Administración de unidades organizativas, usuarios e grupos en LDAP con ldap-utils

De Manuais Informática - IES San Clemente.
Revisión del 06:16 26 oct 2017 de Carrion (discusión | contribuciones) (Grupos: exercicio para o/a lector/a)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Ir a la navegación Ir a la búsqueda

Introdución

  • Neste apartado imos administrar o directorio ldap facendo uso das utilidades de ldap-utils para poder administrar o servidor LDAP: introducir, modificar, borrar, buscar e extraer información, mantelo en óptimo funcionamento, etc.
  • Na imaxe amósase cales son esas utilidades, das cales usaremos: ldapadd, ldapdelete, ldapmodify, ldappasswd e ldapsearch. Este último xa o vimos no apartado anterior.
  • Lembrar que non existe un comando ldap... senón que se escribiu ldap e logo premeuse a tecla TAB 2 veces para ver que comandos comezan por ldap...

Dl 2014 slapd 30.jpeg



  • Na seguinte imaxe amosamos os usuarios e grupos cos que imos traballar neste apartado e nos seguintes.
  • Neste apartado traballaremos con:
    • usuarios: sol e noe
    • grupos: g-usuarios e os relacionados cos profes.

00 Dominios Linux parte 01 Usuarios.jpg

  • Observar:
    • Onde pon (1º) indica ese usuario ten ese grupo por grupo principal ou primario.
    • Todos os usuarios teñen como grupo primario g-usuarios, independentemente de se é profesor/a ou alumnado.
    • Para todo curso hai dous grupos,
      • g-<curso>-profes: terá como membros ao profesorado dese curso
      • g-<curso>-alum: terá como membros ao alumnado dese curso
    • Todo usuario pertence como mínimo a tres grupos:
      • g-usuarios obrigatoriamente
      • g-<curso>-<tipo usuario>
      • g-<tipo de usuario> (profes ou alum)
    • Esta organización é pensada para cando xestionemos os permisos nas carpetas na Parte III do curso.
    • A profesora sol é profesora nos dous cursos.
    • O grupos comezan coa letra g-, para á hora de buscalos entre todos os grupos locais e de LDAP poder ter todos os grupos que creamos por nós máis fáciles de localizar. Todos son g-algo.


  • Finalmente, a seguinte imaxe amosa as Unidades Organizativas (OU) coas que imos traballar e representa algúns dos usuarios e grupos da táboa anterior.

00 Dominios Linux LDAP parte 01 B.jpg


Aprende.png
LEMBRA...

Antes de comezar con esta sección é aconsellable que o lector/a domine a xestión de usuarios en GNU/Linux. Pódese atopar axuda na sección de Usuarios e grupos en Ubuntu do curso Curso Platega: Ubuntu Desktop. Un sistema dual (MS Windows / GNU/Linux) .

Ferramentas de ldap-utils

  • Indicar que estas ferramentas tamén se poden instalar en calquera equipo cliente e permite administrar o servidor LDAP, só que non podemos usar a uri ldapi:/// e temos que usar para conectarnos a el ldap://servidor ou ldaps://servidor:636 se o servizo seguro está configurado no servidor e no cliente.
  • Como indicamos, o paquete ldap-utils contén varios comandos útiles para manexar a información almacenada no directorio LDAP. Algúns dos máis destacables son:
  • ldapsearch: Como xa vimos nun punto do apartado anterior: (Consultar a BD: ldapsearch) permite buscar información no directorio, devolvendo o resultado da busca en formato LDIF. Para facer a busca, poderemos indicarlle o filtro polo que queremos buscar; por exemplo '(uid=xyz)' buscará as entradas que teñan un atributo uid co valor xyz. Tamén lle podemos indicar despois os atributos que queremos ver de cada entrada atopada no resultado da busca. Os parámetros máis importantes xa vistos antes son:
    • -x: usar autenticación simple.
    • -Y EXTERNAL: usa autenticación SASL (Simple Authentication and Security Layer - capa de seguridade e autenticación simple)
    • -D dn: dn para conectarse ao LDAP indicando o nome de usuario co que nos imos conectar.
    • -w contrasinal: Indicar o contrasinal para conectarse ao LDAP.
    • -W: Obrigamos a que o comando pida o contrasinal para conectarse ao LDAP en lugar de recibilo como parámetro.
    • -H ldapuri: Especificar a URI coa que nos imos conectar ao servidor ldap. Por exemplo ldap://localhost ou ldapi://
    • filtro indica que nos devolva as entradas que coincidan cos valores dos atributos que indicamos no filtro.
    • -b base de busca: para indicar en que obxecto da árbore comezar a buscar
    • -s base|one|sub: indica se queremos que nos devolva os atributos e valores:
      • base: só do obxecto que estamos consultado
      • one: só dos obxectos que están un nivel por debaixo do obxecto consultado.
      • sub: do obxecto consultado e de toda a súa subárbore. É o valor por defecto.


  • ldapadd, ldapmodify: Os dous comandos enlazan con mesmo executable, polo que realmente fan a mesma función de engadir ou modificar entradas no LDAP (ldapadd equivale a ldapmodify -a). Os parámetros máis importantes son (moitos deles vistos en ldapsearch):
    • -x: usar autenticación simple.
    • -Y EXTERNAL: usa autenticación SASL
    • -D dn: dn para conectarse ao LDAP indicando o nome de usuario co que nos imos conectar.
    • -w contrasinal: Indicar o contrasinal para conectarse ao LDAP.
    • -W: Obrigamos a que o comando pida o contrasinal para conectarse ao LDAP en lugar de recibilo como parámetro.
    • -H ldapuri: Especificar a URI coa que nos imos conectar ao servidor ldap. Por exemplo ldap://localhost ou ldapi://
    • filtro indican que nos devolva as entradas que coincidan cos valores dos atributos que indicamos no filtro.
    • -f ficheiro: Toma a información que se debe engadir, modificar ou borrar do ficheiro en lugar da entrada estándar
      • Na páxina do manual do comando (http://linux.die.net/man/1/ldapadd) explica o formato deste ficheiro para engadir, modificar e borrar entradas.
      • Basicamente o formato do ficheiro baséase no formato LDIF e ten a seguinte estrutura:
dn: cn=objectXX,dc=example,dc=com
changetype: modify
replace: mail
mail: modme@example.com
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto:< file:///tmp/modme.jpeg
-
delete: description
-


  • ldapdelete: De sintaxe similar ao comando anterior, recibe como entrada (ou ben pola entrada estándar ou ben dun ficheiro) unha lista de dn's para eliminalas do LDAP.


  • ldappasswd: É para cambiar o contrasinal dun usuario en LDAP. Sóese usar no servidor para o que root cambie o contrasinal dun usuario. De sintaxe similar ao comando anterior.
    • O comando passwd segue existindo nos clientes e é o que debe seguir sendo usado polos usuarios normais, pois xa hai utilidades que se encargan de enlazar co LDAP para que sexa aí onde se reflictan os cambios.
    • Cando cambiemos o contrasinal sempre imos deixar o mesmo que tiñamos abc123., para non esquecerse!!!.

Administración de Unidades Organizativas (OU)

  • O seguinte exemplo amosa o mínimo que debe conter un ficheiro base para manexar as OUs.
#ModeloOU.ldif
dn: ou=exemplo-unidade-organizativa,dc=exemplo,dc=local
objectClass: organizationalUnit
ou: exemplo-unidade-organizativa
  • Como sabemos da teoría o objectClass organizationalUnit defínese no esquema core.
    • Observar a liña 2, só se precisa indicar o atributo ou que é o que ten o exemplo anterior.
    • Os demais atributos son opcionais.
1 objectclass ( 2.5.6.5 NAME 'organizationalUnit' SUP top STRUCTURAL
2 	MUST ou
3 	MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $
4 		x121Address $ registeredAddress $ destinationIndicator $
5 		preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $
6 		telephoneNumber $ internationaliSDNNumber $
7 		facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $
8 		postalAddress $ physicalDeliveryOfficeName $ st $ l $ description ) )
  • Neste apartado da árbore DIT imos crear as ramas todas as OUs excepto dam2 e maquinas.

00 Dominios Linux LDAP parte 01 B.jpg

Crear Unidades Organizativas

  • Creamos un ficheiro ou.ldif co seguinte contido.
#Ficheiro ou.ldif

#Puxemos un atributo opcional para a descrición.

#Creamos a rama onde crearemos outras OUs para albergar usuarios.
dn: ou=usuarios,dc=iescalquera,dc=local
objectClass: organizationalUnit
ou: usuarios
description: OU para almacenar usuarios.


#Creamos a rama profes DENTRO da rama usuarios.
#O nome da "ou" está mal para ser modificado despois.
#A descrición non está para ser engadida despois.
#Hai un atributo street que logo borraremos.
dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
objectClass: organizationalUnit
ou: profe
street: Rua Borrar n 3 (non usar tiles)


e executamos o comando:

ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f ou.ldif
Enter LDAP Password:
adding new entry "ou=usuarios,dc=iescalquera,dc=local"
 
adding new entry "ou=profes,ou=usuarios,dc=iescalquera,dc=local"
  • Se no ficheiro ou.ldif se atopa un erro nunha entrada non se segue coas seguintes, salvo que se use o parámetro -c.


  • Comprobamos o efecto da execución da instrución anterior.
 1 ldapsearch -x -b ou=usuarios,dc=iescalquera,dc=local
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=usuarios,dc=iescalquera,dc=local> with scope subtree
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # usuarios, iescalquera.local
11 dn: ou=usuarios,dc=iescalquera,dc=local
12 objectClass: organizationalUnit
13 ou: usuarios
14 description: OU para almacenar usuarios.
15 
16 # profes, usuarios, iescalquera.local
17 dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
18 objectClass: organizationalUnit
19 ou: profe
20 ou: profes
21 street: Rua Borrar n 3 (non usar tiles)
22 
23 # search result
24 search: 2
25 result: 0 Success
26 
27 # numResponses: 3
28 # numEntries: 2
  • Observar nas liñas 19-20 como ao equivocarnos na ou que non coincidía coa do dn, creou tamén a ou do dn. Pronto o arranxaremos.

Modificar Unidades Organizativas

  • Creamos un ficheiro ou_modif.ldif co seguinte contido.
  • Imos realizar operacións na OU profes.
    • Cambiar o valor do atributo ou
    • Engadirlle unha descrición
    • Eliminar a unha rúa.
#Ficheiro ou_modif.ldif

#Indicamos o obxecto que desexamos modificar
dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
changetype: modify
replace: ou
ou: profes
-
add: description
description: OU para almacenar usuarios profes.
-
delete: street


  • Executamos o seguinte comando:
ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f ou_modif.ldif
Enter LDAP Password:
modifying entry "ou=profes,ou=usuarios,dc=iescalquera,dc=local"


  • Observamos o efecto da instrución anterior.
  • Observar que só temos un atributo ou, que non está o atributo street e si description.
 1 ldapsearch -x -b ou=profes,ou=usuarios,dc=iescalquera,dc=local 
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=profes,ou=usuarios,dc=iescalquera,dc=local> with scope subtree
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # profes, usuarios, iescalquera.local
11 dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
12 objectClass: organizationalUnit
13 ou: profes
14 description: OU para almacenar usuarios profes.
15 
16 # search result
17 search: 2
18 result: 0 Success

Eliminar Unidades Organizativas

  • Para eliminar unidades organizativas podemos usar:
    • ldapadd, onde lle pasamos o ficheiro cos DNs dos obxectos e a función a realizar con eles (eliminar).
    • ldapdelete, onde lle podemos pasar o ficheiro directamente cos DNs dos obxectos a eliminar ou mesmo podemos indicarllos por consola.
  • Exemplo 1: ldapadd
#Ficheiro ou_borrar1.ldif


#Debemos borrar antes os obxectos fillos que o pai.
#Non o imos facer para propiciar un erro

#dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
#changetype: delete


dn: ou=usuarios,dc=iescalquera,dc=local
changetype: delete
  • Executamos o seguinte comando e vemos que non nos borra a ou=usuarios porque contén fillos.
  • Se descomentamos as liñas anteriores referentes á ou=profes o resultado sería positivo.
ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f ou_borrar1.ldif
Enter LDAP Password:
deleting entry "ou=usuarios,dc=iescalquera,dc=local"
ldap_delete: Operation not allowed on non-leaf (66)
	additional info: subordinate objects must be deleted first



  • Exemplo 2: ldapdelete
    • Podemos crear un ficheiro semellante ao seguinte onde só indicamos os DNs dos obxectos a borrar.
    • Igual que antes hai que indicar os obxectos fillos ante ca o pai.
    • Se se usa o parámetro -r podemos indicar só o pai e vai borrar os obxectos fillos en modo recursivo.
#Ficheiro ou_borrar2.ldif

#Debemos borrar antes os obxectos fillos que o pai.
#Non o imos facer para propiciar un erro

dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
dn: ou=usuarios,dc=iescalquera,dc=local
  • Nesta ocasión non imos usar o ficheiro anterior, que se cargaría con -f igual que en ldapadd.
  • Imos borrar toda á arbore de usuarios en modo recursivo (-r) coa instrución:
ldapdelete -D cn=admin,dc=iescalquera,dc=local -W "ou=usuarios,dc=iescalquera,dc=local" -r
Enter LDAP Password: 

Unidades Organizativas: exercicio para o/a lector/a

  • Todo o visto até agora é aplicable a calquera tipo de obxecto do ldap (usuarios, grupos, máquinas, etc)


  • Agora o lector ou lectora debe ser quen de crear un ficheiro ou_final.ldif coas unidades organizativas seguintes:
    • dn: ou=usuarios,dc=iescalquera,dc=local
    • dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
    • dn: ou=grupos,dc=iescalquera,dc=local
    • dn: ou=alum,ou=usuarios,dc=iescalquera,dc=local
    • dn: ou=dam1,ou=alum,ou=usuarios,dc=iescalquera,dc=local
  • Todas elas con descrición.
  • Observar que non se crea a rama dam2 dentro de alum nin a rama maquinas. Iso é para deixar cousas sen facer e realizalas a posteriori con outras utilidades.
  • No directorio deberán estar os seguintes obxectos:
 1 ldapsearch -x -b dc=iescalquera,dc=local objectClass=organizationalUnit
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <dc=iescalquera,dc=local> with scope subtree
 6 # filter: objectClass=organizationalUnit
 7 # requesting: ALL
 8 #
 9 
10 # usuarios, iescalquera.local
11 dn: ou=usuarios,dc=iescalquera,dc=local
12 objectClass: organizationalUnit
13 ou: usuarios
14 description: OU para almacenar usuarios.
15 
16 # profes, usuarios, iescalquera.local
17 dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local
18 objectClass: organizationalUnit
19 ou: profes
20 description: OU para almacenar usuarios/as profes
21 
22 # grupos, iescalquera.local
23 dn: ou=grupos,dc=iescalquera,dc=local
24 objectClass: organizationalUnit
25 ou: grupos
26 description: OU para almacenar os grupos
27 
28 # alum, usuarios, iescalquera.local
29 dn: ou=alum,ou=usuarios,dc=iescalquera,dc=local
30 objectClass: organizationalUnit
31 ou: alum
32 description: OU para almacenar os alumnos
33 
34 # dam1, alum, usuarios, iescalquera.local
35 dn: ou=dam1,ou=alum,ou=usuarios,dc=iescalquera,dc=local
36 objectClass: organizationalUnit
37 ou: dam1
38 description: OU para almacenar os alumnos de DAM1

Administración de grupos

  • Seguimos agora coa xestión dos grupos.
  • O seguinte exemplo amosa o mínimo que debe conter un ficheiro base para manexar Grupos.
#ModeloGrupo.ldif
dn:cn=exemplo-nome-grupo,ou=exemplo-unidade-organizativa,dc=exemplo, dc=local
objectClass: posixGroup
cn: exemplo-nome-grupo
gidNumber: N-gid-Mellor-maior-de-9999
  • Como vemos baséase no objectClass: posixGroup que se define no esquema NIS.
    • Obriga a ter 2 atributos: cn e gidNumber
1 objectclass ( 1.3.6.1.1.1.2.2 NAME 'posixGroup'
2         DESC 'Abstraction of a group of accounts'
3         SUP top STRUCTURAL
4         MUST ( cn $ gidNumber )
5         MAY ( userPassword $ memberUid $ description ) )

Crear grupos

  • Neste apartado, dentro de "dn: ou=grupos,dc=iescalquera,dc=local", imos crear os grupos:
    • g-usuarios
    • e os grupos relacionados cos profes.
    • Observar que cada grupo ten un ID, debemos poñelo de forma manual.
    • Se poñemos o mesmo ID a distintos grupos, ldap non vai controlar iso, pero logo teremos problemas cos usuarios e os grupos aos que pertencen.

00 Dominios Linux parte 01 Usuarios.jpg


  • Creamos un ficheiro grupos.ldif co seguinte contido
#Ficheiro grupos.ldif

#Xa sabemos que se non se engade o atributo cn:g-usuarios este vaise crear igual tomado da entrada DN.
#Quen o desexe pode engadir unha descrición.
dn: cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local
objectClass: posixGroup
cn: g-usuarios
gidNumber: 10000


  • Executamos o comando:
ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f grupos.ldif
Enter LDAP Password: 
adding new entry "cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local"


  • Observar as liñas 17-20 que indican que no directorio ldap xa está o grupo g-usuarios.
 1 ldapsearch -x -b ou=grupos,dc=iescalquera,dc=local
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=grupos,dc=iescalquera,dc=local> with scope subtree
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # grupos, iescalquera.local
11 dn: ou=grupos,dc=iescalquera,dc=local
12 objectClass: organizationalUnit
13 ou: grupos
14 description: OU para almacenar os grupos
15 
16 # g-usuarios, grupos, iescalquera.local
17 dn: cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local
18 objectClass: posixGroup
19 cn: g-usuarios
20 gidNumber: 10000
21 
22 # search result
23 search: 2
24 result: 0 Success
25 
26 # numResponses: 3
27 # numEntries: 2

Modificar/Eliminar grupos

  • Procédese igual que se viu nas Unidades Organizativas.

Grupos: exercicio para o/a lector/a

  • O lector ou lectora debe ser quen de crear un ficheiro grupos_final.ldif coas entradas seguintes e apoiándose na táboa superior:
    • dn: cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local
    • dn: cn=g-profes,ou=grupos,dc=iescalquera,dc=local
    • dn: cn=g-dam1-profes,ou=grupos,dc=iescalquera,dc=local
    • dn: cn=g-dam2-profes,ou=grupos,dc=iescalquera,dc=local
  • O atributo descrición é opcional.
  • Lembrar que cando se execute ldapadd pódese engadir o parámetro -c por se atopa algunha entrada dentro do directorio que non pare e siga procesando o ficheiro.
  • Unha vez introducidas as entradas no ldap débese obter o seguinte (lembrar que facía o parámetro -s):
 1 ldapsearch -x -b ou=grupos,dc=iescalquera,dc=local -s one
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=grupos,dc=iescalquera,dc=local> with scope oneLevel
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # g-usuarios, grupos, iescalquera.local
11 dn: cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local
12 objectClass: posixGroup
13 cn: g-usuarios
14 gidNumber: 10000
15 
16 # g-profes, grupos, iescalquera.local
17 dn: cn=g-profes,ou=grupos,dc=iescalquera,dc=local
18 objectClass: posixGroup
19 gidNumber: 10001
20 cn: g-profes
21 
22 # g-dam1-profes, grupos, iescalquera.local
23 dn: cn=g-dam1-profes,ou=grupos,dc=iescalquera,dc=local
24 objectClass: posixGroup
25 gidNumber: 10002
26 cn: g-dam1-profes
27 
28 # g-dam2-profes, grupos, iescalquera.local
29 dn: cn=g-dam2-profes,ou=grupos,dc=iescalquera,dc=local
30 objectClass: posixGroup
31 gidNumber: 10003
32 cn: g-dam2-profes

Administración de usuarios

  • O seguinte exemplo amosa o mínimo que debe conter un ficheiro base para manexar Usuarios.
#ModeloUsuario.ldif
dn: uid=usuario,ou=ou_exemplo,dc=exemplo,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: usuario
sn: apelido
givenName: Nome de pila
cn: Nome Completo
displayName: Nome para amosar
uidNumber: 10000
gidNumber: 10000
userPassword: contrasinal
gecos: Informacion sobre o usuario (Opcional. Sen tiles)
loginShell: /bin/bash
homeDirectory: /home/usuario
mail: usuario@exemplo.local
initials: UA

#As seguintes entradas son opcionais, e serven para controlar a caducidade do contrasinal.
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
  • Como vimos no esquema NIS están os objectClass: posixAccount e shadowAccount
  • Nas liñas 4 e 10 indican cales son os atributos obrigatorios. Neste caso uid é obrigatorio para as dúas clases de obxectos.
 1 objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount'
 2         DESC 'Abstraction of an account with POSIX attributes'
 3         SUP top AUXILIARY
 4         MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
 5         MAY ( userPassword $ loginShell $ gecos $ description ) )
 6 
 7 objectclass ( 1.3.6.1.1.1.2.1 NAME 'shadowAccount'
 8         DESC 'Additional attributes for shadow passwords'
 9         SUP top AUXILIARY
10         MUST uid
11         MAY ( userPassword $ shadowLastChange $ shadowMin $
12               shadowMax $ shadowWarning $ shadowInactive $
13               shadowExpire $ shadowFlag $ description ) )


  • E no esquema inetOrgPerson está a objectClass do mesmo nome.
  • Non hai atributos obrigatorios.
  • Nas liñas 8 e 9 están 3 dos atributos do exemplo: displayName, givenName e initials.
 1 objectclass     ( 2.16.840.1.113730.3.2.2
 2     NAME 'inetOrgPerson'
 3         DESC 'RFC2798: Internet Organizational Person'
 4     SUP organizationalPerson
 5     STRUCTURAL
 6         MAY (
 7                 audio $ businessCategory $ carLicense $ departmentNumber $
 8                 displayName $ employeeNumber $ employeeType $ givenName $
 9                 homePhone $ homePostalAddress $ initials $ jpegPhoto $
10                 labeledURI $ mail $ manager $ mobile $ o $ pager $
11                 photo $ roomNumber $ secretary $ uid $ userCertificate $
12                 x500uniqueIdentifier $ preferredLanguage $
13                 userSMIMECertificate $ userPKCS12 )
14         )

Crear usuarios

  • Neste apartado, dentro de dn: ou=profes,ou=usuarios,dc=iescalquera,dc=local, imos crear os usuarios:
    • sol
    • noe
  • Observar que cada usuario ten un ID, debemos poñelo de forma manual. Se poñemos o mesmo ID a distintos usuarios, ldap non controla iso, pero logo teremos problemas cos usuarios.

00 Dominios Linux parte 01 Usuarios.jpg

  • NOTA: As tiles poden causar problemas ao copiar e pegar co cal, se non se desexa non é preciso usalas.
  • Creamos un ficheiro usuarios.ldif co seguinte contido
#Ficheiro usuarios.ldif

#Observar onde se poñen tiles e onde non. Non é preciso poñelas
#Observar tamén que se indica o gid do grupo primario (10000 -> g-usuarios)
#Finalmente indicase que o contrasinal nunca expira.

dn: uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: sol
sn: Lúa
cn: Profe - Sol Lúa
givenName: Sol
displayName: Profe - Sol Lúa
uidNumber: 10000
gidNumber: 10000
userPassword: abc123.
gecos: Profe - Sol Lua
loginShell: /bin/bash
homeDirectory: /home/sol
mail: sol@iescalquera.local
initials: SL
shadowExpire: -1
  • Executamos o comando
ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f usuarios.ldif
Enter LDAP Password: 
adding new entry "uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local"
  • Observar que aínda que indicamos que home do usuario é /home/sol non se vai crear. Iso arranxarémolo nas seguintes seccións e na parte III do curso.
ls /home
   administrador  lost+found

Engadir usuarios aos grupos secundarios

  • Para engadir usuarios aos grupos secundarios debemos modificar cada grupo e engadir o atributo: memberUid co seu valor.
  • Engadiremos tantos atributos como usuarios desexemos que pertenzan a ese grupo como secundario.
  • Creamos o ficheiro grupos_secundarios.ldif
#Ficheiro grupos_secundarios.ldif

#Observar que os grupos sepáranse por unha liña en branco 
#Se tivéramos máis usuarios para un grupo seguiríamos poñendo: memberUid: usuario
dn: cn=g-profes,ou=grupos,dc=iescalquera,dc=local
changetype: modify
add: memberUid
memberUid:sol

dn: cn=g-dam1-profes,ou=grupos,dc=iescalquera,dc=local
changetype: modify
add: memberUid
memberUid:sol

dn: cn=g-dam2-profes,ou=grupos,dc=iescalquera,dc=local
changetype: modify
add: memberUid
memberUid:sol
  • Executamos o comando
ldapadd -D cn=admin,dc=iescalquera,dc=local -W -f grupos_secundarios.ldif -c
Enter LDAP Password: 
modifying entry "cn=g-profes,ou=grupos,dc=iescalquera,dc=local"

modifying entry "cn=g-dam1-profes,ou=grupos,dc=iescalquera,dc=local"

modifying entry "cn=g-dam2-profes,ou=grupos,dc=iescalquera,dc=local"

Eliminar/modificar usuarios

  • Faríase igual que coas Unidades Organizativas.
  • Pero aquí hai un detalle: se eliminamos un usuario non significa que se elimine a entrada correspondente nos grupos secundarios aos que pertenza ese usuarios.
  • Por tanto tamén habería que borrar a entrada memberUid nos grupos aos que pertence ese usuario, porque senón o sistema quedaría incoherente, pois o sistema deixa eliminar o usuario sen máis.

Usuarios: exercicio para o/a lector/a

  • O lector ou lectora debe ser quen de crear un ficheiro usuarios_final.ldif para dar de alta aos seguintes usuarios (Observar a táboa superior):
  • Non é preciso poñer as tiles.
    • uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local
    • uid=noe,ou=profes,ou=usuarios,dc=iescalquera,dc=local
  • E crear un ficheiro grupos_secundarios_final.ldif para configurar os grupos secundarios aos que pertencen eses usuarios como se indica na táboa dos usuarios.
  • Unha vez realizados os procesos debemos obter:


  • Usuarios:
    • Notar que ldapsearch non amosa os caracteres UTF-8 (os que levan til, neste caso). Pero eses valores están ben almacenados.
 1 ldapsearch -x -b ou=profes,ou=usuarios,dc=iescalquera,dc=local
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=profes,ou=usuarios,dc=iescalquera,dc=local> with scope oneLevel
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # sol, profes, usuarios, iescalquera.local
11 dn: uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local
12 objectClass: inetOrgPerson
13 objectClass: posixAccount
14 objectClass: shadowAccount
15 uid: sol
16 sn:: TMO6YQ==
17 cn:: UHJvZmUgLSBTb2wgTMO6YQ==
18 givenName: Sol
19 displayName:: UHJvZmUgLSBTb2wgTMO6YQ==
20 uidNumber: 10000
21 gidNumber: 10000
22 gecos: Profe - Sol Lua
23 loginShell: /bin/bash
24 homeDirectory: /home/sol
25 mail: sol@iescalquera.local
26 initials: SL
27 shadowExpire: -1
28 
29 # noe, profes, usuarios, iescalquera.local
30 dn: uid=noe,ou=profes,ou=usuarios,dc=iescalquera,dc=local
31 objectClass: inetOrgPerson
32 objectClass: posixAccount
33 objectClass: shadowAccount
34 uid: noe
35 sn: Ras
36 cn:: UHJvZmUgLSBOb8OpIFJhcw==
37 givenName: Noe
38 displayName:: UHJvZmUgLSBOb8OpIFJhcw==
39 uidNumber: 10001
40 gidNumber: 10000
41 gecos: Profe - Noe Ras
42 loginShell: /bin/bash
43 homeDirectory: /home/noe
44 mail: noe@iescalquera.local
45 initials: NR
46 shadowExpire: -1


  • Grupos:
  • Fixarse nas liñas marcadas.
 1 ldapsearch -x -b ou=grupos,dc=iescalquera,dc=local
 2 # extended LDIF
 3 #
 4 # LDAPv3
 5 # base <ou=grupos,dc=iescalquera,dc=local> with scope oneLevel
 6 # filter: (objectclass=*)
 7 # requesting: ALL
 8 #
 9 
10 # g-usuarios, grupos, iescalquera.local
11 dn: cn=g-usuarios,ou=grupos,dc=iescalquera,dc=local
12 objectClass: posixGroup
13 cn: g-usuarios
14 gidNumber: 10000
15 
16 # g-profes, grupos, iescalquera.local
17 dn: cn=g-profes,ou=grupos,dc=iescalquera,dc=local
18 objectClass: posixGroup
19 gidNumber: 10001
20 cn: g-profes
21 memberUid: sol
22 memberUid: noe
23 
24 # g-dam1-profes, grupos, iescalquera.local
25 dn: cn=g-dam1-profes,ou=grupos,dc=iescalquera,dc=local
26 objectClass: posixGroup
27 gidNumber: 10002
28 cn: g-dam1-profes
29 memberUid: sol
30 
31 # g-dam2-profes, grupos, iescalquera.local
32 dn: cn=g-dam2-profes,ou=grupos,dc=iescalquera,dc=local
33 objectClass: posixGroup
34 gidNumber: 10003
35 cn: g-dam2-profes
36 memberUid: sol
37 memberUid: noe

Cambiar o contrasinal dun usuario

  • Se non se especifica o contrasinal o sistema xera un aleatoriamente
ldappasswd -D cn=admin,dc=iescalquera,dc=local -W uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local
Enter LDAP Password: 
New password: EL1U.58e
  • Co parámetro -S pódese especificar o contrasinal desexado para o usuario.
ldappasswd -D cn=admin,dc=iescalquera,dc=local -W uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local -S
New password: 
Re-enter new password: 
Enter LDAP Password: 
  • Nos dous casos tamén pide o contrasinal de admin para poder facer as modificacións no directorio.


  • Outra forma de cambiar o contrasinal sería creando un ficheiro ldif de modificacións
dn: uid=sol,ou=profes,ou=usuarios,dc=iescalquera,dc=local
changetype: modify
replace: userPassword
userPassword:novo contrasinal
  • E cargar o ficheiro con ldapadd.

Ferramentas incluídas co servidor LDAP

  • slapindex: Este comando pode ser moi útil en caso de apagados accidentais do servidor LDAP, xa que é posible que os índices usados para acceder á información do directorio se corrompan, o que pode producir erros na busca ou inserción de información no directorio ou incluso que o servidor LDAP non poida arrancar. A función do comando é rexenerar os índices a partir da información almacenada no directorio, creando así de novo as estruturas necesarias para que o servizo LDAP funcione correctamente.


  • O comando debe executarse co mesmo usuario que executa o servidor LDAP (no caso de Debian/Ubuntu o usuario openldap), xa que os ficheiros de índices que este comando crea só poderán ser modificados polo usuario que executa o comando e executalo con outro usuario podería dar problemas de permisos ao arrancar o servidor LDAP.
root@dserver00:~# service slapd stop
  [ ok ] Stopping OpenLDAP: slapd.
root@dserver00:~# su - openldap -s /bin/bash
openldap@dserver00:~$ /usr/sbin/slapindex -v
  indexing id=00000001
  indexing id=00000002
  indexing id=00000014
  indexing id=00000015
  indexing id=00000016
  indexing id=00000017
  indexing id=00000018
  indexing id=00000019
  indexing id=0000001a
  indexing id=00000024
  indexing id=00000025
openldap@dserver00:~$ exit
  logout
root@dserver00:~# service slapd start
  [ ok ] Starting OpenLDAP: slapd.


-- Antonio de Andrés Lema e Carlos Carrión Álvarez --