Get Gentoo!
gentoo.org sites
gentoo.org Wiki Bugs Forums Packages
Planet Archives Sources
Infra Status

Gentoo Archives: gentoo-commits

From: "JosA MarAa Alonso (nimiux)" <nimiux@g.o>
To: gentoo-commits@l.g.o
Subject: [gentoo-commits] gentoo commit in xml/htdocs/doc/es: ldap-howto.xml
Date: Mon, 29 Aug 2011 17:16:18
Message-Id: 20110829171607.CA0A72004C@flycatcher.gentoo.org
1 nimiux 11/08/29 17:16:07
2
3 Modified: ldap-howto.xml
4 Log:
5 Fix #176075 - Updated OpenLDAP guide
6
7 Revision Changes Path
8 1.19 xml/htdocs/doc/es/ldap-howto.xml
9
10 file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.19&view=markup
11 plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.19&content-type=text/plain
12 diff : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/ldap-howto.xml?r1=1.18&r2=1.19
13
14 Index: ldap-howto.xml
15 ===================================================================
16 RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v
17 retrieving revision 1.18
18 retrieving revision 1.19
19 diff -u -r1.18 -r1.19
20 --- ldap-howto.xml 19 Apr 2011 17:35:34 -0000 1.18
21 +++ ldap-howto.xml 29 Aug 2011 17:16:07 -0000 1.19
22 @@ -1,16 +1,16 @@
23 <?xml version = '1.0' encoding = 'UTF-8' ?>
24 -<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.18 2011/04/19 17:35:34 chiguire Exp $ -->
25 +<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.19 2011/08/29 17:16:07 nimiux Exp $ -->
26
27 <!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
28
29 -<guide disclaimer="draft" lang="es">
30 +<guide lang="es">
31 <title>Guía Gentoo para la autenticación con OpenLDAP</title>
32
33 <author title="Autor">
34 <mail link="sj7trunks@××××××××.net">Benjamin Coles</mail>
35 </author>
36 -<author title="Editor">
37 - <mail link="swift@g.o">Sven Vermeulen</mail>
38 +<author title="Autor">
39 + <mail link="swift"/>
40 </author>
41 <author title="Editor">
42 <mail link="tseng@g.o">Brandon Hale</mail>
43 @@ -33,6 +33,9 @@
44 <author title="Traductor" >
45 <mail link="carles@××××××××××××.info">Carles Ferrer Peris</mail>
46 </author>
47 +<author title="Traductor">
48 + <mail link="nimiux"/>
49 +</author>
50
51 <abstract>
52 Esta guía explica los aspectos básicos de LDAP y muestra cómo instalar
53 @@ -44,8 +47,8 @@
54 <!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
55 <license/>
56
57 -<version>5</version>
58 -<date>2011-04-17</date>
59 +<version>6</version>
60 +<date>2011-08-15</date>
61
62 <chapter>
63 <title>Empezando con OpenLDAP</title>
64 @@ -71,9 +74,9 @@
65 directamente sobre la pila TCP/IP. Vea a LDAP como una versión ligera
66 de X.500.
67 </p>
68 +
69 </body>
70 </section>
71 -
72 <section>
73 <title>No lo entiendo. ¿Qué es un directorio?</title>
74 <body>
75 @@ -88,9 +91,9 @@
76 son replicados, se permiten inconsistencias temporales con tal de que
77 acaben siendo finalmente sincronizadas.
78 </p>
79 +
80 </body>
81 </section>
82 -
83 <section>
84 <title>¿Cómo está estructurada la información?</title>
85 <body>
86 @@ -128,9 +131,9 @@
87 link="http://www.openldap.org/doc/admin24/">Guía de Administración
88 OpenLDAP</uri>.
89 </p>
90 +
91 </body>
92 </section>
93 -
94 <section>
95 <title>Pero ... ¿para qué se utiliza?</title>
96 <body>
97 @@ -155,6 +158,7 @@
98 </li>
99 <li>...</li>
100 </ul>
101 +
102 </body>
103 </section>
104 </chapter>
105 @@ -186,53 +190,68 @@
106
107 <pre caption="Generar una contraseña">
108 # <i>slappasswd</i>
109 -New password: mi-contraseña
110 -Re-enter new password: mi-contraseña
111 +New password: <i>mi-contraseña</i>
112 +Re-enter new password: <i>mi-contraseña</i>
113 {SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4
114 </pre>
115
116 <p>
117 Ahora edite la configuración del Servidor LDAP en
118 -<path>/etc/openldap/slapd.conf</path>:
119 +<path>/etc/openldap/slapd.conf</path>. Abajo mostramos un ejemplo de
120 +fichero de configuración con el que se puede comenzar. Para un
121 +análisis más detallado del fichero de configuración, le sugerimos que
122 +trabaje con la guía del administrador de OpenLDAP.
123 </p>
124
125 <pre caption="/etc/openldap/slapd.conf" >
126 -<comment># Incluya los esquemas de datos necesarios debajo de core.schema</comment>
127 -include /etc/openldap/schema/cosine.schema
128 -include /etc/openldap/schema/inetorgperson.schema
129 -include /etc/openldap/schema/nis.schema
130 -
131 -<comment># Descomente el modulepath y el módulo hdb</comment>
132 -modulepath /usr/lib/openldap/openldap
133 -# moduleload back_shell.so
134 -# moduleload back_relay.so
135 -# moduleload back_perl.so
136 -# moduleload back_passwd.so
137 -# moduleload back_null.so
138 -# moduleload back_monitor.so
139 -# moduleload back_meta.so
140 -moduleload back_hdb.so
141 -# moduleload back_dnssrv.so
142 +include /etc/openldap/schema/core.schema
143 +include /etc/openldap/schema/cosine.schema
144 +include /etc/openldap/schema/inetorgperson.schema
145 +include /etc/openldap/schema/nis.schema
146 +include /etc/openldap/schema/misc.schema
147 +
148 +pidfile /var/run/openldap/slapd.pid
149 +argsfile /var/run/openldap/slapd.args
150 +
151 +<comment># Elimine el comentario de las restricciones simples de acceso (Nota: ¡respete la indentación!)</comment>
152 +serverID 0 <comment>Utilizado en el caso de replicación</comment>
153 +loglevel 0
154
155 -<comment># Descomente las restricciones de acceso de ejemplo (Nota:
156 -¡mantenga la indentación!)
157 -</comment>
158 +<comment>## Controles de acceso</comment>
159 access to dn.base="" by * read
160 access to dn.base="cn=Subschema" by * read
161 access to *
162 - by self write
163 - by users read
164 - by anonymous auth
165 -
166 -<comment># Definición de la base de datos BDB</comment>
167 -
168 -database hdb
169 -suffix "dc=genfic,dc=com"
170 -checkpoint 32 30 # &lt;kbyte&gt; &lt;min&gt;
171 -rootdn "cn=Manager,dc=genfic,dc=com"
172 -rootpw <i>{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4</i>
173 -directory /var/lib/openldap-ldbm
174 -index objectClass eq
175 + by self write
176 + by users read
177 + by anonymous read
178 +
179 +<comment>## Definición de la base de datos</comment>
180 +database hdb
181 +suffix "dc=genfic,dc=com"
182 +checkpoint 32 30
183 +rootdn "cn=Manager,dc=genfic,dc=com"
184 +rootpw "{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4" <comment># Mire el comando slappasswd previo</comment>
185 +directory "/var/lib/openldap-ldbm"
186 +index objectClass eq
187 +
188 +<comment>## Sincronización (tomar de otro servidor LDAP)</comment>
189 +syncrepl rid=000
190 + provider=ldap://ldap2.genfic.com
191 + type=refreshAndPersist
192 + retry="5 5 300 +"
193 + searchbase="dc=genfic,dc=com"
194 + attrs="*,+"
195 + bindmethod="simple"
196 + binddn="cn=ldapreader,dc=genfic,dc=com"
197 + credentials="ldapsyncpass"
198 +
199 +index entryCSN eq
200 +index entryUUID eq
201 +
202 +mirrormode TRUE
203 +
204 +overlay syncprov
205 +syncprov-checkpoint 100 10
206 </pre>
207
208 <p>
209 @@ -244,19 +263,27 @@
210 <comment>(Añada lo siguiente ...)</comment>
211
212 BASE dc=genfic, dc=com
213 -URI ldap://auth.genfic.com:389/
214 +URI ldap://ldap.genfic.com:389/ ldap://ldap1.genfic.com:389/ ldap://ldap2.genfic.com:389/
215 TLS_REQCERT allow
216 +TIMELIMIT 2
217 </pre>
218
219 <p>
220 -Ahora edite <path>/etc/conf.d/slapd</path> y elimine el
221 -comentario de la siguiente línea OPTS:
222 +Ahora edite <path>/etc/conf.d/slapd</path> y ajuste la siguiente línea
223 +OPTS:
224 </p>
225
226 <pre caption="/etc/conf.d/slapd" >
227 -<comment># Nota: no usamos cn=config aquí, por tanto quédese con
228 -esta línea:</comment>
229 -OPTS="-F /etc/openldap/slapd.d -h 'ldaps:// ldap:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"
230 +OPTS="-h 'ldaps:// ldap:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"
231 +</pre>
232 +
233 +<p>
234 +Finalmente, cree la estructura <path>/var/lib/openldap-ldbm</path>:
235 +</p>
236 +<pre caption="Preparar la localización openldap-ldbm">
237 +~# <i>mkdir -p /var/lib/openldap-ldbm</i>
238 +~# <i>chown ldap:ldap /var/lib/openldap-ldbm</i>
239 +~# <i>chmod 700 /var/lib/openldap-ldbm</i>
240 </pre>
241
242 <p>
243 @@ -280,6 +307,77 @@
244 nivel de detalle de los avisos y poder resolver el problema que pueda
245 tener.
246 </p>
247 +
248 +</body>
249 +</section>
250 +</chapter>
251 +
252 +<chapter>
253 +<title>Replicación</title>
254 +<section>
255 +<title>Si necesita alta disponibilidad</title>
256 +<body>
257 +
258 +<p>
259 +Si su entorno requiere alta disponibilidad, entonces necesitará configurar
260 +la replicación de los cambios a través de múltiples sistemas LDAP. La
261 +replicación dentro de OpenLDAP, en esta guía, se configura utilizando una
262 +cuenta especial de replicación (<c>ldapreader</c>) la cual posee
263 +privilegios de lectura en el servidor LDAP primario y que toma los
264 +cambios relizados en este servidor LDAP primario al secundario.
265 +</p>
266 +
267 +<p>
268 +Esta configuración es entonces copiada, permitiendo al servidor LDAP
269 +secundario actuar igual que el primario. Gracias a la estructura interna
270 +de OpenLDAP, los cambios no se aplican de nuevo si ya están en la
271 +estructura LDAP.
272 +</p>
273 +
274 +</body>
275 +</section>
276 +<section>
277 +<title>Configurando la replicación</title>
278 +<body>
279 +
280 +<p>
281 +Para configurar la replicación, en primer lugar realice la configuración
282 +de un segundo servidor OpenLDAP, del mismo modo que se ha descrito
283 +arriba. Sin embargo, tenga cuidado de que, en el fichero de configuración:
284 +</p>
285 +
286 +<ul>
287 + <li>
288 + el <e>proveedor de la replicación sincronizada</e> apunta al
289 + <e>otro</e> sistema, y
290 + </li>
291 + <li>
292 + el <e>serverID</e> de cada sistema OpenLDAP es diferente.
293 + </li>
294 +</ul>
295 +
296 +<p>
297 +A continuación, cree la cuenta de sincronización. Crearemos un fichero
298 +LDIF (el formato utilizado como entrada de datos para los servidores
299 +LDAP) y añádalo a cada servidor LDAP:
300 +</p>
301 +
302 +<pre caption="Crear la cuenta ldapreader">
303 +~# <i>slappasswd -s contraseñademilector</i>
304 + {SSHA}XvbdAv6rdskp9HgFaFL9YhGkJH3HSkiM
305 +
306 +~# <i>cat ldapreader.ldif</i>
307 +dn: cn=ldapreader,dc=genfic,dc=com
308 +userPassword: {SSHA}XvbdAv6rdskp9HgFaFL9YhGkJH3HSkiM
309 +objectClass: organizationalRole
310 +objectClass: simpleSecurityObject
311 +cn: ldapreader
312 +description: Lector LDAP utilizado para sincronización
313 +
314 +~# <i>ldapadd -x -W -D "cn=Manager,dc=genfic,dc=com" -f ldapreader.ldif</i>
315 +Password: <comment>introduzca la contraseña de administración</comment>
316 +</pre>
317 +
318 </body>
319 </section>
320 </chapter>
321 @@ -291,15 +389,87 @@
322 <body>
323
324 <p>
325 +Configurar OpenLDAP para su administración centralizada y la gestión de
326 +elementos Linux/Unix comunes, no es fácil. Gracias a algunas herramientas
327 +y guiones disponibles en Internet, la migración desde un punto de vista
328 +de un sistema de administración simple a un sistema centralizado y
329 +gestionado basado en OpenLDAP no es muy complicado.
330 +</p>
331 +
332 +<p>
333 Vaya a <uri
334 link="http://www.padl.com/OSS/MigrationTools.html">
335 http://www.padl.com/OSS/MigrationTools.html</uri>
336 -y busque los guiones allí. La configuración está establecida en la
337 -página. Nosotros ya no los proporcionamos porque los guiones son un
338 -potencial agujero de seguridad si los deja en el sistema después de
339 -haberlos trasladado. Cuando haya acabado de migrar los datos, continue
340 -en la sección siguiente.
341 +y descargue los guiones que allí se encuentren. Necesitará las
342 +herramientas de migración y el guión <c>make_master.sh</c>.
343 </p>
344 +
345 +<p>
346 +A continuación, extraiga las herramientas y copie el guión
347 +<c>make_master.sh</c> dentro de la localización extraída:
348 +</p>
349 +
350 +<pre caption="Extrar MigrationTools (Herramientas de migración)">
351 +~# <i>mktemp -d</i>
352 +/tmp/tmp.zchomocO3Q
353 +~# <i>cd /tmp/tmp.zchomocO3Q</i>
354 +~# <i>tar xvzf /path/to/MigrationTools.tgz</i>
355 +~# <i>mv /camino/a/make_master.sh MigrationTools-47</i>
356 +~# <i>cd MigrationTools-47</i>
357 +</pre>
358 +
359 +<p>
360 +El siguiente paso ahora es migrar la información de su sistema a OpenLDAP.
361 +Esto se realiza con el guión <c>make_master.sh</c> después de
362 +proporcionarle la información relacionada con su estructura y entorno LDAP.
363 +</p>
364 +
365 +<p>
366 +En el momento de escribir esta guía, las herramientas necesarias, requieren
367 +las siguientes entradas:
368 +</p>
369 +
370 +<table>
371 +<tr>
372 + <th>Entrada</th>
373 + <th>Descripción</th>
374 + <th>Ejemplo</th>
375 +</tr>
376 +<tr>
377 + <ti>LDAP BaseDN</ti>
378 + <ti>La localización base (raíz) de su árbol</ti>
379 + <ti>dc=genfic,dc=com</ti>
380 +</tr>
381 +<tr>
382 + <ti>Mail domain</ti>
383 + <ti>Dominio utilizado en las direcciones de correo electrónico</ti>
384 + <ti>genfic.com</ti>
385 +</tr>
386 +<tr>
387 + <ti>Mail host</ti>
388 + <ti>Nombre de dominio completamente cualificado (FQDN) de la
389 + infraestructura de su servidor de correo</ti>
390 + <ti>smtp.genfic.com</ti>
391 +</tr>
392 +<tr>
393 + <ti>LDAP Root DN</ti>
394 + <ti>Información de la cuenta administrativa de su estructura LDAP</ti>
395 + <ti>cn=Manager,dc=genfic,dc=com</ti>
396 +</tr>
397 +<tr>
398 + <ti>LDAP Root Password</ti>
399 + <ti>
400 + Contraseña de la cuenta administrativa, comparar con el comando
401 + <c>slappasswd</c> anterior
402 + </ti>
403 + <ti></ti>
404 +</tr>
405 +</table>
406 +
407 +<p>
408 +La herramienta también le preguntará qué cuentas y ajustes necesita migrar.
409 +</p>
410 +
411 </body>
412 </section>
413
414 @@ -325,7 +495,7 @@
415 </p>
416
417 <pre caption="/etc/pam.d/system-auth" >
418 -<comment># Nota: Sólo añádalas. ¡No suprima cosas o su sistema podría no
419 +<comment># Nota: Solo añádalas. ¡No suprima cosas o su sistema podría no
420 volver a arrancar de nuevo!
421 </comment>
422 auth sufficient pam_ldap.so use_first_pass
423 @@ -337,7 +507,7 @@
424 #%PAM-1.0
425
426 auth required pam_env.so
427 -auth sufficient pam_unix.so try_first_pass likeauth nullok
428 +auth <i>sufficient</i> pam_unix.so try_first_pass likeauth nullok
429 <i>auth sufficient pam_ldap.so use_first_pass</i>
430 auth required pam_deny.so
431
432 @@ -345,7 +515,7 @@
433 account required pam_unix.so
434
435 password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3
436 -password sufficient pam_unix.so try_first_pass use_authtok nullok md5 shadow
437 +password <i>sufficient</i> pam_unix.so try_first_pass use_authtok nullok md5 shadow
438 <i>password sufficient pam_ldap.so use_authtok use_first_pass</i>
439 password required pam_deny.so
440
441 @@ -364,20 +534,20 @@
442
443 suffix &quot;dc=genfic,dc=com&quot;
444 <comment>#rootbinddn uid=root,ou=People,dc=genfic,dc=com</comment>
445 -
446 -uri ldap://auth.genfic.com/
447 -pam_password exop
448 -
449 +bind_policy soft
450 +bind_timelimit 2
451 ldap_version 3
452 +nss_base_group ou=Group,dc=genfic,dc=com
453 +nss_base_hosts ou=Hosts,dc=genfic,dc=com
454 +nss_base_passwd ou=People,dc=genfic,dc=com
455 +nss_base_shadow ou=People,dc=genfic,dc=com
456 pam_filter objectclass=posixAccount
457 pam_login_attribute uid
458 pam_member_attribute memberuid
459 -nss_base_passwd ou=People,dc=genfic,dc=com
460 -nss_base_shadow ou=People,dc=genfic,dc=com
461 -nss_base_group ou=Group,dc=genfic,dc=com
462 -nss_base_hosts ou=Hosts,dc=genfic,dc=com
463 -
464 +pam_password exop
465 scope one
466 +timelimit 2
467 +uri ldap://ldap.genfic.com/ ldap://ldap1.genfic.com ldap://ldap2.genfic.com
468 </pre>
469
470 <p>
471 @@ -402,29 +572,18 @@
472 </pre>
473
474 <p>
475 -Para probar los cambios, escriba:
476 +Si observa, una de las lineas copiadas en su <path>/etc/ldap.conf</path>
477 +está comentada (la línea <c>rootbinddn</c>): no la necesita salvo que
478 +quiera cambiar la contraseña de un usuario como superusuario. En este
479 +caso, necesita escribir la contraseña de root en
480 +<path>/etc/ldap.secret</path> con texto en claro. Esto es
481 +<brite>PELIGROSO</brite> por lo que debería tener permisos &quot;600&quot;.
482 +Lo que debe hacer es mantener el fichero vacío y cuando necesite cambiar
483 +cualquier contraseña que está tanto en ldap como en
484 +<path>/etc/passwd</path> escriba la contraseña en él durante 10 segundos
485 +mientras hace los cambios y bórrela cuando haya acabado.
486 </p>
487
488 -<pre caption="Prueba de la autorización con LDAP" >
489 -# <i>getent passwd|grep 0:0</i>
490 -<comment>(Debería devolver dos entradas:)</comment>
491 -root:x:0:0:root:/root:/bin/bash
492 -root:x:0:0:root:/root:/bin/bash
493 -</pre>
494 -
495 -<p>
496 -Si observa, una de las lineas copiadas en su
497 -<path>/etc/ldap.conf</path> está comentada (la línea
498 -<c>rootbinddn</c>): no la necesita salvo que quiera cambiar la
499 -contraseña de un usuario como superusuario. En este caso, necesita
500 -escribir la contraseña de root en <path>/etc/ldap.secret</path> con
501 -texto en claro. Esto es <brite>PELIGROSO</brite> por lo que debería
502 -tener permisos &quot;600&quot;. Lo que yo hago es mantener el fichero
503 -vacío y cuando necesito cambiar cualquier contraseña que está tanto
504 -en ldap como en <path>/etc/passwd</path> escribo la contraseña en él
505 -durante 10 segundos mientras hago los cambios y la borro cuando he
506 -acabado.
507 -</p>
508 </body>
509 </section>
510 </chapter>
511 @@ -488,6 +647,7 @@
512 pero la regla de procesamiento es de abajo arriba, por lo que su nivel
513 superior debe ser el más restrictivo.
514 </p>
515 +
516 </body>
517 </section>
518 </chapter>
519 @@ -501,9 +661,10 @@
520 <p>
521 Puede empezar utilizando el directorio para autentificar usuarios en
522 apache/proftpd/qmail/samba. Puede administrarlo con phpldapadmin,
523 -diradm, jxplorer o lat, que porporcionan interfaces de administración
524 +diradm, jxplorer o lat, que proporcionan interfaces de administración
525 sencillos.
526 </p>
527 +
528 </body>
529 </section>
530 </chapter>
531 @@ -518,6 +679,7 @@
532 realizar esta guía. Gracias también a toda la gente simpática de #ldap
533 @ irc.freenode.net.
534 </p>
535 +
536 </body>
537 </section>
538 </chapter>
Report Message
Find on MARC Find on Google Groups