M06: Administració de Sistemes operatius UF1: Administració avançada de sistemes operatius
ASIX-2 Pràctica 2b: Servei de directori LDAP 22-11-2019

PRÀCTICA 2b:  SERVEI DE DIRECTORI LDAP

CONDICIONS DEL TREBALL

1- Es comprovarà que funicona correctament el dia 6-12-19.
2- Comprovacions:
    a) (3p) Mostra amb slapcat el contingut de la base de dades LDAP  
    b) (3p) Primera verificació (LDAP+NSS)
    c) (3p) Segona verificació  (LDAP+PAM)
    d) (1p) Verificació final (LDAP +PAM + Entorn gràfic)
   
DOCUMENTACIÓ
a) http://www.openldap.org/doc/admin24/intro.html (Apartats 1.1 a 1.5)
b) http://ioc.xtec.cat/materials/FP/Materials/2251_ASIX/ASIX_2251_M06/web/html/WebContent/u3/resum.html
c) Breu introducció a LDAP
d) LListat de fitxers schema, objectClass i atributs

PRÀCTICA

PART 1: Instal·lant el servidor de directori OpenLDAP
sobre Debian. Afegint dades d'unitats organitzatives i usuaris.
 
1-
Instal·la el paquet slapd amb el programari del servidor LDAP openLDAP. Assigna fjeclot com a contrasenya per l'administrador del servidor LDAP.

2-
Instal·la també el paquet ldap-utils amb una sèrie de programes necessaris per comunicar-nos i treballar fàcilment des de l'interpret d'ordres amb el servidor LDAP.
 

3- 
Comprova:
     a)
que pots aturar, posar en marxa , reiniciar i veure l'estat del servei LDAP amb systemctl.
     b) amb netstat el port utilitzat (número i tipus).

4- Comprova amb slapcat que la base de dades LDAP ha estat correctament inicialitzada. Hauria d'exisitir com a mínim el domini fjeclot.net i l'usuari dn: cn=admin,dc=fjeclot,dc=net. Si no està correctament inicialitzada, pots reconfigurar LDAP amb l'ordre dpkg-reconfigure slapd.

5-
Descarrega el fitxer de text de nom afegeix_ou_UsuarisDomini.ldif a on es defineix una unitat organitzativa (ou) de nom UsuarisDomini dins de dc=fjeclot,dc=net. Afegeix la nova unitat organitzativa a la base de dades LDAP executant:

ldapadd   -h   localhost   -x   -D   "cn=admin,dc=fjeclot,dc=net"   -W   -f   afegeix_ou_UsuarisDomini.ldif

i comprova amb slapcat que la nova entrada ha estat introduïda.

5-
Crea un nou fitxer de text de nom
afegeix_ou_AdminDomini.ldif a on definiràs una unitat organitzativa (ou) de nom AdminDomini dins de dc=fjeclot,dc=net. Afegeix la nova unitat organitzativa a la base de dades LDAP. Comprova amb slapcat que la nova entrada ha estat introduïda.


6-
Descarrega el fitxer afegeix_usuaris_domini.ldif que defineix 2 nous usuaris amb els següents atributs:
    Primer usuari del domini:
        a)
Nom distintiu (dn): uid (identifcador d'usurari)=jpons, ou=UsuarisDomini, dc=fjeclot,dc=net
        b) objectClass per aquest: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
        c) cn (common name): joan pons
        d) sn (surname): pons
        e) Número d'usuari (uidNumber): 1003
        f) Número de grup per defecte (gidNumber): 100
        h) homeDirectory: /home/jpons
        i) loginShell: /bin/bash 
    Segon usuari del domini:
        a)
Nom distintiu (dn): uid (identifcador d'usurari)=alop, ou=UsuarisDomini, dc=fjeclot,dc=net
        b) objectClass per aquest: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
        c) cn (common name): anna lopez
        d) sn (surname): lopez
        e) Número d'usuari (uidNumber): 1004
        f) Número de grup per defecte (gidNumber): 100
        h) homeDirectory: /home/alop
        i) loginShell: /bin/bash

7- Afegeix els usuaris amb ldap-add i comprova amb slapcat que els nous usuaris han estat introduïts.

8- Crea un fitxer de text de nom afegeix2_usuaris_domini.ldif i que defineix 2 nous usuaris amb els següents atributs:
 
   Tercer usuari del domini:
        a) Nom distintiu (dn): uid (identifcador d'usurari)=dper, ou=UsuarisDomini, dc=fjeclot,dc=net
        b) objectClass per aquest: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
        c) cn (common name): david perez
        d) sn (surname): perez
        e) Número d'usuari (uidNumber): 1005
        f) Número de grup per defecte (gidNumber): 100
        h) homeDirectory: /home/dper
        i) loginShell: /bin/bash 
    Quart usuari del domini:
        a) Nom distintiu (dn): uid (identifcador d'usurari)=allop, ou=UsuarisDomini, dc=fjeclot,dc=net
        b) objectClass per aquest: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
        c) cn (common name): antoni llop
        d) sn (surname): llop
        e) Número d'usuari (uidNumber): 1006
        f) Número de grup per defecte (gidNumber): 100
        h) homeDirectory: /home/allop
        i) loginShell: /bin/bash

9- Afegeix els usuaris amb ldap-add
i i comprova amb slapcat que els nous usuaris han estat introduïts.
10- Crea un fitxer de text de nom afegeix_administradors_domini.ldif i que defineix 2 nous usuaris amb els següents atributs:
 
   Administrador de domini:
        a) Nom distintiu (dn): uid (identifcador d'usurari)=admindom,ou=AdminDomini, dc=fjeclot,dc=net
        b) objectClass per aquest: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
        c) cn (common name): jordi busquets
        d) sn (surname): buquets
        e) Número d'usuari (uidNumber): 2001
        f) Número de grup per defecte (gidNumber): 200
        h) homeDirectory: /home/jbus
        i) loginShell: /bin/bash 


10- Afegeix un password pels nous usuaris amb ldappasswd. Per exemple,  per l'usuari jpons s'hauria d'executar:
   

    ldappasswd   -h   localhost   -x   -D   "cn=admin,dc=fjeclot,dc=net"   -W   -S   "uid=jpons,ou=UsuarisDomini,dc=fjeclot,dc=net"

i s'hauria de fer el mateix per la resta d'usuaris. Després, comprova que s'ha afegit aquest atributs a tots els usuaris definits a la base de dades LDAP.


PART 2: Instal·lant i  configurant el programari d'Ubuntu necessari per autenticar usuaris sobre la base de dades del servidor LDAP

1-
Instal·la dins de l'Ubuntu els següent paquets necessaris per poder autenticar un usuari sobre la base de dades LDAP instal·lada al servidor: libnss-ldap, libpam-ldap, ldap-utils i nscd.

2- Troba l'adreça IP del teu servidor LDAP.

3- Al formulari de configuració que es mostra durant la instal·lació dels paquets, indica com a URI el protocol ldap i l'adreça IP del teu servidor:

 

Recorda que en aquest cas, 192.168.1.43 és un exemple!!!!!!!!!!!!!!!!!

4- A continuació indica el domini (a sota he escrit un altre com a exemple però has de comprovar i esciure-hi el teu): 




5- per le següents 3 preguntes, l'opció per defecte és l'opció correcta:
    a) Versió de LDAP: 3.
    b) L'usuari root local pot fer d'administrador de la base de dades:
    c) Requereix la base de dades LDAP validació?: No

6- A la següent pregunta, escriu el nom distintiu complet de l'usuari administrador de ldap. En el meu cas:



7- A la següent pregunta, escriu la contrasenya de l'administrador de LDAP que vas utilitzar durant la instal·lació del servidor LDAP.


NOTA IMPORTANT: Si volem fer canvis en el client d'autenticació , només hem d'executar dpkg-reconfigure  ldap-auth-config i tornarà a fer-nos totes les preguntes una altra vegada.

PART 3: Configurant Ubuntu per autenticar usuaris sobre la base de dades del servidor LDAP

1-
Ubuntu utilitza el programari NSS per saber a quins llocs es pot trobar un usuari que  vol validar-se en el sistema. Poden ser usuaris locals o del domini. Si són del domini, es troben definits al servidor LDAP.  Per configurar el programari NSS de manera que pugui fer la seva tasca, modifica el fitxer /etc/nsswitch.conf  per indicar al programa que els usuaris del sistema poden ser locals o trobar-se a LDAP:



2- Ubuntu necessita treballar amb el mòdul PAM per fer la feina d'autenticació d'usuaris.  Els arxius de  configuració de PAM  es troben a /etc/pam.d. El sistema PAM  a més a més permet crear el directori home de l'usuari en el moment de la seva autenticació. Per fer-ho:
    a) Obre com a root el fitxer /etc/pam.d/common-session
    b) Afegeix al final del fitxer la següent línea:  session required    pam_mkhomedir.so  skel=/etc/skel  umask=0022

3- El servei nscd controla la memòria cau de les autenticacions realitzades. Després de configurar NSS i PAM per treballar amb LDAP s'hauria de reiniciar el servei nscd executant: systemctl   restart   nscd.

PART 4- Verificació del funcionament del sistem d'autenticació d'usuaris del domini definits a LDAP des d'Ubuntu

1- Primera verificació:
     a)
Executa:   getent  passwd allop i comprova que et mostra tota la informació sobre l'usuari.
     b) Prova-ho amb la resta d'usuaris.

2- Segona verificació:
a) Comprova que jpons, alop, dper i admindom no existeixen a l'equip Ubuntu. Verifica que no tenen una entrada a /etc/passwd i a  /etc/shadow. Verifica que el seus directoris personal no existeixen.
b) Des del terminal executa: su  -  jpons . Quan el sistema et demani la contrasenya introdueix la de l'usuari jpons. C
omprova que pots accedir-hi i que es crea el seu directori personal /home/jpons. Comprova amb l'ordre id que ets l'usuari jpons en el terminal.
c)
Des del terminal executa: su  -  alop . Quan el sistema et demani la contrasenya introdueix la de l'usuari alop. Comprova que pots accedir-hi i que es crea el seu directori personal /home/alop. Comprova amb l'ordre id que ets l'usuari alop en el terminal.
d) Des del terminal executa: su  -  dper . Quan el sistema et demani la contrasenya introdueix la de l'usuari dper. Comprova que pots accedir-hi i que es crea el seu directori personal /home/dper. Comprova amb l'ordre id que ets l'usuari dper en el terminal.
e) Des del terminal executa: su  -  admidom . Quan el sistema et demani la contrasenya introdueix la de l'usuari admindom. Comprova que pots accedir-hi i que es crea el seu directori personal /home/admindom. Comprova amb l'ordre id que ets l'usuari admindom   el terminal.

3-
Verificació extra :
    a) Comprova que l'usuari allop no existeix a l'equip Ubuntu. Verifica que no té una entrada a /etc/passwd i a  /etc/shadow. Verifica que el seu directori personal no existeix.
    b) Tanca la sessió de l'usuari d'Ubuntu actual.
    c) Reinicia l'equip.
    c) Accedeix com usuari allop amb la seva contrasenya.
    d) Comprova que es crea el directori personal de l'usuari allop dins de l'Ubuntu i el seu entorn gràfic de treball.
    e) Comprova-ho amb la resta d'usuaris.


*********************************************************************************************ANNEX******************************************************************************************************
1- Només has de fer aquest apartat si tens malament els directoris personals dels usuaris i administrador del domini i et cal canviar-los.

2- Descarrega el fitxer de text de nom modificacions_homedir.ldif a on es defineixen els canvis en els directoris personals dels usuaris del domini i l'administrador de domini

3- Efectua el canvis dins de la 
base de dades LDAP executant:

ldapmodify   -h   localhost   -x   -D   "cn=admin,dc=fjeclot,dc=net"   -W   -f   modificacions_homedir.ldif

4- Comprova amb slapcat que els canvis s'han dut terme.