PRÀCTICA 3: Instal·lació del servei de domini LDAP.Gestió d’usuaris i grups d’un domini

Nom de l’alumne: Unai Conus

Grup classe: 2 Smx B

PRÀCTICA 3: Instal·lació del servei de domini LDAP.

Gestió d’usuaris i grups d’un domini

Objectiu: Instal·lar un controlador de domini (OpenLDAP) en sistemes Linux. Gestionar usuaris i grups d’un domini amb consola (ldap-utils) i des d’un programa amb interfície gràfica (JXplorer).

L’entrega ha de ser en format pdf. Alternativament es pot fer una entrada en la vostra pàgina a Wix i entregar l’enllaç directe.

Apunts del Pere. Temes 26 i 27.

A tenir en compte per aprovar la pràctica:

• Part A: S’ha de tenir almenys el 80% de la nota ja que és essencial per a la resta d’aquesta pràctica i la següent pràctica

• Part B: S’ha de tenir almenys el 40% de la nota

Si no, la nota màxima de la pràctica serà un 4

IMPORTANT: Si la nomenclatura del nom per a màquines (hostname) i usuaris, configuració de discos i configuració de xarxes descrita durant la UF no es respecta es penalitzarà en cada pràctica on es detecti que segueix estant malament.

Recordeu que també penalitzen les captures de pantalla innecessàries o desordenades en cada tasca.

En les tasques que s’han de realitzar en el servidor pot ser més còmode treballar des del client connectat amb ssh al servidor, més si s’han instal·lat les Guest Additions i s’ha configurat una pantalla més gran.

Part A: Instal·lació i configuració del controlador de domini OpenLDAP (3 punts)

0. Introducció

El protocol que s’utilitza en Linux (i que també utilitza Active Directory de Windows) es diu LDAP (Lightweight Directory Access Protocol). Un dels programes que l’implementa en Linux és OpenLDAP.

És important remarcar que amb OpenLDAP utilitzarem molt el Distinguished Name per a buscar, crear i modificar elements en el nostre domini. Per això, és molt important que repassem aquesta nomenclatura.

1. Instal·lació i configuració del servei OpenLDAP en el servidor (Ubuntu Server)

Apunts per instal·lar i configurar el servei

→ Instal·la i configura el servei OpenLDAP en el servidor, tenint en compte:

• El servidor LDAP ha de ser la IP estàtica del teu servidor

• El nom del domini DNS ha de ser ldapxxx.local, on xxx són les teves inicials

• El nom de l’empresa ha de ser ldapxxx, on xxx són les teve inicials

→ Instal·la i configura ldap-utils amb la informació del teu domini

1. (1 punt) Executa la comanda ldapsearch -x -LLL dn per demostrar que el servidor està ben configurat i que s’ha configurat correctament ldap-utils. Captura la comanda i el resultat.

Apunts per instal·lar i configurar la validació d’usuaris en el servidor

→ Instal·la i configura libnss-ldap i ldap-auth-client en el servidor seguint les instruccions

→ Quan facis els canvis en /etc/ldap.conf assegura’t que les dades de la configuració inicial són correct

es. Sobretot, verifica que el "servidor ldap" és “ldap” i no “ldapi”

*Aquest pas és necessari per després fer comprovacions des del servidor més endavant

2. Instal·lació i configuració del client de LDAP en el client (Ubuntu Desktop)

Apunts per instal·lar i configurar la validació d’usuaris en el client

→ Instal·la i configura libnss-ldap i ldap-auth-client en el client seguint les instruccions

→ Quan facis els canvis en /etc/ldap.conf assegura’t que les dades de la configuració inicial són correctes. Sobretot, verifica que el "servidor ldap" és “ldap” i no “ldapi”

*Aquest pas és necessari per després fer comprovacions des del client més endavant

3. Instal·lació i configuració de de ldap-utils en el client (Ubuntu Desktop)

→ Instal·la i configura ldap-utils en el client amb la informació del teu domini tal com ho has fet en la primera tasca. D’aquesta manera també es pot verificar que el client es pot connectar al domini.

1. (1 punt) Executa la comanda ldapsearch -x -LLL dn per demostrar que el client està ben configurat i connectat al domini i que s’ha configurat correctament ldap-utils. Captura la comanda i el resultat (s'hauria de veure el mateix que abans, però des del client).

1. (1 punt) A realitzar una vegada acabada la Part B: Afegeix tres captures on es vegi que has aconseguit iniciar sessió en el client (login gràfic) amb els usuaris dxxx, ppadilla i aarnau.

Part B: Gestió d’unitats organitzatives, grups i usuaris (5 punts)

En aquesta part es crearan una sèrie d’unitats organitzatives, grups i usuaris similars als creats en la UF1 utilitzant diferents eines.

A tenir en compte: en aquesta part es farà ús de classes d’elements a l’hora de crear-los amb diferents aplicacions. El més rellevant:

• Unitats organitzatives: classes top i organizationalUnit

• Grups: classes top i posixGroup

• Usuaris: classes top, posixAccount i inetOrgPerson

Així, els elements han de tenir els següents paràmetres:

En blau s’expliquen els paràmetres que caldria canviar. Aquí teniu un exemple emplenat.

# Unitat Organitzativa

dn: <Distinguished Name de l’element. En aquest cas no hi ha common name, el primer que es posa és aquesta ou>

objectClass: top

objectClass: organizationalUnit

ou: <Common Name de la UO>

# Grup

dn: <Distinguished Name de l’element>

objectClass: top

objectClass: posixGroup

cn: <Common Name de l’element>

gidNumber: <Cada grup ha de tenir un nombre únic. En aquesta pràctica no posem cap nombre més petit que 10000>

# Usuari

dn: <Distinguished Name de l’element>

objectClass: top

objectClass: inetOrgPerson

objectClass: posixAccount

uidNumber: <Cada usuari ha de tenir un nombre únic. En aquesta pràctica no posem cap nombre més petit que 10000>

sn: <Nom de pila>

cn: <Common Name de l’element>

uid: <nom únic de l’usuari per iniciar sessió>

homeDirectory: /home/ldapxxx/<uid>

gidNumber: <gid del grup al que pertany>

userPassword: <contrassenya, per exemple 1234>

loginShell: /bin/bash

1. Creació d’elements utilitzant ldap-utils

Crea un arxiu “configuracio.ldif”. En aquest arxiu defineix els elements del següent diagrama utilitzant el format que s’acaba d’explicar. (Explicació diagrames)

*Substituïu xxx per les vostres inicials on pertoqui. El nom d’inici de sessió del director és “dxxx”. Feu que el director pertanyi al grup direccio.

Una vegada creat l’arxiu “configuracio.ldif” podem utilitzar ldap-utils per a aplicar els canvis del document (documentació de ldap-utils).

Per això, utilitzem la comanda ldapadd -x -D cn=admin,dc=ldapxxx,dc=local -W -f configuracio.ldif

*Si hi algún element mal escrit no deixarà tornar a fer la comanda perquè pot haver elements que ja s’han creat. Per això una opció seria borrar els elements ja creats amb ldapdelete '<DN>' i tornar a executar la comanda.

1. (1 punt) Mostra els continguts de l'arxiu configuracio.ldif que has creat amb tots els elements d'aquest diagrama (pots posar captures o copiar el text).

2. Creació d'elements utilitzant JXplorer

Una altra opció per a crear i modificar elements que pot ser més còmoda és el programa JXplorer que s'instal·la en el client. Aquest programa ofereix una interfície gràfica per anar fent tots aquests canvis.

Instal·leu "jxplorer" amb apt, obriu-lo i connecteu-vos amb les credencials d'administrador del domini (cn=admin,dc=ldapxxx,dc=local). Una vegada connectats veureu els elements que heu creat en la tasca anterior. A continuació, afegiu les UO que us faltin perquè el vostre domini sigui com aquest diagrama:

Ara, afegiu els següents grups amb JXplorer, dins de la UO grups. Recordeu que en aquesta pràctica els identificadors de grups han de ser iguals o superiors a 10000 i no poden estar repetits.

• profes

• alumnes

• smx1

• smx2

Finalment, afegiu els següents usuaris amb ldap-utils o JXplorer, el que preferiu:

UONom completNom d'inici de sessióGrup principalProfesCiclesPau PadillappadillaprofesPere PescadorppescadorprofesPilar PinedappinedaprofesAlumnesCiclesAgata ArnauaarnaualumnesAndreu BonetabonetalumnesAlba ColomacolomalumnesAlbert DelgadoadelgadoalumnesAnna EstradaaestradaalumnesAlex Ferreraferreralumnes

Amb el programa que creguis més convenient, afegeix els següents grups secundaris als usuaris:

Nom inici sessióGrups secundaris Nom inici sessióGrups secundarisppadillasmx1 acolomsmx2ppescadorsmx2 adelgadosmx2ppinedasmx1 i smx2 aestradasmx1 i smx2aarnausmx1 aferrersmx1 i smx2abonetsmx1

1. (1 punt) Fes una captura de pantalla de JXplorer on es vegin les dades de l'usuari aarnau.

1. (1 punt) Executa les següents comandes i enganxa el resultat.

• ldapsearch -x -LLL objectClass=organizationalUnit dn

• ldapsearch -x -LLL objectClass=posixGroup dn

• ldapsearch -x -LLL objectClass=posixAccount dn

• ldapsearch -x -LLL cn=smx1 memberUid

3. Configuració de permisos de membres d'un domini

Finalment, anem a configurar permisos a usuaris del domini en el client. Fixem-nos que el que farem només afecta a aquesta màquina, el control de de permisos (sudoers) no està centralitzat.

1. (2 punts) Configura el client de forma que tots els profes puguin utilitzar la comanda sudo i comprova-ho. Escriu la línia que has afegit a /etc/sudoers per fer aquesta configuració.

Part C: Opcional (2 punts)

Fes les següents tasques:

• En el servidor, atura el servei LDAP (slapd)

• En el client, tanca sessió i intenta entrar amb un usuari LDAP

• Torna a habilitar el servei LDAP

1. (2 punts) Indica en quin fitxer s'ha de buscar l'error d'autenticació i enganxa una captura de la línia del fitxer on apareix aquest error.