Configuración de Openldap e interfaz gráfica

28 May 2014

Voy a explicar aquí cómo configurar y poner en marcha un servicio de directorio OpenLDAP en Linux. Sé que es un tema que está muy trillado ya, explicado en muchos sitios, y seguramente no aporte muchas novedades. Pero también es cierto que, ante las dificultades encontradas con Ubuntu 14.04 (a saber: problemas a la hora de crear objetos LDAP desde ficheros de texto, inutilidad de la última versión de phpldapadmin…) me ha parecido necesaria esta recopilación. En primer lugar, agradecer a los editores de Somebooks.es, de los cuales cojo gran parte de material aprovechando que es Creative Commons. Por supuesto, si leen esto les invito a reutilizar lo que yo ponga aquí, están haciendo una labor estupenda.

Lo primero es instalar y configurar la parte del servidor. Para esta parte, directamente remito al capítulo correspondiente del libro de Somebooks, que lo explica perfectamente y sin ninguna pega, para Ubuntu 12.04. Para la versión que aquí nos ocupa, Ubuntu 14.04, sí que encuentro algunas pegas a la hora de insertar objetos LDAP desde archivos de texto. Cuando intento crear las Unidades Organizativas encuentro bastantes problemas, y no he sabido encontrar una solución rápida. De todas maneras, instalo y configuro el dominio «midominio.es», o más conocido en LDAP, «dc=midominio,dc=es». De todas maneras, adjunto el mensaje de error… Así pues, decidí añadir esos elementos mediante interfaz gráfica más adelante… Y ahí es donde encontré más problemas; en el libro nos remiten a la herramienta phpLdapAdmin, excelente y muy sencilla de manejar, al menos en Ubuntu 12.04. En nuestra versión no es tan fácil. En primer lugar, a la hora de instalarlo da un extraño error y se queda sin instalar correctamente, y sin funcionar. Buscando buscando, encontré que la solución estaba en los repositorios de actualizaciones «proposed». Ciertamente, una vez marcado este repositorio, la herramienta se instala correctamente y, siguiendo las instrucciones de los amigos de Somebooks, parece que funciona! ¿Parece? Creamos una unidad organizativa, y funciona. Veamos qué pasa al añadir un usuario al directorio: …errores de php que no deberían aparecer, pero que están, e imposibilitan el alta del usuario. Desconozco su origen, y, después de mucho indagar, tampoco he encontrado solución. Por tanto, me incliné por buscar una herramienta gráfica alternativa. Veamos algunas de ellas (no pongo enlaces de sus desarrolladores porque están incluidas en los repositorios de Ubuntu):

• Gosa: Herramienta web, así que la primera ventaja es evidente: podemos administrar LDAP desde cualquier punto de la red. Requiere de la inclusión de esquemas (schema) previos en LDAP; tal vez demasiado relleno. La instalación requiere también de la activación manual de un módulo de php… decidí dejarla para más adelante, en otro post.
• LAT (LDAP Administration Tool): fácil de instalar, sencilla de manejar, integrada con GNOME… No está nada mal, aunque no terminó de funcionarme bien.

• JXplorer: Desarrollada en Java; por tanto, multiplataforma, versátil y… algo más compleja de manejar. Tampoco me convenció.

• LDAP-Account-Manager (lam). Esta herramienta también es una aplicación web, por tanto, tiene las ventajas de poder usarla en cualquier equipo de la red y sin necesidad de instalar nada más. Necesita un poco de «cera» antes de empezar a usarla, sí, pero me ha parecido la más fácil y adecuada a mis necesidades de todas. Así pues, me quedo con ella.

Una vez escogida la herramienta, paso a detallar su instalación y configuración. En primer lugar, instalamos el paquete «ldap-account-manager». Éste instalará (si no lo estaba ya) apache, php, etc… Para ello, podemos usar el comando sudo apt-get install ldap-account-manager A continuación, lo arrancamos: http://localhost/lam, si queremos administrar desde el mismo servidor. Como vemos, parece bastante simple… requiere un poco de configuración previa para ponernos en marcha, pero una vez lo hagamos, valdrá la pena. Comenzamos pulsando arriba, donde pone «LAM configuration». Nos da dos enlaces y cada uno de ellos pedirá una clave, por defecto es «lam» (recomiendo cambiarla lo antes posible, por supuesto). Escogemos la opción «Edit general settings», y vemos el resultado: No es muy importante: equipos que pueden conectarse a la herramienta, tiempo de desconexión automática… y abajo, la contraseña. Eso será lo primero que cambiaremos. Nos pedirá otra vez el «master password», que sigue siendo «lam». Ahora volvemos a la pantalla anterior y escogemos la otra opción, «Edit server profiles». Ésta sí que es importante (contraseña primera vez: lam). Observamos en esta pantalla varias cosas que debemos cambiar:

• Tree suffix: ahí tendremos que poner los datos de nuestro dominio; en mi caso, «dc=midominio,dc=es».
• Language settings: está en español, así que mejor aprovecharlo.
• Security settings: debemos editar el nombre del usuario, recordando cuál era nuestro administrador:en mi caso, «cn=admin,dc=midominio,dc=es»
• New password/Reenter password: cambiamos la contraseña maestra. A partir de ahora, será la que utilicemos para entrar en estas opciones. No tiene por qué ser la misma que utilicemos para entrar al dominio; son cosas distintas.

Una vez guardamos estos valores, LAM vuelve a la pantalla de inicio, pero en español. Ya estamos en disposición de conectarnos, pero vamos a cambiar un par de cosas más para que funcione todo correctamente. Volvemos a pinchar en «Configuración de LAM», y después en «Editar perfiles del servidor»; nos pedirá nuestra contraseña y ya entramos sin problemas. Pasamos a la pestaña «tipos de cuentas» y ahí modificaremos algunas cosas:

• En Tipos de cuentas activos, nos permite definir de forma automática unidades organizativas para trabajar más fácilmente. Dentro tenemos varios apartados:
• Usuarios: pondremos el nombre apropiado a cada caso. En el mío particular, pongo «ou=usuarios,dc=midominio,dc=es»
• Grupos: Igualmente, personalizo: «ou=grupos,dc=midominio,dc=es»
• Equipos: Más de lo mismo: «ou=equipos,dc=midominio,dc=es»
• «Dominios de Samba»: por si acaso, ponemos también los datos de nuestro dominio.

Por ahora es suficiente. Guardamos y volvemos a la pantalla de inicio. Ahora sí podemos introducir el password de administrador del dominio y entrar en la aplicación. Un último paso: ahora nos pregunta si queremos crear las Unidades Organizativas definidas anteriormente. Lógicamente, diremos que sí (crear). Ahora disponemos de varias pestañas: usuarios, grupos, equipos, y opciones de Samba. Por ahora, nos preocuparemos sólo de las dos primeras, muy sencillas de manejar.

Pestaña «Grupos»

Empezamos por aquí porque todos los usuarios deben pertenecer a un grupo.

Añadimos uno nuevo (lo llamamos «Clase»)

Pestaña «Usuarios»

Como no tenemos ninguno, creamos uno:

Debemos marcar en el lateral los datos según tipo de usuario que queremos utilizar. En nuestro caso, con «Personal» y «unix» vamos servidos.

Es importante recordar el nombre de usuario, el grupo primario, y la ubicación del directorio «home» (todos en la pestaña Unix). También hemos de recordar asignarle una contraseña al usuario.

Las pestañas «sombra» y «samba» se pueden habilitar, pero no son necesarias en nuestro ejemplo.

Si nos gusta más la vista tipo «phpldadadmin», podemos pulsar en «Vista de árbol», y tendremos todo nuestro dominio a la vista:

Una vez tenemos nuestra infraestructura de usuarios y grupos creada, ya podemos empezar a trabajar con el Directorio. Para ello, continuaremos siguiendo el manual de Somebooks paso a paso:

• Configuración de un Cliente para usar el dominio, pudiendo iniciar sesión con los usuarios del dominio sin necesidad de darlos de alta a mano.
• Creación de perfiles móviles utilizando NFS y LDAP; así tendremos nuestra cuenta de usuario a mano en todos los equipos Linux de la red.

En próximas entregas intentaremos conectar equipos Windows al dominio.