Instalar y configurar Controlador de dominio OpenLDAP

Hola a tod@s, en este post vamos a ver como instalar y configurar un controlador de dominio OpenLDAP.

Instalar Ubuntu Desktop con OpenLDAP, generando un dominio con identificador jrrg.local:
Empezaremos a preparar el equipo con Ubuntu Desktop 22.04.3 LTS, lo primero será activar el usuario root, accedemos a un terminal y ejecutamos passwd root, introducimos la password del usuario root y listo:

Para iniciar sesion como root en el modo gráfico, lo primero que vamos a realizar será editar el fichero custom.conf, nano /etc/gdm3/custom.conf, localizar la categoría [security] e introducimos el texto AllowRoot=true:

Ahora editamos el archivo gdm-password, nano /etc/pam.d/gdm-password, localizamos la línea auth required so user != root quiet_success y la comentamos con #:

Para terminar hacemos un ultimo ajuste en el archive .profile, nano /root/.profile, localizamos una línea con este contenido mesg n 2> /dev/null || true y lo sustituimos por if `tty -s`; then mesg n fi:

Ahora ya podemos iniciar sesión como root en el modo gráfico:

Actualizamos el sistema operativo con las últimas versiones de los paquetes disponibles en los repositorios, para ello, ejecutaremos apt-get update && apt-get upgrade:

Editamos el fichero hosts, nano /etc/hosts e introducimos el nombre del servidor, tanto el nombre DNS como el nombre NETBIOS:

A continuación vamos a configurar la conexión de red, para ello, editamos el fichero nano /etc/netplan/01-network-manager-all.yaml:

Aplicamos la nueva configuración de red con netplan apply:

Si ejecutamos ip a podmeos ver que los cambios se han aplicado:

Ahora vamos a cambiarle el nombre al equipo, para ello, ejecutamos hostnamectl set-hostname dc03aso y reiniciamos el equipo para que se apliquen los cambios:

Una vez que hemos realizado la configuraciones previas, vamos a instalar el software necesario para implementar
OpenLDAP, para ello ejecutamos el comando apt-get install slapd ldap-utils –y:

Nos pedirá la contraseña del administrador del directorio LDAP:

Una vez concluida la instalación, podemos verificar que todo está correcto usando el comando slapcat, dónde obtenemos la información de la base de datos LDAP, su salida se produce en formado LDIF:

A continuación, instalaremos la librería NSS para LDAP, esta librería ofrece una interfaz para acceder y configurar distintas bases de datos utilizadas para almacenar cuentas de usuario, apt-get install libnss-ldap:

Nos solicita la dirección URi del servidor LDAP, introducimos su dirección IP:

Introducimos el Distinguised Name (DN) del dominio:

Le indicamos la version de LDAP que vamos a utilizar, en este caso la 3:

Le indicamos si las utilidades que utilicen PAM deberán comportarse del mismo modo que cuando cambiamos contraseñas locales, seleccionamos Sí:

Nos pregunta si queremos que sea necesario identificarse para realizar consultas en la base de datos de LDAP, seleccionamos No:

Le indicamos el nombre de la cuenta LDAP que tendrá privilegios para realizar cambios en las contraseñas:

Le indicamos la contraseña:

El siguiente paso será crear la estructura del directorio, crearemos un archivo que va a contener los tipos de objeto básicos del directorio, para ello, ejecutamos nano ldif e introducimos este contenido:

dn: ou=usuarios,dc=jrrg,dc=local

objectClass: organizationalUnit

ou: usuarios

dn: ou=grupos,dc=jrrg,dc=local

objectClass: organizationalUnit

ou: grupos

Ahora, debemos añadir la información a la base de datos OpenLDAP, para ello, ejecutamos ldapadd -x -D cn=admin,dc=jrrg,dc=local -W -f baseldap.ldif:

A continuación, añadiremos la unidad organizativa para los equipos, para ello, ejecutamos nano equipos.ldif e introducimos este contenido:

dn: ou=equipos,dc=jrrg,dc=local

objectClass: organizationalUnit

ou: equipos

Ahora, debemos añadir la información a la base de datos OpenLDAP, para ello, ejecutamos ldapadd -x -D cn=admin,dc=jrrg,dc=local -W -f equipos.ldif:

Ahora vamos a añadir usuarios, para ello, ejecutamos nano ldif e introducimos este contenido:

dn: uid=usuario1,ou=usuarios,dc=jrrg,dc=local

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: usuario1

sn: usu1

givenName: usuario1

cn: usuario1

displayName:usuario1

uidNumber:2000

gidNumber:20000

userPassword: Pa$sw0rd

gecos: usuario1

loginShell: /bin/bash

homeDirectory: /home/usuario1

shadowExpire: -1

shadowFlag: 0

shadowWarning: 7

shadowMin: 8

Introducimos el comando ldapadd -x -D cn=admin,dc=jrrg,dc=local -W -f usuarios.ldif:

Modificamos el fichero nano ldif y añadimos estos tres usuarios más, los campos uidNumber y gidNumber serán 2001 (usuario2), 2002 (usuario3) y 2003 (usuario4):

Ahora vamos a crear dos grupos, para ello, ejecutamos nano ldif e introducimos este contenido:

dn: cn=grupo1,ou=grupos,dc=sor,dc=local

objectClass: posixGroup

cn: grupo1

gidNumber: 10000

Introducimos el comando ldapadd -x -D cn=admin,dc=jrrg,dc=local -W -f grupos.ldif:

Modificamos el fichero nano ldif y añadimos un grupo más, el campo gidNumber será 10001 (grupo2):

Ahora podemos comprobar todo lo configurado, para ello podemos utilizar, el comando ldapsearch , que nos permite hacer una búsqueda en el directorio, ldapsearch -xLLL -b «dc=jrrg,dc=local» uid=usuario1 sn givenName cn:

Con el comando slapcat nos muestra el contenido completo del directorio:

A continuación, vamos a instalar y configurar la interfaz web LDAP Account Manager para administrar OpenLDAP, para ello, ejecutamos apt-get install ldap-account-manager -y:

Abrimos el navegador y escribimos en la barra de direcciones, http://localhost/lam
Esto nos lleva a la página inicial de LDAP Account Manager, para iniciar la configuración, basta con hacer clic sobre el enlace LAM configuration:

Al hacerlo, llegamos a una página donde tenemos dos opciones, Editar la configuración general y Editar perfiles del servidor:

Comenzaremos editando la configuración general para establecer el perfil del servidor, para ello, hacemos clic sobre Editar la configuración general.
Antes de entrar en la opción elegida, LDAP Account Manager nos pide la contraseña maestro, esta contraseña no está relacionada con la que escribimos para la administración del directorio OpenLDAP, sino que es propia de LDAP Account Manager, su valor predeterminado es lam, aunque luego la vamos a cambiar.
Escribimos la contraseña y hacemos clic sobre en OK:

Aquí dejaremos todos los valores predeterminados, solo vamos a cambiar la contraseña maestra de LDAP Account Manager:

A continuación, vamos a editar el perfil del servidor:

Introducimos la nueva password:

Nos muestra la página Configuración de los perfiles y como puedes ver, la página se divide en cuatro puntos:
Configuración general, que contiene la información global del servidor LDAP, como el nombre del host o las características de seguridad.
Tipos de cuentas, donde se indican las diferentes clases de cuentas que administraremos, como usuarios, grupos o equipos.
Módulos, que contiene la lista de módulos que definen las características de las cuentas que vamos a administrar (si son cuentas Unix, Samba, Koalab, etc).
Preferencias del módulo, que contiene aspectos específicos del módulo que hayamos seleccionado en la solapa anterior.
Nosotros veremos solo las dos primeras.
En Configuración general, vanos a configurar estos parámetros:

Ahora accedemos a Tipos de cuentas, La sección Tipos de cuentas disponibles muestra una lista de los posibles tipos de cuentas, podemos activar cualquiera de ellos haciendo clic en el signo más que hay junto a cada uno de ellos y la sección Tipos de cuentas activos contiene los tipos de cuentas que se encuentran vigentes en nuestro Sistema:

Una vez que hemos completado las preferencias, tendremos LDAP Account Manager listo para comenzar a utilizarlo, accedemos a la página principal y nos autenticamos: