"HOWTO / KNOW HOW
PUESTA EN MARCHA DE UN SERVIDOR LDAP CON CERTIFICACIÓN TLS Y CONFIGURACIÓN DE CLIENTES LINUX Y WINDOWS PARA AUTENTIFICARSE CONTRA ÉL
�HowTo Servidor LDAP y clientes Linux/Windows
Nombre Realizado Revisado
E-mail white.lists@gmail.com
Fecha 01 de abril de 2008
Descripción HowTo y Conceptos para levantar un servidor LDAP y autenticar clientes Linux/Windows contra él Versión: Páginas totales: Nombre de Archivo: v.0.0 52
Servidor ldap linux y clientes linux y windows.doc
DISCLAIMER: La información que aquí aparece puede no ser 100% correcta. He intentado hacerlo lo mejor posible, pero puede que haya cometido errores, principalmente por falta de conocimientos. Cualquier comentario, crítica, pregunta o corrección será muy bien recibida en white.lists@gmail.com
�HowTo Servidor LDAP y clientes Linux/Windows
AUTENTIFICACIÓN LINUX/WINDOWS CONTRA SAMBA/LDAP LINUX
1 abril 2008
Índice
Introducción Instalación y configuración del servidor LDAP 2.1 Instalación de LAM (Ldap Account Manager). 2.2. Añadir usuarios y grupos al servidor. 2.3. Probando el servidor 2.3.3 Posibles problemas 3. Instalación y configuración del cliente Linux. 3.1 Instalación del software. 3.2 Indicar el servidor al que conectarse. 3.3 Resolución de nombres del sistema 3.4 Haciendo login. 4. Introducción de TLS 4.1 Creando la entidad certificadora (CA) 4.2 Creando certificados de las máquinas 4.3 Asegurando el servidor 4.4 Haciendo un cliente confiable 4.5 Posibles problemas 4.5.1 TLS Already started 4.5.2 I have no name! 4.5.3 Handshake failure 5. Autentificación de una máquina Windows 5.1 Configuración en el servidor. 5.1.1 Instalando el software 5.1.2 Añadir el esquema Samba a LDAP 5.1.3. Configurar Samba 5.1.3 Configurar y utilizar las smbldap-tools 5.2 Configuración del cliente Windows 5.2.1 Comprobar que podemos acceder al servidor con “test” 5.2.2 Unirse al dominio “JOME”. 6. Links y referencias usados 1. 2. 4 6 9 11 14 19 21 21 21 22 25 28 28 29 32 33 38 38 38 39 40 40 40 40 41 42 48 48 49 52
3
�HowTo Servidor LDAP y clientes Linux/Windows
1. Introducción
Este tutorial se hizo con dos ordenadores que están dentro de una LAN privada (formada conectando dos PCs en un router de telefónica) como la que cualquiera puede tener en su casa.
CLIENTE
SERVIDOR Debian 4.0 (Etch) Hostname: Enano IPAddress: dhcp
CLIENTE
Xubuntu 7.10 (Gutsy Gibbon) Hostname: xxxx IPAddress: 192.168.1.30 Windows 2000 Professional SP4 Hostname: Enano IPAddress: dhcp
El ordenador cliente dispone de un arranque dual que le permite entrar tanto en una Debian como en un Windows 2000 Professional. Se va a instalar un servidor LDAP en xxxx, y allí se creará un usuario de nombre test y password test (usuario que solamente existirá en la base de datos de Ldap) y se va a explicar el proceso necesario para poder iniciar sesión con este usuario en el ordenador cliente (ya sea bajo Linux o bajo Windows). Este usuario pertenecerá al grupo test, grupo que también existirá únicamente en la base de datos Ldap. Para aclarar conceptos hay que entender antes de nada que Ldap no autentifica nada de por sí; es únicamente una base de datos especialmente rápida en las lecturas, lo que pasa es que, como veremos más adelante, se le puede decir “el
�HowTo Servidor LDAP y clientes Linux/Windows nombre de los usuarios lo coges de la tabla llamada ‘tal’, el nombre de los grupos de la tabla llamada ‘cual’…” pero tiene muchas más utilidades; por ejemplo, puede usarse para almacenar direcciones de correo (agenda) en la que no se utiliza para autentificación ni mucho menos. Para cuestiones de autentificación existen otros métodos, como NIS (o NIS+) y que, de hecho, para la autentificación Linux ↔ Linux son mucho más sencillos de configurar, pero son incompatibles con Windows. También quiero aclarar que no se pretende migrar todos los usuarios del servidor a LDAP: solamente uno.
5
�HowTo Servidor LDAP y clientes Linux/Windows
2. Instalación y configuración del servidor LDAP
Primero, instalación de los paquetes necesarios: ~$ sudo apt-get install slapd ldap-utils Es posible que pregunte algunas cosas, como una contraseña del administrador del servidor. En sistemas basados en Debian, siempre es posible pedir la re-configuración de ese y otros parámetros con:
~$ dpkg-reconfigure slapd Desea omitir la configuracion de ldap : no Introduzca el nombre de dominio DNS : nombre.del.dominio1 Instrodusca el nombre de su organizacion : nombre.del.dominio Contraseña del administrador : LDAPpassword Verificacion de la contraseña : LDAPpassword Motor de base de datos a utilizar : BDB Desea que se borre la base de datos cuando purge el paquete slapd : NO Desea mover la base de datos antigua : SI Permitir el protocolo LDAPV2 : si
En este caso, el nombre del dominio es jome Después, hay que buscar y configurar el fichero slapd.conf. En Ubuntu 7.10 este fichero se encuentra en /etc/ldap/slapd.conf. En distribuciones que utilicen otras versiones del servidor LDAP, como Fedora, puede encontrarse bajo /etc/openldap/. Si la re-configuración con dpkg-reconfigure ha sido correcta, en el fichero /etc/ldap/slapd.conf ya se habrán escrito algunos datos básicos. En negrita aparece lo más relevante a la hora de para comprobar que la configuración es correcta.
# Allow LDAPv2 binds allow bind_v2 # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ####################################################################### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel 0
1
El nombre del dominio puede ser, por ejemplo, linux.debian.es
6
�HowTo Servidor LDAP y clientes Linux/Windows
# Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_bdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for bdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend bdb checkpoint 512 30 ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend <other> ####################################################################### # Specific Directives for database #1, of type bdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database bdb # The base of your directory in database #1 suffix "dc=jome" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=Admin,dc=jome" # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all. See http://bugs.debian.org/303057 # for more information. # Number dbconfig # Number dbconfig # Number dbconfig of objects that can be locked at the same time. set_lk_max_objects 1500 of locks (both requested and granted) set_lk_max_locks 1500 of lockers set_lk_max_lockers 1500
# Indexing options for database #1 index objectClass eq # Save the time that the entry gets modified, for database #1 lastmod on # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=jome" write by anonymous auth by self write by * none # # # # Ensure read access to the base for things like supportedSASLMechanisms. Without this you may have problems with SASL not knowing what mechanisms are available and the like.
7
�HowTo Servidor LDAP y clientes Linux/Windows
# Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=jome" write by * read # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=jome" write # by dnattr=owner write # # # ####################################################################### # Specific Directives for database #2, of type 'other' (can be bdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database <other> # The base of your directory for database #2 #suffix "dc=debian,dc=org"
En este momento el demonio slapd se habrá puesto en marcha. En estas primeras etapas se puede comprobar si es así haciendo una búsqueda simple. # ldapsearch -x -b dc=jome Que debería proporcionar una salida vacía.
# extended LDIF # # LDAPv3 # base <dc=tured,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 34 Invalid DN syntax text: invalid DN # numResponses: 1
Si no funciona, o se quiere más información se puede lanzar el servidor en una consola en modo foreground (no como demonio) con mucha salida de depurado. ~$killall slapd (para matar los demonios que haya corriendo) ~$slapd –d 1 Esto iniciará el servidor en la máquina identificada como localhost, y puede que en la búsqueda haya que decírselo explícitamente: ~$ldapsearch –x –h localhost –b dc=jome También existe la función slapcat, que muestra el contenido del servidor en formato LDIF. Una herramienta para chequear este fichero y estudie su sintaxis, proporcionando incluso avisos de seguridad es el comando slaptest (~#slaptest –v) 8
�HowTo Servidor LDAP y clientes Linux/Windows
2.1
Instalación de LAM (Ldap Account Manager).
La forma más rápida de gestionar un servidor y ver su contenido es utilizar una herramienta web de gestión, como LAM 2 . Es un paquete que existe ya en Ubuntu, con lo cual, instalarlo es fácil: ~$apt-get install ldap-account-mannager Al ser una herramienta web de gestión depende, entre otros, de Apache y Php. Una vez funcionando, puede utilizarse tecleando en la barra de cualquier navegador http://dirección_del_servidor/lam. Por ejemplo, si el servidor está en 192.168.1.30:
Puede que no esté bien configurado por defecto: es decir, que el servidor o el nombre del usuario administrador no sean los correctos. En ese caso, hay que acudir al link “LAM configuration” que aparece en la parte superior derecha de la página: Al hacer clic en él, se abrirá una nueva página en la que podremos controlar configuración en general o configuración de datos del servidor:
Al intentar hacer cambios pide passwords. ¡Cuidado! No hay que escribir aquí el del servidor LDAP, sino los de la aplicación LAM. Puede tener varios passwords distintos: Uno de es necesario para añadir, borrar y renombrar perfiles de
2
Pagina web del proyecto: http://lam.sourceforge.net/
9
�HowTo Servidor LDAP y clientes Linux/Windows configuración globales y se almacena en /etc/ldap-accountmanager/config.cfg. El otro es el password de un perfil de conexión concreto (puede que utilicemos la misma instancia de LAM para supervisar varios servidores).Se puede establecer en “Edit server profiles” como se detalla a continuación Entrando en “Edit server profiles” aparece lo que se debe ajustar:
Los campos más importantes son los que aparecen arriba del todo (Preferencias del servidor) y al final (Preferencias de seguridad).El nombre del servidor es importante. Depende de cómo se arranque el demonio slapd. Es lo que se le indica con el parámetro –h si se arranca en consola, o lo que se establezca en las opciones por defecto que aparecen en /etc/default/slapd (lo veremos más adelante, en la página 13).
10
�HowTo Servidor LDAP y clientes Linux/Windows
2.2. Añadir usuarios y grupos al servidor.
Ahora el servidor está vacío. Si se accede utilizando LAM, y se hace clic sobre el link , se observa que solo existe la entrada del administrador del servidor (técnicamente, cn=Admin, dc=jome)
Se deben crear, en la base de datos de LDAP, las entradas que se corresponderán con los usuarios, los grupos y los hosts. Para entender esto, obsérvese las primeras líneas de /etc/nsswitch.conf. Allí aparecen: passwd group shadow Se desea que (en los clientes que se autentificarán contra nuestro servidor) esas entradas también se vayan a resolver con LDAP y que un usuario que solo exista en el servidor LDAP pueda iniciar sesión. Para ello, hay que añadir unas tablas en la base de datos de LDAP: • • • People: para almacenar los usuarios (y el shadow) Groups: para almacenar los grupos Hosts: para almacenar información sobre las máquinas (será útil, como veremos más adelante, para Samba)
Como se verá a lo largo del documento, no tienen necesariamente que llamarse así. Estos campos (o tablas) pueden crearse muy fácilmente con la herramienta LAM. Si no se quiere (o no se puede) utilizar, deben añadirse por consola en formato ldif3 . Para añadir estos grupos, crear un fichero (donde sea, puede ser incluso en /tmp) que contenga lo siguiente:
dn: ou=Groups,dc=jome objectClass: top objectClass: organizationalUnit ou: Group dn: ou=People,dc=jome objectClass: top objectClass: organizationalUnit ou: People dn: ou=Hosts,dc=jome objectClass: top objectClass: organizationalUnit ou: Hosts
3
Más información sobre Ldif: http://www.bdat.net/documentos/cursos/ar01s88.html
11
�HowTo Servidor LDAP y clientes Linux/Windows El nombre del fichero no es relevante. Suponiendo que en este caso fuese OUs.ldif, habría que hacer lo siguiente para introducir su información el servidor:
root@xxxx:/tmp# ldapadd -x -D 'cn=Admin,dc=jome' -W -f OUs.ldif Enter LDAP Password: LDAPpassword adding new entry "ou=People,dc=jome" adding new entry "ou=Groups,dc=jome" adding new entry "ou=Hosts,dc=jome"
Gráficamente se puede ver lo ocurrido: En LAM, hacer clic sobre el link “Refrescar” y ahí aparecen:
Ahora hay que añadir un grupo y un usuario de test. Se puede hacer gráficamente con LAM o con una entrada Ldif. Veámoslo más detalladamente con este último método. De momento, el usuario será una cuenta normal (para eso tiene que ser una objectClass: posixAccount). El usuario tendrá un password, que será “test”. Éste puede almacenarse en texto plano (con lo cual, el campo userPassword del usuario no tiene más que ser: userPassword: test) o encriptado. Siempre es más seguro una encriptación md5. Para ver qué hash Md5 se corresponde con la cadena “test”, ejecutar: root@xxxx:~# slappasswd –h {MD5} –s test {MD5}CY9rzUYh03PK3k6DJie09g== Para añadir el usuario y el grupo, poner en un fichero .ldif lo siguiente:
# Fichero /tmp/user_group.ldif # Testing Group#
dn: cn=test,ou=Group,dc=jome objectClass: top objectClass: posixGroup cn: test gidNumber: 2000
# # New Tester user #
dn: uid=test,ou=People,dc=jome objectClass: top objectClass: account objectClass: posixAccount uid: test cn: Test User userPassword: {MD5}CY9rzUYh03PK3k6DJie09g== gecos: Test User uidNumber: 2000 gidNumber: 2000 homeDirectory: /home/test loginShell: /bin/bash
Y añadirlo con ldapadd como se ha visto en la página 12. 12
�HowTo Servidor LDAP y clientes Linux/Windows Con LAM puede verse gráficamente lo ocurrido:
Ya prácticamente está configurado el servidor. Ahora se deben indicar las opciones de arranque por defecto. Eso se hace en el fichero /etc/default/slapd.
# Default location of the slapd.conf file SLAPD_CONF="/etc/ldap/slapd.conf" # System account to run the slapd server under. If empty the server # will run as root. SLAPD_USER="openldap" # System group to run the slapd server under. If empty the server will # run in the primary group of its user. SLAPD_GROUP="openldap" # Path to the pid file of the slapd server. If not set the init.d script # will try to figure it out from $SLAPD_CONF (/etc/ldap/slapd.conf) SLAPD_PIDFILE= # Configure if the slurpd daemon should be started. Possible values: # - yes: Always start slurpd # - no: Never start slurpd # - auto: Start slurpd if a replica option is found in slapd.conf (default) SLURPD_START=auto # slapd normally serves ldap only on all TCP-ports 389. slapd can also # service requests on TCP-port 636 (ldaps) and requests via unix # sockets. # Example usage: SLAPD_SERVICES="ldap://xxxx:389/ ldaps://xxxx:636/ ldapi:///" # Additional options to pass to slapd and slurpd SLAPD_OPTIONS="" SLURPD_OPTIONS=""
Son importantes los servicios que se arrancarán (línea en negrita). Si desde el exterior se accede al servidor LDAP de la máquina “xxxx”, hay que arrancarlo así. Es decir (suponiendo que la IP de la máquina xxxx fuese la 192.168.1.30) no es lo mismo arrancar con ldap://192.168.1.30:389/ que con ldap://xxxx:389/.
13
�HowTo Servidor LDAP y clientes Linux/Windows
2.3. Probando el servidor
Con lo explicado hasta ahora, ya se debería disponer de un servidor LDAP en el que aparece un usuario llamado test que pertenece a un grupo llamado test. Esto es fácilmente comprobable: 2.3.1 Configurar las bases de datos del sistema. Con nuestro sistema, ya debería ser suficiente para que. Para utilizar LDAP como fuente de usuarios y grupos (y, por tanto, que el usuario test sea considerado un usuario del sistema) hay que modificar el fichero /etc/nsswitch.conf y dejarlo así:
# # # # # /etc/nsswitch.conf Example configuration of GNU Name Service Switch functionality. If you have the `glibc-doc-reference' and `info' packages installed, try: `info libc "Name Service Switch"' for information about this file. files ldap files ldap files ldap #compat #compat #compat
passwd: group: shadow: hosts: networks: protocols: services: ethers: rpc: netgroup:
files mdns4_minimal [NOTFOUND=return] dns mdns4 files db db db db files files files files
nis
Para buscar los passwd, group y shadow el sistema acudirá primero a los ficheros locales y luego al servidor LDAP. Inicialmente están únicamente en compat, que es que acuda a mirar a ficheros locales (la diferencia con files es que compat permite la compatibilidad con formatos de fichero antiguos) 2.3.2 Identificar las bases de datos del sistema con las OUs de LDAP Ahora hay que indicar qué OUs almacenan qué datos del sistema. Indicarle al sistema que los usuarios los tiene que ir a buscar a la OU:People, los grupos a la OU:Groups… y en qué servidores se encuentran dichas OUs. En Ubuntu eso se hace en el fichero /etc/ldap.conf. Versiones anteriores de LDAP (como la usada en Debian Etch) dividen este fichero en dos que son prácticamente redundantes. Ahora están unidos. Una posibilidad es:
###DEBCONF### ## ## Configuration of this file will be managed by debconf as long as the ## first line of the file says '###DEBCONF###' ## ## You should use dpkg-reconfigure to configure this file via debconf ## # # # # # # # # # @(#)$Id: ldap.conf,v 1.38 2006/05/15 08:13:..."
|
You need to upgrade your Flash Player , or try to enable javascript in order see this document properly.
|
|
Comments
