oe aoe Dues CContguraccn de Sendores con GN nx 84. Introduccién a OpenLDAP. (Crees aisramtgmatcom ‘Sto aetce nowom teacetreer gr Creative Commons Reconocimiento-NoComercial-Compartirigual 2.1. ‘Scbcrecamnary ara sar rgea ho pec te eas oa srr amar) Sar aan as pa are ra [nde rc tapers Bg oa hunt tated oan ct bre ne tc eas da ea ‘eee cree tc 9c print ahr Ce coraes corms ena ‘Slrwinreoreanan agonists oc Tacs io eee, any Be cates ee opconi es 84.1. Introduccion. 84.1.1. Acerca de LDAP. LDAP (Lightweight Directory Access Protocol) es un protocolo para consulta y modificacién de servicios de directorio que se desempefian sobre TCP/IP. LDAP utiliza el modelo X.500 para su estructura, es decir, se estructura drbol de entradas, cada una de las cuales consiste de un conjunto de atributos con nombre y que a su vez almacenan valores. EI inicio de fa operacion StartTLS en un servidor LDAP, establece la comunicacion TLS (Transport Layer ‘Security 0 Seguridad para Nivel de Transporte) a través del mismo puerto 389 por TCP. Prove confidencialidad én ol transporte de datos e proteccién de la integridad de datos. Durante la negociacién, el servidor envia su centificado con estructura X.509 para verificar su identidad. URL, hitp/ierwikipeuia.oryiwikVL DAP 84.1.2. Acerca de RSA. RSA, actonimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adieman, es un algoritmo para el ciframiento de claves pablicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el Instituto Tecnolégico de Michigan (MIT). RSA es utiizado ampliemente en todo el mundo para los protocolos destinados para el comercio electronico, URL: hutp:/ies.wikipedia.orgikiRSA 84.1.3. Acerca de X.509. X.508 es un estindar ITU-T (estandarizacién de Telecomunicaciones de la Intemational Telecommunication Union ) para infraestructura de claves piblicas (PKI 0 Public Key Infrastructure). Entre otras cosas, establece los, estandares para certiicados de claves publicas y un algoritmo para validacién de ruta de certificacién. Este Uitimo 26 cnearga de verificar que la ruta de un eertificado sea valida bajo una infracstructura de clave publica determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios, hasta el certificado de confianiza emitido por Una Autoridad Cerrficadora (CA o Certification Authority) URL: hitpi/ies.wakipedia.orgwiki/X.509 84.1.4. Acerca de OpenSSL. a8oe aoe Dues CContguraccn de Sendores con GN nx OpenSSL es una implementacion libre, de codigo abierto, de los protocols SSL (Secure Sockets Layer 0 Nivel de Z6calo Seguro) y TLS (Transport Layer Security o Seguridad para Nivel de Transporte). Esta basado sobre el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para la division de seguridad de EMC Corporation. URL: hitpzwww.openssl org! m9oe aoe Dues CContguraccn de Sendores con GN nx 85. Configuracién de OpenLDAP como servidor de autenticacion ‘utorrent (tres ecia tsramepraicom Creative Commons Reconocimiento-NoComercial-Compartirigual 2.1 (6102014 rs Dui Ls ee con yon pear a ay Ma ea ea ns ones sae 8) ins cre Ua gmat go oa nse trea tts Mote 9 eas teem tre pe secs oe ee aan ee EepSiste Satie oir spn nba faite oavceematumey iw ‘Strwinrenoreaanae agen cuss onda awe acess, ny moe cece ce open wee 85.1. Introduccion. Por favor, leer el documento titulado «introduccién a OpenLDAP.» 85.2. Equipamiento légico necesario. openidap-clients-2.x openidap-servers-2.x authconfig authconfig-gtk (opcional) migrationtools Instalacion a través de yum. Si uillza CentOS 6 o Red Hat™ Enterprise Linux 6, ejecute lo siguiente para instalar o actualizar, el equipamiento légico necesario: ‘yum -y install openidap openidap-clients openidap-servers \ ngs-pan-Idapd authconfig authconfig-gtk \ migrationtools Broa. ‘lutea CentOS 5 o Red Hat™ Enterprise Linux 5 ject sigue pra mstalar 0 actualizr el equpamento lego neces. ‘yun -y instal openidap openidap-clients oponldap-servers \ ‘nss_ldap authconfig authconfig-atk 85.3. Procedi intos. 85.3.1. SELinux y el servicio Idap. El servicio slapd funcionard perfectamente con SELinux activo en modo de imposicién (enforeing). ‘Todo el contenido del directorio lvarllibiidap debe tener contexto tipo stapd_db_toe aoe Dues CContguraccn de Sendores con GN nx cchcon -R -t slapd_db_t /var/1ib/Idap Lo anterior solo seré necesario si se restaura un respaldy hecho a partir de un sistema sin SELinux. 85.3.2. Certificados para TLS/SSL. Es muy importante utilizar TLS/SSL cuando se configura el sistema para fungir como servidor de autenticacién, por [o cual el siguiente procedimiento es obligatorio, Genere el directorio Jetelopenidapleacerts: rmkair -p /ete/opentdap/cacerts Cambie al directorio lete/openidapicacerts: ed /ete/openidap/eacerts (OpenLDAP requiere primero genera una nueva autoridad certificadora, Ejecute lo siguiente: echo "e1" > ca.srl ‘openssl genrsa -aes120 2088 > cacert.key ‘openssl req -utt® -new -key cacert.key -out cacert.csr 509 -req -in cacert.csr_-out cacer=-pem \ “shonkey cacert-key days 3658 De este juego de archivos se debe compartir cacert.pem con todos los clientes LDAP que se conectaran al servidor. Copie este archivo dentro del directorio raiz del servidor HTTP 0 FTP y configure los permisos de acceso para que sea accesible desde estos servicios. ep cacert.pem /var/vmw/html/ ‘chmod 644 /var /yiw/Mta/cacert. pes ‘A continuacién genere el certificado y firma digital para el servidor. Cabe sefialar que la forma digital que sera utiizada por OpenLDAP sera una tipo RSA sin contrasefia en formato PEM generada a partir de una firma digital con contrasefia. Ejecute lo siguiente: ‘openssl genrsa -aesi20 2640 > key.pom ‘openssl req -utfa -new -key key.pem -out slapd.csr fopenss1 x5@9 -req -in slapd.csr -out cert.pem \ “ca cacert-pem -cakey cacert Key “days 3659 openssl rsa -in key.pem -out key. pem Configure todos los permisos necesarios para que sélo root y el grupo Idap puedan hacer uso de los certifcados y firma digital. Ejecute lo siguiente cacertdir_rehash /etc/openldap/cacerts Genere los enlaces necesarios para el directorio letclopenldapIcacerts: 751oe aoe Dues CContguraccn de Sendores con GN nx chown -R root:Idap /etc/openldap/cacerts chmod -R ucrwk,g-FX,o- /etc/openidap/cacerts Edite el archivo lete/sysconfig/Idap: vi /etc/sysconfig/Idap ‘Arededor de la linea 20, localice #SLAPD_LDAPS=no: WSLAPD_LDAPS=no Elimine la almohadilla (#) y cambie no por yes, de modo que quede como SLAPD_LDAPS=yes. SLAPD_LOAPS=yes, 85.3.3. Creaci6n de directorios. Con fines de organizacién se crearé un directorio espeeifico para este directorio y se configurard con permisos de acceso exclusivamente al usuario y grupo ldap. wmkair /var/11b/1dap/autenticar chmod 760 /var/Lib/Idap/autenticar Se requiere copiar el archivo DB_CONFIG.example dentro del directorio ivarllibiidaplautenticar, como el archivo DB_CONFIG. Es decir, ejecute lo siguiente: cp /usr/share/opendap-server s/08_cONFIG.example \ ‘/var/Lib/Idap/autenticar/08_ CONFIG Diora ‘Si uliza CentOS o Red Hat Enterprise Linux 5, ejecuts lo siguiente: ‘6p fetc/openidap/08_conFIG. example \ {var ib/dap/autentacar /08 CONFIG Todo el contenido del directorio /varflib/idapiautenticar debe pertenecer al usuario y grupo Idap. Ejecute lo siguiente: chown -R Idap:1dap /var/Lib/Idap/autenticar 85.3.4. Creacion de claves de acceso para LDAP. Para crear la clave de acceso que se asignara en LDAP para el usuario administrador del directorio, ejecute lo siguiente: -slappasswd Lo anterior debe devolver como salida un criptograma, smilar al mostrado a continuacion:oe aoe Dues CContguraccn de Sendores con GN nx {SSHA}LnmZL FeE1/zebp7AyEFeIN1GATId4ckZ Copie y respalde este criptograma. El texto de lé salida sera utilizado mas adelante en el archivo Ietclopenidap/slapd.conf y se definiré como clave de acceso para el usuario Manager, quien tendré todos los privilegios sobre el directorio. 85.3.5. Archivo de configuracién /etclopenidap/stapd.cont. ‘Se debe crear letcopenidap/slapd.conf como archivo nuevo: ‘couch /et¢/opentdap/stapa.cont vim /etc/opendap/slapd.cont Biota ‘Si ulliza CentOS 5 o Red Hat Enterprise Linux 5, el arco letcfopenidaplslapd.cont ya cise, o inctuye Contenido de ejemplo. Puede reemplazar iodo el contenido en su ttalidad, por el ejempiicado a contnuacin. EI archivo Jetclopenidapislapd.conf debe de tener definidos todos los archivos de esquema minimos requeridos. De tal modo, el inicio del archivo debe contener algo similar a lo siguiente: include /etc/openldap/schena/corba. schema ‘hetuae ‘7ete/opentdap/ schea/core. schema ‘include /etc/openidap/schena/cosine. schema ‘ihetuae ‘7ete/opendap/ schera/duacon’ schema include 7etc/openldap/schema/dyngroup- schema include ‘etc/openldab/ schora/ inetoraperson..schena include ‘7etc/openldap/ schora/ java. schema Include ‘Yetc/openldap/schema/eisc schema include /etc/openldap/schesa/nis. schema ‘inetuae ‘7ete/opentdap/schewa/opentusp-schema include 7etc/openldap/schesa/ppolicy. schema ‘ine1uae ‘Yete/opentdap/ schera/eollec-ive. schema ‘include etc/openldap/schesa/pni.schena Se deben habilitar las opciones TLSCACertificateFile, TLSCertificateFile y TLSCettificateKeyFile estableciondo como valores de éstas las rutas hacia ol certiticados y firma digital. TLSCACer titicateFile /ete/opentdap/cacerts/cacert pen Tiscertificaterile /etc/openidap/cacerts/cert.pem TLscertificatekeyFile /etc/openldap/cacerts/key.pem ‘Afin de permitir conexiones desde clientes con OpenLDAP 2.x, establecer el archivo de niimeto de proceso y el archivo de argumentos de LDAP, deben estar presertes las siguientes opciones, con los correspondientes valores: allow bind v2 pidtite ‘/var/run/openidap/slapd. pid argstile ‘Nat/run/oponidap/slapd. args Para concluir con el Jetclopenldap/slapd.conf, se afiade lo siguiente, que tiene como finalidad el definir ta configuracién del nuevo directorio que en adelante se utiizaré para autenticar a toda la red de drea local: