Gentoo Archives: gentoo-commits

From: "Jose Luis Rivero (yoswink)" <yoswink@g.o>
To: gentoo-commits@l.g.o
Subject: [gentoo-commits] gentoo commit in xml/htdocs/doc/es: ldap-howto.xml
Date: Thu, 24 Jan 2008 14:19:31
Message-Id: E1JI2vP-0003cl-Ee@stork.gentoo.org
1 yoswink 08/01/24 14:19:27
2
3 Modified: ldap-howto.xml
4 Log:
5 #207228 Updated to version 0.23. Thanks to Carles Ferrer
6
7 Revision Changes Path
8 1.14 xml/htdocs/doc/es/ldap-howto.xml
9
10 file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.14&view=markup
11 plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?rev=1.14&content-type=text/plain
12 diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/ldap-howto.xml?r1=1.13&r2=1.14
13
14 Index: ldap-howto.xml
15 ===================================================================
16 RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v
17 retrieving revision 1.13
18 retrieving revision 1.14
19 diff -u -r1.13 -r1.14
20 --- ldap-howto.xml 20 Dec 2005 14:15:25 -0000 1.13
21 +++ ldap-howto.xml 24 Jan 2008 14:19:26 -0000 1.14
22 @@ -1,10 +1,11 @@
23 <?xml version = '1.0' encoding = 'UTF-8' ?>
24 -<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.13 2005/12/20 14:15:25 chiguire Exp $ -->
25 +<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/ldap-howto.xml,v 1.14 2008/01/24 14:19:26 yoswink Exp $ -->
26
27 <!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
28 -<guide link="/doc/es/ldap-howto.xml" lang="es" >
29
30 +<guide link="/doc/es/ldap-howto.xml" lang="es" disclaimer="draft">
31 <title>Guía Gentoo para la autenticación con OpenLDAP</title>
32 +
33 <author title="Autor">
34 <mail link="sj7trunks@××××××××.net" >Benjamin Coles</mail>
35 </author>
36 @@ -17,6 +18,9 @@
37 <author title="Editor">
38 <mail link="bennyc@g.o" >Benny Chuang</mail>
39 </author>
40 +<author title="Editor">
41 + <mail link="jokey"/>
42 +</author>
43 <author title="Traductor">
44 <mail link="bass@g.o" >José Alberto Suárez López</mail>
45 </author>
46 @@ -31,17 +35,17 @@
47 </author>
48
49 <abstract>
50 -Esta guía explica los aspectos básicos de LDAP y muestra cómo instalar OpenLDAP
51 -con la finalidad de conseguir la autenticación entre un grupo de máquinas
52 -Gentoo.
53 +Esta guía explica los aspectos básicos de LDAP y muestra cómo instalar
54 +OpenLDAP con la finalidad de conseguir la autenticación entre un grupo de
55 +máquinas Gentoo.
56 </abstract>
57
58 <!-- The content of this document is licensed under the CC-BY-SA license -->
59 <!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
60 <license/>
61
62 -<version>0.22</version>
63 -<date>2005-10-21</date>
64 +<version>0.23</version>
65 +<date>2008-01-01</date>
66
67 <chapter>
68 <title>Empezando con OpenLDAP</title>
69 @@ -53,7 +57,7 @@
70 LDAP significa <e>Lightweight Directory Access Protocol</e> (Protocolo
71 Ligero de Acceso a Directorios). Basado en X.500, abarca muchas de sus
72 funciones principales, pero carece de las funciones más esotéricas de
73 -X.500. Pero, ¿qué es este X.500 y por qué hay un LDAP?
74 +X.500. Pero, ¿qué es este X.500 y por qué hay un LDAP?
75 </p>
76
77 <p>
78 @@ -104,7 +108,7 @@
79 dc: genfic <comment>(Organización)</comment>
80 / \
81 ou: personas servidores<comment>(Unidades organizativas)</comment>
82 - / \ ..
83 + / \ ..
84 uid: .. john <comment>(Datos específicos de las UO)</comment>
85 </pre>
86
87 @@ -119,7 +123,7 @@
88 </p>
89
90 <p>
91 -Animamos a las personas interesadas a leer la
92 +Animamos a las personas interesadas a leer la
93 <uri link="http://www.openldap.org/doc/admin21/" >OpenLDAP Admin Guide</uri>.
94 </p>
95
96 @@ -130,10 +134,10 @@
97 <body>
98
99 <p>
100 -LDAP puede ser utilizado con varios propósitos. En este documento se trata
101 -la administración centralizada de usuarios, manteniendo todas las cuentas de
102 +LDAP puede ser utilizado con varios propósitos. En este documento se trata
103 +la administración centralizada de usuarios, manteniendo todas las cuentas de
104 usuario en una única ubicación LDAP (lo que no significa que esté albergada
105 -en un único servidor, puesto que LDAP soporta alta disponibilidad y
106 +en un único servidor, puesto que LDAP soporta alta disponibilidad y
107 redundancia), y sin embargo LDAP puede utilizarse igualmente para otros fines:
108 </p>
109
110 @@ -159,8 +163,8 @@
111 <body>
112
113 <note>
114 -En este documento utilizamos la dirección genfic.com como ejemplo. Usted
115 -deberá, desde luego, cambiarlo. Sin embargo, asegúrese que el nodo superior
116 +En este documento utilizamos la dirección genfic.com como ejemplo. Usted
117 +deberá, desde luego, cambiarlo. Sin embargo, asegúrese que el nodo superior
118 es un dominio oficial de primer nivel (net, com, cc, be, ...).
119 </note>
120
121 @@ -169,44 +173,67 @@
122 </p>
123
124 <pre caption="Instalación de OpenLDAP" >
125 -# <i>emerge openldap pam_ldap nss_ldap migrationtools</i>
126 -# <i>chown ldap:ldap /var/lib/openldap-ldbm /var/lib/openldap-data /var/lib/openldap-slurp</i>
127 +# <i>emerge ">=net-nds/openldap-2.3.38" pam_ldap nss_ldap</i>
128 +</pre>
129 +
130 +<p>
131 +Ahora cree una contraseña que usará después:
132 +</p>
133 +
134 +<pre caption="Generar una contraseña">
135 +# slappasswd
136 +New password: mi-contraseña
137 +Re-enter new password: mi-contraseñ
138 +{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4
139 </pre>
140
141 <p>
142 -Edite <path>/etc/openldap/slapd.conf</path>y añada lo siguiente
143 -después de <c>core.schema</c>:
144 +Now edit the LDAP Server config at <path>/etc/openldap/slapd.conf</path>:
145 +Ahora edite la configuración del Servidor LDAP en
146 +<path>/etc/openldap/slapd.conf</path>:
147 </p>
148
149 <pre caption="/etc/openldap/slapd.conf" >
150 -<comment># Incluya los esquemas de datos necesarios</comment>
151 +<comment># Incluya los esquemas de datos necesarios debajo de core.schema</comment>
152 include /etc/openldap/schema/cosine.schema
153 include /etc/openldap/schema/inetorgperson.schema
154 include /etc/openldap/schema/nis.schema
155
156 -<comment># Use md5 crypt para el resumen criptográfico de las contraseñas</comment>
157 -password-hash {md5}
158 -
159 -<comment># Defina las propiedades SSL y TLS (opcional)</comment>
160 -TLSCertificateFile /etc/ssl/ldap.pem
161 -TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem
162 -TLSCACertificateFile /etc/ssl/ldap.pem
163 +<comment># Descomente el modulepath y el módulo hdb</comment>
164 +modulepath /usr/lib/openldap/openldap
165 +# moduleload back_shell.so
166 +# moduleload back_relay.so
167 +# moduleload back_perl.so
168 +# moduleload back_passwd.so
169 +# moduleload back_null.so
170 +# moduleload back_monitor.so
171 +# moduleload back_meta.so
172 +moduleload back_hdb.so
173 +# moduleload back_dnssrv.so
174
175 -<comment>(Adicionalmente ...)</comment>
176 -
177 -database ldbm
178 -suffix &quot;dc=genfic,dc=com&quot;
179 -rootdn &quot;cn=Manager,dc=genfic,dc=com&quot;
180 -rootpw <i>{MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==</i>
181 +<comment># Descomente las restricciones de acceso de ejemplo (Nota:
182 +¡mantenga la indentación!)
183 +</comment>
184 +access to dn.base="" by * read
185 +access to dn.base="cn=Subschema" by * read
186 +access to *
187 + by self write
188 + by users read
189 + by anonymous auth
190 +
191 +<comment># Definición de la base de datos BDB</comment>
192 +
193 +database hdb
194 +suffix "dc=genfic,dc=com"
195 +checkpoint 32 30 # &lt;kbyte&gt; &lt;min&gt;
196 +rootdn "cn=Manager,dc=genfic,dc=com"
197 +rootpw <i>{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4</i>
198 directory /var/lib/openldap-ldbm
199 index objectClass eq
200 -
201 -<comment>(Puede obtener una contraseña cifrada como la anterior con
202 -slappasswd -h {Md5})</comment>
203 </pre>
204
205 <p>
206 -Luego edite el fichero de configuración de LDAP:
207 +Luego edite el fichero de configuración del cliente LDAP:
208 </p>
209
210 <pre caption="/etc/openldap/ldap.conf" >
211 @@ -214,40 +241,26 @@
212 <comment>(Añada lo siguiente ...)</comment>
213
214 BASE dc=genfic, dc=com
215 -URI ldaps://auth.genfic.com:636/
216 +URI ldap://auth.genfic.com:389/
217 TLS_REQCERT allow
218 </pre>
219
220 <p>
221 -Ahora deberá generar un certificado SSL para asegurar su
222 -directorio. Responda a las preguntas de la mejor manera
223 -posible. Cuando se le pregunte por su <e>Common Name</e>, introduzca
224 -el nombre que los clientes usarán cuando se conecten con el
225 -servidor. Generalmente es el dominio completo (por
226 -ejemplo,<path>auth.genfic.com</path>).
227 -</p>
228 -
229 -<pre caption="Generando el Certificado SSL" >
230 -# <i>cd /etc/ssl</i>
231 -# <i>openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out \
232 -ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999</i>
233 -# <i>chown ldap:ldap /etc/openldap/ssl/ldap.pem</i>
234 -</pre>
235 -
236 -<p>
237 Ahora edite <path>/etc/conf.d/slapd</path> y añada lo siguiente,
238 comentando la línea existente:
239 </p>
240
241 <pre caption="/etc/conf.d/slapd" >
242 -OPTS=&quot;-h 'ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'&quot;
243 +<comment># Nota: no usamos cn=config aquí, por tanto quédese con
244 +esta línea:</comment>
245 +OPTS="-h 'ldap:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"
246 </pre>
247
248 <p>
249 Inicie slapd:
250 </p>
251
252 -<pre caption="Iniciando SLAPd" >
253 +<pre caption="Iniciar SLAPd" >
254 # <i>/etc/init.d/slapd start</i>
255 </pre>
256
257 @@ -269,112 +282,72 @@
258 </section>
259 </chapter>
260 <chapter>
261 -<title>Migrar los datos existentes</title>
262 +<title>Configuración del cliente</title>
263 <section>
264 -<title>Migración de cuentas de usuario</title>
265 +<title>Migrar los datos existentes a ldap</title>
266 <body>
267
268 <p>
269 -A continuación, migraremos las cuentas de usuario. Abra
270 -<path>/usr/share/migrationtools/migrate_common.ph</path> y edite lo
271 -siguiente:
272 -</p>
273 -
274 -<pre caption="/usr/share/migrationtools/migrate_common.ph" >
275 -$DEFAULT_BASE = &quot;dc=genfic,dc=com&quot;;
276 -$EXTENDED_SCHEMA = 1;
277 -<comment># Comente estas líneas a menos que tenga un esquema de correo cargado
278 -</comment>
279 - <comment>#$DEFAULT_MAIL_DOMAIN = &quot;genfic.com&quot;;</comment>
280 - <comment>#$DEFAULT_MAIL_HOST = &quot;mail.genfic.com&quot;;</comment>
281 -</pre>
282 -
283 -<p>
284 -Ahora ejecute los guiones de migración:
285 -</p>
286 -
287 -<pre caption="Ejecución de los scripts de migración" >
288 -# <i>export ETC_SHADOW=/etc/shadow</i>
289 -# <i>cd /usr/share/migrationtools</i>
290 -# <i>./migrate_base.pl > /tmp/base.ldif</i>
291 -# <i>./migrate_group.pl /etc/group /tmp/group.ldif</i>
292 -# <i>./migrate_hosts.pl /etc/hosts /tmp/hosts.ldif</i>
293 -# <i>./migrate_passwd.pl /etc/passwd /tmp/passwd.ldif</i>
294 -</pre>
295 -
296 -<p>
297 -Este último paso migra los ficheros anteriores a ficheros ldif leídos
298 -por LDAP. Ahora se añadirán los ficheros a nuestro directorio:
299 -</p>
300 -
301 -<pre caption="Importación de los datos a nuestro directorio" >
302 -# <i>ldapadd -D &quot;cn=Manager,dc=genfic,dc=com&quot; -W -f /tmp/base.ldif</i>
303 -# <i>ldapadd -D &quot;cn=Manager,dc=genfic,dc=com&quot; -W -f /tmp/group.ldif</i>
304 -# <i>ldapadd -D &quot;cn=Manager,dc=genfic,dc=com&quot; -W -f /tmp/passwd.ldif</i>
305 -# <i>ldapadd -D &quot;cn=Manager,dc=genfic,dc=com&quot; -W -f /tmp/hosts.ldif</i>
306 -</pre>
307 -
308 -<p>
309 -Si se obtiene un error en los ficheros ldif, se puede continuar desde donde
310 -nos hemos quedado usando <c>ldapadd -c</c>.
311 +Go to <uri link="http://www.padl.com/OSS/MigrationTools.html">http://www.padl.com/OSS/MigrationTools.html</uri>
312 +y busque los guiones allí. La configuración está establecida en la página.
313 +Nosotros ya no los proporcionamos porque los guiones son un potencial agujero
314 +de seguridad si los deja en el sistema después de haberlos trasladado. Cuando
315 +haya acabado de migrar los datos, continue en la sección siguiente.
316 </p>
317
318 </body>
319 </section>
320 -</chapter>
321 -<chapter>
322 -<title>Configuración del cliente</title>
323 <section>
324 <title>Configuración de PAM</title>
325 <body>
326
327 <p>
328 En primer lugar, configuraremos PAM para permitir la autorización con
329 -LDAP. Instalemos <c>sys-auth/pam_ldap</c> ya que PAM soporta la
330 -autentificación LDAP, y <c>sys-auth/nss_ldap</c> porque nuestro sistema
331 -puede negociar con servidores LDAP para obtener información adicional (usado
332 +LDAP. Instalemos <c>sys-auth/pam_ldap</c> ya que PAM soporta la
333 +autentificación LDAP, y <c>sys-auth/nss_ldap</c> porque nuestro sistema
334 +puede negociar con servidores LDAP para obtener información adicional (usado
335 por <path>nsswitch.conf</path>).
336 </p>
337
338 -<pre caption="Instalando pam_ldap y nss_ldap" >
339 +<pre caption="Instalar pam_ldap y nss_ldap" >
340 # <i>emerge pam_ldap nss_ldap</i>
341 </pre>
342
343 <p>
344 -Ahora editamos <path>/etc/pam.d/system-auth</path> de forma que se parezca a
345 -lo siguiente:
346 +Ahora añada las siguientes líneas en los lugares adecuados de
347 +<path>/etc/pam.d/system-auth</path>:
348 </p>
349
350 <pre caption="/etc/pam.d/system-auth" >
351 -auth required pam_env.so
352 -auth sufficient pam_unix.so likeauth nullok shadow
353 +<comment># Nota: Sólo añádalas. ¡No suprima cosas o su sistema podría no
354 +volver a arrancar de nuevo!
355 +</comment>
356 auth sufficient pam_ldap.so use_first_pass
357 +account sufficient pam_ldap.so
358 +password sufficient pam_ldap.so use_authtok use_first_pass
359 +session optional pam_ldap.so
360 +
361 +<comment># Fichero de ejemplo:</comment>
362 +#%PAM-1.0
363 +
364 +auth required pam_env.so
365 +auth sufficient pam_unix.so try_first_pass likeauth nullok
366 +<i>auth sufficient pam_ldap.so use_first_pass</i>
367 auth required pam_deny.so
368
369 -account requisite pam_unix.so
370 -account sufficient pam_localuser.so
371 -account required pam_ldap.so
372 -
373 -password required pam_cracklib.so retry=3
374 -password sufficient pam_unix.so nullok use_authtok shadow md5
375 -password sufficient pam_ldap.so use_authtok use_first_pass
376 +<i>account sufficient pam_ldap.so</i>
377 +account required pam_unix.so
378 +
379 +password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3
380 +password sufficient pam_unix.so try_first_pass use_authtok nullok md5 shadow
381 +<i>password sufficient pam_ldap.so use_authtok use_first_pass</i>
382 password required pam_deny.so
383
384 session required pam_limits.so
385 session required pam_unix.so
386 -session required pam_mkhomedir.so skel=/etc/skel/ umask=0066
387 -session optional pam_ldap.so
388 +<i>session optional pam_ldap.so</i>
389 </pre>
390
391 -<!-- Should work now, see #87930
392 -<note>
393 -Si nos encontramos con que el acceso a ese sistema falla utilizando ssh,
394 -podemos probar a intercambiar las dos líneas <c>auth sufficient</c>.
395 -Sin embargo, puede que <c>su</c> y otras herramientas no quieran funcionar
396 -correctamente si lo hace.
397 -</note>
398 --->
399 -
400 <p>
401 Ahora cambie <path>/etc/ldap.conf</path> para que tenga:
402 </p>
403 @@ -383,12 +356,10 @@
404 <comment>#host 127.0.0.1</comment>
405 <comment>#base dc=padl,dc=com</comment>
406
407 -ssl start_tls
408 -ssl on
409 suffix &quot;dc=genfic,dc=com&quot;
410 <comment>#rootbinddn uid=root,ou=People,dc=genfic,dc=com</comment>
411
412 -uri ldaps://auth.genfic.com/
413 +uri ldap://auth.genfic.com/
414 pam_password exop
415
416 ldap_version 3
417 @@ -431,7 +402,7 @@
418 <pre caption="Prueba de la autorización con LDAP" >
419 # <i>getent passwd|grep 0:0</i>
420 <comment>(Debería devolver dos entradas:)</comment>
421 -root:x:0:0:root:/root:/bin/bash
422 +root:x:0:0:root:/root:/bin/bash
423 root:x:0:0:root:/root:/bin/bash
424 </pre>
425
426 @@ -522,9 +493,9 @@
427
428 <p>
429 Puede empezar utilizando el directorio para autentificar usuarios en
430 -apache, proftpd, qmail o samba. Puede administrarlo con Webmin, que
431 -proporciona una interfaz de administración realmente sencilla. Puede
432 -también usar gq o directory_administrator.
433 +apache/proftpd/qmail/samba. Puede administrarlo con Webmin, que proporciona
434 +una interfaz de administración sencilla. Puede también usar phpldapadmin,
435 +luma, diradm o lat.
436 </p>
437
438 </body>
439
440
441
442 --
443 gentoo-commits@l.g.o mailing list