Navegasso Pagina principal Disciplinas atuais Disciplinas passadas ajuda Ferramentas Paginas afluentes, ‘Alkeracdos Felacionadas Paginas especia's Versio para impressio Link permanente B Autenticarse Pigina Discusséo Ver cédigo-fonte Ver histérico Ir) | Pesquisa Servidor e Cliente LDAP “Tabela de contesdo 1 Introducso 2 Objetives 3 Fundamentacao 3.4 LIF 3.2 Campos LDIF 3.3 Exemplo LDIF 3.4 Estrutura implementads 4 Materins 5 Princinai caracteriticas © composicée do OpenLDAP 5.1 Caracteristicas: 5.2 Composicdo 6 Configuracées 5.1 Configuracio do servidor LDAP 6.1.1 LDAPUtis 6.1.1.1 Fetromentas disponiveis no idap-utis 6.1.1.2 Aguns detalhes para Ferramentas tes 6.2 Configuracio do Cliente 6.2.1 Idap.conf 6.2.2 pam klap.cont 6.2.3 nsswitch.conf 6.2.3.1 Introdugo e Explicasio 6.2.3.2 Configurac3o do arquivo nsswitch.conf no cliente 6.2.4 Configuracde do PAM 6.2.4.1 fetcfpam.djcommon-auth 6.2.4.2 fetc/pam.djcommon-account 6.2.43 fetcjpam djeornmon-password 6.2.44 fetcjpam.dicommon session 6.2.45 fetcjpam.ajcommon-session- noninteractive 6.3 Xplorer 6.3. Instalagdo 6.3.2 Execucso 6.3.3 Conexao com Servidor LDAP 6.3.4 Alteracdo de senna de usurio 6.4 fetes 5.5 Mudando a Senha do Admin 7 Consideragtes Fnais 8 Referencias Introdugao Este experimento consiste na instalacao, configuracao e analise do OpenLDAP 2.4.23 em uma distribulcao Depian. © OpenLDAP é um software livre de céclgo aberto, é um servico de airetérios baseado no padrao X.500, além olsso ele implementa 0 protocolo LDAP. 1 Objetivos + Instalar e conngurar o Servidor OpenLDAP: + Configurar a base de dados no OpenLDAP; * Configurar uma GUI para acesso a0 Servider OpenLDAP; + Analisar e descrever os principals comandos de administracao do OpenLDAP; ‘+ Implantar um sistema de autenticagae remota com montagem e alretério nos clientes. Fundamentacao (0 service ae airetérios & um repositério de daaos centralizado @ hlerérquico de IntormaGoes. cua ‘caracteristica principal & 8 pesquisa e a recuperacao de intormacoes otimizada, Se comparads a uma Dase oe ‘Gade relactonal. Como consequéncia, o desempena tansacional de insercbes, alteragoes @ remocbes de Informagdes 6 balxa !21.0 LDAP (Lightweight Directory Access Protocol ) é um protocolo de acosso leve a ‘lretsrtos, criado com base no protocola X.500 que travalha sobre a pina de protecolos OSI (Open Systems Interconnections). Porém, 0 LDAP trabalha sobre o TCPAP (Transmission Control Protocol / Internet Protocol} lum protacolo bastante difundida hoje nas redes d= camputadores cam a internet, O servica LDAP atua na porta 380] Outra caracterstica importante da LDAP @ a interaparabllidade, ou saja, indenendente da Implementacao do LDAP. 0 protocolo devera funciona. Isto ¢ possivel. devido a padronizacao relta em RFC (Request For Comments). send as {FC 45108 a 4519 as mals atuals que especinicam a versao 3 do LDAP. ‘A estrutura hlerdrquica formada com uma érvore denominada DIT (Directory Information Tree). Cada né desta {rvore, denominada entrada (entry), composta obrigatoriamente por um nome distinto (Distinguished Name, ‘0u DN}, que laentinca unicamente 0 n6, © poruma classe de objetos (Object Class). que denne atriutos que o 16 1rd armazenar e quals sa6 obrigatértes © opcionals. AS classes ae apjetos. por sua vez. sa0 dennidos em ‘argulvos denominado esquema (scrioma). Devem ser adicionados objetos & DIT por melo de arguves LDIF (LDAP Data Interchange Format). 0 JXplorer uma ferramenta visual de cédigo aberto © software live, escrito fa linguagem Java, & muito utlizado para navegagaa e manipulacao de Informacoes da base de cacos (diretorie) LDAP ou X50. {As entradas em um diretorle LDAP, como as entradas de uma lista de contatos exigem atributos objectClass ( Classe de Objeta ) que precisa de pela menos um valor. Pense em um valor ebjectClass como um modolo para a informaco que voce deseja armazenar em uma entrada. A parte superior oo olretérie para © nosso propésito & ou = computadores. dc = centralsom dc = org. Enta0. se vocé queria encontrar uma lista de computadores em cantralsomt. org, voc terla que esta Area de ‘computadores de alretérlo chamado. Computadoras Iria aparecer em seu navegador LDAP. {A criagae ce um objetctCiass seguindo a linguagem LDAP ficara assim an: ousconputers,dcacentralsoft ,de=org objectclass: organizationalunit ou: computers pe wkstor description: Container for alt computers existing within the cor ratsoft.org domain © atributo objectciass que usamos neste exempio fol "pc". O nico pe que o alretério contém no momento & "wkstOL" Tecnicamente falando, 6 claro, RFCs definem multos atributes que encontrames nos esquemas LDAP. Por exemplo AFC 2256 define 0 atributo para telephoneNumber, que intultivamente faz total sentido para 0 Usuario medio de uma lista de cantatos de telafone, LDIF (© LDAP Data Interchange Format (LDIF) € um padrao de texto, consttuldo basicamente de um canjunto de ‘atrinutes e valores. Separados par innas em Brancos, formato Ge IntercAmblo de aados para representar LDAP (Lightweight Directory Access Protocol) de contaide de ciretérto @ de atuallza¢a0 de pedidos. © LDIF transmite ‘contetide do diretério como um conjunto de registros, um registro para cada entrada. Também representa Solicitagoes de atuallzagac, come adicionar, modifcar, exclu e renomear. como um conjunto de reqistros. LDIF fo|criado par Mark C Smith e Gordon na inicio de 1990 por Tim Howes, na Universidade de Michigan. Na ‘cécada de 1990 fol atualizado ® ampliace para uso com a versa 3 do LDAP Esta versao mais recente co LDIF { cnamado de versao 1 € 6 formaimente especincago no RFC 2049, padrae da RFC para IETF. Uma série de ‘extonsbes para LDIF t€m sido propastos ac longo dos anes. Uma extensdo, de autoria de Kurt Zellenga, fol ormaimente espacificado pele IETF e publicade no RFC 4525.9. 0 LDIF estendido apoia a exterso Modiy- Incremento LDAP. Espera-se que as extensGes adicionals sejam publicadas pelo IETF no futuro. Campos LDIF dn: a1stinguisnes nane - none aistanto Refere-se 20 nome que identifica uma entrada no oireério. de: domain component - components de dominio Refere-se a cada um dos componentes do domi ‘a, DC = google, DC = com. Por exemple www.google.com seria escrito come DC = ou: organizational unit - uidade organizacionat Refere-se 3 unidade organizacional (ou 0 grupo de usuatos) que o ususrio faz parte. Se o usudrio Nzer parte de mals de um grupe, vocé pode especificar vérios grupos, por exemplo, QU = advogado, OU = Juz Retere-se a0 objeto inaivi Exemplo LDIF (© LDIF abaixo iré crlar a estrutura DIT adiclonar uma Unica entrada de pessoas um LDIF mals tarde id _acicionar mais duas entradas. Um navegador de LDAP pode ser usado para aciclonar novas entradas, procure fo ciretoriae fazer todas as outras coleas divertdas, 4 f DEFINE DIT ROOT / BASE / sufixo # tt # # # Usa 0 Tormato AFC 2377 # # sunstituir exemplo e COM, se necessarie abaixo # © ou para experinentacao deixar cono esta 4 bconject # una classe de objectos auxiliares e deve # f tem un objectclass ESTRUTURAL (organizacdo, neste caso) # Isso 6 uma sequéncia de entrada e ¢ precedide por una Linha on branco in: de = gerencta, de = tsi, de = or dc: exenpto descriggo: descricdo..., 0 texto deve ter até 32K de dados de continuacdo para 2 linha acina ter ou ie ENTER obras fen andos 0s sistemas windows © * nix - nova Linha deve conecar con UM ESPAGO opjectctass: acooject objectClass: arganizacso fo: Ist, Ine. # # prameiro nivel ae nierarquia - pessoas # # Usa letras matdsculas € mindsculas misturadas para objectciass 2 Isso. una sequéncia de entrada = © precedide por una Linha en Branco tsi, de ou = pessoas, de 0U: pessoas Descrigao: Togas as pessoas na organizacao opjectclass: Organizationalunit 4 & Segundo nivel hierarquico # # ADD una dnica entrada em FIRST (pessoas) nivel # 1550 6 uma sequéncia de entrada © € precedido por una Linha em branco # RS U0: Recursos Hunanos € 0 none dO Gepartanento cn = Jodo Silva, ov objectclass: inetOrgPersor ‘Jogo Silva sia vid: jsitva userpassword: joaosilva fe: HISCAR 123, 953-211-2222 matt: jsttvaggerencia.ts1.or path) rare aperencla ta ee mmail: bob.smith@gerencia.ts4.br descriggo: inchar cara (0U: Recursos Humans tsi, de pessoas, de = gerencia, de Estrutura implementada Para realizar @ Implantacao do LDAP fol utilzade uma DIT compasta da sequinte forma, em que e DN utilizade 10] de=gerenela,de=tsi,de=br. geralmente 0 ON wtilizad correspond a0 dominio da rede em que as rméquinas se encontram, Para compor a rvore do LDAP foram criadas duas unldades organizacionals (OU), que Jsua!ios, oU=grUpos e no mesme nivel da estrutura sao armazenadas as conriguragoes do LDAP, no ‘caso cn=adimin, em que CN significa um nome comum., Dentro da ou=grupos foram criados os cn=professores lunas @ na ousustatios serao crladas a5 usuérias da LDAP que sAo ideatiicados pelo UD (User Ientincation). Observance a figura abaixo é possivel ter um melhor entensimente da estrutura que fol Implementaaa deegerencin dents deme ousgupos adeno | | ot iden Figura 1: Etruturaimpementnda F essa forma a5 usuirios podem receber configurasdes de acarde cam a grupo ne qual eles estao associacos. Materiais + Distribuicgo Linux Debian 7.0; + Servidor OpenLDAP: slapd, ldap-utils + Cliente OpenLDAP; ibnss-Idap ibparr-ldap nc # peplorer 3.2.1. Principais caracteristicas e composic¢ao do OpenLDAP. Caracteristicas: + tol cesenvalvide in + suporte a IPva e IPv6; + autenticagao (Cryrus $as|-Karberos V, GSSAPI, Digest-MD5);, ' seguranca no transporte ~ SSL e TLS: + controle ae acessos: + escola entre baneo de dados + capacidade de atender a multiples bancos de dads simultaneamente: «alta performance em maitiplas chamadas; * replicacao de base; w Imente pela Universidade de Michigan Composicéo + SLAPD (Stand Alone LDAP Daemon) - Servider, ‘+ SLURPD (Stand Alone LDAP Update Replication Daemon); + Bibllotecas diversas de implementacio do protocole LDAP: + Ferramentas. utliténs aiversos € cllentes de exemplo: b1 Configuracgées Configuracao do servidor LDAP [Antes de instalaro OpenLDAP instale as pacotes do nap # apt-get install ssh map Para Instalar 0 OpenLDAP o seus utltsros, uulize o comando: apt-get instatt slapd Lap-utits Durante a sua Instataga9 fol solicitad a Senha e sua confrmagae para o Admin\strador do servicor LDAP, Neste caso, fol utli2aga a senha uttpe. A Tgura 1 mostra a solleitagao aa senna, Tonfigurands slapd Por favor, informe a senha para a entrada adninistrativa en seu diretério Loar. Senha do adninistradon: EE Fgura 1: Salctacao da senha para 6 Administra do slapa 5 ‘Apds a instalacao, fol verincado se 0 servico slapd estava sendo executado. Para Isso, fol utlizado © ‘comand: netstat -atin Seu resultado é ilustrado na Figura 2 ‘Outra maneira de verificarse a instalace fol bem sucedlda, & executando o comand stapeat. Este comando rmestrara as informacses de todos os cbjetas existentes na arvore. A Fgura 3 mostra o inicio da saida desse ‘comando. Porém, To! necessario que o slapd rosse reconnguraco. Para Isso. utiz0u-se 0 comando: ‘opkg-recontigure stapa ‘Apés executar este comand, um assistente de configuragao ‘9 connguraga0 do Servidor LDAP Sera omntiaa ou nao. SelecionoU-se a opcao . ‘© segundo passe fol Informar 0 dominio do DNS. Neste experimente fol uullzado o dominio gorencia.ts.br, configurade no servider DNS, come pode ser visto na figura 4 Tonfiguranso.s1990 1 nore do dominio @ usado pera construir base ON de seu diretirio Lone. Por exeegio, f00,exanole.org. ir eran a base ON de esexanpie, de None do daxinio ONS: Figura 4 Passo 2 dn configuracto nessa do seridor LDAP 5 ‘© passo 3 fol Informar © nome da erganizacao, que serd atiibuldo 20 objeto que representa esta organizacae. Neste caso, © nome da organizagao informado fol TSI, como pode ser visto na figura 5: Conf lgurando. steps For favor, inforae o none da organizardo para usar na base ON de seu Sinetania LOA None da organizar&c a SEL (© passo 4 fol informar uma senha para © acministrador para acesso ao servidor LDAP, llustrado na figura 6. Em “segulda, necessitou da confrmagae desta senha, come observado na figura 7. ‘Conf iguranso sis03 Por favor, inforse @ senha para s entrada adninistrativa en seu diretorie LOA, ‘Seria do adninistradon: i = Confiauranso sland Por favor, inforae rovanente 9 senna oara'a entraca adainistrative de Seu diretério LoaP para verificar se voce a digitou corretarente. Centiene 9 senha: Fgura T: Passo 5 da comguracie assstida do Servidor LDAP c (0 proximo passo fol a escolha de banco de dads (cretsrie) que © servicer LDAP utilzara. Neste experimento, ‘ol escotnide 0 banco de dados recomenaado: HDB. A ngura @ ilstra esse pass. Confugurando slapd 1D “backend” HOW & reconendada. HDB e S08 dean nétodos de armazenanenta Siullares, sas o HOB adiciona suporte para renonearao de sub-arvores. fmbos susdrtam as nosnas opcBes Go cont iauratao. Neste casa, voc® deve rever 2 configuracio da base de dados resuitante Sue Yoo® ncessita. Vela ustshore/doe/siand/RenOnE.Da-cONeI.k2 sora aackend” de hase de dados a ser usado: Eaite 0 arquivo (etcfdapiidap cant @ adicione estas duas linhas ao final do arquive: BASE demger: URE Ldap://192.168.199.3 ‘A pase de 0200s do Iaap nea armazenada no aireténo /etc/199p/Stap0.0/ Para visualizar as informagées sobre o banco de dados u! ize 0 comande: # slapcat -b enecontig LDAPUtil © Idap-utils ¢ um pacote que inclui uma série de ublitrios que podem ser usados para executar consults no Sservigor LDAP, (0 arquiva de configuracaa para utliténios com ‘Idapsearch’ deve ser definiso corretamante para © servicer Por paarao, OU seja. ele deve conter alge como: Jetc/\dap/\dap.cont URE Uap: //Locatnost [Na nossa connguracae utiizando 0 LOAPURIS 0 arqulve de connguracae se encontra com estas informacoes # LDAP Defaults # # See Ldap.conf(5) for detall # This T21€ should be world readable but not BASE de=gerencia,de=tsi,,de=br URI 1dap://192.168.199:3 ‘Voce val precisartazer alteragdes em toxos os cilentes que indo utlizaro pacote Idap-utlls para que poss realizar 05 comandos presentes neste pacote, Onde 192,168, 199.3 € o nome ao Seu Servidor LDAP. Vocé pose Usar 0 engereso IP ou um nome de DNS para que voc® possa contnuar a usar Idap-uUls, espectalmente se ‘estiver usando um servidor DNS LDAP. Ferramentas disponivels no Idap-utils + Idapsearen - pesquisar e axibir entradas; ' Idapmoatty - modincar uma entrada; + taapada - asicionar uma nova entrada: + Iaapaetete - remover uma entrada: + Idapmoaran - renomear uma entraga + Idappasswd - alterara senna para uma entrads; + Idapwhoami: display com que a entrada esté ligada 20 servidor; + Idapcompare : comparar um campo na entrada para algum val Alguns detalhes para Ferramentas titels + Idapsearen (© comando Idapsearch pode retomar as informacées de LDAP para um dlreto do LDAP (assuminde que voce asta usande o LDAP para autenticacao). Adapsearch -x uid erick Fgura 2. Recpostalaapecaren E ‘Opcdes de comandos mais complexos X Use autenticagao simples em vez de SASL. Ugam DN (usudrto que ten permiss3o para ler as entradas do banco de dados) “Wt pronta para o bind passwd “8 Gn base para pesquisa (0s arquivos de confguracae do servicer LDAP sao encontrades no dlretsno fetc/dap/O principal arquivo de conngura¢ao ¢ 0 /ete/ldap/idap.eont, ro qual esse arquive é usade para cennir padraes ae todo 0 sistema para clientes LDAP e possul varios pardmetros que connguram desde a exeCuGA0 00 Servico slapd até o backend do nanco ae ag0s que sera utli2ado, Ou Sea. e5Se arquivo € a peca cave da Implantagao e Sua ‘contigura¢ao deve ser felta com bastante rigor. Devemas também nos certfcar de que o acesso a esse ‘arquivo estaré restrito. 0 arquivo /etcjldapjldap.conf contém informacbes sigllosas. Nao se esqueca de ajustar ‘as permissoes deste arquivo para 600 e certinque-se de que o seu propretario seja 0 usurio roct. O arquivo Jap.contutilizad0 na implementacae que Tol realizada possul basicamente duas connguracoes. porém ‘connguragoes aaicionals posem serfeltas, ae acorao com a necessidade. AS connguracoes usadas ropresentam 9 DN do LDAP e o endereco IP do Servidor onde o LDAP esti instalaco. BASE ac-gerencia,ac=ts1,ac-0r URI Laap://192.168.199.3 ‘Outro arquive essencial do LDAP é © en=config que fica armazenado no diretorie jetc/ldap/slapd dl. Esse [arquive contém as ciretvas de contiguragae do LDAP e ¢ armazenado em um formato especial, assim para poser visualtzar basta Intormar 6 comando: Slapeat -b enecontig ‘Apés executar o comando ele iré gerar um arquivo LDIF com o seguinte contet: ‘Outros arquives necessarios sao os de schema. que dennem que tipo de Informacae poderd ser armazenaca no ‘lretsrlo, de acordo com as necessidades de cada aplicacao que ird acessé-Io. Em outras palavras, eles ‘definem quals atributos estarso disponiveis para cada entrada adicionada & Srvore do diretéco, Na maquina cliente do LDAP. tem-se come principal arquivo de connguragae a Jeteraapyiaap.cort tamoém. ‘com as mesmas conniguracoes. BASE de=gerencia,dc=tst,ac=br URI Laap://192.168.199.3 Alam desse arquivo deve ser realizada ac processa de autenticacao. Os arqulves q figuraco de PAM que desempenha um papal essencial lever ser configurades sao armazenados em /etc/pam.4 Loge apés instalado e configurado 0 servider, partimos para 2 adicdo do DIT que val ser utlizado em nosso ‘exemplo, para Isso criamos um arquivo “ Idf” cam as sequintes informacses: Para aaicionar 0 arquivo nas connguracoes de nosso Iaap ubilzamas © seguinte comando: Leapada -exw enaaamin,acagerencia, qi <1 */nomeeauardo/aitess 1ait” Loge apés adicionaro DIT partimos para a adicio dos grupos, para isso também fol criade um arquivo dif com (05 dados dos grupos a serem adicionades em nossa confguracao do LDAP, segue o arqulve com a ‘conrigura¢ae dos grupos: oura: Coanguracdo de arupos Para acicionar 0 arquivo nas configuragoes de nosso Idap utlizamas © sequinte comando: id Ldapadd -cxlO cn-adnin,de-gerencia,d =f "fhome/eduardo/grupos.1dit™ ‘Assim que tinhamos apés de configurar os grupos, partimos para avicionar os ususries utilizados em nossa pratica, para Isso também Rzemes um outro arquivo dif, onde Informamos 0s dades dos usuarios, confarme a figura a seguir Figura. configurecses ususrios| Logo apés aaicionamos es com o comand: \dapadd -cxW0 cnaadmin,dcagerencia, di 1 -# "home /eduardo/ust Configuracao do Cliente No cliente, iniciamas a configuracao instalando os seguintes pacotes: libnss ldap, llbpam Idap e nscd. Pars Isto, © comando abalxo ¢ executado: apt-get anstatt Ubnss-Laap Lbpan-taap nsed ‘ApOs a instalagao a eaic3o destas arqulvos devam adequar o cliente LDAP @ as formas de autenticacso local @ remota ‘Arquivos ae connguracae ao citente LDAP: Jetc/nsswiten cont Jate/Lannes-Laap.cont Zetc/pan_dap.con 7etc/dap/ 199. Arquivos ae connguragao aa autenticagao oo cliente Linux: yetc/pan.9/connon-autn Jetc/pan.d/connon-account Jetc/pan.d/common-session Jetc/pan.d/comnon-password Jetc/pan.d/kam ou /etc/pam.d/gan-session Jetc/pan.d/login (opcional) (Jetc/pan.d/kscreensaver (opcional) Durante © procedimento de instalacdo, alguns dados deverdo ser informados em primaire lugar, sobre lipnss-laap, LDAP server URI: Ldap://192.168.199.3 Distinguished nane of the search base: P version to use: 3 LOKP account Tor root: cn agmin,acegerencia,dc=ts1,ac-br LDAP root account password: de-gerencia,de-tsi,de-br A configuragae do libnss-Idap pode ser melhorada se for re igada uma segunda vez, para reconfiguré- dpkg-reconfigure Libnss-Idap LOAP server Uniform Resource Identitier: Yap: //192.168.199.3 Dastanguisnea nane of tne search nase: dc-gerencia,dc=t51 ,dc=Dr LDAP version to use: 3 Does the LDAP database require Login? No Special LOAP privileges for root? No Nake the configuration file readable/writeable by its owner only? No Idap.cont Eattar no fetendapridap.cont 35 seguintes tinnas: BASE dcogerencta,de-ts1,dc-br URI Leap://192-168.199.3, Este arquive de configuracae ¢ usado para deftnir padroes de todo o sistems para cl pam_idap.conf Eattar no fetefpam_jeap.cont as seguinteslinnas: BASE acagerencia,ac=ts1,0c-0r URI Ldap://192168.199°3, ‘005; Cabe ressaitar que por pacrae os arquives de configuragae pessuem 3 barras "/"; no caso do URI dapj/192.168.199.3 tem que haver apenas dois. Multos erros na configuragao do dap sao comuns par nao, alterar esse padraa, nsswitch.conf introduc Explicagao (0 Mame Service Suntcn (NSS) é um arquivo de conhiguracao localizado no airetério /ete/nsswiteh.cont. Usado polo GNU C Livrary, esse arquivo datermina as fentes para obter as informacbes sobre os nomes de servigos ‘em uma sétle de categorias. Cada categoria ¢ Identincada por um nome de um banco de dados. O arquivo é lum texto ASCII simples, com colunas separadas por espacos. A primeira coluna especiica @ nome do banco de ‘dados. As colunas restantes descrever a ordem das fontes de consulta @ um conjuntalimitade de aces que podem ser executadas por um resuitada de pesquisa, ‘0s seguintes bancos de dados so compreengides pela GNU ¢ Library: aliases - aliases ge e-natt: ethers - ndneros de Ethernet; group - grupos de usuarios: hosts - nomes e nineros ae Host; initgroups = Lista de acesso de grupos suplenentar: jetgroup - Lista de hosts e usudrios de toda a rede: networks ~ nones © nieros das rades; passwd - sennas de usuarios: protocols - protocotos de rede: publickey - chaves publicas secratas para Secure RPC usadas por NFS e WIS +; rpc - mes © nimeros de chawada de procedinento remoto; services - servigos de rede; shadow — senhas criptografadas de usuérios. Um exemplo do arquivo fete nsswitch.conf: passwd: compat group: compat shadow: compat hosts: dans [JUNAVArL-return} tites networks: nis [NOTFOUND=return} Tits erners: nis [NOTFOUND=return] Tiles protocols: nis [NOTFOUND=return] tiles pe: files services: files A primira caluna @ a name da banca de dadas e as outras colunas podem se referir + Uma ou mais especificagbes de servico, por exemplo, "arquivos", "a linha determina a ordem em que estes seruicos serac consultados. por sua vez, ate que um resultado @ + Asoes opcionals para realizar. Se um aeterminado resultado @ obtido do Servigo antenar. por exempio. INOTFOUND = return. Com essa conriguragae voce voc8 pode ter acesse a Servigos adicionals, tals como. “nastog”, “Iaap","winbind” e "wins? ‘Avalxo, 6 apresentado a connguracso do arquivo nsewiteh.cont para utlizaro ldap como service. 1 ou nis". A order dos servicos na Configuracdo do arquivo nsswitch.conf no cliente passwd: compat dap group: compat taap Shadow: compat Ldap protacals: compat ldap services: compat dap See comeruaae autonount: compat tap ethers: compat ldap pe: compat ldap hosts: compat dns Em segulda, reiniclar © Name Service Cacti Daemon: yetc/init.a/nsea restart Configuracéo do PAM PAM desempenna um papel importante no processo de autenticacae local. Varios arquives devem ser verincades/eattaces. Jetc/pam.djcommon-auth auth —_[successe2 detault-1gnore} an_unix.s0 nultok_secure try t1rst_pas: auth [success=1 default=ignore] Pan ldap so use tirst pass auth requisite an deny.so auth required an pernit.so Jetc/pam.d/common-account jew_authtok regd=done defaul an unix.so Isuccess-1 derautt-ignorel an_idap.so ‘account re an_deny..50 account re Pan_permit.so Jetc/pam.d/common-password password [success-2 derautt=1gnore] an_unix.s0 obscure sha5i2 password [success=1 user unknownaignore default=die] Pan \dap.s0 use authtok try Tirst pass password requisite an deny.so password required an pernit.so /etcipam.d/common-session session [oefautt=1) pam permit so session requisite an_deny.s0 session required an_pernit.so session, requires an_unix.50 session optional an \dap.s0 session requires am _mkhoned: ro {etc/pam.d/common-session-noninteractive session [aeTaut pam permit.so Session requisite pan-deny.s0 requires pam_permit.so requires an-unix.s0 session optionat pan_toap.20 JXplorer (© Xplorer é um cliente para gerenciar visuaimente servidores LDAP. Sua pagina oficial se encantra no ‘enderege http:/xplorerorgi e pode ser balxada pelo endereco hitp:/plorercrg/downloads/users ntl Uuiizaremos a versao Open Source. {Xplorer € um navegador LDAP plataforma cruzada ¢ editor. € um cliente compativel com as normas de uso ‘geral LDAP que pode ser usado para pesquisar,lare ecitar qualquer diretoro LDAP pacrao, ou qualquer ‘Service de airetéro com uma Intertace LDAP ou DSMI. Ele é altamente fexivel e pode ser estendido @ personalizado n maneiras. [Xplorer & escrito em java, ¢0 ‘codigo fonte «sistema de construcao Ant estaa disponivels via svn au cama uma compllacae embalaco para ‘05 usuarios que querem experimentar ou desenvalvere programa PX ost disponivel em cuas versbes, 2 versao livre de céaigo aberto sob uma licenca estilo OSI Apache 2, ou no |XWerkBench pacote corporative com ferramentas construido em relatrios, administrativos e de seguranca. |Vi tem sid através de um niimero de alterentes versoes, aesae a st recente é a versao 3.3.1, aversao agosto ae 2013, ‘riagao em 1999. a versao estavel mais Instalacaéo Baike @ descompacte o arquivo em um diretiria. Para executar 0 pragrama & necessrioatribu para execucao “enmed +x jxplorersh” ‘00s: Para execugao do programa, come pré-condigao, 6 necess Execucéo No alretéria so jxpirer. executar© arquivo jxpiorersh. por melo do comand «/Pxplorersh.O programa Ith presentar a seguinte tea. A SE — > IXplorer + Fgura 1. os mic poirar Conexao com Servidor LDAP Em segulda, para realizar uma nova conexao com © servidor 1439, cllaue no (cone indicado pela seta vermeina 1 canto superier esquerdo. Na nova janela, informe os dados como no exemplo. Nomeie € salve anova I eS era ——— Cconstaeragoes: + Host: Refere-se ao endereco do servider LDAP: + Base DN: Base do Servidor LDAP: + Lovet: Nivel de autenticacae; + User DN: Usuario administrador do Servidor laap, © respectivamente sua base: + Password: Senna do administracor. Alteracao de senha de usuario Inicialmente, como gerames as senhas de usuarios ne servidor LDAP om mode texto, antes de o usuério _acessar o servidor, € necessério realizar a troca da senha, caso contrério no consequirs autenticar-se no “servicer. Na arvore de alretorios, selacione o ustario, Sers exibica uma janala com uas abas: HTML View & ‘Table Editor. Na aba Table Ealtor, selecione a inna "user Password”. Ser4 exipiaa uma Janela para a alteracae ‘a senna. informe os aad0s e connrme. Figura 1. eo ical pplorer 5 Testes Para fecuperar as Informacbes dos ususrles, pode ser utlzade o comando Idapsearch: Voapsearcn -xLLL uid-ana Neste caso, 6 ldentincacor aos usuarios pesquisado fol ana. A salda da execucao aeste comance deve gerar tum resultado Iaéntica ao mostrado na ngura abalxo: root@cLicnteB i-# Idapsearct dh: uidmana,olmusuaries de eliunber: 26001 gichunber: 20008 sn: Maciel Fgura 1 Resto ldapsearch F ‘© Idapsearch pode ser uulizado para buscar qualquer objeto. Como exemplo, pode-se buscar as ‘Ge grupos, como esta exemplifiado abaixo: root@cliente:~# dapsearch -xLLL_cn=alunos |dn: cn=atunos,ousgrupos, de=gerencla,de=tsi ,de=br atdanber: 20000 Jobj ectctass objectClass: posixGroup Figura 2: Resultado Wapeearch ch, Mudando a Senha do Admin Primelro precisamas gerar uma nova senna com 0 comande slappasswd, uma senna serd requerida e gravada 1 arquive freotfmovasenha txt ‘Serd gerado um arqulve com um Hash parecido com este "{SSHA} TYIGRNAATAVIABNNMDprEIrCKUZDSCCe™ ‘Agora precisamos coplar essa nova senha para o arqulve /etc/idap/slapd.dien=configloleDatabase= {1}bab lit ‘vamos utilizar © comande tall para Jogar ne fim do araulve o hash do arquivo nevasenha.txt # tal -1 novasenna.txt >> /ete/Ldsp/stapd.d/en\=contig/olcDatabase\=\{1\}000. 1417 ‘Agora vamos eattar 0 arquivo com o seu editor ae preteréneia: # vim /ete/Laap/slapa.a/en ‘ontig/oleDatabase {2\}bab. 1st Localize no arquivo ums propriedade com 0 nome *olcRootPWs", comente essa opcaa e cople o hash que fol ‘gravaco na ultima linna do arqulve e erie uma nova propriedade aciRactPW: cama no exemplo aDalxo oleRootPW: {SSHA}TYIGRNAATwvIaBNNaOprETreKUZDSCC® Lembre-se ce apagar 9 hash ne fim de arquiva. Agora vamos relniciar o servica slapd # service slapd restart Para fazer um teste rapido, Utllize © comando abaixe: # Udapsearcn -x -D cneadmin,dc-Dexter,de-com,de-BR -b de-dexter,de-com,de-br -W ‘Atenga0 note que existe dois pos de arquivo o dod e © hab que deve ser considerado ne caminne do arquive. Consideracées Finais Posemos conciuir que 0 LDAP é um service extremamente ttl. que centralza o gerenciamento de usuirias. ‘assim seu gerenclamento ¢ manutencdo s¢ torna mals simplificado, pelo Tato do LDAP permit a Integrac3o do Indimeros servigos, de forma que toda autenticacdo da rede seja centralizada, Porém essa integracao pode ser ‘considerada complaxa, devide 20 seu grande potenclal de armazenamento de diverses tipos de objetes, que fomecem as configuragdes para seus respectivos services. Referéncias 41, 1 102112 neepyype.vnkipeaia.orghwkOpenLOAP ee 2. 7 CARTER, Gerald. LDAP: Administracao de Sistemas. 3. ed. Rlo de Janeiro: AltaBooks, 2003. 3. 7 THE OPENLDAP FOUNDATION. OpenLDAP: Administrator's Guide. OpenLDAP Foundation. 2011. 248 p. Disponivel am: chip openisap.org|soc[acmin24/@>. Acesso am: 29 nov 2011. 4.7 Ldap Deblanehttps uit debian orglLDAP/LDAPUIIs @>. acesso em 18/03/2014. 5.7 Site oficial do Kplorere‘ntp//plorer.ora/@™. acesso em 13/03/2014. Poitics de prvacidae Sobre UTFPR Sotuare Lure Alerts de conte lc