Implementação de serviço de diretórios com OpenLDAP no CentOS 6.3
O objetivo deste tutorial é mostrar como instalar, configurar e administrar um serviço de diretórios com OpenLDAP.
[ Hits: 91.629 ]
Por: Maycson Fonseca em 09/01/2013 | Blog: http://br.linkedin.com/pub/maycson-fonseca/96/b54/12a
Criando certificado SSL
Entre na pasta de certificados do sistema, e se existir o certificado ldap-server.pem, remova-o para que possamos criar um novo. Coloque as devidas permissões no certificado e crie um link simbólico para o diretório cacerts/ do OpenLDAP.
Obs.: Se não existir o diretório cacerts/, copie o diretório certs/ e troque o nome para: cacerts
# cp -r /etc/openldap/certs/ /etc/openldap/cacerts
# chown -R :ldap /etc/openldap/certs/
# chown -R :ldap /etc/openldap/cacerts/
# cd /etc/pki/tls/certs
# rm ldap-server.pem
# make ldap-server.pem
# chmod 640 ldap-server.pem
# chown :ldap ldap-server.pem
# ln -s /etc/pki/tls/certs/ldap-server.pem /etc/openldap/cacerts/ldap-server.pem
Edite o arquivo ldap alterando a linha:
SLAPD_LDAPS=no
Para:
# nano /etc/sysconfig/ldap
Agora editaremos o arquivo slapd.conf para configurar o caminho do certificado:
No arquivo ldap.conf, adicione o seguinte conteúdo:
Realizaremos os ajustes finais e testaremos a configuração do certificado:
# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d
# service slapd restart
# ldapsearch -x -ZZ -h localhost # Consulta TLS
# ldapsearch -x -H ldaps://localhost # Consulta SSL
# openssl s_client -connect localhost:636 -showcerts
Edite o arquivo nsswitch.conf alterando a entrada de "hosts":
# nano /etc/nsswitch.conf
Adicione as seguintes regras no firewall do CentOS, alterando "192.168.255.0/24" para o endereço de rede da sua LAN:
# nano /etc/sysconfig/iptables
Reinicie o firewall:
# service iptables restart
Obs.: Se não existir o diretório cacerts/, copie o diretório certs/ e troque o nome para: cacerts
# cp -r /etc/openldap/certs/ /etc/openldap/cacerts
# chown -R :ldap /etc/openldap/certs/
# chown -R :ldap /etc/openldap/cacerts/
# cd /etc/pki/tls/certs
# rm ldap-server.pem
# make ldap-server.pem
# chmod 640 ldap-server.pem
# chown :ldap ldap-server.pem
# ln -s /etc/pki/tls/certs/ldap-server.pem /etc/openldap/cacerts/ldap-server.pem
Edite o arquivo ldap alterando a linha:
SLAPD_LDAPS=no
Para:
# nano /etc/sysconfig/ldap
SLAPD_LDAPS=yes
Agora editaremos o arquivo slapd.conf para configurar o caminho do certificado:
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/ldap-server.pem
TLSCertificateKeyFile /etc/pki/tls/certs/ldap-server.pem
TLSCertificateFile /etc/pki/tls/certs/ldap-server.pem
TLSCertificateKeyFile /etc/pki/tls/certs/ldap-server.pem
No arquivo ldap.conf, adicione o seguinte conteúdo:
TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT never
TLS_REQCERT never
Realizaremos os ajustes finais e testaremos a configuração do certificado:
# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d
# service slapd restart
# ldapsearch -x -ZZ -h localhost # Consulta TLS
# ldapsearch -x -H ldaps://localhost # Consulta SSL
# openssl s_client -connect localhost:636 -showcerts
Edite o arquivo nsswitch.conf alterando a entrada de "hosts":
# nano /etc/nsswitch.conf
hosts: ldap files dns
Adicione as seguintes regras no firewall do CentOS, alterando "192.168.255.0/24" para o endereço de rede da sua LAN:
# nano /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.255.0/24 --dport 389 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.255.0/24 --dport 636 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.255.0/24 --dport 636 -j ACCEPT
Reinicie o firewall:
# service iptables restart
Páginas do artigo
1. O que é LDAP2. Criando certificado SSL
3. Comandos importantes
4. Gerenciando com phpLDAPadmin
5. Autenticando as estações no servidor OpenLDAP
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
ArchLinux: Configuração pós-instalação
NoBreak SMS e GNU/Linux (FC5) - Parte 2 - Criando o serviço
Nagios - Instalação e configuração
Comentários
[2] Comentário enviado por rootss em 15/04/2014 - 20:23h
Cara primeiramente parabéns pelo artigo.
Estou com um problema aqui pra gerenciar pelo PHPldapAdmin.
Eu logo normalmente mas não exibe a árvore de diretórios, aparece assim " Esta base não pode ser criada com PLA. " .... onde deveria estar a base.
Você já passou por isso? ou tem idéia do que pode ser? Já não sei mais o que fazer hehe
Desde já agradeço.
Abs...
Cara primeiramente parabéns pelo artigo.
Estou com um problema aqui pra gerenciar pelo PHPldapAdmin.
Eu logo normalmente mas não exibe a árvore de diretórios, aparece assim " Esta base não pode ser criada com PLA. " .... onde deveria estar a base.
Você já passou por isso? ou tem idéia do que pode ser? Já não sei mais o que fazer hehe
Desde já agradeço.
Abs...
[3] Comentário enviado por murilo_ns em 06/05/2014 - 11:51h
como seria a autenticação se a estação fosse um Ubuntu e o servidor um CentOS?
como seria a autenticação se a estação fosse um Ubuntu e o servidor um CentOS?
[4] Comentário enviado por jfernandes em 05/10/2014 - 00:37h
Olá rapaz,
Antes de mais nada, parabéns pelo post, mas gostaria de pedir ajudas .
Como faço para localizar objetos específicos pelo nome, exemplo, um usuário, uma impressora, um servidor, quero localizar isso numa base LDAP.
Fico no aguardo
Abraços
Olá rapaz,
Antes de mais nada, parabéns pelo post, mas gostaria de pedir ajudas .
Como faço para localizar objetos específicos pelo nome, exemplo, um usuário, uma impressora, um servidor, quero localizar isso numa base LDAP.
Fico no aguardo
Abraços
[5] Comentário enviado por maycson em 06/10/2014 - 11:52h
[3] Comentário enviado por murilo_ns em 06/05/2014 - 11:51h:
como seria a autenticação se a estação fosse um Ubuntu e o servidor um CentOS?
Olá, seria a mesma coisa. No Ubuntu o que muda é apenas o nome de alguns arquivos e seus respectivos lugares.
[3] Comentário enviado por murilo_ns em 06/05/2014 - 11:51h:
como seria a autenticação se a estação fosse um Ubuntu e o servidor um CentOS?
Olá, seria a mesma coisa. No Ubuntu o que muda é apenas o nome de alguns arquivos e seus respectivos lugares.
[6] Comentário enviado por maycson em 06/10/2014 - 11:56h
[4] Comentário enviado por jfernandes em 05/10/2014 - 00:37h:
Olá rapaz,
Antes de mais nada, parabéns pelo post, mas gostaria de pedir ajudas .
Como faço para localizar objetos específicos pelo nome, exemplo, um usuário, uma impressora, um servidor, quero localizar isso numa base LDAP.
Fico no aguardo
Abraços
Olá, Obrigado
Você pode fazer assim : ldapsearch -h 127.0.0.1 -b "cn=maycson.fonseca,ou=users,dc=ldap-server,dc=com" -x
Se você separar por OUs as impressoras, os usuários e os servidores você consegue localizar bem fácil.
Era essa sua duvida ?
Abraços
[4] Comentário enviado por jfernandes em 05/10/2014 - 00:37h:
Olá rapaz,
Antes de mais nada, parabéns pelo post, mas gostaria de pedir ajudas .
Como faço para localizar objetos específicos pelo nome, exemplo, um usuário, uma impressora, um servidor, quero localizar isso numa base LDAP.
Fico no aguardo
Abraços
Olá, Obrigado
Você pode fazer assim : ldapsearch -h 127.0.0.1 -b "cn=maycson.fonseca,ou=users,dc=ldap-server,dc=com" -x
Se você separar por OUs as impressoras, os usuários e os servidores você consegue localizar bem fácil.
Era essa sua duvida ?
Abraços
[7] Comentário enviado por jfernandes em 06/10/2014 - 12:36h
Perfeito rapaz.
Muito obrigado.
Mais uma para nossas anotações.
Valeu Maycon
Perfeito rapaz.
Muito obrigado.
Mais uma para nossas anotações.
Valeu Maycon
[8] Comentário enviado por maycson em 06/10/2014 - 22:33h
[2] Comentário enviado por rootss em 15/04/2014 - 20:23h:
Cara primeiramente parabéns pelo artigo.
Estou com um problema aqui pra gerenciar pelo PHPldapAdmin.
Eu logo normalmente mas não exibe a árvore de diretórios, aparece assim " Esta base não pode ser criada com PLA. " .... onde deveria estar a base.
Você já passou por isso? ou tem idéia do que pode ser? Já não sei mais o que fazer hehe
Desde já agradeço.
Abs...
Olá, Obrigado
use esse comando a sua base não foi adicionada corretamente:
ldapadd -h 127.0.0.1 -x -D "cn=Manager,dc=ldap-server,dc=com" -f ldap-server.ldif -W
Abraços
[2] Comentário enviado por rootss em 15/04/2014 - 20:23h:
Cara primeiramente parabéns pelo artigo.
Estou com um problema aqui pra gerenciar pelo PHPldapAdmin.
Eu logo normalmente mas não exibe a árvore de diretórios, aparece assim " Esta base não pode ser criada com PLA. " .... onde deveria estar a base.
Você já passou por isso? ou tem idéia do que pode ser? Já não sei mais o que fazer hehe
Desde já agradeço.
Abs...
Olá, Obrigado
use esse comando a sua base não foi adicionada corretamente:
ldapadd -h 127.0.0.1 -x -D "cn=Manager,dc=ldap-server,dc=com" -f ldap-server.ldif -W
Abraços
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como converter um vídeo MP4 para um GIF para publicar no README.md do seu repositório Github
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 74.263 pts -
Fábio Berbert de Paula
2° lugar - 57.492 pts -
Buckminster
3° lugar - 19.211 pts -
Mauricio Ferrari
4° lugar - 17.260 pts -
Alberto Federman Neto.
5° lugar - 15.245 pts -
Daniel Lara Souza
6° lugar - 14.313 pts -
edps
7° lugar - 13.687 pts -
Diego Mendes Rodrigues
8° lugar - 13.579 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.350 pts -
Andre (pinduvoz)
10° lugar - 10.626 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
