El modelo de información de LDAP está basado en entradas. Una entrada es una colección de atributos que tienen un único y global Nombre Distinguido^[1] (DN). El DN se utiliza para referirse a una entrada sin ambigüedades. Cada atributo de una entrada posee un tipo y uno o más valores. Los tipos son normalmente palabras nemotécnicas, como “cn” para common name, o “mail” para una dirección de correo. La sintaxis de los atributos depende del tipo de atributo. Por ejemplo, un atributo cn puede contener el valor “Sergio González”. Un atributo email puede contener un valor “sergio@ejemplo.com”. El atributo jpegPhoto ha de contener una fotografía en formato JPEG.

En LDAP, las entradas están organizadas en una estructura jerárquica en árbol. Tradicionalmente, esta estructura reflejaba los límites geográficos y organizacionales. Las entradas que representan países aparecen en la parte superior del árbol. Debajo de ellos, están las entradas que representan los estados y las organizaciones nacionales. Debajo de estás, pueden estar las entradas que representan las unidades organizacionales, empleados, impresoras, documentos o todo aquello que pueda imaginarse. La Figura 1.1, “Árbol del directorio LDAP (nombramiento tradicional)” muestra un ejemplo de un árbol de directorio LDAP haciendo uso del nombramiento tradicional.

Figura 1.1. Árbol del directorio LDAP (nombramiento tradicional)^[2]

El árbol también se puede organizar basándose en los nombres de dominio de Internet. Este tipo de nombramiento se está volviendo muy popular, ya que permite localizar un servicio de directorio haciendo uso de los DNS. La Figura 1.2, “Árbol del directorio LDAP (nombramiento de Internet)” muestra un ejemplo de un directorio LDAP que hace uso de los nombres basados en dominios.

Figura 1.2. Árbol del directorio LDAP (nombramiento de Internet)^[3]

Además, LDAP permite controlar que atributos son requeridos y permitidos en una entrada gracias al uso del atributo denominado objectClass. El valor del atributo objectClass determina que reglas de diseño (schema rules) ha de seguir la entrada.

Una entrada es referenciada por su nombre distinguido, que es construido por el nombre de la propia entrada (llamado Nombre Relativo Distinguido^[4] o RDN) y la concatenación de los nombres de las entradas que le anteceden. Por ejemplo, la entrada para Nuno Gonçalves en el ejemplo del nombramiento de Internet anterior tiene el siguiente RDN: uid=nuno y su DN sería: uid=nuno,ou=estig,dc=ipb,dc=pt. El formato completo para los DN está descrito en el RFC2253, “Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names.”

LDAP define operaciones para interrogar y actualizar el directorio. Provee operaciones para añadir y borrar entradas del directorio, modificar una entrada existente y cambiar el nombre de una entrada. La mayor parte del tiempo, sin embargo, LDAP se utiliza para buscar información almacenada en el directorio. Las operaciones de búsqueda de LDAP permiten buscar entradas que concuerdan con algún criterio especificado por un filtro de búsqueda. La información puede ser solicitada desde cada entrada que concuerda con dicho criterio.

Por ejemplo, imagínese que quiere buscar en el subárbol del directorio que está por debajo de dc=ipb,dc=pt a personas con el nombre Nuno Gonçalves, obteniendo la dirección de correo electrónico de cada entrada que concuerde. LDAP permite hacer esto fácilmente. O tal vez prefiera buscar las organizaciones que posean la cadena IPB en su nombre, posean número de fax y estén debajo de la entrada st=Bragança,c=PT. LDAP le permite hacer esto también. La siguiente sección describe con mayor detalle que se puede hacer con LDAP y como puede serle útil.

Algunos servicios de directorio no proveen protección, permitiendo a cualquier persona acceder a la información. LDAP provee un mecanismo de autentificación para los clientes, o la confirmación de identidad en un servidor de directorio, facilitando el camino para un control de acceso que proteja la información que el servidor posee. LDAP también soporta los servicios de privacidad e integridad.

slapd implementa la versión 3 de Lightweight Directory Access Protocol. slapd soporta LDAP sobre IPv4, IPv6 y Unix IPC.

slapd tiene soporte de autentificación fuerte gracias al uso de SASL. La implementación SASL de slapd hace uso del software Cyrus SASL, el cual soporta un gran número de mecanismos de autentificación, como: DIGEST-MD5, EXTERNAL, y GSSAPI.

slapd provee protecciones de privacidad e integridad gracias al uso de TLS (o SSL). La implementación TLS de slapd hace uso del software OpenSSL.

slapd se puede configurar para restringir el acceso a la capa de socket basándose en la información topológica de la red. Esta característica hace uso de los TCP wrappers.

slapd provee facilidades de control de acceso muy potentes, permitiéndole controlar el acceso a la información de su(s) base(s) de datos. Puede controlar el acceso a las entradas basándose en la información de autorización de LDAP, en la dirección IP, en los nombres de dominio y otros criterios. slapd soporta tanto el control de acceso a la información dinámico como estático.

slapd soporta Unicode y etiquetas de lenguaje.

slapd viene con una serie de backends para diferentes bases de datos. Estos incluyen DBD, un backend de una base de datos transaccional de alto rendimiento; LDBM, un backend ligero basado en DBM; SHELL, una interface para scripts de shell; y PASSWD, un backend simple para el archivo passwd (5). El backend BDB hace uso de Sleepycat Berkeley DB. LDBM utiliza cualquiera de las siguientes: Berkeley DB o GDBM.

slapd se puede configurar para servir a múltiples bases de datos al mismo tiempo. Esto significa que un único servidor slapd puede responder a peticiones de diferentes porciones lógicas del árbol de LDAP, haciendo uso del mismo o distintos backends de bases de datos.

Si necesita más personalización, slapd le permite escribir sus propios módulos fácilmente. slapd consiste en dos partes diferentes: un frontend que maneja las comunicaciones protocolares con los clientes LDAP; y módulos que manejan tareas específicas como las operaciones con las bases de datos. Debido a que estas dos piezas se comunican a través de una API C bien definida, puede escribir sus propios módulos, que extenderán slapd de múltiples maneras. También existen numerosos módulos programables de bases de datos. Estos permiten a slapd acceder a fuentes de datos externas haciendo uso de lenguajes de programación populares (Perl, shell, SQL y TCL).

slapd hace uso de hilos para obtener alto rendimiento. Un proceso único multihilo maneja todas las peticiones entrantes haciendo uso de una piscina de hilos. Esto reduce la carga del sistema a la vez que provee alto rendimiento.

slapd se puede configurar para que mantenga copias de la información del directorio. Este esquema de replicación, un único maestro/múltiples esclavos, es vital en ambientes con un volumen alto de peticiones, donde un único servidor slapd no podría proveer la disponibilidad ni la confiabilidad necesarias. slapd incluye también un soporte experimental para la replicación de múltiples maestros. slapd soporta dos métodos de replicación: Sync LDAP y slurpd (8).

slapd puede ser configurado como un servicio proxy de caché LDAP.

slapd es altamente configurable a través de un único archivo de configuración, que permite modificar todo aquello que se necesite cambiar. Las opciones por defecto son razonables, lo que facilita mucho el trabajo.

El Proyecto OpenLDAP dispone de una página principal, http://www.openldap.org/, desde donde puede obtener mucha información sobre el proyecto. De hecho, para elaborar esta sección ha utilizado la información allí disponible.

El código de OpenLDAP es de libre distribución (vea los The OpenLDAP Public License y Apéndice AU, Derechos de copia de OpenLDAP para más información) y su código fuente está disponible desde distintas fuentes, como se verá a continuación.

OpenLDAP dispone de distintas ramas de desarrollo, entre las que se encuentran:

La forma de acceso al código fuente se detalla a continuación:

De todas formas, la mayoría de las distribuciones de GNU/Linux disponen de paquetes binarios de OpenLDAP, si los necesitase. Obtenga la información de su distribución para comprobar que posee paquetes de este software.

La página principal del Proyecto OpenLDAP dispone de una sección dedicada a la documentación, desde donde se pueden obtener documentos tan interesantes como OpenLDAPProject01, entre otros. Para más detalles, visite: http://www.openldap.org/doc/index.html

La página dedicada al soporte de OpenLDAP, informa sobre los distintos métodos existentes para obtener ayuda en un determinado momento. Los métodos más importantes para obtener ayuda son los siguientes:

Faq-O-Matic: Sitio dedicado a las preguntas frecuentes sobre OpenLDAP: http://www.openldap.org/faq/

Listas de correo: El Proyecto OpenLDAP dispone varias listas de correo, entre las que se encuentran algunas como anuncios, bugs o desarrollo, siendo una fuente de información fiable y directa. En la siguiente página encontrará toda la información necesaria para acceder a dichas listas de correo: http://www.openldap.org/lists/

Servicio técnico de terceros: Muchas empresas ofrecen servicio técnico a la comunidad de OpenLDAP, un listado de las mismas se puede obtener desde: www.openldap.org/support/index.html

OpenLDAP dispone de un Sistema de seguimiento de tareas, desde donde se pueden reportar errores y bugs relacionados con OpenLDAP (tanto en lo relativo al software como a la documentación), hacer peticiones de nuevas características y realizar contribuciones al software.

Para obtener más información sobre OpenLDAP, puede contactar con el Proyecto en la siguiente dirección:

The OpenLDAP Project
c/o The OpenLDAP Foundation
270 Redwood Shores Pwy, PMB#107
Redwood City, California 94065
USA

<Project@OpenLDAP.org>

El primer paso para instalar OpenLDAP, es instalar los paquetes slapd y ldap-utils. Veamos el procedimiento:

Aviso

Se ha de tener en cuenta que en algunas ocasiones no aparecen todas las capturas de pantalla que se muestran en el Ejemplo 2.1, “Instalación de los paquetes slapd ldap-utils (primera parte)”, eso se puede deber a que ya se haya instalado anteriormente slapd en el sistema o debido al nivel de preguntas elegido en la configuración de debconf. Si por cualquier motivo no apareciesen, puede forzar la configuración de slapd con la orden: # /usr/sbin/dpkg-reconfigure --priority=low slapd

# apt-get install slapd ldap-utils
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
Se instalarán los siguientes paquetes NUEVOS:
  ldap-utils slapd
0 actualizados, 2 se instalarán, 0 para eliminar y 1 no actualizados.
Se necesita descargar 0B/1042kB de archivos.
Se utilizarán 2884kB de espacio de disco adicional después de desempaquetar.
Preconfiguring packages ...

Figura 2.1. Configuración de slapd mediante debconf

Si se quiere configurar algunos aspectos de slapd a través de debconf, responda No, en esta pantalla.

Figura 2.2. Configuración de slapd, elección del dominio

Esta pantalla se pide el dominio sobre el cual se va a ejecutar el servidor slapd, en este caso será el dominio gsr.pt.

Figura 2.3. Configuración de slapd, nombre de la organización

Solicitud del nombre de la organización que está instalando el servidor OpenLDAP. En este ejemplo se dejará el nombre del dominio anteriormente tecleado: gsr.pt.

Figura 2.4. Configuración de slapd, clave de administrador

Pantalla de solicitud de la clave para el administrador del servicio LDAP. Este usuario es el superusuario (root) de OpenLDAP, por lo que se debería elegir una buena clave.

Figura 2.5. Configuración de slapd, repetir clave de administrador

Verificación de la clave del administrador, se ha de teclear la misma que en la pantalla anterior.

Figura 2.6. Configuración de slapd, elección del backend de la BBDD

Elección del backend de la base de datos que utilizará OpenLDAP. En este ejemplo se elegirá LDBM.

Figura 2.7. Configuración de slapd, ¿conservar los datos al desinstalarlo?

	Aviso
	Tenga cuidado con la elección de esta pantalla, puede perder los datos almacenados en la base de datos de OpenLDAP si “accidentalmente” se desinstala slapd.

Seleccionamos que No queremos que se borre la base de datos de OpenLDAP al desinstalarse el servidor slapd.

Figura 2.8. Configuración de slapd, ¿mover los datos antiguos?

	Nota
	Esta pantalla de configuración puede no aparecer cuando instale OpenLDAP en su sistema, no se preocupe por ello. El motivo para que no aparezca es que no existen datos en el directorio /var/lib/ldap, esto se puede deber a que esta sea su primera instalación de OpenLDAP o se hayan borrado los datos de dicho directorio, entre otros.

Dependiendo de sus necesidades debería contestar o Sí o No en esta pantalla. En este ejemplo se contestará que Sí, de esta forma los datos existentes en /var/lib/ldap se empaquetarán y se moverán moverán a un directorio similar a /var/backups/var_lib_ldap-*FECHA*/ donde *FECHA* se sustituirá por la fecha que posea el ordenador en ese momento.

Figura 2.9. Configuración de slapd, protocolo LDAPv2

Al igual que la pantalla anterior, la respuesta a esta pregunta dependerá de sus necesidades. En este ejemplo se optará por no mantener la compatibilidad con la versión 2 del protocolo LDAP, opción que se recomienda encarecidamente seleccionar.

find: /var/lib/ldap: No existe el fichero o el directorio

Seleccionando el paquete ldap-utils previamente no seleccionado.
(Leyendo la base de datos ...
252690 ficheros y directorios instalados actualmente.)
Desempaquetando ldap-utils (de .../ldap-utils_2.1.30-3_i386.deb) ...
Seleccionando el paquete slapd previamente no seleccionado.
Desempaquetando slapd (de .../slapd_2.1.30-3_i386.deb) ...
Configurando ldap-utils (2.1.30-3) ...
Configurando slapd (2.1.30-3) ...
Creating initial slapd configuration... done
Creating initial LDAP directory... done
Starting OpenLDAP: slapd.

localepurge: checking system for new locale ...
localepurge: processing locale files ...
localepurge: processing man pages ...

Una vez más, dependiendo de como se encuentre su sistema y los paquetes que tenga instalados en el mismo, se instalarán y sugerirán más o menos dependencias a la hora de instalar OpenLDAP.

La siguiente captura muestra la información relativa a los paquetes que se acaban de instalar (dependencias, sugerencias de instalación, etc).

$ /usr/bin/apt-cache show slapd ldap-utils
Package: slapd
Priority: optional
Section: net
Installed-Size: 2392
Maintainer: Torsten Landschoff <torsten@debian.org>
Architecture: i386
Source: openldap2
Version: 2.1.30-3
Provides: ldap-server
Depends: libc6 (>= 2.3.2.ds1-4), libdb4.2, libgcrypt11,
libgnutls11 (>= 1.0.16), libgpg-error0 (>= 0.7),
libiodbc2 (>= 3.51.2-2), libldap2 (>= 2.1.17-1),
libltdl3 (>= 1.5.2-2), libsasl2 (>= 2.1.18), libslp1,
libwrap0, zlib1g (>= 1:1.2.1), debconf (>= 0.5),
coreutils (>= 4.5.1-1) | fileutils (>= 4.0i-1), psmisc,
libldap2 (= 2.1.30-3), perl (>> 5.8.0) | libmime-base64-perl
Recommends: db4.2-util, libsasl2-modules
Suggests: ldap-utils
Conflicts: umich-ldapd, ldap-server, libbind-dev, bind-dev,
libltdl3 (= 1.5.4-1)
Filename: pool/main/o/openldap2/slapd_2.1.30-3_i386.deb
Size: 941934
MD5sum: 497cbd88576c42e89457fa8c1594067f
Description: OpenLDAP server (slapd)
 This is the OpenLDAP (Lightweight Directory Access Protocol) standalone
 server (slapd). The server can be used to provide a standalone directory
 service and also includes the slurpd replication server.

Package: ldap-utils
Priority: optional
Section: net
Installed-Size: 292
Maintainer: Torsten Landschoff <torsten@debian.org>
Architecture: i386
Source: openldap2
Version: 2.1.30-3
Replaces: openldap-utils, slapd (<< 2.1.25), openldapd
Provides: ldap-client, openldap-utils
Depends: libc6 (>= 2.3.2.ds1-4), libdb4.2, libgcrypt11,
libgnutls11 (>= 1.0.16), libgpg-error0 (>= 0.7),
libiodbc2 (>= 3.51.2-2), libldap2 (>= 2.1.17-1),
libltdl3 (>= 1.5.2-2), libsasl2 (>= 2.1.18), libslp1,
zlib1g (>= 1:1.2.1), libldap2 (= 2.1.30-3)
Recommends: libsasl2-modules
Conflicts: umich-ldap-utils, openldap-utils, ldap-client
Filename: pool/main/o/openldap2/ldap-utils_2.1.30-3_i386.deb
Size: 114684
MD5sum: 01c409b7e225facf2056310fd70afdad
Description: OpenLDAP utilities
 Utilities from the OpenLDAP (Lightweight Directory Access Protocol)
 package. These utilities can access a local or remote LDAP server
 and contain all the client programs required to access LDAP servers.

En este punto, ya se debería tener un servidor OpenLDAP instalado y ejecutándose, aunque no esté ajustado todavía a los objetivos que persigue este apartado. Para comprobar que efectivamente el demonio slapd se está ejecutando, realizaremos un par de consultas al sistema. La primera consiste en ver si el demonio slapd se encuentra en la lista de procesos que actualmente se estén ejecutando en el sistema:

# /bin/ps auxf | /bin/grep slapd
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root      4453  0.0  0.5 12144 3004 ?        S    12:52   0:00 /usr/sbin/slapd
root      4455  0.0  0.5 12144 3004 ?        S    12:52   0:00  \_ /usr/sbin/slapd
root      4456  0.0  0.5 12144 3004 ?        S    12:52   0:00      \_ /usr/sbin/slapd

	Nota
	En la captura de pantalla anterior se ha eliminado la línea que hacía referencia la instrucción tecleada (/bin/ps auxf | /bin/grep slapd) y se ha añadido la línea de información sobre cada parte de la captura, para mejorar la legibilidad.

La segunda comprobación ha realizar, para ver si el demonio se está realmente ejecutando, es verificar que está escuchando en la red^[7]:

# /bin/netstat -puta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:ldap                  *:*                     LISTEN     4453/slapd

Una vez comprobado que el demonio slapd se está ejecutando en el sistema, se verificará que la conexión con el mismo está permitida. Para ello, se realizará una búsqueda sencilla en el directorio. Si todo va bien, se debería mostrar algo similar a:

$ /usr/bin/ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
# extended LDIF
#
# LDAPv3
# base <> with scope base
# filter: (objectclass=*)
# requesting: namingContexts
#

#
dn:
namingContexts: dc=gsr,dc=pt

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

2.3.2.1. Posibles problemas de conexión

2.3.2.1.1. TCP Wrappers

Se han de tener en cuenta las opciones de configuración pasadas, antes de la compilación de OpenLDAP, para generar los paquetes que se están utilizando. Si nos fijamos en las opciones de configuración que posee OpenLDAP por defecto en Debian GNU/Linux (consulte el Apéndice P, Opciones de compilación de OpenLDAP en Debian GNU/Linux) veremos que utiliza la opción --enable-wrappers, lo que habilita el soporte de los TCP Wrappers en OpenLDAP.

Si se posee una configuración restrictiva de los TCP Wrappers, puede que sea esta la causa de los problemas de conexión. A continuación se simulará un fallo de conexión debido a un bloqueo de los TCP Wrappers, mostrándola manera de detectarlo y corregirlo.

Se supone la siguiente configuración de los TCP Wrappers (en los Apéndice AO, Archivo de configuración /etc/hosts.allow y Apéndice AP, Archivo de configuración /etc/hosts.deny se encuentran los archivos finales para los TCP Wrappers):

Ejemplo 2.6. Archivo /etc/hosts.allow

# /etc/hosts.allow: list of hosts that are allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example: ALL: LOCAL @some_netgroup # ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper. See portmap(8) # and /usr/doc/portmap/portmapper.txt.gz for further information. #

Ejemplo 2.7. Archivo /etc/hosts.deny

# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example: ALL: some.host.name, .some.domain # ALL EXCEPT in.fingerd: other.host.name, .other.domain # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper. See portmap(8) # and /usr/doc/portmap/portmapper.txt.gz for further information. # # The PARANOID wildcard matches any host whose name does not match its # address. You may wish to enable this to ensure any programs that don't # validate looked up hostnames still leave understandable logs. In past # versions of Debian this has been the default. # ALL: PARANOID # Desautorizar a todos los hosts con nombre sospechoso ALL: PARANOID # Desautorizar a todos los hosts ALL:ALL

Ahora se realizará la misma búsqueda que en Ejemplo 2.5, “Realización de una búsqueda simple con ldapsearch”:

Ejemplo 2.8. Realización de una búsqueda simple con ldapsearch (conexión fallida)

$ ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts ldap_bind: Can't contact LDAP server (81)

Como se puede apreciar, no se ha podido conectar con el servidor LDAP. El siguiente ejemplo realizará la misma búsqueda, sólo que en este caso se activará el modo de depuración de la orden ldapsearch “-d -1” (se hará uso del nivel de depurado -1, que es el mayor nivel existente).

Ejemplo 2.9. Realización de una búsqueda simple con ldapsearch (modo depuración)

$ ldapsearch -d -1 -x -b '' -s base '(objectclass=*)' namingContexts ldap_create ldap_bind_s ldap_simple_bind_s ldap_sasl_bind_s ldap_sasl_bind ldap_send_initial_request ldap_new_connection ldap_int_open_connection ldap_connect_to_host: TCP gsr.pt:389 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 192.168.2.1:389 ldap_connect_timeout: fd: 3 tm: -1 async: 0 ldap_ndelay_on: 3 ldap_is_sock_ready: 3 ldap_ndelay_off: 3 ldap_int_sasl_open: host=gsr.pt ldap_open_defconn: successful ldap_send_server_request ber_flush: 14 bytes to sd 3 0000: 30 0c 02 01 01 60 07 02 01 03 04 00 80 00 0....`........ ldap_write: want=14, written=14 0000: 30 0c 02 01 01 60 07 02 01 03 04 00 80 00 0....`........ ldap_result msgid 1 ldap_chkResponseList for msgid=1, all=1 ldap_chkResponseList returns NULL wait4msg (infinite timeout), msgid 1 wait4msg continue, msgid 1, all 1 ** Connections: * host: gsr.pt port: 389 (default) refcnt: 2 status: Connected last used: Tue Mar 9 16:18:26 2004 ** Outstanding Requests: * msgid 1, origid 1, status InProgress outstanding referrals 0, parent count 0 ** Response Queue: Empty ldap_chkResponseList for msgid=1, all=1 ldap_chkResponseList returns NULL ldap_int_select read1msg: msgid 1, all 1 ber_get_next ldap_read: want=8, got=0 ber_get_next failed. ldap_perror ldap_bind: Can't contact LDAP server (81)

	Aquí se puede ver que el host con el que establece la conexión es el correcto.
	Una vez encontrado el host, se conecta satisfactoriamente al mismo.
	En este momento comienzan los errores de conexión.

Como se puede observar en el Ejemplo 2.9, “Realización de una búsqueda simple con ldapsearch (modo depuración)”, que no se obtiene la información suficiente para deducir cual ha sido el problema que ocasiona el error en la conexión. Por este motivo se ejecutará el demonio slapd en modo depuración y, aunque no sea necesario, se ejecutará con el nivel de depurado “-1”.

Antes proceder con este ejemplo, se mostrarán los posibles valores que puede tomar el modo de depuración de slapd y su significado^[8]:

Tabla 2.1. Niveles de depurado de slapd

Nivel	Descripción
-1	Habilita todo el depurado
0	Sin depurado
1	Rastrea las llamadas a funciones
2	Depura el manejo de paquetes
4	Rastreo de depuración intensivo
8	Administración de la conexión
16	Muestra los paquetes enviados y recibidos
32	Procesado de búsqueda por filtro
64	Procesado del archivo de configuración
128	Procesado de la lista de control de acceso
256	stats log connections/operations/results
512	stats log entries sent
1024	Muestra las comunicaciones con los backends de la shell
2048	Muestra las entradas analizadas (parsing)

Ejemplo 2.10. Ejecución del servidor slapd en modo de depuración

# /usr/sbin/slapd -d -1 -h ldap://gsr.pt:389/ @(#) $OpenLDAP: slapd 2.1.30 (Jul 27 2004 08:02:08) $ @euklid:/home/roland/debian/openldap/build/2.1.30/openldap2-2.1.30/debian/build/servers/slapd daemon_init: ldap://gsr.pt:389/ daemon_init: listen on ldap://gsr.pt:389/ daemon_init: 1 listeners to open... ldap_url_parse_ext(ldap://gsr.pt:389/) daemon: initialized ldap://gsr.pt:389/ daemon_init: 1 listeners opened slapd init: initiated server. slap_sasl_init: initialized! reading config file /etc/ldap/slapd.conf line 11 (include /etc/ldap/schema/core.schema) reading config file /etc/ldap/schema/core.schema/ (...) slapd startup: initiated. slapd starting daemon: added 6r daemon: select: listen=6 active_threads=0 tvp=NULL

En este momento ya tenemos el demonio slapd en modo depuración, por lo que si realizamos de nuevo la búsqueda del Ejemplo 2.8, “Realización de una búsqueda simple con ldapsearch (conexión fallida)”, se verá la información que muestra el servidor cuando esta se realiza:

Ejemplo 2.11. Ejecución del servidor slapd en modo de depuración (mensaje de rechazo de una conexión)

daemon: activity on 1 descriptors daemon: new connection on 9 fd=9 DENIED from unknown (192.168.2.1) daemon: closing 9 daemon: activity on: daemon: select: listen=6 active_threads=0 tvp=NULL

Esta línea muestra el motivo del rechazo de la conexión, no se permite la conexión desde la IP 192.168.2.1, que es desde la que se está tratando de realizar la consulta precisamente.

Si se añade la siguiente línea al archivo /etc/hosts.allow “slapd: 192.168.2.1” y se ejecuta de nuevo la búsqueda del Ejemplo 2.8, “Realización de una búsqueda simple con ldapsearch (conexión fallida)”, sucede lo siguiente:

• El servidor muestra la siguiente información:

  Ejemplo 2.12. Ejecución del servidor slapd en modo de depuración (mensaje de aceptación de una conexión)

  daemon: activity on 1 descriptors daemon: new connection on 9 conn=2 fd=9 ACCEPT from IP=192.168.2.1:32852 (IP=192.168.2.1:389) daemon: added 9r daemon: activity on: daemon: select: listen=6 active_threads=0 tvp=NULL daemon: activity on 1 descriptors daemon: activity on: 9r daemon: read activity on 9 connection_get(9) connection_get(9): got connid=2 connection_read(9): checking for input on id=2 ber_get_next (...) conn=2 op=1 SRCH base="" scope=0 filter="(objectClass=*)" conn=2 op=1 SRCH attr=namingContexts => test_filter PRESENT => access_allowed: search access to "" "objectClass" requested => acl_get: [1] check attr objectClass => dn: [2] => acl_get: [2] matched => acl_get: [2] check attr objectClass <= acl_get: [2] acl attr: objectClass => acl_mask: access to entry "", attr "objectClass" requested => acl_mask: to all values by "", (=n) <= check a_dn_pat: * <= acl_mask: [1] applying read(=rscx) (stop) <= acl_mask: [1] mask: read(=rscx) => access_allowed: search access granted by read(=rscx) <= test_filter 6 => send_search_entry: dn="" => access_allowed: read access to "" "entry" requested => acl_get: [1] check attr entry => dn: [2] => acl_get: [2] matched => acl_get: [2] check attr entry <= acl_get: [2] acl attr: entry => acl_mask: access to entry "", attr "entry" requested => acl_mask: to all values by "", (=n) <= check a_dn_pat: * <= acl_mask: [1] applying read(=rscx) (stop) <= acl_mask: [1] mask: read(=rscx) => access_allowed: read access granted by read(=rscx) => access_allowed: read access to "" "namingContexts" requested => acl_get: [1] check attr namingContexts => dn: [2] => acl_get: [2] matched => acl_get: [2] check attr namingContexts <= acl_get: [2] acl attr: namingContexts access_allowed: no res from state (namingContexts) => acl_mask: access to entry "", attr "namingContexts" requested => acl_mask: to all values by "", (=n) <= check a_dn_pat: * <= acl_mask: [1] applying read(=rscx) (stop) <= acl_mask: [1] mask: read(=rscx) => access_allowed: read access granted by read(=rscx) (...) ber_get_next on fd 9 failed errno=0 (Success) connection_read(9): input error=-2 id=2, closing. connection_closing: readying conn=2 sd=9 for close connection_close: deferring conn=2 sd=9 do_unbind conn=2 op=2 UNBIND connection_resched: attempting closing conn=2 sd=9 connection_close: conn=2 sd=9 daemon: removing 9 conn=2 fd=9 closed daemon: select: listen=6 active_threads=0 tvp=NULL daemon: activity on 1 descriptors daemon: select: listen=6 active_threads=0 tvp=NULL

  Finalmente se ha aceptado la conexión.

• Del lado del cliente se obtiene la misma información que en el Ejemplo 2.5, “Realización de una búsqueda simple con ldapsearch”.

2.3.2.1.2. Address family not supported by protocol

Un error derivado de la instalación por defecto, es el que se muestra en título de esta sección. Si no se especifica en que interfaces ha de escuchar el demonio slapd, dará el mentado error.

A continuación se verá la diferencia de ejecutar el servidor especificando o no la interfaz sobre la que tiene que escuchar. Para ello, una vez más se ejecutará en modo depuración.

Ejemplo 2.13. Ejecución del demonio slapd sin especificar la interfaz donde escuchar

# /usr/sbin/slapd -d -1 @(#) $OpenLDAP: slapd 2.1.30 (Jul 27 2004 08:02:08) $ @euklid:/home/roland/debian/openldap/build/2.1.30/openldap2-2.1.30/\ debian/build/servers/slapd openldap2-2.1.30/debian/build/servers/slapd daemon_init: <null> daemon_init: listen on ldap:/// daemon_init: 1 listeners to open... ldap_url_parse_ext(ldap:///) slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) daemon: initialized ldap:/// daemon_init: 2 listeners opened ldap_pvt_gethostbyname_a: host=todoscsi, r=0 slapd init: initiated server. slap_sasl_init: initialized! reading config file /etc/ldap/slapd.conf line 11 (include /etc/ldap/schema/core.schema) reading config file /etc/ldap/schema/core.schema (...) slapd startup: initiated. slapd starting daemon: added 6r daemon: select: listen=6 active_threads=0 tvp=NULL

Aquí se muestra el error.

Ejemplo 2.14. Ejecución del demonio slapd especificando la interfaz donde escuchar

# /usr/sbin/slapd -d -1 -h ldap://gsr.pt:389/ @(#) $OpenLDAP: slapd 2.1.30 (Jul 27 2004 08:02:08) $ @euklid:/home/roland/debian/openldap/build/2.1.30/openldap2-2.1.30/\ debian/build/servers/slapd daemon_init: ldap://gsr.pt:389/ daemon_init: listen on ldap://gsr.pt:389/ daemon_init: 1 listeners to open... ldap_url_parse_ext(ldap://gsr.pt:389/) daemon: initialized ldap://gsr.pt:389/ daemon_init: 1 listeners opened slapd init: initiated server. slap_sasl_init: initialized! reading config file /etc/ldap/slapd.conf line 11 (include /etc/ldap/schema/core.schema) reading config file /etc/ldap/schema/core.schema (...) slapd startup: initiated. slapd starting daemon: added 6r daemon: select: listen=6 active_threads=0 tvp=NULL

En el Ejemplo 2.14, “Ejecución del demonio slapd especificando la interfaz donde escuchar” se puede ver que ya no muestra ningún tipo de error al inicializar el servidor.

	Nota
	En el Capítulo 3, Retoques iniciales a la configuración por defecto de OpenLDAP se verá como configurar slapd para que arranque automáticamente con la especificación de la interfaces.

Por defecto, el demonio slapd se ejecuta como usuario root (vea el Ejemplo 2.3, “Comprobación de que slapd está en la lista de procesos actuales” para más detalles), comportamiento que no es recomendable por las implicaciones de seguridad que acarrea. En esta sección se describirán los pasos necesarios para ejecutar el demonio slapd con un usuario y un grupo específicos.

# addgroup --system slapd
Añadiendo el grupo slapd (133)...
Hecho.
# adduser --home /var/lib/ldap --shell /bin/false --no-create-home --ingroup slapd --system slapd
adduser: Aviso: El directorio home que Usted especificó ya existe.
Añadiendo usuario del sistema slapd...
Añadiendo nuevo usuario slapd (126) con grupo slapd.
No se crea el directorio home.

3.1.1.2. Cambio de propietario/grupo en los archivos de slapd

	Aviso
	Antes de continuar con este paso, ha de parar el demonio slapd para evitar comportamientos no esperados: Ejemplo 3.2. Modo de parar el demonio slapd # /etc/init.d/slapd stop Stopping OpenLDAP: slapd.

Antes de ejecutar el demonio slapd con el nuevo usuario y grupo creados, es necesario cambiar el propietario y el grupo de algunos archivos y directorios relacionados con slapd, para que este funcione con normalidad. Los cambios han de realizarse en los siguientes directorios, así como en los archivos que albergan:

• /etc/ldap

• /var/lib/slapd

• /var/lib/ldap

• /var/run/slapd

Para ello se ha de ejecutar:

Ejemplo 3.3. Cambio del propietario/grupo en archivos relacionados con slapd

# /bin/chown -R slapd.slapd /etc/ldap /var/lib/slapd /var/lib/ldap /var/run/slapd

En estos momentos slapd ya casi está preparado para ejecutarse con el nuevo usuario.

SLAPD_USER="slapd"
SLAPD_GROUP="slapd"

3.1.1.4. Arrancando el demonio slapd

Ahora sólo queda arrancar de nuevo el demonio slapd para que se ejecute con el nuevo usuario:

Ejemplo 3.5. Arrancando el demonio slapd

# /etc/init.d/slapd start Starting OpenLDAP: slapd. # /bin/ps auxf USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND slapd 12728 0.0 0.6 12216 3556 ? S 15:02 0:00 /usr/sbin/slapd -g slapd -u slapd slapd 12729 0.0 0.6 12216 3556 ? S 15:02 0:00 \_ /usr/sbin/slapd -g slapd -u slapd slapd 12730 0.0 0.6 12216 3556 ? S 15:02 0:00 \_ /usr/sbin/slapd -g slapd -u slapd

	Usuario con el que se está ejecutando slapd.
	Parámetros de ejecución de slapd, se puede apreciar que se ha indicado el usuario (-u slapd) y grupo (-g slapd) de ejecución del demonio.

La configuración por defecto del demonio slapd hace que escuche en todas las interfaces de red presentes en el sistema. Esta característica no es deseable, por este motivo se verá la forma de modificarla.

La especificación de las interfaces de red, así como el protocolo utilizado en cada una de ellas (ldap, ldaps, ldai), se realiza en el archivo /etc/default/slapd. Dentro de este, la variable SLAPD_SERVICES poseerá las interfaces donde se desea que escuche slapd. El Ejemplo 3.6, “Estableciendo las interfaces donde ha de escuchar slapd” muestra como hacerlo.

SLAPD_SERVICES="ldap://gsr.pt:389/ ldaps://gsr.pt:636/"

Nota

El protocolo “ldap” especifica las interfaces y los puertos donde escuchará slapd con la característica de que las conexiones que se establezcan a la misma no harán uso de cifrado. El protocolo “ldaps” especifica las interfaces y los puertos donde escuchará slapd con la característica de que las conexiones que se establezcan a la misma harán uso de cifrado. Adicionalmente se puede establecer un nuevo protocolo de comunicaciones, “ldapi”, destinado a las peticiones realizadas desde sockets Unix.

Una vez se han asignado las interfaces necesarias, se ha de reiniciar el demonio slapd:

# /bin/netstat -puta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address     Foreign Address    State   PID/Program name
tcp        0      0 *:ldap            *:*                LISTEN 12728/slapd
# /etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.
# /bin/netstat -puta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address    Foreign Address   State   PID/Program name
tcp        0      0 gsr.pt:ldap      *:*               LISTEN 12817/slapd
tcp        0      0 gsr.pt:ldaps      *:*               LISTEN 12817/slapd
# /bin/ps auxfw

USER  PID   %CPU %MEM  VSZ  RSS TTY STAT START TIME COMMAND
slapd 12817 0.0  0.6 12216 3552 ?   S    15:19 0:00 /usr/sbin/slapd -h ldap://gsr.pt:389/ 
                                                    |                  ldaps://gsr.pt:636/
                                                    |               -g slapd -u slapd
slapd 12818 0.0  0.6 12216 3552 ?   S    15:19 0:00  \_ /usr/sbin/slapd -h ldap://gsr.pt:389/ 
                                                       |                   ldaps://gsr.pt:636/
                                                       |                -g slapd -u slapd
slapd 12819 0.0  0.6 12216 3552 ?   S    15:19 0:00     \_ /usr/sbin/slapd -h ldap://gsr.pt:389/ 
                                                                              ldaps://gsr.pt:636/
                                                                           -g slapd -u slapd

	Inicialmente el demonio slapd escucha en el puerto 389 en todas la interfaces.
	Una vez reiniciado con la nueva configuración, el demonio slapd escucha en las interfaces requeridas.
	La lista de parámetros pasados al demonio slapd ha aumentado, ahora se especifica el host donde ha de escuchar y con qué protocolo.

	Nota
	La salida de la orden /bin/ps se ha retocado para mejorar la legibilidad.

La primera forma para la creación del certificado del servidor emplea OpenSSL y genera un certificado autofirmado para el servidor. Para ello, desde la línea de comandos se ha de teclear (la letra en negrita son las opciones que ha de introducir el usuario):

	Nota
	OpenLDAP sólo trabaja con llaves no cifradas, por lo que se ha de emplear el parámetro “-nodes” de OpenSSL para evitar el cifrado de la llave privada.

$ openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem -days 365
Generating a 1024 bit RSA private key
..........................++++++
...............................++++++
writing new private key to 'server.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:PT
State or Province Name (full name) [Some-State]:Braganca
Locality Name (eg, city) []:Braganca
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gsr.pt
Organizational Unit Name (eg, section) []:gsr.pt
Common Name (eg, YOUR name) []:gsr.pt
Email Address []:sergio@gsr.pt

Esto creará un archivo server.pem en el directorio donde haya ejecutado la orden del Ejemplo 4.1, “Creación de un certificado autofirmado para el servidor”. Puede ver una muestra de su resultado en el Apéndice O, Ejemplo de certificado para un servidor.

Ahora sólo falta indicar a OpenLDAP que utilice el certificado anteriormente creado. El siguiente ejemplo muestra las opciones de configuración que han de añadirse al archivo /etc/ldap/slapd.conf si se ha seguido el método de creación del certificado autofirmado.

TLSCACertificateFile server.pem 
TLSCertificateFile server.pem 
TLSCertificateKeyFile server.pem

	Nota
	Puede observarse en el ejemplo anterior, que las tres opciones poseen el mismo valor: “server.pem”. Esto diferirá si se ha obtenido el certificado a partir de una CA, como puede verse en el Ejemplo 4.9, “Líneas de configuración para un servidor SSL/TLS”.

Si ya posee una entidad certificadora (CA) de confianza, sáltese esta sección dedicada al proceso de obtención de un certificado firmado por una entidad certificadora y una llave privada para el servidor.

Sin embargo, si no posee de una entidad certificadora de confianza, OpenSSL realiza el proceso rápida y fácilmente. Para ello siga los siguientes pasos:

Como se ha podido apreciar, este proceso requieres algunos pasos más que la creación un certificado autofirmado, pero los beneficios obtenidos sobrepasan cualquier gasto de tiempo empleado en crear la entidad certificadora.

Los certificados para los clientes se crean de forma similar a los certificados para el servidor. Si se siguen los pasos detallados en Sección 4.2.2, “Certificado emitido por una CA”, los únicos cambios son los siguientes:

1 y 2: No se hace nada... no se necesita crear de nuevo la entidad certificadora. El objetivo es utilizar la misma entidad certificadora para firmar el certificado del cliente.

3: Se ejecuta todo lo que allí se muestra, lo único que se ha de cambiar es el nombre del servidor por el del cliente cuando se pregunte el “Common Name”. Se da por supuesto que todas las demás respuestas se han de ajustar a los datos del cliente.

4: Las mismas órdenes, obteniéndose los mismos archivos para el certificado y la llave privada. ¡Gracias que se renombró el certificado en el 5!.

5: Ahora se puede renombrar y mover el certificado y la llave privada del cliente al lugar indicado (por ejemplo, /home/usuario/ssl/^[10]). También sería recomendable que cambiase los permisos de la llave privada, para que sólo pueda ser leída por el usuario al que pertenece.

6: No se ha de hacer nada en este paso.

Ahora que ya están creados los certificados, sólo queda configurar OpenLDAP.

Se ha de añadir las siguientes líneas al archivo de configuración de slapd, slapd.conf.

# Certificado firmado de una entidad certificadora y
# el certificado del servidor

TLSCipherSuite HIGH:MEDIUM:+SSLv2 
TLSCACertificateFile /etc/ldap/ssl/cacert.pem 
TLSCertificateFile /etc/ldap/ssl/certs/servidorcert.pem 
TLSCertificateKeyFile /etc/ldap/ssl/private/servidorkey.pem

# Si desea que el cliente necesite autentificación,
# descomente la siguiente línea
TLSVerifyClient demand
# ... si no, descomente esta otra
# TLSVerifyClient never

El archivo de configuración /etc/ldap/ldap.conf configura las opciones por defecto para los clientes LDAP.

Si se necesitan valores específicos para los usuarios, se puede crear el archivo ldaprc o .ldaprc en el home del usuario o en el directorio actual, lo que sobreescribirá la configuración global de LDAP.

	Atención
	Si se requiere la autentificación de los clientes, se necesita añadir el certificado y la llave privada del cliente al archivo ldaprc o .ldaprc.

4.3.2.2. Ejemplo de un archivo ldap.conf

A continuación se muestra un ejemplo de configuración de un archivo ldap.conf:

	Nota
	En el Apéndice R, Archivo de configuración /etc/ldap/ldap.conf se encuentra un ejemplo de configuración más extenso de este archivo.

Ejemplo 4.10. Ejemplo de configuración de un archivo ldap.conf

# # Configuración global de LDAP # # Lea ldap.conf(5) para más detalles # Este archivo se ha de poder leer por todo el mundo, pero no escribir. HOST gsr.pt BASE dc=gsr, dc=pt PORT 636 TLS_CACERT /etc/ldap/ssl/certs/cacert.pem TLS_REQCERT demand

Esta configuración hará que los clientes se conecten a ldaps://gsr.pt:636 sin necesidad de especificar el host ni el puerto en las órdenes del cliente.

# 
# Configuraciones de usuario específicas para LDAP
# 
 
# Sobreescribe la directiva global (si se ha establecido) 
TLS_REQCERT demand 
 
# Autentificación del cliente
TLS_CERT /home/ldap-user/ssl/certs/client.cert.pem 
TLS_KEY /home/ldap-user/ssl/certs/keys/client.key.pem

En el archivo slapd.conf, los esquemas (schema) aparecen cerca de la parte superior del archivo. A continuación se muestra un ejemplo de algunos de los esquemas que se pueden establecer.

	Nota
	En el directorio /etc/ldap/schema se encuentran varias definiciones de esquemas para LDAP.

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/misc.schema
include         /etc/ldap/schema/openldap.schema
include         /etc/ldap/schema/inetorgperson.schema

Existen varios grados de configuración SSL que se pueden establecer. La Tabla 4.2, “Resumen de configuración SSL en LDAP” resume las directivas y los valores que estas han de tomar para realizar desde una configuración básica (“Básica”) a una muy estricta (“La mejor”) en el servidor, en cuanto a conexiones SSL se refiere.

Debido a un problema de licencias con OpenSSL, los desarrolladores de Debian han decidido incorporar GNU TLS al paquete de OpenLDAP de esta distribución.

Este soporte no se ha incorporado oficialmente al proyecto OpenLDAP, y la implementación que se distribuye desde Debian no funciona correctamente. El principal problema que se ha presentado en la realización de esta documentación, relacionado con el soporte de gnutls por parte de OpenLDAP, ha sido que no reconoce el certificado generado en la Sección 4.2, “Creación de un certificado”, por lo que no puede verificar su autenticidad, y por lo tanto no se puede establecer una conexión segura.

Después del planteamiento del problema (Sección 4.4.1, “Descripción del problema”), la solución que se ha llevado a cabo ha sido la de eliminar los parches aplicados por los desarrolladores de Debian, para dar soporte GNU TLS a OpenLDAP, entre otros.

	Atención
	De todas formas, ha de tomarse esta solución como algo temporal (a la espera de que se solucionen los problemas con el paquete de Debian). Si se desea hacer uso de cifrado junto con OpenLDAP en un entorno de producción, sería recomendable utilizar la versión oficial estable de OpenLDAP (en estos momentos es la versión 2.2.*), que todavía no tiene paquetes para Debian.

En las siguientes secciones se muestran los pasos seguidos para aplicar la solución planteada.

4.4.2.1. Obtención del código fuente de OpenLDAP

Puede obtener el código fuente de la versión 2.1.30 de OpenLDAP de dos formas: a partir del proyecto OpenLDAP o de los distintos mirrors de Debian. Si opta por la segunda opción, tendrá que teclear la siguiente orden en un directorio en el que tenga permisos de escritura:

Ejemplo 4.13. Obtención del código fuente de OpenLDAP

$ /usr/bin/apt-get source openldap2

	Nota
	Asegúrese de tener una entrada deb-src en el archivo /etc/apt/sources.list que apunte a uno de los mirrors de Debian, para poder bajarse el código fuente de OpenLDAP.

$ cd openldap2-2.1.30/
/usr/bin/bzcat ../openldap-2.1.30-without-gnutls.patch.bz2 | /usr/bin/patch -p1
patching file configure
patching file configure.in
patching file contrib/ldapc++/config.guess
patching file contrib/ldapc++/config.sub
patching file debian/changelog
patching file debian/control
patching file include/ldap_pvt_gnutls.h
patching file include/portable.h.in
patching file libraries/libldap/getdn.c
patching file libraries/libldap/gnutls.c
patching file libraries/libldap/Makefile.in
patching file libraries/libldap/tls.c
patching file libraries/libldap_r/Makefile.in
patching file servers/slapd/schema_init.c

# /usr/bin/apt-get build-dep openldap2

$ /usr/bin/dpkg-buildpackage -us -uc -b -rfakeroot

$ /bin/ls -l ../*deb
-rw-r--r--  1 sergio src 112810 2004-09-21 22:12 ldap-utils_2.1.30-3.1_i386.deb
-rw-r--r--  1 sergio src 284366 2004-09-21 22:12 libldap2_2.1.30-3.1_i386.deb
-rw-r--r--  1 sergio src 321336 2004-09-21 22:12 libldap2-dev_2.1.30-3.1_i386.deb
-rw-r--r--  1 sergio src  71864 2004-09-21 22:12 libslapd2-dev_2.1.30-3.1_all.deb
-rw-r--r--  1 sergio src 945220 2004-09-21 22:12 slapd_2.1.30-3.1_i386.deb

# /usr/bin/dpkg -i ../slapd_2.1.30-3.1_i386.deb \
                   ../ldap-utils_2.1.30-3.1_i386.deb \
                   ../libldap2_2.1.30-3.1_i386.deb
(Leyendo la base de datos ...
132792 ficheros y directorios instalados actualmente.)
Preparando para reemplazar slapd 2.1.30-3 (usando slapd_2.1.30-3.1_i386.deb) ...
Stopping OpenLDAP: slapd.
Stopping OpenLDAP: slapd.
Desempaquetando el reemplazo de slapd ...
Preparando para reemplazar ldap-utils 2.1.30-3 (usando ldap-utils_2.1.30-3.1_i386.deb) ...
Desempaquetando el reemplazo de ldap-utils ...
Preparando para reemplazar libldap2 2.1.30-3 (usando libldap2_2.1.30-3.1_i386.deb) ...
Desempaquetando el reemplazo de libldap2 ...
Configurando libldap2 (2.1.30-3.1) ...

Configurando slapd (2.1.30-3.1) ...
Starting OpenLDAP: slapd.

Configurando ldap-utils (2.1.30-3.1) ...

	Nota
	Antes de ejecutar la siguiente orden, ha de asegurarse que valor tiene la variable TLSVerifyClient. Si su valor es demand, la orden no se ejecutará correctamente, ya que el cliente no se ha autentificado, como se requiere en la configuración de OpenLDAP.

Nótese que a la orden del Ejemplo 4.19, “Comprobando la conexión SSL sin autentificación del cliente” se le pasa como argumento^[14] el certificado de la entidad certificadora del cliente. ¿Por qué se ha de especificar el certificado, si ya se ha configurado en el archivo ldap.conf? la razón es porque la orden que estamos ejecutando, es una orden dependiente de OpenSSL y no de OpenLDAP.

$ /usr/bin/openssl s_client -connect gsr.pt:636 -showcerts -state \
                            -CAfile /etc/ldap/ssl/cacert.pem
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=1 /C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
verify return:1
depth=0 /C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                              acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
---
Certificate chain
 0 s:/C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                           acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
   i:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
-----BEGIN CERTIFICATE-----
MIIDkDCCAvmgAwIBAgIBATANBgkqhkiG9w0BAQQFADB+MQswCQYDVQQGEwJQVDER
MA8GA1UECBMIQnJhZ2FuY2ExETAPBgNVBAcTCEJyYWdhbmNhMRYwFAYDVQQKEw1D
b21wYW5oaWEgR1NSMSAwHgYDVQQLExdVbmlkYWRlIGRlIGNlcnRpZmljYWRvczEP
MA0GA1UEAxMGZ3NyLnB0MB4XDTA0MDkyMzE2MTYxMVoXDTA1MDkyMzE2MTYxMVow
gZAxCzAJBgNVBAYTAlBUMREwDwYDVQQIEwhCcmFnYW5jYTERMA8GA1UEBxMIQnJh
Z2FuY2ExDzANBgNVBAoTBlN1YkdTUjEbMBkGA1UECxMSQ29udHJvbGUgZGUgYWNl
c3NvMQ8wDQYDVQQDEwZnc3IucHQxHDAaBgkqhkiG9w0BCQEWDXNlcmdpb0Bnc3Iu
cHQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAKu8Yqp1rXZtBea+wre3Hyg6
ue0LshFqnSd7BmmJOhM9KYUNAoe3rM9GsAE6MMYuJROvbzW20Cyu+0Ikd/PH4abL
ADXKA76x2N0i3ta84pTUGq5Hg5UMoq4fw9P0HX7NzJxIKGM1XK97yb/4994rCWHG
QDB2459RKNBhshia2YpTAgMBAAGjggEJMIIBBTAJBgNVHRMEAjAAMCwGCWCGSAGG
+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU
jGYsPg9jL1Mp+ijqf1mkFkzffGwwgaoGA1UdIwSBojCBn4AU8TR3gKQ0S3HIv4Fs
3wyY02K3EL6hgYOkgYAwfjELMAkGA1UEBhMCUFQxETAPBgNVBAgTCEJyYWdhbmNh
MREwDwYDVQQHEwhCcmFnYW5jYTEWMBQGA1UEChMNQ29tcGFuaGlhIEdTUjEgMB4G
A1UECxMXVW5pZGFkZSBkZSBjZXJ0aWZpY2Fkb3MxDzANBgNVBAMTBmdzci5wdIIB
ADANBgkqhkiG9w0BAQQFAAOBgQAnQ1RGFN31LWRAtN1itHnWkzLUVg2ngGBqkxrC
AuP4M9lNMscLNCkBcpgaqsY0eFARDZKrMbqbPyc5GhmLoCzXylYEacSuzOXc+s7a
EaklDNvWjGCxhpoCBsXE2o+Opk2EBj3hzj7Z+tRb1UQ2T0iI0KvsA+WnT5Lojtuq
iX4C5A==
-----END CERTIFICATE-----
 1 s:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
   i:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                             acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
issuer=/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
---
No client certificate CA names sent 
---
SSL handshake has read 1933 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: C5101CF18CB3C821E1AD7C6CCD74693773C1AF75D2A209C6E12075B300A29CF2
    Session-ID-ctx:
    Master-Key: DB2972AF0D2AFF52B57861BBFE8164F5DE2347D3B5248C8D193C26F9B2DA93C6FFB16\
                                                           A705BAD5447716F7BAB2DA958D6
    Key-Arg   : None
    Start Time: 1095969142
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Esta línea indica que el cliente no se ha autentificado ante el servidor.

	Nota
	Normalmente, para finalizar la ejecución de la orden anterior, se ha de pulsar Ctrl+c. No se preocupe por ello.

Ahora se verá un ejemplo donde el cliente se autentifica ante el servidor:

$ /usr/bin/openssl s_client -connect gsr.pt:636 -state \
                            -CAfile /etc/ldap/ssl/cacert.pem \
                            -cert /home/certs/ldap.cliente.cert.pem \
                            -key /home/certs/ldap.cliente.key.pem
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=1 /C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
verify return:1
depth=0 /C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                               acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server certificate request A 
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client certificate A 
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write certificate verify A 
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
---
Certificate chain
 0 s:/C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                              acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
   i:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
   i:/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=PT/ST=Braganca/L=Braganca/O=SubGSR/OU=Controle de \
                                             acesso/CN=gsr.pt/emailAddress=sergio@gsr.pt
issuer=/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
---
Acceptable client certificate CA names 
/C=PT/ST=Braganca/L=Braganca/O=Companhia GSR/OU=Unidade de certificados/CN=gsr.pt
---
SSL handshake has read 2072 bytes and written 2274 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: CE4D0BFD367AF2F4B2E51ECB8C48A1D1A3F5EC0F00346EF13551534C1F1CE8E1
    Session-ID-ctx:
    Master-Key: 4D9089B2602C0376B92079BA539D8D3F244B5CBF31A68FD3A51DDC801251AA16\
                                                 5C194DA63B1BFB7025D818F2480E6450
    Key-Arg   : None
    Start Time: 1095970126
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Negociado extra relacionado con la comunicación SSL.

OpenLDAP tiene varias herramientas, como son: ldapsearch, ldapadd, ldapmodify y ldapdelete. A continuación se verán algunos ejemplos de su uso, para ilustrar la comunicación mediante SSL y TLS.

Los ejemplos se centrarán en las búsquedas de varias entradas, previamente incorporadas al directorio.

4.5.2.1. Añadir datos al directorio

Lo primero que se va a hacer es añadir una serie de datos al directorio LDAP, sobre los cuales, posteriormente, se realizarán las búsquedas. Para ello, puede copiar el siguiente texto a un archivo denominado datos-iniciales.ldif, por ejemplo.

Tenga en cuenta que ha de eliminar cualquier espacio al inicio o al final de las líneas del ejemplo. Tampoco olvide adaptar el ejemplo que aquí se presenta a su configuración.

#datos-iniciales.ldif dn: cn=sergio,dc=gsr,dc=pt objectclass: organizationalRole cn: sergio dn: ou=unidade de contas,dc=gsr,dc=pt objectclass: organizationalUnit ou: unidade de contas description: Organizacao de provas que contera ao administrador dn: cn=senhor administrador,ou=unidade de contas,dc=gsr,dc=pt objectclass: person userPassword: chaveprova description: Usuario de exemplo como administrador cn: senhor administrador sn: admin

Ahora se procederá a añadir estas entradas a la base de datos de LDAP, para ello haga uso del usuario administrador de su directorio LDAP.

Ejemplo 4.21. Incorporación de datos al directorio LDAP por medio de un archivo LDIF

$ /usr/bin/ldapadd -x -D "cn=admin,dc=gsr,dc=pt" -W -f datos-iniciales.ldif Enter LDAP Password:[Clave] adding new entry "cn=sergio,dc=gsr,dc=pt" adding new entry "ou=unidade de contas,dc=gsr,dc=pt" adding new entry "cn=senhor administrador,ou=unidade de contas,dc=gsr,dc=pt"

La orden anterior se ha realizado en texto plano, por lo que la transmisión de la clave del administrador del directorio LDAP se ha hecho sin ningún tipo de cifrado, como se puede apreciar en la siguiente captura de pantalla (debajo del color rojo aparece la clave del administrador):

Figura 4.1. Captura de la clave del administrador del directorio LDAP con ethereal

Al comunicarse con el servidor LDAP sin hacer uso de cifrado, las claves de los usuarios viajan en texto plano, como puede apreciarse en esta captura de pantalla. Las líneas en rojo ocultan la clave del administrador del directorio LDAP capturada por el programa ethereal.

Para evitar esta situación, se puede hacer uso de SSL o TLS en las comunicaciones con el servidor LDAP. Las siguientes secciones explican como hacerlo:

4.5.2.1.1. Cómo activar el cifrado SSL en las comunicaciones con el servidor LDAP

Para asegurarse de que sus comunicaciones con el servidor LDAP utilizan SSL al hacer uso de las herramientas que incorpora OpenLDAP, ha de añadir el siguiente parámetro a sus órdenes: “-H ldaps://gsr.pt/”.

4.5.2.1.2. Cómo activar el cifrado TLS en las comunicaciones con el servidor LDAP

La principal diferencia entre una conexión SSL y una TLS, es que la primera siempre utilizará el cifrado en la conexión mientras que la segunda provee al cliente la opción de hacer uso de cifrado cuando lo desee.

Tenga en cuenta que por el simple hecho de acceder al servidor mediante ldap://:389 no asegura que la conexión haga uso de cifrado TLS, pero tampoco si accede mediante ldaps://. Para activar una conexión TLS tendrá que hace uso del parámetro “-Z” o “-ZZ”.

El parámetro “-ZZ” fuerza que la negociación TLS tenga éxito, mientras que el parámetro “-Z”, intenta habilitar el cifrado TLS, pero si no lo consigue, continua con la conexión sin TLS.

4.5.2.2. Búsquedas en el directorio

En esta sección se realizarán una serie de búsquedas en el directorio. El uso del parámetro -D “cn=admin,dc=gsr,dc=pt” es necesario, debido a la restricción de acceso que se ha impuesto en el archivo slapd.conf:

access to * by dn="cn=admin,dc=gsr,dc=pt" write by dn="cn=readadmin,dc=gsr,dc=pt" read by self write by users read by anonymous auth

Para más datos sobre este usuario, ver el Apéndice A, Creación y configuración de un usuario de sólo lectura para el directorio LDAP.

Ejemplo 4.22. Devuelve todas las entradas del directorio

Si el cliente se encuentra en la misma máquina que el servidor:

$ /usr/bin/ldapsearch -x -b 'dc=gsr,dc=pt' -D "cn=admin,dc=gsr,dc=pt" -W \ '(objectclass=*)'

Si el cliente se encuentra en una máquina distinta al servidor y se quiere hacer uso de SSL :

$ /usr/bin/ldapsearch -x -b 'dc=gsr,dc=pt' -D "cn=admin,dc=gsr,dc=pt" -W \ '(objectclass=*)' -H ldaps://gsr.pt/

Si el cliente se encuentra en una máquina distinta al servidor y se quiere hacer uso de TLS :

$ /usr/bin/ldapsearch -x -b 'dc=gsr,dc=pt' -D "cn=admin,dc=gsr,dc=pt" -W \ '(objectclass=*)' -H ldap://gsr.pt/ -ZZ

Después de ejecutar las órdenes anteriores, la salida debería ser similar a:

Enter LDAP Password:[Clave] # extended LDIF # # LDAPv3 # base <dc=gsr,dc=pt> with scope sub # filter: (objectclass=*) # requesting: ALL # # gsr.pt dn: dc=gsr,dc=pt objectClass: top objectClass: dcObject objectClass: organization o: gsr.pt dc: gsr # admin, gsr.pt dn: cn=admin,dc=gsr,dc=pt objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e2NyeXB0fXkxcFlKZVpQQzQ5Qlk= # sergio, gsr.pt dn: cn=sergio,dc=gsr,dc=pt objectClass: organizationalRole cn: sergio # unidade de contas, gsr.pt dn: ou=unidade de contas,dc=gsr,dc=pt objectClass: organizationalUnit ou: unidade de contas description: Organizacao de provas que contera ao administrador # senhor administrador, unidade de contas, gsr.pt dn: cn=senhor administrador,ou=unidade de contas,dc=gsr,dc=pt objectClass: person userPassword:: Y2hhdmVwcm92YQ== description: Usuario de exemplo como administrador cn: senhor administrador sn: admin # search result search: 3 result: 0 Success # numResponses: 6 # numEntries: 5

Ejemplo 4.23. Devuelve algunas entradas del directorio

$ /usr/bin/ldapsearch -x -b 'cn=sergio,dc=gsr,dc=pt' -D "cn=admin,dc=gsr,dc=pt" \ '(objectclass=*)' -H ldaps://gsr.pt/ -w clave # extended LDIF # # LDAPv3 # base <cn=sergio,dc=gsr,dc=pt> with scope sub # filter: (objectclass=*) # requesting: ALL # # sergio, gsr.pt dn: cn=sergio,dc=gsr,dc=pt objectClass: organizationalRole cn: sergio # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 $ $ /usr/bin/ldapsearch -x -b 'ou=unidade de contas,,dc=gsr,dc=pt' \ -D "cn=admin,dc=gsr,dc=pt" '(objectclass=*)' -H ldaps://gsr.pt/ -w clave # extended LDIF # # LDAPv3 # base <ou=unidade de contas,dc=gsr,dc=pt> with scope sub # filter: (objectclass=*) # requesting: ALL # # unidade de contas, gsr.pt dn: ou=unidade de contas,dc=gsr,dc=pt objectClass: organizationalUnit ou: unidade de contas description: Organizacao de provas que contera ao administrador # senhor administrador, unidade de contas, gsr.pt dn: cn=senhor administrador,ou=unidade de contas,dc=gsr,dc=pt objectClass: person userPassword:: Y2hhdmVwcm92YQ== description: Usuario de exemplo como administrador cn: senhor administrador sn: admin # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2

Como ha podido comprobar, la comunicación con el servidor LDAP se realiza satisfactoriamente, bien sea utilizando cifrado bien sin el.

nss-ldap permite a un servidor LDAP actuar como un servidor de nombres. Esto significa que provee la información de las cuentas de usuario, los IDs de los grupos, la información de la máquina, los alias, los grupos de red y básicamente cualquier cosa que normalmente se obtiene desde los archivos almacenados bajo /etc o desde un servidor NIS.

En Debian GNU/Linux el paquete libnss-ldap provee esta funcionalidad, por lo que será instalado en la máquina, como muestra el Ejemplo 5.2, “Instalación de libnss-ldap (primera parte)”

Antes de proceder a su instalación, eche un vistazo a la descripción del paquete:

$ /usr/bin/apt-cache show libnss-ldap
Package: libnss-ldap
Priority: extra
Section: net
Installed-Size: 220
Maintainer: Stephen Frost <sfrost@debian.org>
Architecture: i386
Version: 220-1 
Depends: libc6 (>= 2.3.2.ds1-4), libdb4.2, libkrb53 (>= 1.3.2), libldap2 (>= 2.1.17-1), debconf
Recommends: nscd, libpam-ldap
Filename: pool/main/libn/libnss-ldap/libnss-ldap_220-1_i386.deb
Size: 73688
MD5sum: 1d2667fd13efc134e5baaa1d63f45372
Description: NSS module for using LDAP as a naming service
 This package provides a Name Service Switch that allows your LDAP server
 act as a name service. This means providing user account information,
 group id's, host information, aliases, netgroups, and basically anything
 else that you would normally get from /etc flat files or NIS.
 .
 If used with glibc 2.1's nscd (Name Service Cache Daemon) it will help
 reduce your network traffic and speed up lookups for entries.

Versión de libnss-ldap que se va a instalar

# /usr/bin/apt-get install libnss-ldap
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
Paquetes recomendados
  nscd libpam-ldap
Se instalarán los siguientes paquetes NUEVOS:
  libnss-ldap
0 actualizados, 1 se instalarán, 0 para eliminar y 27 no actualizados.
Se necesita descargar 0B/73,7kB de archivos.
Se utilizarán 225kB de espacio de disco adicional después de desempaquetar.
Preconfiguring packages ...

	Nota
	Si ha instalado previamente este paquete, es posible que no se muestren todas las pantallas listadas seguidamente. Para forzar una configuración completa, teclee la siguiente orden: # /usr/sbin/dpkg-reconfigure --priority=low libnss-ldap

Figura 5.1. Dirección del servidor LDAP

Dirección del servidor LDAP que se va a utilizar para la autentificación de usuarios.

Figura 5.2. Nombre distintivo de la base de búsquedas

Nombre distintivo de la base de búsquedas.

Figura 5.3. Versión del protocolo LDAP

Versión del protocolo LDAP a utilizar, es recomendable hacer uso de la versión 3.

Figura 5.4. Método de acceso a la base de datos

En este ejemplo no se necesita autentificarse para acceder a la base de datos LDAP, por lo que se responde: NO.

Figura 5.5. Permisos del archivo de configuración

Es buena idea que sólo el propietario del archivo pueda leer su información, máxime cuando este puede tener claves. Por este motivo se responde que Sí a esta pregunta.

Figura 5.6. Información sobre libnss-ldap

La configuración del paquete nos muestra información adicional sobre el mismo. Si se quiere ver el ejemplo del archivo /etc/nsswitch.conf que provee libnss-ldap, acceda a: /usr/share/doc/libnss-ldap/examples/nsswitch.ldap. De todas formas, en el Apéndice T, Archivo de configuración /etc/nsswitch.conf se dispone de un ejemplo.

Seleccionando el paquete libnss-ldap previamente no seleccionado.
(Leyendo la base de datos ...
132069 ficheros y directorios instalados actualmente.)
Desempaquetando libnss-ldap (de .../libnss-ldap_220-1_i386.deb) ...
Configurando libnss-ldap (220-1) ...

localepurge: checking system for new locale ...
localepurge: processing locale files ...
localepurge: processing man pages ...

La configuración de nss-ldap se almacena en el archivo /etc/libnss-ldap.conf, cuyo contenido se encuentra en el Apéndice V, Archivo de configuración /etc/libnss-ldap.conf.

	Aviso
	El archivo /etc/libnss-ldap.conf se ha de poder leer por todos los usuarios del sistema, para asegurarse de que es legible por todo el mundo, puede ejecutar: /bin/chmod 644 /etc/libnss-ldap.conf.

pam_ldap permite hacer uso de un servidor LDAP para la autentificación de usuarios (comprobación de claves) a aquellas aplicaciones que utilicen PAM.

En Debian GNU/Linux el paquete libpam-ldap provee esta funcionalidad, por lo que será instalado en la máquina, como muestra el Ejemplo 5.5, “Instalación de libpam-ldap (primera parte)”

Antes de proceder con su instalación, eche un vistazo a la descripción del paquete:

$ /usr/bin/apt-cache show libpam-ldap
Package: libpam-ldap
Priority: extra
Section: admin
Installed-Size: 288
Maintainer: Stephen Frost <sfrost@debian.org>
Architecture: i386
Version: 169-1 
Depends: libc6 (>= 2.3.2.ds1-4), libldap2 (>= 2.1.17-1), libpam0g (>= 0.76), debconf (>= 0.5)
Suggests: libnss-ldap
Filename: pool/main/libp/libpam-ldap/libpam-ldap_169-1_i386.deb
Size: 52158
MD5sum: 5d1d450ac94b5e86a313a8277f5f84a3
Description: Pluggable Authentication Module allowing LDAP interfaces
 This module let's you use you LDAP server to authenticate users with
 programs that utilize PAM. If used along with libnss-ldap, you can
 replace your entire flat file (/etc/*) structure or NIS with LDAP.

Versión de libpam-ldap que acompaña a Debian GNU/Linux en su versión “en desarrollo”, que va a ser instalada

# /usr/bin/apt-get install libpam-ldap
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
Paquetes sugeridos:
  libnss-ldap
Se instalarán los siguientes paquetes NUEVOS:
  libpam-ldap
0 actualizados, 1 se instalarán, 0 para eliminar y 27 no actualizados.
Se necesita descargar 0B/52,2kB de archivos.
Se utilizarán 295kB de espacio de disco adicional después de desempaquetar.

Preconfiguring packages ...

	Nota
	Si ha instalado previamente este paquete, es posible que no se muestren todas las pantallas listadas seguidamente. Para forzar una configuración completa, teclee la siguiente orden: # /usr/sbin/dpkg-reconfigure --priority=low libpam-ldap

Figura 5.7. URL del servidor LDAP

Dirección del servidor LDAP que se va a utilizar para la autentificación de usuarios.

Figura 5.8. Nombre distintivo de la base de búsquedas

Nombre distintivo de la base de búsquedas.

Figura 5.9. Versión del protocolo LDAP

Versión del protocolo LDAP a utilizar, es recomendable hacer uso de la versión 3.

Figura 5.10. Comportamiento a la hora del cambio de claves

Contestamos afirmativamente a esta pregunta, de esta forma, aquellas aplicaciones que cambien claves por medio de PAM, se comportarán como si lo hiciesen de forma local.

Figura 5.11. ¿Necesita autentificación la conexión con la base de datos?

En este ejemplo no se necesita autentificarse para acceder a la base de datos LDAP, por lo que se responde que NO.

Figura 5.12. Administrador de LDAP

Cuenta del administrador de LDAP, en este caso “admin”.

Figura 5.13. Clave del administrador de LDAP

Se introduce la clave del administrador de LDAP.

Figura 5.14. Elección el método de cifrado para las claves

El método de cifrado elegido para almacenar las claves ha sido “exop”, de esta forma pam-ldap utilizará el algoritmo de hash especificado en el archivo /etc/ldap/slapd.conf, en lugar de realizar la operación hash localmente y escribir el resultado en la base de datos directamente.

Seleccionando el paquete libpam-ldap previamente no seleccionado.
(Leyendo la base de datos ...
132024 ficheros y directorios instalados actualmente.)
Desempaquetando libpam-ldap (de .../libpam-ldap_169-1_i386.deb) ...
Configurando libpam-ldap (169-1) ...

localepurge: checking system for new locale ...
localepurge: processing locale files ...
localepurge: processing man pages ...

La configuración del módulo pam_ldap.so se almacena en el archivo /etc/pam_ldap.conf, cuyo contenido se encuentra en el Apéndice U, Archivo de configuración /etc/pam_ldap.conf.

	Aviso
	El archivo /etc/pam_ldap.conf se ha de poder leer por todos los usuarios del sistema, para asegurarse de que es legible por todo el mundo, puede ejecutar: /bin/chmod 644 /etc/pam_ldap.conf.

En estos momentos el sistema ya está listo para la configuración de los distintos servicios que utilizan PAM, de forma que estos utilicen LDAP para la comprobación de la clave. Cada servicio que hace uso de PAM para la autentificación, posee su propio archivo bajo el directorio /etc/pam.d/. Para que dicho servicio utilice LDAP en la comprobación de claves, se ha de modificar su archivo de configuración. Esto se verá en la Sección 5.3.3, “Configuración de PAM”.

Como en ambos archivos se van a modificar las mismas variables, se ha utilizado una única sección para ambos. Las modificaciones que se van a realizar a continuación son, principalmente, necesarias para activar el cifrado en las conexiones con el servidor LDAP. Esto es necesario si no se quiere que las claves de los usuarios, por ejemplo, viajen por la red en texto plano.

	Nota
	En los apéndices Apéndice V, Archivo de configuración /etc/libnss-ldap.conf y Apéndice U, Archivo de configuración /etc/pam_ldap.conf verá un ejemplo completo de estos archivos de configuración.

5.3.1.1. Usuario con el que conectar al directorio LDAP

Debido a que durante el proceso de configuración de OpenLDAP se va a prohibir a los usuarios anónimos acceder a la información almacenada en el directorio, se hace necesario especificar un usuario válido con el cual autentificarse para realizar las operaciones llevadas a cabo por libnss-ldap y libpam-ldap, entre otras. Este usuario y su clave estarán especificados por las variables binddn y bindpw, respectivamente.

binddn cn=readadmin,dc=gsr,dc=pt bindpw **********

	En el Apéndice A, Creación y configuración de un usuario de sólo lectura para el directorio LDAP tiene un ejemplo sobre como crear y configurar un usuario que sólo tenga permisos de lectura en el directorio LDAP.
	Clave del usuario en texto plano.

Asegúrese de que está descomentada la variable “rootbinddn” y su valor es el usuario administrador del directorio LDAP, en este caso: “cn=admin,dc=gsr,dc=pt”.

rootbinddn cn=admin,dc=gsr,dc=pt

Una vez hecho esto, tendrá que almacenar la clave del administrador en el archivo /etc/ldap.secret, para ello teclee:

Ejemplo 5.7. Creación del directorio /etc/ldap.secret

# /bin/echo "clave-del-administrdor" > /etc/ldap.secret # /bin/chmod 600 /etc/ldap.secret

	Nota
	La clave se almacena en texto plano, por lo que el archivo /etc/ldap.secret ha de pertenecer al usuario root y sus permisos han de ser 600.

5.3.1.2. Protocolo de cifrado empleado en las comunicaciones

La primera opción que se activará será el soporte para TLS, para ello ha de descomentar la línea siguiente en ambos archivos de configuración:

ssl start_tls

	Nota
	Si desea que las conexiones utilicen SSL, tendrá que sustituir la línea anterior por la siguiente: ssl on En esta documentación se ha preferido utilizar TLS en las comunicaciones, por lo que se ha empleado la opción “ssl start_tls”.

tls_checkpeer yes

tls_cacertfile /etc/ldap/ssl/cacert.pem

tls_ciphers TLSv1

tls_cert
tls_key

nsswitch.conf es el fichero de configuración de las Bases de Datos del Sistema y del sistema de Conmutación de los Servicios de Nombres (Name Service Switch).

En otras palabras, es un archivo que indica el orden y el procedimiento a seguir para la búsqueda de la información requerida, por ejemplo, para hacer búsquedas de hosts o usuarios.

La forma de configurar este archivo es muy simple: primero se especifica la base de datos sujeta a la búsqueda (primera columna) seguida del procedimiento que se va a emplear para realizar una búsqueda sobre la misma (columnas siguientes).

De esta forma, basta con configurar el procedimiento de búsqueda para que haga uso de LDAP en algún momento. El Ejemplo 5.8, “Modificaciones en el de configuración /etc/nsswitch.conf” muestra como hacerlo:

passwd:          files ldap 
group:           files ldap 
shadow:          files ldap 
hosts:           files ldap dns 

	Bases de datos de búsqueda
	Procedimiento de búsqueda: primero se mira en los archivos locales y luego en el directorio LDAP.
	Procedimiento de búsqueda: primero se mira en los archivos locales, luego en el directorio LDAP y finalmente se realiza una consulta al servidor DNS.

	Nota
	En el Apéndice T, Archivo de configuración /etc/nsswitch.conf se encuentra disponible un ejemplo completo de configuración de nsswitch.conf.

	Sugerencia
	Fíjese que no se ha eliminado el uso de los ficheros locales, “files”, ya que algunos usuarios y grupos de usuarios (como por ejemplo root) permanecerán de forma local. Si su sistema no utiliza la entrada “files”, y el servidor LDAP se cae, nadie, ni siquiera root, podrá entrar al sistema.

nss-ldap espera que las cuentas sean objetos con los siguientes atributos: uid, uidNumber, gidNumber, homeDirectory y loginShell. Estos atributos están permitidos por la clase objeto (objectClass) posixAccount.

Una vez realizada la configuración, se puede comprobar que todo funciona bien con la orden getent seguido de la base de datos de búsqueda deseada (por ejemplo: /usr/bin/getent hosts). Como resultado se mostrará la base de datos consultada por pantalla.

PAM permite configurar el método de autentificación que van a utilizar las aplicaciones que hagan uso de él. Gracias a esto, se pueden añadir fácilmente distintas opciones de autentificación, como el uso de una base de datos LDAP.

En las siguientes secciones se mostrarán los archivos que se han de modificar para lograr la autentificación a través de LDAP.

Importante

Hace relativamente poco tiempo que la versión en desarrollo de Debian (Sid) ha cambiado la forma de configuración de PAM. Actualmente posee secciones comunes a todos los archivos, estas secciones comunes son aquellos archivos localizados en el directorio /etc/pam.d/ que comiencen por “common-”. Se ha de tener en cuenta la forma en la que se ha ido actualizando Debian Sid en la última temporada, para determinar si su sistema está utilizando o no dichos archivos comunes para la configuración de PAM. Un buen punto de partida, sería ojear los archivos almacenados bajo /etc/pam.d/ y comprobar las diferencias entre los archivos con extensión .dpkg-dist y los que no la tienen.

pam-ldap asume que las cuentas del sistema son objetos con los siguientes atributos: uid y userPassword. Los atributos están permitidos por la clase objeto (objectClass) posixAccount.

5.3.3.1. /etc/pam.d/common-account

Este archivo ha de tener únicamente estas entradas:

Ejemplo 5.9. Opciones de configuración para /etc/pam.d/common-account

account required pam_unix.so account sufficient pam_ldap.so

	Nota
	En el Apéndice W, Archivo de configuración /etc/pamd.d/common-account tiene un ejemplo completo de este archivo de configuración.

5.3.3.2. /etc/pam.d/common-auth

Este archivo ha de tener únicamente estas entradas:

Ejemplo 5.10. Opciones de configuración para /etc/pam.d/common-auth

auth sufficient pam_unix.so auth sufficient pam_ldap.so try_first_pass auth required pam_env.so auth required pam_securetty.so auth required pam_unix_auth.so auth required pam_warn.so auth required pam_deny.so

	Nota
	En el Apéndice X, Archivo de configuración /etc/pamd.d/common-auth tiene un ejemplo completo de este archivo de configuración.

5.3.3.3. /etc/pam.d/common-session

Este archivo ha de tener únicamente estas entradas:

Ejemplo 5.11. Opciones de configuración para /etc/pam.d/common-session

session required pam_limits.so session required pam_unix.so session optional pam_ldap.so

Si desea que el sistema sea capaz de crear directorios home “al vuelo” (piense en el siguiente caso: acaba de añadir un usuario en la base de datos LDAP, pero no ha creado un directorio home para este usuario en el sistema), puede utilizar el módulo pam_mkhomedir para este propósito. Para ello añada la siguiente línea al principio del archivo common-session:

Ejemplo 5.12. Opción para crear directorios home al vuelo

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

	Importante
	El módulo pam_mkhomedir sólo crea directorios de un nivel. Es importante tener esto en cuenta para planificar la estructura del home de los usuarios.

	Nota
	En el Apéndice Z, Archivo de configuración /etc/pamd.d/common-session tiene un ejemplo completo de este archivo de configuración.

5.3.3.4. /etc/pam.d/common-passwd

Este archivo ha de tener únicamente estas entradas:

Ejemplo 5.13. Opciones de configuración para /etc/pam.d/common-password

password required pam_cracklib.so retry=3 minlen=8 difok=4 password sufficient pam_unix.so use_authtok md5 shadow password sufficient pam_ldap.so use_authtok password required pam_warn.so password required pam_deny.so

Se supone que tiene instalado en su sistema la librería libpam-cracklib, si no es así, instálela o comente esta línea.

	Nota
	En el Apéndice Y, Archivo de configuración /etc/pamd.d/common-password tiene un ejemplo completo de este archivo de configuración.