Software">
Laboratorio 10 - LDAP en Linux
Laboratorio 10 - LDAP en Linux
Laboratorio 10 - LDAP en Linux
LABORATORIO N° 10
Alumno(s) Nota
I. OBJETIVOS
II. SEGURIDAD
Advertencia:
En este laboratorio está prohibida la manipulación del hardware,
conexiones eléctricas o de red; así como la ingestión de alimentos o
bebidas.
El laboratorio está detallado paso a paso. Es importante que revise su texto para poder responder
algunas de las preguntas planteadas.
No aplica
V. RECURSOS
● En este laboratorio cada alumno trabajará con un equipo con Windows 7 o posterior.
● Este equipo debe tener instalado el programa VMware Workstation para la definición y
administración de los equipos virtuales o tener una cuenta educativa en AWS para la creación de
instancias.
● Cada equipo debe contar con una plantilla de Ubuntu(20.04.3) para la clonación de los equipos
solicitados.
VII. PROCEDIMIENTO
1. Clonar las siguientes máquinas virtuales brindadas por el docente (enlaces en Canvas).
Configurar de la siguiente manera los equipos:
Opción Valor
Usuario tecsupadm
Contraseña ARCTecsup2
Opción Valor
Usuario Virtual
Contraseña Virtual123
Ej. CliLin00
2. Haciendo uso de los comandos de verificación de red en Ubuntu Server, complete la siguiente
tabla:
Dirección IP 192.168.100.0
Prefijo 24
3. Deberá configurar la interfaz ethernet de Ubuntu Server mediante su archivo de configuración con
los siguientes parámetros:
Opción Valor
Dirección IP 192.168.100.18
Prefijo 24
Opción Valor
Dirección IP 192.168.100.101
NOTA
No olvide siempre probar la conectividad a internet y la resolución de nombres de dominio al
establecer la nueva configuración estática de red.
Para evitar tener problemas al instalar paquetes actualice la lista de repositorios sudo apt
update
Si cuenta con tiempo y un buen ancho de banda, actualice el sistema operativo sudo apt
upgrade -y
dc=xyz
dc=redesXX
cn=gOperacione
cn=jdoeXX cn=gAdministracion cn=gAlmacen cn=gInventarios cn=gRRHH cn=gPlanta
s
Nro. DD-106
Servicio LDAP en Linux
Página 6/20
2. De acuerdo al árbol con el que se trabajará tendremos los siguientes DN para los usuarios y
grupos.
Usuario Distinguished Name (DN)
● El comando anterior invocará un asistente que pedirá información, responder según como se
muestra a continuación:
○ Omit OpenLDAP server configuration?: No
○ DNS domain name: redesXX.xyz
Nro. DD-106
Servicio LDAP en Linux
Página 7/20
● Verificar que el servicio slapd se encuentre activo, caso contrario habilitar y arrancar dicho
servicio.
$ systemctl status slapd
● ¿Qué puerto o puertos emplea el servicio LDAP para atender solicitudes? Puede apoyarse en
la herramienta ss para contestar la pregunta.
● Deberá permitir el tráfico de dichos puertos a través del cortafuegos. Puede emplear el
siguiente comando como referencia para crear las reglas en el cortafuegos, no olvide
corroborar el estado del cortafuegos.
$ sudo ufw allow port_number/protocol
2. Se establecerán ciertos valores por defecto para facilitar la configuración de LDAP en pasos
posteriores. Con un editor de texto modifique el archivo ldap.conf que se encuentra en la
carpeta /etc/ldap/ según como se muestra a continuación:
Línea Contenido
8 BASE dc=redesXX,dc=xyz
9 URI ldap://hostname_ubuntu_srv.redesXX.xyz
16 TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Nro. DD-106
Servicio LDAP en Linux
Página 9/20
El registro de eventos para slapd es muy útil cuando se implementa una solución basada en
OpenLDAP, pero debe habilitarse manualmente después de la instalación del software. De lo contrario,
solo aparecerán mensajes rudimentarios en los registros. El registro, como cualquier otra configuración
de este tipo, se habilita a través de la base de datos slapd-config. OpenLDAP viene con varios niveles
de registro, cada uno de los cuales contiene al inferior (aditivo). Un buen nivel para probar es stats.
2. Implementamos el cambio:
$ sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f logging.ldif
NOTA
Esto producirá una cantidad significativa de registros y se recomienda reducir el nivel a uno
menos detallado una vez que el sistema esté en producción.
3. Puede considerar un cambio en la configuración de rsyslog para evitar que se trunquen los
mensajes de evento cuando haya demasiados. En el archivo /etc/rsyslog.conf, añada al final
las siguientes líneas:
# Deshabilitando el límite de mensajes
$SystemLogRateLimitInterval 0
Nro. DD-106
Servicio LDAP en Linux
Página 10/20
dn: ou=Administracion,dc=redesXX,dc=xyz
objectClass: organizationalUnit
ou: Administracion
description: Area de administración
NOTA
El comando anterior consta de varias líneas.
La contraseña que se solicita para el comando ldapadd es la del usuario administrador de
directorio (admin).
● Crear el archivo ou2.ldif donde definirá las unidades organizacionales de logistica, rrhh y
Nro. DD-106
Servicio LDAP en Linux
Página 11/20
● Enviar el archivo ou2.ldif al servidor LDAP tal como lo hizo con el archivo ou.ldif
● Ejecutar el siguiente comando cuando termine de crear todas las unidades organizacionales:
$ ldapsearch -x -LLL -H ldap:/// \
-D "cn=admin,dc=redesXX,dc=xyz" -W \
-b "dc=redesXX,dc=xyz" \
"(objectClass=organizationalUnit)"
NOTA
Primero se solicitará establecer la contraseña para el usuario jdoeXX luego se pedirá la
contraseña del usuario admin para validar la acción.
2. En los siguientes pasos creará un usuario empleando sus propios datos, a continuación designe
un username para su usuario:
uid: username
sn: Apellido
givenName: Nombre
cn: Nombre Apellido
displayName: Nombre Apellido
uidNumber: 10001
gidNumber: 5000
homeDirectory: /home/username
loginShell: /bin/bash
userPassword: {crypt}x
3. Enviar el archivo usuario.ldif al servidor LDAP para crear el nuevo usuario. Indique el
comando que usó:
$
5. Verificamos la creación del usuario. Indique el comando que usó y adjunte una captura del
resultado:
$
● Tome una captura del comando anterior y marcar los cambios realizados en este usuario
● Para verificar que se borró el usuario ejecutar el comando siguiente, lo esperado es que ya no
se muestre su usuario ni sus atributos.
$ ldapsearch -x -LLL -H ldap:/// \
-b "dc=redesXX,dc=xyz" \
"(uid=username)"
2. El comando anterior invocará un asistente que pedirá información, responder según lo que se
muestra a continuación:
○ LDAP server Uniform Resource Identifier: ldap://ip_ubuntu_server:port
○ Distinguished name of the search base: dc=redesXX,dc=xyz
○ LDAP version to use: 3
○ Make local root Database admin: Si
○ Does the LDAP database require login?: No
○ LDAP account for root: cn=admin,dc=redesXX,dc=xyz
○ LDAP root account password: pass_admin_ldap
NOTA
Puede volver a establecer dicha información cuando sea necesario con el comando sudo dpkg-
reconfigure ldap-auth-config
3. Edite las siguientes líneas del archivo /etc/nsswitch.conf de forma que queden como se
muestra continuación:
Línea Contenido
6. Ingrese proporcionando las credenciales del usuario jdoeXX, documente ese proceso y en una
terminal en dicha sesión ejecute el comando id y el comando pwd, adjunte una captura de ello:
4. A pesar del cambio anterior, aún debemos especificar la contraseña del usuario
cn=admin,dc=redesXX,dc=xyz en la base de datos dc=redesXX,dc=xyz. Debido a que esto es
una entrada común en el sufijo de la base de datos, podemos emplear ldappasswd
$ ldappasswd -x -H ldap:/// \
-D "cn=admin,dc=redesXX,dc=xyz" -W -S
NOTA
Considere lo siguiente al actualizar la contraseña
I. Ejercicio
1. Basados en las plantillas para la creación de OU y usuarios, cree una OU con el nombre
sistemas dentro de la raíz redesXX.xyz, luego cree el usuario sysadminXX con las siguientes
características:
2. Pruebe iniciar sesión desde CliLinXX con el nuevo usuario e indique lo siguiente:
● Tome una captura del directorio donde se encuentra cuando inicia sesión:
Nro. DD-106
Servicio LDAP en Linux
Página 18/20
● DN de la OU creada:
VIII. OBSERVACIONES
IX. CONCLUSIONES
● Se concluye que LDAP se usa para ejercer las funciones propias de un directorio activo en el
que se gestionarán las credenciales.