Introducción

La configuración del servidor de LDAP será la más importante puesto que aquí es donde reside el núcleo de la solución.  Se le recomienda ampliamente leer con cuidado antes de empezar a modificar sus archivos.

Paquetes necesarios

• OpenLDAP -servers >= 2.3.30-2.1
• OpenLDAP-migration >= 2.3.30-2.1
• OpenLDAP-client >= 2.3.30-2.1

Configuración

Lo primero que se hará es que hacer es definir la estructura lógica del árbol LDAP. La base por ejemplo.

Existen varios elementos que podrán forma la base y puede ser una combinación de uno o más.

OpenLDAP

Para efectos de la configuración de ejemplo tomaremos la base dc=linuxchange,dc=com. Una vez definida la base añadiremos o modificaremos al archivo /etc/openldap/slapd.conf el siguiente contenido:

El archivo slapd.access.conf contendrá la ACL que contendrá los accesos, el listado de este archivo estará más adelante en esta sección.

El parámetro threads indican el número de instancias que se levantarán como máximo para dar servicio. Este parámetro tiene que estar medido cuidadosamente puesto que a más instancias mayor peticiones concurrentes se podrán hacer, pero requerirá más memoria y por consiguiente la memoria virtual podrá ser utilizada ocasionando intercambio y esto podrá ser contra producente.

El parámetro defaultsearchbase indica al servidor LDAP que en caso de encontrar una petición de búsqueda con el parámetro base vacío utilice este parámetro. Esta opción es muy práctica porque facilita la configuración de los clientes, sobre todo en los parámetros de libreta de direcciones donde sólo es necesario poner la dirección del servidor.

La opción concurrency indica el número de veces que podrá leerse un mismo objeto al mismo tiempo. Este valor también debe tomarse con mucha cautela, sobre todo si la base de datos es muy propensa a cambios continuos de objetos que requieran lectura constante.

Schemacheck sirve para indicarle al servidor que verifique que las propiedades en el objeto seleccionado correspondan a las clases indicadas por él. Cada schema tiene diferentes propiedades inscritas a su clase; la activación de este parámetro realiza la comprobación y en caso de fallar no deja realizar la operación. Desactivar este parámetro aumenta la velocidad.

El parámetro sizelimit indica el número máximo de ocurrencias a regresar en una búsqueda. Este valor sólo afecta en el. tamaño máximo que se transmitirá y por lo tanto en el tráfico.

Password-hash y password-crypt-salt-format son parámetros que le indica al servidor LDAP que tipo de función hash se utilizará para cifrar las contraseñas. La expresión $1$%.8$ indica la semilla que se utilizará para aplicar a la contraseña, esta expresión es la que utiliza actualmente Linux.   Estos valores son despreciados a partir de la versión 0.5 de LinuXchangE.  Password-hash ahora utilizará el hash {KRB5KEY} que indica a LDAP que busque el usuario en el REAL kerberos asociado.

La línea que dicta moduleload smbk5pwd.so indica a OpenLDAP que deberá gestar la sincronización en el cambio de contraseña cuando esta se indique por medio del protocolo LDAP.  Posterior a esto, smbk5pwd-enable samba y smbk5pwd-enable krb5 especifican que ambos protocolos deben ser administrados.  Sin embargo, esta linea sólo carga el módulo, la línea overlay smbk5pwd indica sobre qué bases se deberá aplicar la política. 

El parámetro database indica el tipo de base de datos del cual LDAP se servirá para guardar sus datos, el valor pasado está entre los siguientes posibles:

La opción suffix indica a la base de datos la base a partir de la cual tomará en cuenta la existencia de los datos. Es importante que la propiedad dn contenga coherencia con la base. Esto es que si la base es dc=linuxchange,dc=com, el den de los objetos contengan la misma también.

El parámetro rootdn y rootpw indican el dn del administrador y su contraseña. Es recomendable que la contraseña este cifrada por seguridad aunque puede estar en texto plano. La forma de meter este dato se verá mas adelante, como requisito dejar una contraseña en texto plano para mantener una configuración estable.

Las opciones cachesize y dbcachesize indican el número de fichas guardadas en el caché del sistema y el número de bytes por cada índice abierto. Habrá que ser muy cuidadoso con estos valores puesto que pueden llegar a consumir mucha memoria RAM.

El valor pasado al parámetro directory indica el lugar físico en el sistema donde será guardada la base de datos. Hay que tener mucho cuidado que el directorio pueda ser escrito y leído por el usuario que corre el demonio slapd.

Los índices especificados sirven para acelerar las búsquedas, y en este caso se especifican enumerando las propiedades el tipo de índice. El alcance de este texto no espera ser un tutorial completo. Sin embargo hay que tener cuidado con los índices seleccionados, por ejemplo, no se deberá indexar ninguna propiedad de un DNS puesto que hará que falle irremediablemente. Los valores especificados son los óptimos para esta solución.

El último parámetro a comentar será lastmod que indica a la base de datos actualice los campos de sistema de cada ficha para guardar bitácora de los cambios: creación, quién creo, modificación, quién modifico.

Una vez modificado el archivo slapd.conf habrá que crear la contraseña cifrada par el usuario especificado en el parámetro rootdn. Para hacer esto utilizaremos el comando slappasswd de la siguiente forma:

slappasswd -h {MD5}

Esto regresará un hash de la forma {MD5}Sjfix.f3jfr/9fd= o similar que deberá ser copiado y pegado como parámetro a la opción rootpw.

Con esto se iniciará el servidor LDAP con el siguiente comando:

service ldap start

Cuando se esté utilizando OpenLDAP 2.1.x en algunos casos algunas reglas de los schemas fallaran. Esto implicará eliminar la parte del atributo. Sólo el schema de evolution person ha presentado este comportamiento.

Para comprobar que el servidor esté corriendo correctamente habrá que ejecutar la siguiente consulta:

ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

y este commando mostrará una salida similar a esta:

#
# filter: (objectclass=*)
# requiesting: namingContexts
#
#

dn:
namingContesxts: dc=linuxchange,dc=com

# search result
search: 2

result: 0 Success

# numResponses: 2
# numEntries: 1

Si se encuentra este tipo de salida, esto quiere decir que el directorio está correctamente configurado y lo podemos ya activar automáticamente al iniciar ejecutando:

chkconfig ldap on

Hay que recordar que hasta este punto no hay ningún tipo de seguridad y sólo se indica que la máquina del directorio esta funcionando.

ACL's 

La configuración de las ACL's es uno de los temas de seguridad que deberán tomarse muy en cuenta. Su mala configuración puede dar accesos de lectura y hasta escritura a usuarios no planeados. Por defecto LDAP permitirá lectura por acceso anónimo y escritura al usuario especificado en el rootdn.

El siguiente listado es el recomendado para una seguridad mínima para el usuario, pero posteriormente se podrá modificar si se requiere.

Todas las configuraciones de acceso deberán ser similares a esta, especificando en la primera línea la rama que aplicara la regla y en seguida los permisos asignados dependiendo de la identificación del usuario. De las reglas que apliquen a una misma rama o sub-rama prevalecerá la última especificada en la parte común.

Es importante notar que las reglas no son dependientes de los usuarios existentes, por lo tanto el usuario proxyuser que hasta el momento no existe no afectará en ningún caso la calidad de la seguridad de las ACL's especificadas. Actualmente existe un parche que permite no depender de la existencia de este usuario.

Las líneas de configuración referentes a los certificados y conexiones TLS, aunque no indispensables, si serán requeridas para poder comunicar a OpenLDAP con distitnos protocolos como Kerberos que depende de la existencia de una CA para trabajar.  El artículo de Configuración de una CA y Administración de una CA expresan cómo realizar esta tarea.

Kerberos debe ser configurado inmediatamente para poder utilizar la autenticación de usuarios.