LDAP (Lightweight Directory Access Protocol) es un protocolo de acceso a servicios de directorio. Un directorio es similar a una base de datos pero con informaci\u00f3n basada en atributos que no cambia frecuentemente y sobre la cual no es necesario hacer consultas complejas. En un directorio la lectura de informaci\u00f3n es muy r\u00e1pida.<\/p>\n
La informaci\u00f3n de un directorio puede ser almacenada de diversas formas (backends), lo importante es que con LDAP podemos acceder a dicha informaci\u00f3n e incluso mantener servidores secundarios con replicas que se actualizan periodicamente (as\u00ed podriamos equilibrar la carga del servicio).<\/p>\n
LDAP podr\u00eda cubrir perfectamente funciones muy \u00fatiles en una intranet como por ejemplo identificaci\u00f3n de usuario centralizada (antiguamente se utilizaba NIS en entornos UNIX pero es menos seguro y eficiente), as\u00ed los usuarios podrian acceder a diversos servicios con un \u00fanico login\/password y la gesti\u00f3n de los mismos ser\u00eda muchisimo m\u00e1s sencilla para los administradores. Tambi\u00e9n podria proporcionarnos un servici\u00f3 de libreta de direcciones centralizado de forma que desde varios PCs podamos acceder siempre a nuestra agenda de contactos, esto ser\u00e1 lo que explicar\u00e9 en este art\u00edculo. Para instalar el servidor OpenLDAP en Ubuntu basta con ejecutar “aptitude install slapd”. Esto nos crear\u00e1 los archivos de configuraci\u00f3n en “\/etc\/ldap\/”, ah\u00ed ser\u00e1 donde encontraremos el fichero de configuraci\u00f3n del servidor “slapd.conf”. Este fichero estar\u00e1 compuesto por 3 secciones:<\/p>\n Cada una de las secciones herdar\u00e1 la configuraci\u00f3n de su secci\u00f3n anterior.<\/p>\n SECCI\u00d3N GLOBAL<\/b><\/p>\n Como ya he comentado, la informaci\u00f3n en LDAP es tratada como objetos y por tanto estos objetos deben ser definidos. Las definiciones de objetos se guardan en lo que se llama esquemas (schema), por defecto OpenLDAP incluye algunos est\u00e1ndar como podemos ver en su archivo de configuraci\u00f3n:<\/p>\n En nuestro caso queremos tener una libreta de direcciones almacenada y por tanto necesitamos objetos que dispongan de los atributos que necesitamos. Utilizar\u00e9 evolution como cliente de correo (tambi\u00e9n veremos que es posible usar mutt o squirrelmail) y por tanto me bajar\u00e9 el esquema que este cliente utiliza: evolutionperson.schema<\/a>. Lo guardaremos en “\/etc\/ldap\/schema\/” y lo incluiremos en el archivo de configuraci\u00f3n:<\/p>\n El servidor OpenLDAP soporta la versi\u00f3n 2 y 3 de LDAP aunque por defecto la 2 viene desactivada, en cambio Evolution solo entiende la versi\u00f3n 2. Por tanto vamos a activar en nuestro servidor dicha versi\u00f3n a\u00f1adiendo (o descomentando) a nuestro archivo de configuraci\u00f3n:<\/p>\n Si quisieramos habilitar el acceso al directorio utilizando SSL podriamos generar un certificado firmado (ver art\u00edculo OpenSSL<\/a>) y especificarlo en la configuraci\u00f3n:<\/p>\n Por desgracia no he conseguido que Evolution se conecte correctamente desde otra m\u00e1quina por red usando SSL (desde la misma m\u00e1quina si funciona). Por tanto tendremos que utilizar LDAP sin encriptaci\u00f3n y asumir los riesgos que puede tener que viaje nuestro password en claro por la red y el resto de la informaci\u00f3n (en este caso solo se trata de una libreta de direcciones as\u00ed que no es informaci\u00f3n extremadamente sensible). En mi configuraci\u00f3n he deshabilitado estas l\u00edneas.<\/p>\n DEFINICI\u00d3N DE BACKENDS<\/b><\/p>\n Para guardar la informaci\u00f3n del directorio se usar\u00e1 BDB que es la m\u00e1s recomendable, por defecto en la configuraci\u00f3n ya est\u00e1 seleccionada as\u00ed que no tendremos que modificar nada.<\/p>\n DEFINICI\u00d3N DE BASES DE DATOS<\/b><\/p>\n Comentaremos las definiciones que haya de ejemplo y crearemos una nueva donde almacenaremos nuestra libreta de direcciones (se pueden definir tantas bases de datos como se deseen).<\/p>\n Nuestra base de datos utilizar\u00e1 el backend BDB definido en la secci\u00f3n anterior.<\/p>\n Haremos que no sea de solo lectura y que por tanto podamos escribir.<\/p>\n Toda base de dato debe tener un nombre que la identifica (DN, Distinguished Name) de forma iinequivoca dentro del servicio LDAP, habitualmente se utiliza el nombre + domino de la m\u00e1quina donde se esta ejecutando el servidor:<\/p>\n A continuaci\u00f3n definiremos el administrador de esta base, este estar\u00e1 compuesto por un nombre indentificativo (CN, Common Name) seguido del nombre que identifica la base:<\/p>\n El password del administrador se puede escribir en claro en el archivo de configuraci\u00f3n o utilizar el comando “slappasswd -s <password>” para generar un password encriptado y as\u00ed evitar tenerlo a la vista en el archivo.<\/p>\n A continuaci\u00f3n indicaremos donde queremos que se guarden los datos en nuestra estructura de directorios:<\/p>\n Debemos asegurarnos que este directorio existe, de lo contrario lo creamos con “mkdir -p \/var\/lib\/ldap\/addressbook\/”.<\/p>\n De forma opcional, podemos a\u00f1adir indices que ayudar\u00e1n a optimizar las b\u00fasquedas a trav\u00e9s de los atributos:<\/p>\n Finalmente podriamos especificar las reglas de acceso a esta base de datos:<\/p>\n Esto indica que para acceder a cualquier sitio si:<\/p>\n Por tanto solo estoy permitiendo que yo como administrador pueda acceder a mi base de datos y que nadie m\u00e1s pueda conectarse an\u00f3nimamente ni para leer. Es posible que nos pueda interesar que el resto de personas puedan leer (libreta de direcciones p\u00fablica), en dicho caso usariamos:<\/p>\n Podriamos escribir varias reglas access seguidas, se interpretarian de forma secuencial.<\/p>\n Y aqu\u00ed ha finalizado la configuraci\u00f3n del servidor OpenLDAP, por tanto ya podriamos iniciarlo:<\/p>\n Si quisiesemos hacer un arranque manual para poder ver los posibles errores o problemas podriamos iniciar el servidor con:<\/p>\n El siguiente paso consiste en crear un objeto en la base de datos que pueda contener otros objetos, es decir, una especie de contenedor donde podremos crear todos los objetos correspondientes a nuestros contactos de la libreta de direcciones. Para a\u00f1adir informaci\u00f3n al servidor LDAP se debe utilizar ficheros en formato LDIF (LDAP Data Interchange Format) que tienen el siguiente aspecto:<\/p>\n Este fichero LDIFF (llamemoslo addressbook.ldif) define en primer lugar la ra\u00edz de nuestra base de datos “dc=midominio, dc=net”, cumplir\u00e1 las especificaciones de clase top, dcObject y organization. Tendr\u00e1 en el atributo descripci\u00f3n (o) el valor “Marble Station” y en el atributo “dc” el nombre corto que le corresponde (como el DN es “dc=midominio, dc=net”, cogeremos dc=midominio).<\/p>\n En segundo lugar estamos definiendo un objeto dentro de nuestra base de datos, este objeto se llamar\u00e1 “addressbook” y ser\u00e1 del tipo organizationalUnit (ou) y aqu\u00ed ser\u00e1 donde crearemos los objetos de nuestra libreta de contactos (un objeto por contacto).<\/p>\n Si guardamos esta informaci\u00f3n en un fichero llamado “addressbook.ldif” lo podremos insertar en LDAP usando:<\/p>\n El par\u00e1metro -D nos permite establecer con que usuario nos queremos conectar, el -W har\u00e1 que se nos pregunte el password. Si todo ha ido correctamente ya tendremos nuestro servidor listo para agregar contactos.<\/p>\n Podriamos agregar contactos utilizando el mismo m\u00e9todo con ficheros LDIF, por ejemplo podriamos crear un fichero llamado “contacto.ldif”:<\/p>\n Y a\u00f1adirlo con:<\/p>\n Pero tener que trabajar as\u00ed es muy inc\u00f3modo y lo mejor ser\u00e1 hacerlo desde el propio cliente de correo Evolution. Antes de nada solo destacar que para acceder o modificar el contenido de un servidor LDAP se puede realizar de 2 formas:<\/p>\n Vamos a configurar nuestro cliente de correo Evolution 2.0 para acceder a la libreta de direcciones. Nos vamos a la secci\u00f3n de contactos (en la parte inferior izquierda) y pulsamos “Nuevo -> Nueva libreta de direcciones” (parte superior izquierda). En la nueva ventana que aparece definiremos:<\/p>\n Pulsamos aceptar y nos aparecer\u00e1 en el listado de libretas, ahora podemos seleccionarla y a\u00f1adir contactos en la parte derecha de la ventana haciendo doble click o con el bot\u00f3n derecho. Si ya teniamos contactos en otras libretas de direcciones locales, podemos arrastralas a la nueva para que se copien. Una vez hayamos a\u00f1adido contactos, es posible que sea necesario pulsar “vaciar” para que se listen todos los contactos disponibles en el servidor.<\/p>\n Por si necesitamos realizar comprobaciones, con el comando “slapcat” podremos ver el contenido de nuestro servidor LDAP en formato LDIFF.<\/p>\n Ahora ya podemos disfrutar de una libreta de direcciones centralizada que adem\u00e1s podremos acceder desde otros clientes de correo, como por ejemplo el cliente de correo de consola mutt<\/a>. Para poder acceder con mutt utilizaremos un script en perl<\/a> llamado llamado mutt_ldap_query<\/a>. En mi caso lo he modificado para definir el servidor:<\/p>\n Y adem\u00e1s he modificado la l\u00ednea 60 para que el comando de b\u00fasqueda se realice con el administrador “-D ‘cn=Manager, dc=midominio, dc=net'” y el password “-w ‘secret'”:<\/p>\n A continuaci\u00f3n guardo el script en “\/usr\/local\/bin\/mutt_ldap_query” con permisos solo para mi usuario del sistema y en la configuraci\u00f3n de mutt de ese mismo usuario a\u00f1adimos:<\/p>\n Ahora ya podemos ejecutar mutt y pulsar ‘Q’, introducimos un nombre y pulsamos enter para que realice la b\u00fasqueda en el servidor LDAP.<\/p>\n Incluso podemos configurar el webmail squirelmail<\/a> para que acceda a un servidor LDAP para consultar la agenda.<\/p>\n Cabe destacar que tanto desde mutt como desde squirrelmail no vamos a poder modificar la agenda, solo consultarla.<\/p>\n * Fuentes de informaci\u00f3n: LDAP (Lightweight Directory Access Protocol) es un protocolo de acceso a servicios de directorio. Un directorio es similar a una base de datos pero con informaci\u00f3n basada en atributos que no cambia frecuentemente y sobre la cual no es necesario hacer consultas complejas. En un directorio la lectura de informaci\u00f3n es muy r\u00e1pida. La informaci\u00f3n … Continue reading Libreta de direcciones compartida con OpenLDAP<\/span>
\n
\nOpenLDAP<\/a> es una implementaci\u00f3n libre de un servidor LDAP junto a sus respectibas utilidades y librer\u00edas para acceder al mismo. El servidor dispone de diversos backends para almacenar la informaci\u00f3n del directorio, el m\u00e1s recomendable es BDB (Berkeley DB 4) y ser\u00e1 el que especificaremos en el archivo de configuraci\u00f3n. La informaci\u00f3n en LDAP se guarda orientada a objetos y por tanto se deja a un lado el paradigma relacional t\u00edpico de las bases de datos habituales (MySQL, PostgreSQL,…).<\/p>\n\n
\r\ninclude \/etc\/ldap\/schema\/core.schema\r\ninclude \/etc\/ldap\/schema\/cosine.schema\r\ninclude \/etc\/ldap\/schema\/nis.schema\r\ninclude \/etc\/ldap\/schema\/inetorgperson.schema\r\n<\/pre>\n
\r\ninclude \/etc\/ldap\/schema\/evolutionperson.schema\r\n<\/pre>\n
\r\nallow bind_v2\r\n<\/pre>\n
\r\n### SSL-certificates\r\nTLSCACertificateFile \/etc\/ssl\/midominioCA\/MSca.crt\r\nTLSCertificateFile \/etc\/ssl\/certs\/saturno.crt\r\nTLSCertificateKeyFile \/etc\/ssl\/private\/saturno.key\r\n<\/pre>\n
\r\n\r\nindex objectClass eq\r\n<\/pre>\n
\r\ndatabase bdb\r\n<\/pre>\n
\r\nreadonly off\r\n<\/pre>\n
\r\nsuffix \"dc=midominio, dc=net\"\r\n<\/pre>\n
\r\nrootdn \"cn=Manager, dc=midominio, dc=net\"\r\nrootpw {SSHA}EkYH40JShOF8j4UlIsb1d\/mNQsUhR0TT\r\n#rootpw secret\r\n<\/pre>\n\r\ndirectory \"\/var\/lib\/ldap\/addressbook\"\r\n<\/pre>\n
\r\nindex objectClass eq\r\n<\/pre>\n
\r\naccess to *\r\n by dn=\"cn=Manager, dc=midominio, dc=net\" write\r\n by * none\r\n<\/pre>\n
\n
\r\naccess to *\r\n by dn=\"cn=Manager, dc=midominio, dc=net\" write\r\n by * read\r\n<\/pre>\n
\r\n\/etc\/init.d\/slapd start\r\n<\/pre>\n
\r\nslapd -4 -d -1 -f \/etc\/ldap\/slapd.conf -h \"ldaps:\/\/\/\"\r\n<\/pre>\n
\r\ndn: dc=midominio, dc=net\r\nobjectclass: top\r\nobjectclass: dcObject\r\nobjectclass: organization\r\no: Marble Station\r\ndc: midominio\r\n\r\ndn: ou=addressbook, dc=midominio, dc=net\r\nobjectclass: top\r\nobjectclass: organizationalUnit\r\nou: addressbook\r\n<\/pre>\n
\r\nldapadd -x -W -D 'cn=Manager, dc=midominio, dc=net' -f addressbook.ldif -H \"ldap:\/\/midominio.net\"\r\n<\/pre>\n
\r\ndn: cn=Sergio Blanco Cuaresma,ou=addressbook,dc=midominio,dc=net\r\ncn: Sergio Blanco Cuaresma\r\nsn: Cuaresma\r\nmail: correo@trabajo.com\r\nmail: correo@casa.com\r\ntelephoneNumber: 977556984\r\nhomePhone: 977236587\r\nmobile: 696587423\r\no: Marble Station\r\nou: Saturno\r\ntitle:: U2XDsW9y\r\nbusinessRole:: SW5nZW5pZXJvIEluZm9ybcOhdGljbw==\r\npostalAddress:: UmFtYmxhIE5vdmEgbsK6IDMzJFRhcnJhZ29uYSwgQ2F0YWx1bnlhJDQzMDA5JE\r\n VzcGHDsWE=\r\nhomePostalAddress:: QXYvIENhdGFsdW55YSBuwrogNSRUYXJyYWdvbmEsIENhdGFsdW55YSQ0Mz\r\n AwOCRFc3Bhw7Fh\r\nlabeledURI: http:\/\/www.marblestation.com\r\ndisplayName: Marble\r\nbirthDate: 2005-06-23\r\nfileAs: Cuaresma, Sergio\r\ncategory: Amigo\r\nobjectClass: top\r\nobjectClass: person\r\nobjectClass: organizationalPerson\r\nobjectClass: inetOrgPerson\r\nobjectClass: evolutionPerson\r\n<\/pre>\n
\r\nldapadd -x -W -D 'cn=Manager, dc=midominio,dc=net' -f contacto.ldif -H \"ldap:\/\/midominio.net\"\r\n<\/pre>\n
\n
\n
\nNombre: Libreta
\nServidor: midominio.net
\nPuerto: 389
\nUsar conexi\u00f3n segura: Nunca
\nM\u00e9todo de inicio de sesi\u00f3n: Usando <<Nombre Distintivo>> (ND)
\nInicio de sesi\u00f3n: cn=Manager, dc=midominio, dc=net\n<\/li>\n
\nBase de b\u00fasqueda: ou=addressbook, dc=midominio, dc=net\n<\/li>\n<\/ol>\n\r\nmy $ldap_server = \"midominio.net\";\r\nmy $BASEDN = \"ou=addressbook, dc=midominio, dc=net\";\r\n<\/pre>\n
\r\nmy $command = \"ldapsearch -w 'secret' -D 'cn=Manager, dc=midominio, dc=net' -h $ldap_server -b '$BASEDN' -x '(|$query)'\" .\r\n \" sn cn givenName mail telephoneNumber\";\r\n<\/pre>\n
\r\nset query_command = \"\/usr\/local\/bin\/mutt_ldap_query '%s'\"\r\n<\/pre>\n
\nLDAP Outlook\/Evolution<\/a>
\nLDAP HOWTO<\/a>
\nPAM LDAP: Autentificaci\u00f3n centralizada de usuario UNIX<\/a>
\nOpenLDAP<\/a>
\nUsing LDAP<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"