1 |
yoswink 08/01/24 14:19:27 |
2 |
|
3 |
Modified: ldap-howto.xml |
4 |
Log: |
5 |
#207228 Updated to version 0.23. Thanks to Carles Ferrer |
6 |
|
7 |
Revision Changes Path |
8 |
1.14 xml/htdocs/doc/es/ldap-howto.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.14&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.14&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?r1=1.13&r2=1.14 |
13 |
|
14 |
Index: ldap-howto.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v |
17 |
retrieving revision 1.13 |
18 |
retrieving revision 1.14 |
19 |
diff -u -r1.13 -r1.14 |
20 |
--- ldap-howto.xml 20 Dec 2005 14:15:25 -0000 1.13 |
21 |
+++ ldap-howto.xml 24 Jan 2008 14:19:26 -0000 1.14 |
22 |
@@ -1,10 +1,11 @@ |
23 |
<?xml version = '1.0' encoding = 'UTF-8' ?> |
24 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.13 2005/12/20 14:15:25 chiguire Exp $ --> |
25 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.14 2008/01/24 14:19:26 yoswink Exp $ --> |
26 |
|
27 |
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> |
28 |
-<guide link="/doc/es/ldap-howto.xml" lang="es" > |
29 |
|
30 |
+<guide link="/doc/es/ldap-howto.xml" lang="es" disclaimer="draft"> |
31 |
<title>Guía Gentoo para la autenticación con OpenLDAP</title> |
32 |
+ |
33 |
<author title="Autor"> |
34 |
<mail link="sj7trunks@××××××××.net" >Benjamin Coles</mail> |
35 |
</author> |
36 |
@@ -17,6 +18,9 @@ |
37 |
<author title="Editor"> |
38 |
<mail link="bennyc@g.o" >Benny Chuang</mail> |
39 |
</author> |
40 |
+<author title="Editor"> |
41 |
+ <mail link="jokey"/> |
42 |
+</author> |
43 |
<author title="Traductor"> |
44 |
<mail link="bass@g.o" >José Alberto Suárez López</mail> |
45 |
</author> |
46 |
@@ -31,17 +35,17 @@ |
47 |
</author> |
48 |
|
49 |
<abstract> |
50 |
-Esta guía explica los aspectos básicos de LDAP y muestra cómo instalar OpenLDAP |
51 |
-con la finalidad de conseguir la autenticación entre un grupo de máquinas |
52 |
-Gentoo. |
53 |
+Esta guía explica los aspectos básicos de LDAP y muestra cómo instalar |
54 |
+OpenLDAP con la finalidad de conseguir la autenticación entre un grupo de |
55 |
+máquinas Gentoo. |
56 |
</abstract> |
57 |
|
58 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
59 |
<!-- See http://creativecommons.org/licenses/by-sa/2.5 --> |
60 |
<license/> |
61 |
|
62 |
-<version>0.22</version> |
63 |
-<date>2005-10-21</date> |
64 |
+<version>0.23</version> |
65 |
+<date>2008-01-01</date> |
66 |
|
67 |
<chapter> |
68 |
<title>Empezando con OpenLDAP</title> |
69 |
@@ -53,7 +57,7 @@ |
70 |
LDAP significa <e>Lightweight Directory Access Protocol</e> (Protocolo |
71 |
Ligero de Acceso a Directorios). Basado en X.500, abarca muchas de sus |
72 |
funciones principales, pero carece de las funciones más esotéricas de |
73 |
-X.500. Pero, ¿qué es este X.500 y por qué hay un LDAP? |
74 |
+X.500. Pero, ¿qué es este X.500 y por qué hay un LDAP? |
75 |
</p> |
76 |
|
77 |
<p> |
78 |
@@ -104,7 +108,7 @@ |
79 |
dc: genfic <comment>(Organización)</comment> |
80 |
/ \ |
81 |
ou: personas servidores<comment>(Unidades organizativas)</comment> |
82 |
- / \ .. |
83 |
+ / \ .. |
84 |
uid: .. john <comment>(Datos específicos de las UO)</comment> |
85 |
</pre> |
86 |
|
87 |
@@ -119,7 +123,7 @@ |
88 |
</p> |
89 |
|
90 |
<p> |
91 |
-Animamos a las personas interesadas a leer la |
92 |
+Animamos a las personas interesadas a leer la |
93 |
<uri link="http://www.openldap.org/doc/admin21/" >OpenLDAP Admin Guide</uri>. |
94 |
</p> |
95 |
|
96 |
@@ -130,10 +134,10 @@ |
97 |
<body> |
98 |
|
99 |
<p> |
100 |
-LDAP puede ser utilizado con varios propósitos. En este documento se trata |
101 |
-la administración centralizada de usuarios, manteniendo todas las cuentas de |
102 |
+LDAP puede ser utilizado con varios propósitos. En este documento se trata |
103 |
+la administración centralizada de usuarios, manteniendo todas las cuentas de |
104 |
usuario en una única ubicación LDAP (lo que no significa que esté albergada |
105 |
-en un único servidor, puesto que LDAP soporta alta disponibilidad y |
106 |
+en un único servidor, puesto que LDAP soporta alta disponibilidad y |
107 |
redundancia), y sin embargo LDAP puede utilizarse igualmente para otros fines: |
108 |
</p> |
109 |
|
110 |
@@ -159,8 +163,8 @@ |
111 |
<body> |
112 |
|
113 |
<note> |
114 |
-En este documento utilizamos la dirección genfic.com como ejemplo. Usted |
115 |
-deberá, desde luego, cambiarlo. Sin embargo, asegúrese que el nodo superior |
116 |
+En este documento utilizamos la dirección genfic.com como ejemplo. Usted |
117 |
+deberá, desde luego, cambiarlo. Sin embargo, asegúrese que el nodo superior |
118 |
es un dominio oficial de primer nivel (net, com, cc, be, ...). |
119 |
</note> |
120 |
|
121 |
@@ -169,44 +173,67 @@ |
122 |
</p> |
123 |
|
124 |
<pre caption="Instalación de OpenLDAP" > |
125 |
-# <i>emerge openldap pam_ldap nss_ldap migrationtools</i> |
126 |
-# <i>chown ldap:ldap /var/lib/openldap-ldbm /var/lib/openldap-data /var/lib/openldap-slurp</i> |
127 |
+# <i>emerge ">=net-nds/openldap-2.3.38" pam_ldap nss_ldap</i> |
128 |
+</pre> |
129 |
+ |
130 |
+<p> |
131 |
+Ahora cree una contraseña que usará después: |
132 |
+</p> |
133 |
+ |
134 |
+<pre caption="Generar una contraseña"> |
135 |
+# slappasswd |
136 |
+New password: mi-contraseña |
137 |
+Re-enter new password: mi-contraseñ |
138 |
+{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4 |
139 |
</pre> |
140 |
|
141 |
<p> |
142 |
-Edite <path>/etc/openldap/slapd.conf</path>y añada lo siguiente |
143 |
-después de <c>core.schema</c>: |
144 |
+Now edit the LDAP Server config at <path>/etc/openldap/slapd.conf</path>: |
145 |
+Ahora edite la configuración del Servidor LDAP en |
146 |
+<path>/etc/openldap/slapd.conf</path>: |
147 |
</p> |
148 |
|
149 |
<pre caption="/etc/openldap/slapd.conf" > |
150 |
-<comment># Incluya los esquemas de datos necesarios</comment> |
151 |
+<comment># Incluya los esquemas de datos necesarios debajo de core.schema</comment> |
152 |
include /etc/openldap/schema/cosine.schema |
153 |
include /etc/openldap/schema/inetorgperson.schema |
154 |
include /etc/openldap/schema/nis.schema |
155 |
|
156 |
-<comment># Use md5 crypt para el resumen criptográfico de las contraseñas</comment> |
157 |
-password-hash {md5} |
158 |
- |
159 |
-<comment># Defina las propiedades SSL y TLS (opcional)</comment> |
160 |
-TLSCertificateFile /etc/ssl/ldap.pem |
161 |
-TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem |
162 |
-TLSCACertificateFile /etc/ssl/ldap.pem |
163 |
+<comment># Descomente el modulepath y el módulo hdb</comment> |
164 |
+modulepath /usr/lib/openldap/openldap |
165 |
+# moduleload back_shell.so |
166 |
+# moduleload back_relay.so |
167 |
+# moduleload back_perl.so |
168 |
+# moduleload back_passwd.so |
169 |
+# moduleload back_null.so |
170 |
+# moduleload back_monitor.so |
171 |
+# moduleload back_meta.so |
172 |
+moduleload back_hdb.so |
173 |
+# moduleload back_dnssrv.so |
174 |
|
175 |
-<comment>(Adicionalmente ...)</comment> |
176 |
- |
177 |
-database ldbm |
178 |
-suffix "dc=genfic,dc=com" |
179 |
-rootdn "cn=Manager,dc=genfic,dc=com" |
180 |
-rootpw <i>{MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==</i> |
181 |
+<comment># Descomente las restricciones de acceso de ejemplo (Nota: |
182 |
+¡mantenga la indentación!) |
183 |
+</comment> |
184 |
+access to dn.base="" by * read |
185 |
+access to dn.base="cn=Subschema" by * read |
186 |
+access to * |
187 |
+ by self write |
188 |
+ by users read |
189 |
+ by anonymous auth |
190 |
+ |
191 |
+<comment># Definición de la base de datos BDB</comment> |
192 |
+ |
193 |
+database hdb |
194 |
+suffix "dc=genfic,dc=com" |
195 |
+checkpoint 32 30 # <kbyte> <min> |
196 |
+rootdn "cn=Manager,dc=genfic,dc=com" |
197 |
+rootpw <i>{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4</i> |
198 |
directory /var/lib/openldap-ldbm |
199 |
index objectClass eq |
200 |
- |
201 |
-<comment>(Puede obtener una contraseña cifrada como la anterior con |
202 |
-slappasswd -h {Md5})</comment> |
203 |
</pre> |
204 |
|
205 |
<p> |
206 |
-Luego edite el fichero de configuración de LDAP: |
207 |
+Luego edite el fichero de configuración del cliente LDAP: |
208 |
</p> |
209 |
|
210 |
<pre caption="/etc/openldap/ldap.conf" > |
211 |
@@ -214,40 +241,26 @@ |
212 |
<comment>(Añada lo siguiente ...)</comment> |
213 |
|
214 |
BASE dc=genfic, dc=com |
215 |
-URI ldaps://auth.genfic.com:636/ |
216 |
+URI ldap://auth.genfic.com:389/ |
217 |
TLS_REQCERT allow |
218 |
</pre> |
219 |
|
220 |
<p> |
221 |
-Ahora deberá generar un certificado SSL para asegurar su |
222 |
-directorio. Responda a las preguntas de la mejor manera |
223 |
-posible. Cuando se le pregunte por su <e>Common Name</e>, introduzca |
224 |
-el nombre que los clientes usarán cuando se conecten con el |
225 |
-servidor. Generalmente es el dominio completo (por |
226 |
-ejemplo,<path>auth.genfic.com</path>). |
227 |
-</p> |
228 |
- |
229 |
-<pre caption="Generando el Certificado SSL" > |
230 |
-# <i>cd /etc/ssl</i> |
231 |
-# <i>openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out \ |
232 |
-ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999</i> |
233 |
-# <i>chown ldap:ldap /etc/openldap/ssl/ldap.pem</i> |
234 |
-</pre> |
235 |
- |
236 |
-<p> |
237 |
Ahora edite <path>/etc/conf.d/slapd</path> y añada lo siguiente, |
238 |
comentando la línea existente: |
239 |
</p> |
240 |
|
241 |
<pre caption="/etc/conf.d/slapd" > |
242 |
-OPTS="-h 'ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'" |
243 |
+<comment># Nota: no usamos cn=config aquí, por tanto quédese con |
244 |
+esta línea:</comment> |
245 |
+OPTS="-h 'ldap:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'" |
246 |
</pre> |
247 |
|
248 |
<p> |
249 |
Inicie slapd: |
250 |
</p> |
251 |
|
252 |
-<pre caption="Iniciando SLAPd" > |
253 |
+<pre caption="Iniciar SLAPd" > |
254 |
# <i>/etc/init.d/slapd start</i> |
255 |
</pre> |
256 |
|
257 |
@@ -269,112 +282,72 @@ |
258 |
</section> |
259 |
</chapter> |
260 |
<chapter> |
261 |
-<title>Migrar los datos existentes</title> |
262 |
+<title>Configuración del cliente</title> |
263 |
<section> |
264 |
-<title>Migración de cuentas de usuario</title> |
265 |
+<title>Migrar los datos existentes a ldap</title> |
266 |
<body> |
267 |
|
268 |
<p> |
269 |
-A continuación, migraremos las cuentas de usuario. Abra |
270 |
-<path>/usr/share/migrationtools/migrate_common.ph</path> y edite lo |
271 |
-siguiente: |
272 |
-</p> |
273 |
- |
274 |
-<pre caption="/usr/share/migrationtools/migrate_common.ph" > |
275 |
-$DEFAULT_BASE = "dc=genfic,dc=com"; |
276 |
-$EXTENDED_SCHEMA = 1; |
277 |
-<comment># Comente estas líneas a menos que tenga un esquema de correo cargado |
278 |
-</comment> |
279 |
- <comment>#$DEFAULT_MAIL_DOMAIN = "genfic.com";</comment> |
280 |
- <comment>#$DEFAULT_MAIL_HOST = "mail.genfic.com";</comment> |
281 |
-</pre> |
282 |
- |
283 |
-<p> |
284 |
-Ahora ejecute los guiones de migración: |
285 |
-</p> |
286 |
- |
287 |
-<pre caption="Ejecución de los scripts de migración" > |
288 |
-# <i>export ETC_SHADOW=/etc/shadow</i> |
289 |
-# <i>cd /usr/share/migrationtools</i> |
290 |
-# <i>./migrate_base.pl > /tmp/base.ldif</i> |
291 |
-# <i>./migrate_group.pl /etc/group /tmp/group.ldif</i> |
292 |
-# <i>./migrate_hosts.pl /etc/hosts /tmp/hosts.ldif</i> |
293 |
-# <i>./migrate_passwd.pl /etc/passwd /tmp/passwd.ldif</i> |
294 |
-</pre> |
295 |
- |
296 |
-<p> |
297 |
-Este último paso migra los ficheros anteriores a ficheros ldif leídos |
298 |
-por LDAP. Ahora se añadirán los ficheros a nuestro directorio: |
299 |
-</p> |
300 |
- |
301 |
-<pre caption="Importación de los datos a nuestro directorio" > |
302 |
-# <i>ldapadd -D "cn=Manager,dc=genfic,dc=com" -W -f /tmp/base.ldif</i> |
303 |
-# <i>ldapadd -D "cn=Manager,dc=genfic,dc=com" -W -f /tmp/group.ldif</i> |
304 |
-# <i>ldapadd -D "cn=Manager,dc=genfic,dc=com" -W -f /tmp/passwd.ldif</i> |
305 |
-# <i>ldapadd -D "cn=Manager,dc=genfic,dc=com" -W -f /tmp/hosts.ldif</i> |
306 |
-</pre> |
307 |
- |
308 |
-<p> |
309 |
-Si se obtiene un error en los ficheros ldif, se puede continuar desde donde |
310 |
-nos hemos quedado usando <c>ldapadd -c</c>. |
311 |
+Go to <uri link="http://www.padl.com/OSS/MigrationTools.html">http://www.padl.com/OSS/MigrationTools.html</uri> |
312 |
+y busque los guiones allí. La configuración está establecida en la página. |
313 |
+Nosotros ya no los proporcionamos porque los guiones son un potencial agujero |
314 |
+de seguridad si los deja en el sistema después de haberlos trasladado. Cuando |
315 |
+haya acabado de migrar los datos, continue en la sección siguiente. |
316 |
</p> |
317 |
|
318 |
</body> |
319 |
</section> |
320 |
-</chapter> |
321 |
-<chapter> |
322 |
-<title>Configuración del cliente</title> |
323 |
<section> |
324 |
<title>Configuración de PAM</title> |
325 |
<body> |
326 |
|
327 |
<p> |
328 |
En primer lugar, configuraremos PAM para permitir la autorización con |
329 |
-LDAP. Instalemos <c>sys-auth/pam_ldap</c> ya que PAM soporta la |
330 |
-autentificación LDAP, y <c>sys-auth/nss_ldap</c> porque nuestro sistema |
331 |
-puede negociar con servidores LDAP para obtener información adicional (usado |
332 |
+LDAP. Instalemos <c>sys-auth/pam_ldap</c> ya que PAM soporta la |
333 |
+autentificación LDAP, y <c>sys-auth/nss_ldap</c> porque nuestro sistema |
334 |
+puede negociar con servidores LDAP para obtener información adicional (usado |
335 |
por <path>nsswitch.conf</path>). |
336 |
</p> |
337 |
|
338 |
-<pre caption="Instalando pam_ldap y nss_ldap" > |
339 |
+<pre caption="Instalar pam_ldap y nss_ldap" > |
340 |
# <i>emerge pam_ldap nss_ldap</i> |
341 |
</pre> |
342 |
|
343 |
<p> |
344 |
-Ahora editamos <path>/etc/pam.d/system-auth</path> de forma que se parezca a |
345 |
-lo siguiente: |
346 |
+Ahora añada las siguientes líneas en los lugares adecuados de |
347 |
+<path>/etc/pam.d/system-auth</path>: |
348 |
</p> |
349 |
|
350 |
<pre caption="/etc/pam.d/system-auth" > |
351 |
-auth required pam_env.so |
352 |
-auth sufficient pam_unix.so likeauth nullok shadow |
353 |
+<comment># Nota: Sólo añádalas. ¡No suprima cosas o su sistema podría no |
354 |
+volver a arrancar de nuevo! |
355 |
+</comment> |
356 |
auth sufficient pam_ldap.so use_first_pass |
357 |
+account sufficient pam_ldap.so |
358 |
+password sufficient pam_ldap.so use_authtok use_first_pass |
359 |
+session optional pam_ldap.so |
360 |
+ |
361 |
+<comment># Fichero de ejemplo:</comment> |
362 |
+#%PAM-1.0 |
363 |
+ |
364 |
+auth required pam_env.so |
365 |
+auth sufficient pam_unix.so try_first_pass likeauth nullok |
366 |
+<i>auth sufficient pam_ldap.so use_first_pass</i> |
367 |
auth required pam_deny.so |
368 |
|
369 |
-account requisite pam_unix.so |
370 |
-account sufficient pam_localuser.so |
371 |
-account required pam_ldap.so |
372 |
- |
373 |
-password required pam_cracklib.so retry=3 |
374 |
-password sufficient pam_unix.so nullok use_authtok shadow md5 |
375 |
-password sufficient pam_ldap.so use_authtok use_first_pass |
376 |
+<i>account sufficient pam_ldap.so</i> |
377 |
+account required pam_unix.so |
378 |
+ |
379 |
+password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3 |
380 |
+password sufficient pam_unix.so try_first_pass use_authtok nullok md5 shadow |
381 |
+<i>password sufficient pam_ldap.so use_authtok use_first_pass</i> |
382 |
password required pam_deny.so |
383 |
|
384 |
session required pam_limits.so |
385 |
session required pam_unix.so |
386 |
-session required pam_mkhomedir.so skel=/etc/skel/ umask=0066 |
387 |
-session optional pam_ldap.so |
388 |
+<i>session optional pam_ldap.so</i> |
389 |
</pre> |
390 |
|
391 |
-<!-- Should work now, see #87930 |
392 |
-<note> |
393 |
-Si nos encontramos con que el acceso a ese sistema falla utilizando ssh, |
394 |
-podemos probar a intercambiar las dos líneas <c>auth sufficient</c>. |
395 |
-Sin embargo, puede que <c>su</c> y otras herramientas no quieran funcionar |
396 |
-correctamente si lo hace. |
397 |
-</note> |
398 |
---> |
399 |
- |
400 |
<p> |
401 |
Ahora cambie <path>/etc/ldap.conf</path> para que tenga: |
402 |
</p> |
403 |
@@ -383,12 +356,10 @@ |
404 |
<comment>#host 127.0.0.1</comment> |
405 |
<comment>#base dc=padl,dc=com</comment> |
406 |
|
407 |
-ssl start_tls |
408 |
-ssl on |
409 |
suffix "dc=genfic,dc=com" |
410 |
<comment>#rootbinddn uid=root,ou=People,dc=genfic,dc=com</comment> |
411 |
|
412 |
-uri ldaps://auth.genfic.com/ |
413 |
+uri ldap://auth.genfic.com/ |
414 |
pam_password exop |
415 |
|
416 |
ldap_version 3 |
417 |
@@ -431,7 +402,7 @@ |
418 |
<pre caption="Prueba de la autorización con LDAP" > |
419 |
# <i>getent passwd|grep 0:0</i> |
420 |
<comment>(Debería devolver dos entradas:)</comment> |
421 |
-root:x:0:0:root:/root:/bin/bash |
422 |
+root:x:0:0:root:/root:/bin/bash |
423 |
root:x:0:0:root:/root:/bin/bash |
424 |
</pre> |
425 |
|
426 |
@@ -522,9 +493,9 @@ |
427 |
|
428 |
<p> |
429 |
Puede empezar utilizando el directorio para autentificar usuarios en |
430 |
-apache, proftpd, qmail o samba. Puede administrarlo con Webmin, que |
431 |
-proporciona una interfaz de administración realmente sencilla. Puede |
432 |
-también usar gq o directory_administrator. |
433 |
+apache/proftpd/qmail/samba. Puede administrarlo con Webmin, que proporciona |
434 |
+una interfaz de administración sencilla. Puede también usar phpldapadmin, |
435 |
+luma, diradm o lat. |
436 |
</p> |
437 |
|
438 |
</body> |
439 |
|
440 |
|
441 |
|
442 |
-- |
443 |
gentoo-commits@l.g.o mailing list |