13.6. Descripción general de la configuración de OpenLDAP
Esta sección explica rápidamente la instalación y la configuración del directorio OpenLDAP. Para más información, consulte las URLs siguientes:
http://www.openldap.org/doc/admin/quickstart.html — El manual Quick-Start Guide en el sitio web de OpenLDAP.
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — El LDAP Linux HOWTO del Proyecto de documentación de Linux, reflejado en el sitio web de Red Hat.
Los pasos básicos para crear un servidor LDAP son los siguientes:
Instale los RPMs openldap, openldap-servers y openldap-clients.
Edite el archivo /etc/openldap/slapd.conf para referenciar su dominio y servidor LDAP. Refiérase a Sección 13.6.1 para más informacíón sobre como editar este archivo.
Inicie slapd con el comando:
/sbin/service/ldap start
Después de que haya configurado LDAP correctamente, puede usar chkconfig, ntsysv, o Herramienta de configuración de servicios para configurar LDAP para que se inicie en el momento de arranque. Para más información sobre cómo configurar servicios, refiérase al capítulo titulado Controlar el acceso a servicios en el Manual de personalización de Red Hat Linux.
Agregue entradas a su directorio LDAP con ldapadd.
Use ldapsearch para ver si slapd accede a la información correctamente.
Llegados a este punto, su directorio LDAP debería estar funcionando correctamente y entonces puede configurar aplicaciones habilitadas para LDAP para que usen el directorio LDAP.
13.6.1. Modificar /etc/openldap/slapd.conf
Para poder usar el servidor LDPA slapd, tendrá que modificar su archivo de configuración, /etc/openldap/slapd.conf. Debe editar este archivo para especificar el dominio y servidor correcto.
La línea de sufijo nombra el dominio para el cual el servidor LDPA proveerá información y deberá ser cambiado desde:
suffix "dc=your-domain,dc=com" |
para que refleje un nombre de dominio completamente cualificado. Por ejemplo:
suffix "dc=example,dc=com" |
La entrada rootdn en el Distinguished Name (DN) para un usuario que no está restringido por el control de acceso o los parámetros de límite administrativos fijados para operaciones en el directorio LDAP. Se puede pensar en el usuario rootdn como el usuario raíz para el directorio LDAP. En el archivo de configuración, cambie la línea rootdn de su valor por defecto a algo similar a lo siguiente:
rootdn "cn=root,dc=example,dc=com" |
Si intenta poblar el directorio LDAP sobre la red, cambie la línea rootpw — reemplazando el valor por defecto con una contraseña encriptada. Para crear una contraseña encriptada, escriba el comando siguiente:
slappasswd |
Se le pedirá ingresar y re-ingresar la contraseña, luego el programa imprime la contraseña resultante encriptada al terminal.
Luego, copie la nueva contraseña encriptada en el archivo >/etc/openldap/slapd.conf en alguna de las líneas rootpw y elimine el símbolo numeral (#).
Cuando termine, la línea debería de verse como el ejemplo siguiente:
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
 | Aviso |
|---|---|
Las contraseñas LDAP, incluyendo la directiva rootpw especificada en /etc/openldap/slapd.conf, son enviadas sobre la red en unencrypted, a menos que active la encriptación TLS. Para activar la encriptación TLS revise los comentarios en /etc/openldap/slapd.conf y vea la página del manual para slapd.conf. |
Para mayor seguridad, la directriz rootpw debería ser colocada entre comentarios después de poblar el directorio LDAP simplemente escribiendo el símbolo numeral (#).
Cuando use la herramienta de línea de comandos /usr/sbin/slapadd localmente para poblar el directorio LDAP, el uso de la directiva rootpw no es necesario.
 | Importante | |
|---|---|---|
Debe ser usuario root para usar /usr/sbin/slapadd. Sin embargo, el servidor de directorio corre como el usuario ldap. Por lo tanto el servidor de directorio no podrá modificar ningún archivo creado por slapadd. Para corregir este detalle, después que termine de usar slapadd, escriba el comando siguiente:
|