13.3. Demonios y utilidades OpenLDAP

El grupo de bibliotecas y herramientas OpenLDAP están incluidas en los paquetes siguientes:

Hay dos servidores contenidos en el paquete openldap-servers: el Demonio independiente LDAP (/usr/sbin/slapd) y el Demonio independiente de actualización de réplicas LDAP (/usr/sbin/slurpd).

El demonio slapd es el servidor independiente LDAP mientras que el demonio slurpd es usado para sincronizar los cambios desde un servidor LDAP a otro en la red. El demonio slurpd sólo es usado cuando se trabaja con múltiples servidores LDAP.

Para llevar a cabo tareas administrativas, el paquete openldap-server instala las utilidades siguientes en el directorio /usr/sbin/:

AvisoAviso
 

Asegúrese de detener slapd ejecutando /sbin/service lapd stop antes de usar slapadd, slapcat o slapindex. De otro modo se pondrá en riesgo la integridad del directorio LDAP.

Para más información sobre cómo utilizar estas utilidades, consulte sus páginas del manual respectivas.

El paquete openldap-clients instala herramientas utilizadas para agregar, modificar y borrar entradas en un directorio LDAP dentro de /usr/bin/ Estas herramientas incluyen lo siguiente:

Con la excepción de ldapsearch, cada una de estas utilidades se usa más fácilmente haciendo referencia a un archivo que contiene los cambios que se deben llevar a cabo, que escribiendo un comando para cada entrada que se desea cambiar en un directorio LDAP. El formato de dicho archivo está esquematizado en las páginas del manual sobre cada utilidad.

13.3.1. NSS, PAM, y LDAP

Además de los paquetes OpenLDAP, Red Hat Enterprise Linux incluye un paquete llamado nss_ldap, el cual mejora la habilidad de LDAP para integrarse en Linux y otros ambientes UNIX.

El paquete nss_ldap provee los siguientes módulos:

El paquete nss_ldap provee los siguientes módulos para las arquitecturas Itanium o AMD64.

El módulo libnss_ldap-<glibc-version>.so permite a las aplicaciones buscar usuarios, grupos, hosts y otra información utilizando un directorio LDAP por medio de la interfaz de glibc Nameservice Switch (NSS) (reemplace <glibc-version> con la versión de libnss_ldap en uso). NSS permite a las aplicaciones autenticarse usando LDAP junto con el servicio de nombres de NIS y archivos de autenticación planos.

El módulo pam_ldap permite que las aplicaciones PAM puedan validar usuarios utilizando la información almacenada en el directorio LDAP. Las aplicaciones PAM incluyen conexiones desde la consola, servidores de correo POP e IMAP y Samba. Al desarrollar un servidor LDAP en una red, se pueden autentificar todas estas aplicaciones usando la misma combinación de nombre de usuario y contraseña, simplificando en gran medida la administración.

Para más detalles sobre PAM, consulte el Capítulo 16 y las páginas del manual de PAM.

13.3.2. PHP4, LDAP y el Servidor Apache HTTP

Red Hat Enterprise Linux incluye también un paquete que contiene un módulo LDAP para el lenguaje de comandos del servidor PHP.

El paquete php-ldap añade soporte LDAP al lenguaje empotrado en HTML, PHP4 a través del módulo /usr/lib/php4/ldap.so. Este módulo permite a los scripts PHP4 accesar información almacenada en un directorio LDAP.

Red Hat Enterprise Linux se entrega con el módulo mod_authz_ldap para el Servidor Apache HTTP. Este módulo utiliza la forma corta del nombre distinguido para un sujeto y el emisor de un certificado de cliente SSL para determinar el nombre distinguido del usuario dentro de un directorio LDAP. También es capaz de autorizar a los usuarios basados en los atributos de la entrada de del directorio LDAP de ese usuario, determinando el acceso a los activos basados en los privilegios de acceso del usuario y grupo, y negando el acceso para los usuarios con contraseñas caducadas. Se requiere el módulo mod_ssl cuando se utilice el módulo mod_authz_ldap.

ImportanteImportante
 

El módulo mod_authz_ldap no autentica a un usuario automáticamente a un directorio LDAP usando un hash de contraseña encriptado. Esta funcionalidad es proporcionada con el módulo experimental mod_auth_ldap, el cual no está incluido con Red Hat Enterprise Linux. Para más detalles sobre el estado de este módulo, vea el sitio web de la Apache Software Foundation en http://www.apache.org/.

13.3.3. Aplicaciones cliente LDAP

Existen clientes gráficos de LDAP que soportan la creación y modificación de directorios, pero no se entregan con Red Hat Enterprise Linux. Una de estas aplicaciones es LDAP Browser/Editor — Una herramienta basada en Java que está disponible en línea en http://www.iit.edu/~gawojar/ldap/.

La mayoría de los otros clientes LDAP acceden a directorios como sólo lectura, usándolos como referencia, pero sin alterar información a lo largo de la organización. Algunos ejemplos de tales aplicaciones son Sendmail, Mozilla, Evolution y Gnome Meeting.