobar la
autentificación, el paquete de datos que contiene la contraseña viaja por los cables de red atravesando
concentradores (hubs), conmutadores (switches) y enrutadores (routers) hasta llegar al servidor.
Durante el trayecto, cualquier persona con los conocimientos necesarios podría quedarse con una copia
del paquete de datos para, posteriormente analizarlo y tratar de descubrir el nombre y la contraseña del
usuario sin que éste se percatase.

Con la finalidad de dificultar que alguien trate de descubrir contraseñas analizando los datos que las
contienen, existe la posibilidad de cifrar los paquetes de datos en el PC antes de enviarlos por la red, de
manera que lleguen al servidor cifrados. De esta forma, aunque un usuario malintencionado capture un
paquete de datos con la información del usuario y la contraseña, será muy dificil, por no decir
imposible, que sea capaz de descifrarlos ya que se utiliza cifrado asimétrico

El cifrado asimétrico permite la generación de una pareja de claves comunmente denominadas clave
pública y clave privada en el servidor. La pareja de claves es tal que, todo lo cifrado con una, solo se
puede descifrar con la otra.

El servidor tiene guardada en un lugar seguro la clave privada. Cuando un cliente intenta autentificarse,
el servidor le trasfiere la clave pública para que cifre los datos con dicha clave antes de enviarlos. El
cliente utiliza la clave pública del servidor para cifrar los datos, así al llegar el paquete al servidor, éste
podrá descifrarlo porque dispone de la clave privada. Si un usuario malintencionado intercepta el
paquete de datos cifrado con la clave pública, no podrá hacer nada porque no dispone de la clave
privada. Si el usuario malintencionado intercepta el primer paquete que envía el servidor con la clave
pública, no le servirá para nada ya que no le permitirá descifrar los datos emitidos por el PC que se va
autentificar.
Fundamentos de la autentificación segura

LDAP seguro - ldaps

Al igual que el servidor web apache utiliza el puerto 80 para transmitir información sin encifrar
(protocolo http) y el puerto 443 para transmitir información cifrada (protocolo https), openLDAP
también se puede configurar para que utilice las prestaciones de cifrado que ofrece OpenSSL.
Normalmente las consultas al servidor LDAP se realizan por el puerto 389 (protocolo ldap) pero dichas
consultas se transmiten sin cifrar. Para realizar consultas seguras cifrando los datos con SSL, es
necesasrio utilizar el puerto 636 (protocolo ldaps o protocolo ldap seguro). Para ello, el servidor deberá
disponer de un certificado firmado por una entidad certificadora (CA) y habrá que configurar slapd
para que utilice los certificados. Se deberán realizar los siguentes pasos:
• Crear una nueva entidad certificadora
• Crear una petición de firma de certificado del servidor
• Firmar el certificado con la CA
• Copiar los certificados a la carpeta deseada, renombrar y proteger
• Configurar slapd para que utilice los certificados
• Modificar script de inicio de slapd para que utilice protocolo seguro ldaps
• Reiniciar slapd
Crearemos un script que realizará automáticamente todos los pasos. Guardaremos el script en
/tmp/ldap-seguro.sh:

# ------- Script /tmp/ldap-seguro.sh -------

apt-get install gnutls-bin
sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"

echo cn = IES La Paloma>/etc/ssl/ca.info

echo ca>>/etc/ssl/ca.info
echo cert_signing_key>>/etc/ssl/ca.info

certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem  --template  /etc/ssl/ca.info

--outfile /etc/ssl/certs/cacert.pem
sh -c "certtool --generate-privkey > /etc/ssl/private/ldap01_slapd_key.pem"

echo organization = IES La Paloma>/etc/ssl/ldap01.info

echo cn = ldap01.example.com>>/etc/ssl/ldap01.info
echo tls_www_server>>/etc/ssl/ldap01.info
echo encryption_key>>/etc/ssl/ldap01.info
echo signing_key>>/etc/ssl/ldap01.info

certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_slapd_key.pem --load-ca-certificate

/etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem --template /etc/ssl/ldap01.info
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem

ldapmodify -Y EXTERNAL -H ldapi:/// << EOF

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
EOF

adduser openldap ssl-cert

chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem
chmod g+r /etc/ssl/private/ldap01_slapd_key.pem

echo SLAPD_SERVICES=\"ldap:/// ldapi:/// ldaps:///\" >> /etc/default/slapd

/etc/init.d/slapd restart
# ----------- FIN del Script -----------
Una vez guardado el script, solo queda ejecutarlo:
// Ejecutar script /tmp/ldap-seguro.sh
sudo sh /tmp/ldap-seguro.sh

Al finalizar el script se habrá reinciado el servidor slapd y admitirá conexiones seguras por el puerto
636.

Probando el acceso por ssl

Si nuestro servidor LDAP está funcionando en modo seguro, estará escuchando en el puerto 636 ya que
es el puerto utilizado por el protocolo ldaps. Para probarlo, iniciamos JXplorer pero la conexión la
realizamos a dicho puerto y el nivel de seguridad seleccionamos SSL + User + Password ya que la
autentificación va a ser por usuario y contraseña pero utilizando SSL:

Ldaps utiliza el puerto 636

Al intentar conectar, nos aparecerá la información del certificado. Podremos aceptar el certificado para
esta sesión (This session only) o para siempre (Always):
Aceptar certificado

Una vez que hemos conectado, podemos apreciar en la parte inferior que la conexión se ha realizado al
puerto 636:
Conexión segura

Reflexión
¿Por qué deberíamos siempre conectarnos al servidor LDAP utilizando el protocolo seguro ldaps?

Porque en las conexiones al servidor LDAP, enviamos contraseñas y si estas viajan en texto plano,
serían fácilmente descubiertas por algún usuario avanzado que conoque un sniffer en la red y almacene
todos los paquetes de datos
Acceso a carpetas privadas con autentificación
por LDAP
• Enrutamiento, proxy y OpenLDAP
• Enrutamiento en Linux
• Cortafuegos iptables
• Proxy squid
• OpenLDAP
• Instalación y configuración de OpenLDAP
• Administración de OpenLDAP
• Autentificación del sistema con OpenLDAP
• Autentificación segura OpenSSL y OpenLDAP
• Acceso a carpetas privadas con autentificación por LDAP

Otra posibilidad muy interesante es que los profesores e incluso el sitio web de la Intranet de nuestro
centro, puedan disponer de carpetas privadas accesibles mediante el navegador pero no por cualquier
usuario; por ejemplo los profesores podrían disponer de una carpeta donde almacenar información
confidencial accesible desde la web -notas, por ejemplo-. Así mismo puede ocurrir que queremos tener
en el servidor web de nuestra intranet páginas a las que sólo puedan tener acceso de lectura los
profesores del centro. Vamos a ver cómo conseguir todo esto.

Lo primero que hemos de tener en cuenta es que para que podamos autenticar a los usuarios en apache
mediante LDAP, hemos de habilitar un módulo especial en nuestro servidor web para que apache pueda
validar el acceso a las carpetas deseadas a través de la base de usuarios del servidor LDAP. Dicho
módulo se habilita ejecutando el siguiente comando:
// Habilitar módulo de autentificación de apache con ldap
sudo a2enmod authnz_ldap

El siguiente paso es crear una carpeta de nombre "privada" colgando de "/var/www", lugar donde
ubicaremos las páginas privadas de nuestro servidor web.
Posteriormente introducimos en /etc/apache2/sites-available/default textualmente las siguientes líneas,
mediante las cuales logramos definir la carpeta "privada" como aquella a partir de la cual el contenido
allí contenido será privado y sólo accesible por los usuarios especificados
// Carpeta privada. Añadir en /etc/apache2/sites-available/default
<Directory "/var/www/webprivada/">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
AuthType basic
 AuthBasicProvider ldap
AuthName "Identificacion LDAP ieslapaloma.com"
AuthLDAPUrl ldap://127.0.0.1:389/dc=ieslapaloma,dc=com?uid
AuthLDAPBindDN "cn=admin,dc=ieslapaloma,dc=com"
AuthLDAPBindPassword ldapadmin
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid
require user miguel javier carlos
</Directory>

En el parámetro AuthLDAPUrl sustituiremos 127.0.0.1 por la dirección IP o el nombre del servidor

LDAP si fuera otro servidor distinto al servidor apache y en el parámetro "AuthLDAPBindPassword"
la cadena "ldapadmin" por la contraseña que hayamos asignado al usuario "administrador (admin)" del
servidor LDAP.

En el parámetro AuthLDAPUrl vemos que al final termina con '?uid'. Significa que lo que debe de
introducir el usuario es su uid (login del usuario). Podemos filtrar la entrada del usuario y poner
condiciones si terminamos la url con '?uid??(atributo=valor)'. De esta forma solamente serían válidos
aquellos usuarios que tengan un atributo con un valor determinado, ejemplo '?uid??(gidNumber=1001)'
solo admitiría usuarios cuyo grupo primario sea 1001.

El parámetro AuthLDAPGroupAttributeIsDN debe estar a off para que no utilice el cn (nombre común)
del usuario sino el uid a la hora de comprobar la pertenencia a un grupo.

En el parámetro AuthLDAPGroupAttribute debemos indicar el campo que se analizará para comprobar

la pertenencia a un grupo.

El parámetro 'require user' seguido de una lista de usuarios permitidos, ejemplo 'require user miguel
joaquin jessica' solo permite el acceso a esos usuarios. Para permitir a cualquier usuario que exista en el
servidor LDAP, podemos usar 'requiere valid-user'.

Guardamos los cambios realizados y para completar el proceso reiniciaremos el servidor "apache"
// Reiniciar apache
sudo /etc/init.d/apache2 restart

Si ubicamos un fichero de nombre "prueba.html" en dicha carpeta ("/var/www/privada"), podremos

acceder a ella mediante la URL "http://www.ieslapaloma.com/privada/prueba.html", mostrándose la
siguiente pantalla en la cual se nos pedirá autenticación, y en la cual serán válidas las credenciales de
los usuarios permitidos.
Nota: editar /etc/hosts y añadir la línea 127.0.0.1 www.ieslapaloma.com para que resuelva
correctamente el nombre www.ieslapaloma.com (o el que hayamos utilizado)
Petición de autenticación
Una vez validado adecuadamente algún usuario con permisos de acceso a los contenidos privados se
mostrará la página solicitada.
Se muestra la página solicitada
Además podemos crear una carpeta privada para cada profesor, de modo que el contenido allí existente
sólo fuera accesible por él mismo previa autenticación; para ello crearemos una carpeta de nombre
'privada' colgando de la carpeta personal de cada profesor (por ejemplo en el caso del profesor Javier,
en '/home/javier/public-html/'). Además de la creación de dicha carpeta 'privada' en la ruta
correspondiente, hemos de editar el archivo /etc/apache2/sites-available/default e incluir la siguiente
entrada en el apartado correspondiente a los directorios:
// Carpeta privada de javier. Añadir en /etc/apache2/sites-available/default
Alias /javier-p/ "/home/javier/public_html/privada/"
<Directory "/home/javier/public_html/privada/">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
AuthType basic
AuthBasicProvider ldap
AuthName "Identificacion LDAP ieslapaloma.com"
AuthLDAPUrl ldap://127.0.0.1:389/dc=ieslapaloma,dc=com?uid
 AuthLDAPBindDN "cn=admin,dc=ieslapaloma,dc=com"
AuthLDAPBindPassword ldapadmin
require user javier
</Directory>

Igual que antes, sustituiremos las cadenas '127.0.0.1' y "ldapadmin" por sus valores correctos. Además
hemos de introducir esta entrada para cada uno de los profesores del centro, sustituyendo en las rutas de
las dos primeras líneas el valor "javier" por el del profesor que deseamos que tenga el acceso seguro,
así como dicho valor también en la penúltima línea.

Tras almacenar los cambios en el fichero de configuración y reiniciar el servicio apache, para acceder a
un fichero de nombre "prueba.html" ubicado en la carpeta privada del profesor Javier teclearemos la
URL: 'http://www.ieslapaloma.com/javier-p/prueba.html'

Es posible hacer, y de hecho es recomendable, que las carpetas privadas sean además seguras, es decir,
utilicen un canal SSL, con lo cual el acceso a las carpetas seguras sería 'https' en el puerto '443', el resto
de las rutas de las URL de acceso se mantendrían estables. Para lograrlo hemos de introducir en cada
una de las entradas '<Directory>' la instrucción 'SSLRequireSSL'.