DHCP
host ArripioLinux{
hardware ethernet 00:00:00:00:00:00;
fix-address 10.1.0.3;
}
option domain-name-servers
option domain-name “Arripio.net”;
Tipo de de autenticação PAM
account
auth
password
session
Controle do PAM
requisite -> autenticação é imediata negada, no caso de negativa do módulo
required ->autenticação recusada no caso de negativa do módulo , mas consultará outros módulos para o serviço antes de negar completamente a autenticação.
sufficiente-> Se a autenticação para esse modulo for bem sucedida, a autenticação será confirmada mesmo que o módulos anteriores tenha negado a autenticação.
optional -> A aprovação ou negação neste módulo só fará diferença se for o único do tipo para o serviço
LDAP
ldapsearch -x -b ” -s base ‘(objectclass=*)’ maingContexts Dessa forma foi possível verificar se o servidor ldap está ativo e respondendo.
dn:distinguishedName
o:organizationName
c:country
cn:commonName
sn:surname
para incluir os dados no diretório
ldapadd -f arripio.ldaif -x -W -D ‘cn=admin,o=arripio,c=BR’
Instalando os pacotes necessários
A primeira etapa de nosso treinamento é instalar o servdor OpenLDAP e os pacotes complementares para o funcionamento do Diretório. A seguir você verá os passos necessários para a distribuição Debian, utilizada durante o treinamento, e para o Fedora/RedHat.
O servidor OpenLDAP é capaz de funcionar corretamente instalando apenas os pacotes do servidor e do client, contudo, para podermos administrá-lo corretamente devemos instalar alguns pacotes complementares.
Instalação em Debian
# apt-get install slapd ldap-utils db4.2-util
No Fedora/RedHat utilizamos o yum como comando de instalação:
# yum -y install openldap-servers openldap-clients db4-utils
Configuração do servidor slapd
Aqui você vê a configuração inicial do servidor OpenLDAP que, no Debian, fica armazenada em /etc/ldap/slapd.conf. No Fedora/RedHat você encontrará este arquivo na pasta/etc/openldap.
# Versão de Protocolo para consultas ao LDAP
allow bind_v2
# Schemas
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
# Arquivos de controle dos processos
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
# Módulos
# No Fedora/RedHat você deve comentar
# as duas linhas abaixo
modulepath /usr/lib/ldap
moduleload back_hdb
# Controle de acesso
# acesso à estrutura básica do Diretório
access to dn.exact=””
by * read
# Apenas o próprio usuário pode ver/alterar a senha
access to attrs=userPassword
by self write
by anonymous auth
by * none
# Libera consulta a todos os outros dados de nossa base
access to *
by * read
# Definição do nível de log
loglevel stats
# Base de dados
database hdb
# Estrutura do diretório e administrador
suffix “dc=empresa,dc=com,dc=br”
rootdn “cn=Manager,dc=empresa,dc=com,dc=br”
# A senha a seguir é tux e foi criada com o slappasswd
rootpw {SSHA}hAJl1PZmY41M94c7TgqQF6ocIGziKsYH
# Local de armazenamento dos dados
directory /var/lib/ldap
# índices de pesquisa
index objectClass eq
index cn,sn,mail eq,sub,approx
index uid eq,sub
Criando os arquivos ldif iniciais
O exemplo de estrutura apresentada a seguir que será usada em nosso Diretório segue o modelo DNS utilizando a identificação DC (domain component).
dc=empresa,dc=com,dc=br
|- ou=grupos
| |- cn=grupo1
| `- cn=grupo2
`- ou=usuarios
|- uid=claudia
`- uid=marcos
Para implementarmos este modelo, vamos criar o arquivo ldif apresentadoa seguir com toda nossa estrutura.
# arquivo empresa.ldif
# inicio da estrutura (DIT)
dn: dc=empresa,dc=com,dc=br
objectClass: top
objectClass: dcObject
objectClass: organization
o: Empresa Ltda
dc: empresa
#unidades
dn: ou=usuarios,dc=empresa,dc=com,dc=br
objectClass: top
objectClass: organizationalUnit
ou: usuarios
dn: ou=grupos,dc=empresa,dc=com,dc=br
objectClass: top
objectClass: organizationalUnit
ou: grupos
# usuarios
dn: uid=claudia,ou=usuarios,dc=empresa,dc=com,dc=br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: claudia
cn: Claudia Tomie
sn: Tomie
mail:
ctomie@empresa.com.br
userPassword: {SSHA}hAJl1PZmY41M94c7TgqQF6ocIGziKsYH
dn: uid=marcos,ou=usuarios,dc=empresa,dc=com,dc=br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: marcos
cn: Marcos Sungaila
sn: Sungaila
mail:
marcos@empresa.com.br
userPassword: {SSHA}hAJl1PZmY41M94c7TgqQF6ocIGziKsYH
Agora os dados devem ser inseridos no Diretório. Vamos utilizar o comando ldapadd para isto:
# ldapadd -x -D cn=manager,dc=empresa,dc=com,dc=br -W -f empresa.ldif
O arquivo utilzado para inserir novos usuários para pesquisa pode ser baixado aqui.
Alterando dados de usuários
Para modificar os dados de usuários podemos criar os arquivos ldif somente com as informações a serem alteradas ou um arquivo completo com todos os dados existentes mais os dados novos. Os exercícios para modificar os dados da usuária Adriana e do usuário Glauco podem ser realizados com o ldif a seguir, sendo que vou marcar em negrito os dados que estão sendo moficados ou inseridos:
dn: uid=Adriana,ou=Usuarios,dc=empresa,dc=com,dc=br
uid: Adriana
cn: Adriana Ramos
sn: Ramos
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
description: Secretaria
dn: uid=Glauco,ou=Usuarios,dc=empresa,dc=com,dc=br
uid: Glauco
cn: Glauco Bernini
sn: Bernini
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
telephoneNumber: 2345-6789
mobile: 9876-5432
Aplique as mudanças com o comando ldapmodify como segue:
# ldapmodify -x -D cn=manager,dc=empresa,dc=com,dc=br -W -f mudancas.ldif
Alterando a quantidade de cache utilizado pelo OpenLDAP
O servidor OpenLDAP utiliza memória RAM como cache para acelerar o acesso às informações do Diretório. A quantidade de memória alocada como cache e alguns outros parâmetros poderm ser definidos em um arquivo chamado DB_CONFIG que fica na pasta /var/lib/ldap. Você pode criar este arquivo com o conteúdo a seguir:
# área de dados em memória (2Mb)
set_cachesize 0 2097152 0
# Cache para nomes de arquivos
set_lg_regionmax 1048576
# Define o tamanho máximo do log de transações
set_lg_max 10485760
# Cache do log de transações em memória
set_lg_bsize 2097152
fonte: http://www.savant.com.br/index.php/eventos/mao-na-massa-openldap acesso 09Junho2014