Red Hat Enterprise Linux 3: Manual de referencia | ||
---|---|---|
Anterior | Capítulo 13. Protocolo ligero de acceso a directorios (LDAP) | Siguiente |
El grupo de bibliotecas y herramientas OpenLDAP se encuentran dentro de los paquetes siguientes:
openldap — Contiene las librerías necesarias para ejecutar las aplicaciones del servidor y cliente OpenLDAP.
openldap-clients — Contiene herramientas de línea de comandos para visualizar y modificar directorios en un servidor LDAP.
openldap-server — Contiene los servidores y otras utilidades necesarias para configurar y ejecutar un servidor LDAP.
Hay dos servidores contenidos en el paquete openldap-servers: el Demonio independiente LDAP (/usr/sbin/slapd) y el Demonio independiente de actualización de réplicas LDAP (/usr/sbin/slurpd).
El demonio slapd es el servidor independiente LDAP mientras que el demonio slurpd es usado para sincronizar los cambios desde un servidor LDAP a otro en la red. El demonio slurpd sólo es usado cuando se trabaja con múltiples servidores LDAP.
Para llevar a cabo tareas administrativas, el paquete openldap-server instala las utilidades siguientes en el directorio /usr/sbin/:
slapadd — Añade entradas desde un archivo LDIF a un directorio LDAP. Por ejemplo, el comando /usr/sbin/slapadd -l ldif-input leerá en el archivo LDIF, ldif-input, que contiene las nuevas entradas.
slapcat — Extrae entradas de un directorio LDAP en el formato por defecto Berkeley DB y las guarda en un archivo LDIF. Por ejemplo, el comando /usr/sbin/slapcat -l ldif-output tendrá como resultado un archivo LDIF llamado ldif-output que contendrá las entradas para el directorio LDAP. Este comando funciona para directorios creados bajo Red Hat Enterprise Linux 3 y Red Hat Linux 9.
slapcat-gdbm — Extrae entradas de un directorio LDAP en el formato gdbm (el formato por defecto en las versiones anteriores de OpenLDAP) y las guarda en un archivo LDIF. Este comando solamente se proporciona como una facilidad para la migración de un directorio desde OpenLDAP implementado bajo Red Hat Enterprise Linux 2.1 y Red Hat Linux versiones 7.x a la 8. Para detalles sobre cómo utilizar este comando, consulte la Sección 13.8.
slapindex — Re-indexa el directorio slapd basado en el contenido actual. Esta herramienta se debería ejecutar siempre que se cambien las opciones de indexado dentro de /etc/openldap/slapd.conf.
slappasswd — Genera un valor de contraseña encriptada de usuario para ser usada con ldapmodify o el valor rootpw en el archivo de configuración slapd, /etc/openldap/slapd.conf. Ejecute el comando /usr/sbin/slappasswd para crear la contraseña.
![]() | Aviso |
---|---|
Asegúrese de detener slapd ejecutando /sbin/service slapd stop antes de usar slapadd, slapcat o slapindex. De otro modo se pondrá en riesgo la integridad del directorio LDAP. |
Para más información sobre cómo utilizar cada una de estas utilidades, consulte sus páginas del manual respectivas.
El paquete openldap-clients instala herramientas utilizadas para agregar, modificar y borrar entradas en un directorio LDAP dentro de /usr/bin/ Estas herramientas incluyen lo siguiente:
ldapadd — Agrega entradas a un directorio LDAP aceptando entradas vía archivo o entrada estándar; ldapadd es en realidad un enlace duro a ldapmodify -a.
ldapdelete — Borra entradas de un directorio LDAP al aceptar instrucciones del usuario por medio de la entrada desde el indicador de comandos o por medio de un archivo.
ldapmodify — Modifica las entradas en un directorio LDAP, aceptando la entrada por medio de un archivo o entrada estándar.
ldappasswd — Configura una contraseña para un usuario LDAP.
ldapsearch — Busca por entradas en el directorio LDAP usando un indicador de comandos shell.
Con la excepción de ldapsearch, cada una de estas utilidades se usa más fácilmente haciendo referencia a un archivo que contiene los cambios que se deben llevar a cabo, que escribiendo un comando para cada entrada que se desea cambiar en un directorio LDAP. El formato de dicho archivo está esquematizado en las páginas del manual sobre cada utilidad.
Además de los paquetes OpenLDAP, Red Hat Enterprise Linux incluye un paquete llamado nss_ldap, el cual mejora la habilidad de LDAP para integrarse en Linux y otros ambientes UNIX.
El paquete nss_ldap provee los siguientes módulos:
/lib/libnss_ldap-<glibc-version>.so
/lib/security/pam_ldap.so
El módulo libnss_ldap-<glibc-version>.so permite a las aplicaciones buscar usuarios, grupos, hosts y otra información utilizando un directorio LDAP por medio de la interfaz de glibc Nameservice Switch (NSS) (reemplace <glibc-version> con la versión de libnss_ldap en uso). NSS permite a las aplicaciones autenticarse usando LDAP junto con el Servicio de información de red (NIS) y archivos de autenticación planos.
El módulo pam_ldap permite que las aplicaciones PAM puedan validar usuarios utilizando la información almacenada en el directorio LDAP. Las aplicaciones PAM incluyen conexiones desde la consola, servidores de correo POP e IMAP y Samba. Al desarrollar un servidor LDAP en una red, se pueden autentificar todas estas aplicaciones usando la misma combinación de nombre de usuario y contraseña, simplificando en gran medida la administración.
Red Hat Enterprise Linux incluye también un paquete que contiene un módulo LDAP para el lenguaje de comandos del servidor PHP.
El paquete php-ldap añade soporte LDAP al lenguaje empotrado en HTML, PHP4 a través del módulo /usr/lib/php4/ldap.so. Este módulo permite a los scripts PHP4 accesar información almacenada en un directorio LDAP.
Red Hat Enterprise Linux se entrega con el módulo mod_authz_ldap para el Servidor Apache HTTP. Este módulo utiliza la forma corta del nombre distinguido para un sujeto y el emisor de un certificado de cliente SSL para determinar el nombre distinguido del usuario dentro de un directorio LDAP. También es capaz de autorizar a los usuarios basados en los atributos de la entrada de del directorio LDAP de ese usuario, determinando el acceso a los activos basados en los privilegios de acceso del usuario y grupo, y negando el acceso para los usuarios con contraseñas caducadas. Se requiere el módulo mod_ssl cuando se utilice el módulo mod_authz_ldap.
![]() | Importante |
---|---|
El módulo mod_authz_ldap no autentica a un usuario automáticamente a un directorio LDAP usando un hash de contraseña encriptado. Esta funcionalidad es proporcionada con el módulo experimental mod_auth_ldap, el cual no está incluido con Red Hat Enterprise Linux. Para más detalles sobre el estado de este módulo, vea el sitio web de la Apache Software Foundation en http://www.apache.org/. |
Existen clientes gráficos de LDAP que soportan la creación y modificación de directorios, pero no se entregan con Red Hat Enterprise Linux. Una de estas aplicaciones es LDAP Browser/Editor — Una herramienta basada en Java que está disponible en línea en http://www.iit.edu/~gawojar/ldap/.
La mayoría de los otros clientes LDAP acceden a directorios como sólo lectura, usándolos como referencia, pero sin alterar información a lo largo de la organización. Algunos ejemplos de tales aplicaciones son Sendmail, Mozilla, Evolution y Gnome Meeting.