Instalando, configurando e populando o LDAP – Lamellas

Instalação do Servidor OpenLDAP no Debian 7 utilizando VirtualBox 4.2;

1. Importante:

Antes de começar, abra o VirtualBox:> Arquivo > Preferências > Rede > Dê um duplo clique na rede que irá aparecer

pra você (ou se preferir clique na chave de fenda no seu lado direito) e certifique-se dasseguintes configurações:

Na aba “Servidor DHCP” desative a opção “Desabilitar Servidor”:

2. Criando a Máquina Virtual Debian 7

Link para download: http://cdimage.debian.org/debian-cd/7.0.0/multi-arch/iso-cd/debian-7.0.0-amd64-i386-netinst.iso

Abaixo, as imagens se houver necessidade de acompanhar a instalação Do Debian.

1) 2)

3) 4)

5) 6)

• Sabemos que temos que a máquina Debian deve ser instalada e através doPFSENSE ela deveria pegar IP, porém, vamos instalar ela em modo NAT, eassim, quando terminar a instalação mudaremos para o modo host-only.

Depois de criada a maquina no VirtualBox, algumas configurações básicas:

Em Configurações > Sistema• Altere a ordem de boot e

desative o boot do disquete.• Altere também o chipset para o

modelo das máquinas atuaisICH9

Em Configurações > Rede• Deixe a opção da Placa de Rede

em modo NAT

Em Configurações > Armazenamento• Adicione a imagem ISO Debian 7

no Dispositivo de CD/DVD

Em seguida clique em OK > Ao retornar para tela inicial do virtual box, selecione a maquina Debian e clique em Iniciar(T).

3. Instalando Debian 7

Segue print das imagens da instalação do Debian caso seja necessário:

( selecione a partição 600MB para area de troca, em seguida clique em finalizar a configuração da partição)

(Deixe em branco, apenas TAB e ENTER para continuar)

3 Instalação OpenLDAP ( À partir daqui Ligue o PF Sense) caso não tenha, faça o download do arquivoAppliance no Formato OVA aqui : http://bsbcomunicacao.com.br/pfsense.ova

Agora vamos iniciar o Debian, e vamos começar a instalação do OpenLDAP.

Importante, antes de iniciar o Debian, inicie o seu Servidor PFSENSE. E na máquina Debian7, vamos emConfigurações > Rede > e vamos alterar a opção Placa de rede para host-only.

Seguindo:• Configurando o nome do servidor• Execute o seguinte comando: nano /etc/hosts

comente as linhas existentes no arquivo e em seguida acrescente o Nome, Domínio e o Apelido da máquina. No nosso caso:

192.168.56.1 pdc.xpto.com.br pdc

confome imagem abaixo:

Para salvar tecle: Ctrl + x, em seguida S para confirmar e ENTER.

• Agora devemos alterar o arquivo o seguinte arquivo:nano /etc/hostnameDe acordo com a imagem abaixo:

• O comando a seguir altera o hostname do servidor, sem necessidade de reinicia-lo:Porém mesmo assim dou preferência por reiniciar com o comando “reboot”

• echo pdc.xpto.com.br > /proc/sys/kernel/hostname

• ao reiniciar o hostname deverá ser exibido root@pdc

• Antes de instalar, atualize o servidor com o seguinte comando:• apt-get update && apt-get dist-upgrade --yes

No GNU/Linux Debian será necessário instalar o pacote “slapd” com o seguinte comando:

• apt-get install slapd ldap-utils

Este comando fará o download dos pacotes necessários e em seguida solicitará que a senha dousuário “admin” seja fornecida e confirmada.Conforme imagem abaixo

• Ao término da instalação, iremos testar alguns parâmetros e realizar alguns ajustes.

• Para verificar o funcionamento, realize o seguinte comando:

• ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

O resultado será algo semelhante conforme imagem abaixo:

• Em uma instalação padrão do Debian, o usuário “cn=admin,cn=config” não tem senha definida.Essa senha não é necessária, pois as alterações necessárias podem ser feitas sem ela. Mas para finsdidáticos, vamos atribuir uma senha para este usuário, permitindo o uso de editores LDAP paravisualizarmos o ambiente e melhor compreendê-lo.

Para isso, antes de mais nada vamos criar nossa senha com o seguinte comando:• slappasswd -s iesb (aqui pode colocar a senha que quiser), o resultado será conforme a imagem

abaixo:

• O nosso próximo passo será criar o arquivo admin.ldif, já que você acabou de criar a senha para o admin execute o seguinte comando pra jogar a senha para dentro do arquivos que vamos criar (no caso o admin.ldif) da seguinte forma:

• slappasswd -s iesb >> admin.ldif• a partir desse momento o arquivo admin.ldif foi criado, para conferir execute o comando ls.

Conforme imagem abaixo

• O comando acima, jogou a senha criptografada para dentro do arquivo admin.ldif, além da senha vamos seguir o seguinte conteúdo dentro do mesmo arquivo.

• Então execute o comando: nano admin.ldif

e monte o arquivo desta forma, conforme a figura:Importante* A senha já estará dentro do arquivo criptografada não apague, ela preencherá o último campo.

dn: cn=configchangetype: modify

dn: olcDatabase={0}config,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,cn=config

dn: olcDatabase={0}config,cn=configchangetype: modifyreplace: olcRootPWolcRootPW:

• Depois de criado o arquivo, execute o seguinte comando, a resposta será semelhante a imagem abaixo:ldapadd -c -Y EXTERNAL -H ldapi:/// -f admin.ldif

• Visando facilitar a visualização da árvore, recomendo a instalação do aplicativo phpldapadmin. Para instalar siga os seguintes passos:

apt-get install phpldapadmin

• após a instalação edite o arquivo /etc/phpldapadmin/config.php e procure pelas opções (+ ou – linha 300): $servers->setValue('server','base',array('dc=example,dc=com'))e altere para: $servers->setValue('server','base',array('cn=config'));

nano -c /etc/phpldapadmin/config.php

O comando nano -c, abrirá o editar nano, mostrando em que linha está o cursor de edição. Assim facilitará na busca da linha 300. Confome imagem abaixo, observe que no rodape do editor ele me mostra lin 300 de 577.

• O objetivo é adicionar a raiz de configuração – cn=config – aos pontos de busca do phpldapadminfeito isso, procure pela seguinte linha (+ ou – linha 326) $servers->setValue('login','bind_id','cn=Manager,dc=example,dc=com'); e altere para :$servers->setValue('login','bind_id','cn=admin,cn=config');

• Abra seu navegador e digite o seguinte: http://192.168.56.SeuIP/phpldapadmin, preencha o campo senha com a senha gerada pelo comando slappaswd e expanda a árvore do “cn=config”

• Para descobrir seu ip, execute o comando ifconfig

• Conforme a imagem acima o meu ip ficou assim: http://192.168.56.204/phpldapadmin, preencha o campo senha com a senha gerada pelo comando slappaswd e expanda a árvore do “cn=config”

4 Acessando o PHPLDAPADMIN

• http://192.168.56.SeuIP/phpldapadmin

Imagem capturada

• Clique na opção do lado esquerdo “Conectar” no formulário preencha com sua senha:

5 Populando o LDAP com os arquivos “Mente Aberta”

• Na última aula, nosso querido professor Lamellas inseriu conteúdo no servidor LDAP, como a rede “mente aberta” só funciona internamente, ou seja, lá no lab de redes. Fiz o download dos arquivos e coloquei os mesmos neste servidor:http://www.bsbcomunicacao.com.br/menteaberta/

Vamos lá:

• Para não precisar montar os arquivos na mão, voltaremos ao Debian, iremos fazer o download direto da nossa máquina, executando os seguintes comandos: faça o mesmo procedimento abaixo para todos os arquivos da pasta menteaberta citado no servidor acima:

wget http://www.bsbcomunicacao.com.br/menteaberta/add_bindv2.ldifwget http://www.bsbcomunicacao.com.br/menteaberta/addadministrativo.shwget http://www.bsbcomunicacao.com.br/menteaberta/addaluno.shwget http://www.bsbcomunicacao.com.br/menteaberta/addprofessor.shwget http://www.bsbcomunicacao.com.br/menteaberta/base.ldifwget http://www.bsbcomunicacao.com.br/menteaberta/config.ldifwget http://www.bsbcomunicacao.com.br/menteaberta/deluser.shwget http://www.bsbcomunicacao.com.br/menteaberta/ldapgroup.shwget http://www.bsbcomunicacao.com.br/menteaberta/ldapuser.shwget http://www.bsbcomunicacao.com.br/menteaberta/modifica.ldifwget http://www.bsbcomunicacao.com.br/menteaberta/uid_index.ldif

Conforme imagem abaixo:

• Feito o download de cada um conforme o comando citado acima, faça uma conferência se os arquivos estão todos em seu sistema através do comando ls. Conforme figura abaixo:

• O próximo passo será executar os arquivos com extesão sh . Para isso executaremos o seguinte comando:

• sh ldapgroup.sh Não se preocupe, não retornará nada à tela, apenas criará o grupo no servidor.

• sh ldapuser.shA mesma situação do ldapgroup.

• sh addadministrativo.sh

• sh addaluno.sh

Para poder adicionar os professores é preciso fazer os seguintes passos:

• teremos que adicionar um grupo chamado professor manual através do comando:

addgroup professor

e devemos ficar atento qual GID (ID do grupo) será atribuido, porque o script “addprofessor.sh” está configurado com o “GID 1004”, caso o nosso seja diferente será preciso alterar. Confira conforme a imagem abaixo:

• Como a imagem mostra acima, o GID do meu grupo 'professor' é o 1001, assim será necessário eu fazer a troca deste número dentro do scritp addprofessor.sh. Então executaremos o seguinte comando:

nano addprofessor.sh

• Faça a alteração na linha useradd professor$I --gid "1004". No meu caso farei a alteração para 1001, conforme foi o número fornecido no cadastro do meu grupo 'professor'. Confira a imagem abaixo:

• Depois de feita a alteração, aí podemos executar o seguinte comando:sh addprofessor.sh

• Assim, teremos o resultado conforme figura abaixo:

• Feito isso, devemos voltar no arquivo config.php, com o seguinte comando:nano -c /etc/phpldapadmin/config.php

• E naquela mesma linha 300 que ficou assim: $servers->setValue('server','base',array('cn=config'));agora, deverá ficar assim: $servers->setValue('server','base',array('dc=xpto,dc=com,dc=br'));

• Conforme imagem abaixo:

• Alterada a linha descrita acima, agora vamos atualizar os arquivos ldif que foram baixados do “mente aberta”, pois, elas foram alteradas quando executamos os arquivos de extensão 'sh' anteriormente.

• Iremos atualizar os seguintes comandos, das seguintes formas:

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f ldapgroup.ldif -W

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f base.ldif -W

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f config.ldif -W

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f modifica.ldif -W

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f add_bindv2.ldif -W

◦ ldapadd -D cn=admin,dc=xpto,dc=com,dc=br -f uid_index.ldif -W

• E finalmente, vamos conferir se nosso PHPLDAPADMIN foi “populado”, assim voltaremos ao nosso servidor http://192.168.56.SeuIP/phpldapadmin .

• E faremos o login agora com nosso dominio xpto conforme imagem abaixo:

• E finamente, nossa base com “populada”. Confira imagem abaixo