11.7. Directorio LDAP

OpenLDAP es una implementación del protocolo LDAP; en otras palabras, es una base de datos de propósito especial diseñada para almacenar directorios (N.T. directorio en el sentido de directorio/agenda de personas, equipos o configuraciones, no directorio de un sistema de archivos). En el caso de uso más común, utilizar un servidor LDAP permite centralizar la administración de las cuentas de usuario y los permisos relacionados. Además se puede replicar fácilmente una base de datos LDAP, lo que permite configurar varios servidores LDAP sincronizados. Cuando la red y la cantidad de usuarios crecen rápidamente se puede balancear la carga entre varios servidores.

Los datos LDAP son estructurados y jerárquicos. La estructura es definida por «esquemas» («schemas») que describen el tipo de objetos que la base de datos puede almacenar junto con una lista de todos sus atributos posibles. La sintaxis utilizada para hacer referencia a un objeto particular en la base de datos está basada en esta estructura, lo que explica su complejidad.

11.7.1. Instalación

El paquete slapd contiene el servidor OpenLDAP. El paquete ldap-utils incluye herramientas de línea de órdenes para interactuar con servidores LDAP.

La instalación de slapd normalmente solicita solo la contraseña del administrador, y es poco probable que la base de datos resultante se ajuste a sus necesidades. Afortunadamente basta ejecutar dpkg-reconfigure slapd para reconfigurar la base de datos LDAP más detalladamente:

¿Evitar la configuración del servidor OpenLDAP? No, por supuesto que deseamos configurar este servicio.
Nombre de dominio DNS: «falcot.com».
Nombre de la organización: “Falcot Corp”.
Debe ingresar la contraseña de administración.
Base de datos a utilizar: «MDB».
¿Desea eliminar la base de datos cuando se purge slapd? No. No tiene sentido arriesgarse a perder la base de datos por error.
¿Mover una base de datos anterior? Esta pregunta sólo es realizada cuando se intenta configurarlo y ya existe una base de datos. Sólo responda «yes» si realmente desea iniciar nuevamente desde una base de datos limpia; por ejemplo, si ejecuta dpkg-reconfigure slapd inmediatamente después de instalarlo por primera vez.

Ahora tiene configurada una base de datos mínima, como podrá ver con la siguiente consulta:

$ ldapsearch -x -b dc=falcot,dc=com
# extended LDIF
#
# LDAPv3
# base <dc=falcot,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# falcot.com
dn: dc=falcot,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Falcot Corp
dc: falcot

# admin, falcot.com
dn: cn=admin,dc=falcot,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

La consulta devolvió dos objetos: la organización en sí mismo y el usuario de administración.

11.7.2. Relleno del directorio

Debido a que una base de datos vacía no es particularmente útil, se trata ahora de integrar en ella todos los directorios existenes; esto incluye las bases de datos de usuarios, grupos, servicios y equipos.

El paquete migrationtools proporciona un conjunto de scripts para extraer los datos de los directorios estándar de Unix (/etc/passwd, /etc/group, /etc/services, /etc/hosts, etc.), convetir estos datos y agregarlos en la base de datos LDAP.

Una vez que instaló el paquete, es necesario editar el archivo /etc/migrationtools/migrate_common.ph; debe activar las opciones IGNORE_UID_BELOW y IGNORE_GID_BELOW (descomentarlas es suficiente) y debe actualizar DEFAULT_MAIL_DOMAIN/DEFAULT_BASE.

La operación de migración en sí es gestionada por el script migrate_all_online.sh, como sigue:

# cd /usr/share/migrationtools
# PERL5LIB="${PERL5LIB}:/etc/migrationtools" LDAPADD="/usr/bin/ldapadd -c" ETC_ALIASES=/dev/null ./migrate_all_online.sh

migrate_all_online.sh realizará unas pocas preguntas sobre la base de datos LDAP a la que migrará los datos. La Tabla 11.1 resume las respuestas dadas en el caso de uso de Falcot.

Tabla 11.1. Respuestas a las preguntas del script migrate_all_online.sh

Pregunta	Respuesta
Contexto de nombre X.500	`dc=falcot,dc=com`
Nombre del servidor LDAP	`localhost`
Administrador del DN	`cn=admin,dc=falcot,dc=com`
Credenciales Bind	la contraseña de administración
Crear DUAConfigProfile	no

You might notice that we extend the PERL5LIB variable. This is due to Debian bug report #982666.

→ https://bugs.debian.org/982666

As you might have also noticed, we deliberately ignore migration of the /etc/aliases file, since the standard schema as provided by Debian does not include the structures that this script uses to describe email aliases. Should we want to integrate this data into the directory, the /etc/ldap/schema/misc.schema file should be added to the standard schema.

Sepa también que el programa ldapadd tiene una opción -c; esta opción solicita que no se detenga el proceso en caso de errores. Es necesario utilizar esta opción debido a que la conversión del archivo /etc/services genera unos pocos errores que puede ignorar sin problemas.

11.7.3. Administración de cuentas con LDAP

Ahora que la base de datos LDAP contiene información útil, es momento de utilizar estos datos. Esta sección se enfoca en cómo configurar un sistema Linux para que los directorios de sistema utilicen la base de datos LDAP.

11.7.3.1. Configuración de NSS

El sistema NSS (cambio de servicio de nombres: «Name Service Switch», revise el recuadro YENDO MÁS ALLÁ NSS y bases de datos de sistema) es un sistema modular diseñado para definir u obtener información para directorios de sistemas. Utilizar LDAP como fuente de datos para NSS requiere instalar el paquete libnss-ldap. Al hacerlo, se harán unas pocas preguntas cuyas respuestas están resumidas en la Tabla 11.2.

Tabla 11.2. Configuring the libnss-ldap package:

Pregunta	Respuesta
LDAP server URI (Uniform Resource Identifier)	`ldapi://ldap.falcot.com`
Nombre distinguido de la base de búsqueda	`dc=falcot,dc=com`
Versión LDAP a utilizar	`3`
cuenta LDAP para root	`cn=admin,dc=falcot,dc=com`
contraseña de la cuenta root de LDAP	la contraseña de administración
¿Permitir a la cuenta de administración LDAP comportarse como superusuario local?	`sí`
¿La base de datos LDAP requiere inicio de sesión?	no

Luego necesita modificar el archivo /etc/nsswitch.conf para configurar que NSS utilice el módulo ldap recién instalado. Puede usar el ejemplo que se proporciona en /usr/share/doc/libnss-ldap/examples/nsswitch.ldap o editar su configuración existente.

Ejemplo 11.23. El archivo /etc/nsswitch.conf

#ident $Id: nsswitch.ldap,v 2.4 2003/10/02 02:36:25 lukeh Exp $
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses LDAP conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.

# the following lines obviate the "+" entry in /etc/passwd and /etc/group.
passwd:         files ldap
shadow:         files ldap
group:          files ldap

# consult DNS first, we will need it to resolve the LDAP host. (If we
# can't resolve it, we're in infinite recursion, because libldap calls
# gethostbyname(). Careful!)
hosts:          dns ldap

# LDAP is nominally authoritative for the following maps.
services:   ldap [NOTFOUND=return] files
networks:   ldap [NOTFOUND=return] files
protocols:  ldap [NOTFOUND=return] files
rpc:        ldap [NOTFOUND=return] files
ethers:     ldap [NOTFOUND=return] files

# no support for netmasks, bootparams, publickey yet.
netmasks:   files
bootparams: files
publickey:  files
automount:  files

# I'm pretty sure nsswitch.conf is consulted directly by sendmail,
# here, so we can't do much here. Instead, use bbense's LDAP
# rules ofr sendmail.
aliases:    files
sendmailvars:   files

# Note: there is no support for netgroups on Solaris (yet)
netgroup:   ldap [NOTFOUND=return] files

Generalmente agregará el módulo ldap antes que los demás para que, de esa forma, sea consultado primero. La excepción notable es el servicio hosts ya que para contactar el servidor LDAP necesita una consulta de DNS primero (para resolver ldap.falcot.com). Sin esta excepción, una consulta de nombres intentaría consultar al servidor LDAP; esto dispararía una resolución de nombres para el servidor LDAP, y así sucesivamente en un ciclo infinito.

Si se debe considerar al servidor LDAP como autoritativo (e ignorar los archivos locales utilizados por el módulo files), puede configurar los servicios con la siguiente sintaxis:

servicio: ldap [NOTFOUND=return] files.

Si la entrada solicitada no existe en la base de datos LDAP, la consulta devolverá la respuesta «inexistente» aún cuando el recurso exista en uno de los archivos locales; sólo se utilizarán estos archivos locales cuando el servicio LDAP esté caído.

11.7.3.2. Configuración de PAM

Esta sección describe una configuración PAM (revise el recuadro TRAS BAMBALINAS /etc/environment y /etc/default/locale) que permitirá a las aplicaciones realizar las autenticaciones necesarias contra la base de datos LDAP.

El paquete libpam-ldap provee el módulo LDAP para PAM. La instalación de este paquete realiza unas pocas preguntas muy similares a aquellas en el paquete libnss-ldap; algunos parámetros de configuración (como el URI del servidor LDAP) son inclusive compartidos con el paquete libnss-ldap. Encontrará resumidas las respuestas en la Tabla 11.3.

Tabla 11.3. Configuración de libpam-ldap

Pregunta	Respuesta
¿Permitir a la cuenta de administración LDAP comportarse como root local?	Sí. Esto permite utilizar el programa `passwd` típico para modificar las contraseñas almacenadas en la base de datos LDAP.
¿La base de datos LDAP requiere inicio de sesión?	no
LDAP account for root:	`cn=admin,dc=falcot,dc=com`
LDAP administrative password:	la contraseña de administración de la base de datos LDAP
Local encryption algorithm to use for passwords:	`crypt`
PAM profiles to enable:	LDAP Authentication is among the enabled profiles

Instalar el paquete libpam-ldap automáticamente adapta la configuración PAM predeterminada definida en los archivos /etc/pam.d/common-auth, /etc/pam.d/common-password y /etc/pam.d/common-account. Este mecanismo utiliza la herramienta dedicada pam-auth-update (provista por el paquete libpam-runtime). El administrador también puede utilizar esta herramienta si desea activar o desactivar módulos PAM.

11.7.3.3. Protección de intercambios de datos LDAP

De forma predeterminada, el protocolo LDAP se transmite por la red como texto plano; incluyendo las contraseñas (cifradas). Debido a que se pueden obtener las claves cifradas de la red, pueden ser vulnerables a ataques de tipo diccionario. Puede evitarlo aplicando una capa extra de cifrado; el tema de esta sección es cómo activar esta capa.

11.7.3.3.1. Configuración del servidor

El primer paso es crear un par de llaves (compuestas de una llave pública y una llave privada) para el servidor LDAP. Los administradores de Falcot reutilizaron easy-rsa para generarlas (revise la Sección 10.2.2, “Infraestructura de llave pública: easy-rsa”. Si ejecuta ./easyrsa build-server-full ldap.falcot.com nopass, le preguntará sobre el «common name» (nombre común). La respuesta a esa pregunta debe ser el nombre de equipo completamente calificado del servidor LDAP; en nuestro caso: ldap.falcot.com.

Este programa crea un certificado en el archivo pki/issued/ldap.falcot.com.crt; la llave privada correspondiente es almacenada en pki/private/ldap.falcot.com.key.

Ahora debe instalar estas llaves en sus ubicaciones estándar y debemos asegurarnos que el servidor LDAP, que ejecuta bajo la identidad del usuario openldap, pueda leer el archivo privado:

# adduser openldap ssl-cert
Adding user `openldap' to group `ssl-cert' ...
Adding user openldap to group ssl-cert
Done.
# mv pki/private/ldap.falcot.com.key /etc/ssl/private/ldap.falcot.com.key
# chown root.ssl-cert /etc/ssl/private/ldap.falcot.com.key
# chmod 0640 /etc/ssl/private/ldap.falcot.com.key
# mv pki/issued/ldap.falcot.com.crt /etc/ssl/certs/ldap.falcot.com.pem
# chown root.root /etc/ssl/certs/ldap.falcot.com.pem
# chmod 0644 /etc/ssl/certs/ldap.falcot.com.pem

También necesita indicarle al demonio slapd que utilice estas llaves para el cifrado. La configuración del servidor LDAP es gestionada de forma dinámica: puede actualizar la configuración con operaciones LDAP normales en la jerarquía de objetos cn=config y el servidor actualizará /etc/ldap/slapd.d en tiempo real para que la configuración sea persistente. Por lo tanto, ldapmodify es la herramienta correcta para actualizar la configuración:

Ejemplo 11.24. Configuración de slapd para cifrado

# cat >ssl.ldif <<END
dn: cn=config
changetype: modify
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap.falcot.com.key
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap.falcot.com.pem
END
# ldapmodify -Y EXTERNAL -H ldapi:/// -f ssl.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
# systemctl restart slapd.service
# ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config -s base | grep TLS
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
olcTLSCertificateFile: /etc/ssl/certs/ldap.falcot.com.pem
olcTLSCertificateKeyFile: /etc/ssl/certs/ldap.falcot.com.key

HERRAMIENTA ldapvi para editar un directorio LDAP

With ldapvi, you can display an LDIF output of any part of the LDAP directory, make some changes in the text editor, and let the tool do the corresponding LDAP operations for you.

Por lo tanto, es una forma conveniente para actualizar la configuración del servidor LDAP simplemente editando la jerarquía cn=config.

# ldapvi -Y EXTERNAL -h ldapi:/// -b cn=config

El último paso para activar el cifrado involucra cambiar la variable SLAPD_SERVICES en el archivo /etc/default/slapd. Para esta más seguros desactivaremos LDAP inseguro completamente.

Ejemplo 11.25. El archivo /etc/default/slapd

# Default location of the slapd.conf file or slapd.d cn=config directory. If
# empty, use the compiled-in default (/etc/ldap/slapd.d with a fallback to
# /etc/ldap/slapd.conf).
SLAPD_CONF=

# System account to run the slapd server under. If empty the server
# will run as root.
SLAPD_USER="openldap"

# System group to run the slapd server under. If empty the server will
# run in the primary group of its user.
SLAPD_GROUP="openldap"

# Path to the pid file of the slapd server. If not set the init.d script
# will try to figure it out from $SLAPD_CONF (/etc/ldap/slapd.d by
# default)
SLAPD_PIDFILE=

# slapd normally serves ldap only on all TCP-ports 389. slapd can also
# service requests on TCP-port 636 (ldaps) and requests via unix
# sockets.
# Example usage:
# SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:/// ldapi:///"
SLAPD_SERVICES="ldaps:/// ldapi:///"

# If SLAPD_NO_START is set, the init script will not start or restart
# slapd (but stop will still work).  Uncomment this if you are
# starting slapd via some other means or if you don't want slapd normally
# started at boot.
#SLAPD_NO_START=1

# If SLAPD_SENTINEL_FILE is set to path to a file and that file exists,
# the init script will not start or restart slapd (but stop will still
# work).  Use this for temporarily disabling startup of slapd (when doing
# maintenance, for example, or through a configuration management system)
# when you don't want to edit a configuration file.
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd

# For Kerberos authentication (via SASL), slapd by default uses the system
# keytab file (/etc/krb5.keytab).  To use a different keytab file,
# uncomment this line and change the path.
#export KRB5_KTNAME=/etc/krb5.keytab

# Additional options to pass to slapd
SLAPD_OPTIONS=""

11.7.3.3.2. Configuración del cliente

En lado cliente, necesita modificar la configuración de los módulos libpam-ldap y libnss-ldap para que utilicen una URI ldaps://.

LDAP clients also need to be able to authenticate the server. In an X.509 public key infrastructure, public certificates are signed by the key of a certificate authority (CA). With easy-rsa, the Falcot administrators have created their own CA and they now need to configure the system to trust the signatures of Falcot's CA. This can be done by putting the CA certificate in /usr/local/share/ca-certificates and running update-ca-certificates.

# cp pki/ca.crt /usr/local/share/ca-certificates/falcot.crt
# update-ca-certificates
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...

Adding debian:falcot.pem
done.
done.

Por último, puede modificar la URI LDAP predeterminada y el DN base predeterminado utilizado por varias herramientas de línea de órdenes en el archivo /etc/ldap/ldap.conf. Esto le ahorrará bastante tiempo.

Ejemplo 11.26. El archivo /etc/ldap/ldap.conf

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-provider.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

# TLS certificates (needed for GnuTLS)
TLS_CACERT      /etc/ssl/certs/ca-certificates.crt