13.6. Descripción general de la configuración de OpenLDAP

Esta sección explica rápidamente la instalación y la configuración del directorio OpenLDAP. Para más información, consulte las URLs siguientes:

Los pasos básicos para crear un servidor LDAP son los siguientes:

  1. Instale los RPMs openldap, openldap-servers y openldap-clients.

  2. Modifique el archivo /etc/openldap/slapd.conf para referenciar su dominio y servidor LDAP. Para más información, consulte la Sección 13.6.1.

  3. Inicie slapd con el comando:

    /sbin/service ldap start

    Después de configurar LDAP, puede usar chkconfig, ntsysv o la Herramienta de configuración de servicios para configurar LDAP para que se inicie en el momento de arranque. Para más información sobre cómo configurar servicios, refiérase al capítulo titulado Controlar el acceso a servicios en el Manual de administración del sistema de Red Hat Enterprise Linux.

  4. Agregue entradas a un directorio LDAP con ldapadd.

  5. Use ldapsearch para ver si slapd accede a la información correctamente.

  6. Llegados a este punto, su directorio LDAP debería estar funcionando correctamente y se puede configurar con aplicaciones capacitadas para LDAP.

13.6.1. Modificar /etc/openldap/slapd.conf

Para poder usar el servidor LDAP slapd, tendrá que modificar su archivo de configuración, /etc/openldap/slapd.conf para especificar el dominio y servidor correcto.

La línea de suffix nombra el dominio para el cual el servidor LDAP proveerá información y deberá ser cambiado de:

suffix          "dc=your-domain,dc=com"

para que refleje un nombre de dominio completamente cualificado. Por ejemplo:

suffix          "dc=example,dc=com"

La entrada rootdn es el Nombre distinguido (DN) para un usuario que no está restringido por el control de acceso o los parámetros de límites administrativos fijados para operaciones en el directorio LDAP. Se puede pensar en el usuario rootdn como el usuario root para el directorio LDAP. En el archivo de configuración, cambie la línea rootdn de su valor por defecto a algo similar a lo siguiente:

rootdn          "cn=root,dc=example,dc=com"

Cuando esté poblando el directorio LDAP sobre una red, cambie la línea rootpw — reemplazando el valor por defecto con una cadena de contraseña encriptada. Para crear una cadena de contraseña encriptada, escriba el comando siguiente:

slappasswd

Se le pedirá ingresar y re-ingresar la contraseña, luego el programa muestra la contraseña resultante encriptada al terminal.

Luego, copie la nueva contraseña encriptada en el archivo >/etc/openldap/slapd.conf en alguna de las líneas rootpw y elimine el símbolo de almohadilla (#).

Cuando termine, la línea debería de verse como el ejemplo siguiente:

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

AvisoAviso
 

Las contraseñas LDAP, incluyendo la directiva rootpw especificada en /etc/openldap/slapd.conf, son enviadas sobre la red sin encriptar, a menos que active la encriptación TLS.

Para activar la encriptación TLS, revise los comentarios en /etc/openldap/slapd.conf y vea la página del manual para slapd.conf.

Para mayor seguridad, la directriz rootpw debería ser colocada entre comentarios después de poblar el directorio LDAP simplemente escribiendo el símbolo de almohadilla (#).

Cuando utilice la herramienta de línea de comandos /usr/sbin/slapadd localmente para poblar el directorio LDAP, el uso de la directiva rootpw no es necesario.

ImportanteImportante
 

Debe ser usuario root para usar /usr/sbin/slapadd. Sin embargo, el servidor de directorio se ejecuta como usuario ldap. Por lo tanto, el servidor de directorio no podrá modificar ningún archivo creado por slapadd. Para corregir este problema, después que haya terminado de usar slapadd, escriba el comando siguiente:

chown -R ldap /var/lib/ldap