Cómo configurar un servidor LDAP en Debian

Editado 2 Hace unas semanas por ExtremeHow Equipo Editorial

DebianLDAPServicio de DirectorioRedesConfiguración del servidorLinuxCódigo abiertoAdministración de sistemasInterfaz de línea de comandosSeguridad

Esta guía detallada te introducirá al proceso de configuración y ajuste de un servidor LDAP (Protocolo Ligero de Acceso a Directorios) en un sistema Debian. LDAP es un protocolo que se utiliza para acceder y mantener servicios de información de directorios distribuidos en redes de Protocolo de Internet. Se utiliza comúnmente para autenticación centralizada, libretas de direcciones y más. Al final de este tutorial, tendrás un servidor LDAP funcional que podrás utilizar para varias aplicaciones. Procedamos paso a paso.

1. Comprendiendo LDAP

Antes de pasar al proceso de instalación y configuración, es importante entender qué es LDAP y cómo funciona. LDAP se basa en el modelo cliente-servidor. Los clientes solicitan información del servidor, y el servidor responde a estas solicitudes. Los datos se almacenan de manera jerárquica, similar a un árbol de directorios. Los principales componentes de LDAP incluyen entradas, atributos y clases de objetos.

Una entrada en LDAP es similar a una fila en una base de datos. Cada entrada tiene un identificador único denominado nombre distinguido (DN). Los atributos son los datos asociados con cada entrada, similar a las columnas en una tabla de base de datos. Las clases de objetos definen los tipos de entradas y atributos.

2. Instalar el paquete LDAP en Debian

Primero, necesitas instalar los paquetes LDAP requeridos. Abre tu terminal y actualiza el índice de paquetes:

sudo apt update

A continuación, instala los paquetes slapd y ldap-utils. El paquete slapd es el servidor LDAP en sí, mientras que el paquete ldap-utils proporciona utilidades para interactuar con el servidor:

sudo apt install slapd ldap-utils

Durante la instalación, se te pedirá que ingreses la contraseña de administrador del directorio LDAP. Elige una contraseña segura, ya que se utilizará para administrar tu servidor LDAP.

3. Configurar LDAP con dpkg-reconfigure

Después de la instalación, es posible que necesites reconfigurar LDAP para establecer tu nombre de dominio deseado y la contraseña de administrador, entre otros ajustes. Usa el siguiente comando:

sudo dpkg-reconfigure slapd

Se te pedirá que elijas varias opciones de configuración. Veamos estas opciones:

• ¿Omitir la configuración del servidor OpenLDAP? - Selecciona No para proceder con la configuración.
• Nombre de dominio DNS - Ingresa el nombre de dominio para tu configuración LDAP, como example.com. Esto creará el DN base.
• Nombre de la organización - Proporciona un nombre para tu organización.
• Contraseña de administrador - Ingresa la contraseña para el usuario administrador de LDAP.
• Base de datos backend - mantén el valor predeterminado MDB.
• ¿Eliminar la base de datos cuando slapd sea eliminado? - Selecciona No.
• ¿Mover la base de datos antigua? - Selecciona Sí.
• ¿Permitir protocolo LDAPv2? - Selecciona No dado que LDAPv3 es el protocolo seguro preferido.

Cuando se complete, el servidor LDAP se configurará con los ajustes que especificaste.

4. Verificar la configuración de LDAP

Puedes verificar que el servidor LDAP esté en funcionamiento ejecutando el siguiente comando:

sudo systemctl status slapd

Esto mostrará el estado del servicio LDAP. Para confirmar que está funcionando correctamente, verifica el estado Activo.

5. Probar el servidor LDAP

Ahora, puedes realizar algunas pruebas básicas para asegurar que el servidor LDAP esté funcionando como se espera. Intenta buscar un nombre de dominio:

ldapsearch -x -LLL -H ldap://localhost -b dc=example,dc=com

Reemplaza dc=example,dc=com con tus componentes de dominio (DCs) que especificaste durante la configuración. Si el servidor está funcionando correctamente, deberías ver una salida que muestre la estructura y las entradas en tu directorio.

6. Agregar entradas a LDAP

Después de configurar el servidor LDAP, probablemente querrás agregar algunas entradas. Esto se puede hacer creando un archivo LDIF (Formato de Intercambio de Datos LDAP). Aquí tienes un ejemplo de cómo agregar una unidad organizativa:

dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
ou: users

Guárdalo como add_users.ldif y luego agrégalo a LDAP usando:

sudo ldapadd -x -D cn=admin,dc=example,dc=com -W -f add_users.ldif

Se te pedirá la contraseña de administrador. Si tiene éxito, esta unidad organizativa ahora es parte de la estructura de tu directorio LDAP.

7. Modificar entradas LDAP

Así como las entradas pueden agregarse, también pueden modificarse. Un ejemplo de archivo LDIF para modificar una entrada se muestra a continuación:

dn: ou=users,dc=example,dc=com
changetype: modify
add: description
description: Esta unidad organizativa contiene entradas de usuario.

Guárdalo como modify_users.ldif y aplícalo usando el siguiente comando:

sudo ldapmodify -x -D cn=admin,dc=example,dc=com -W -f modify_users.ldif

Si tiene éxito, esto agregará los detalles a la unidad organizativa users.

8. Eliminar entradas LDAP

Para eliminar una entrada, puedes usar un archivo LDIF que represente el DN de la entrada. Por ejemplo, para eliminar la unidad organizativa users, crea un archivo llamado delete_users.ldif con los siguientes contenidos:

dn: ou=users,dc=example,dc=com
changetype: delete

Luego, realiza la eliminación usando el siguiente comando:

sudo ldapdelete -x -D cn=admin,dc=example,dc=com -W -f delete_users.ldif

Este método utiliza un nombre distinguido (DN) para identificar cuál entrada eliminar.

9. Asegurando tu servidor LDAP

La seguridad es una consideración importante. Por defecto, LDAP transmite datos, incluidas las contraseñas, en texto plano. Puedes asegurar esto implementando TLS (Seguridad de la Capa de Transporte). Primero, instala los paquetes requeridos:

sudo apt install gnutls-bin

Crea una clave privada y un certificado para tu servidor LDAP. A continuación, configura tu servidor para utilizar este certificado editando /etc/ldap/slapd.d/cn=config.ldif.

olcTLSCertificateFile: /etc/ssl/certs/ldap-server.pem
olcTLSCertificateKeyFile: /etc/ssl/private/ldap-server-key.pem

Finalmente, reinicia el servicio LDAP para aplicar los cambios:

sudo systemctl restart slapd

Ahora puedes conectarte de manera segura a tu servidor LDAP usando un cliente LDAP que soporte TLS.

10. Conclusión y sugerencias adicionales

Configurar un servidor LDAP en Debian puede ser detallado pero gratificante, centralizando la gestión de usuarios y recursos a través de tu red. Hemos cubierto todo desde la instalación hasta asegurar tu servidor con TLS. Hay muchas herramientas LDAP disponibles para explorar y administrar tu directorio, incluidos clientes populares como Apache Directory Studio. Asegurarte de hacer copias de seguridad regularmente de tus datos LDAP y monitorear los registros de acceso para detectar actividad inusual hará que tu implementación sea aún más robusta.

Aunque este tutorial cubre una configuración sencilla de un solo nodo, LDAP puede incorporarse en infraestructuras de red más grandes con replicación y balanceo de carga. Ya sea utilizado para autenticación, directorios de clientes de correo electrónico o almacenamiento de datos de aplicaciones, dominar LDAP abre muchas posibilidades para poderosos servicios de directorio.

  Comparte este artículo

Si encuentras algo incorrecto en el contenido del artículo, puedes solicitar una actualización