Cómo instalar OpenLDAP en Debian 11

Instalar slapd

OpenLDAP es una implementación de LDAP (Lightweight Directory Access Protocol) gratuita y de código abierto. Es un protocolo independiente de la plataforma que puede utilizarse para la autenticación centralizada y los servicios de acceso a directorios como el correo electrónico y otras aplicaciones.

OpenLDAP es un demonio LDAP independiente que proporciona sus bibliotecas y utilidades. Además, proporciona soporte para la autenticación de certificados TLS y la autenticación SASL.

En este artículo, le mostraremos cómo instalar y configurar OpenLDAP en Debian 11 Bullseye.

Requisitos previos

  • Un servidor Debian 11.
  • Un usuario no root con privilegios sudo/root.

Instalación de OpenLDAP en Debian 11

Al principio, instalará los paquetes de OpenLDAP en el servidor de Debian 11. El repositorio por defecto de Debian proporciona la versión estable OpenLDAP v2.4.

Antes de empezar a instalar los paquetes de OpenLDAP, ejecute el comando ‘apt’ que aparece a continuación para actualizar el repositorio de Debian.

sudo apt update

Ahora instale los paquetes de OpenLDAP ‘slapd‘ y ‘ldap-utils‘. El paquete ‘slapd‘ es el paquete principal de OpenLDAP, y el ‘ldap-utils‘ proporciona utilidades de línea de comandos para gestionar el servidor OpenLDAP.

sudo apt install slapd ldap-utils

Escriba ‘Y‘ y pulse ‘ENTER‘ para confirmar la instalación.

Instalar slapd

Ahora se le pedirá que configure la contraseña del usuario administrador de OpenLDAP.

Introduzca su contraseña y seleccione ‘OK‘, y a continuación pulsa ‘ENTER‘.

Contraseña de administrador OpenLDAP

Repita su contraseña y seleccione ‘OK‘, y pulsa ‘ENTER‘ de nuevo. Y la instalación de OpenLDAP se ha completado.

Repita la contraseña de administrador

Configuración del servidor OpenLDAP

Después de haber instalado los paquetes de OpenLDAP, ahora configurará el OpenLDAP en el servidor de Debian.

Antes de continuar, vamos a configurar el FQDN (nombre de dominio completo) del servidor utilizando el siguiente comando.

sudo hostnamectl set-hostname ldap.mydomain.local

Ahora edite el archivo ‘/etc/hosts’ usando el editor nano.

sudo nano /etc/hosts

Copie y pegue la siguiente configuración, y asegúrese de cambiar la dirección IP con la dirección IP de su servidor, y el FQDN con su nombre de host y nombre de dominio local.

192.168.10.50 ldap.mydomain.local ldap

Guarde y cierre el archivo.

Ahora salga de su sesión SSH actual y entre de nuevo en su servidor.

A continuación, ejecute el siguiente comando para reconfigurar el paquete ‘slapd’ de OpenLDAP.

sudo dpkg-reconfigure slapd

Seleccione No cuando se le pide que borre/omite la configuración antigua de OpenLDAP. Esto mantendrá la configuración antigua disponible.

Seleccione no omitir base de datos OpenLDAPAnuncio

Ahora introduzca el nombre de dominio local DNS para su servidor OpenLDAP y seleccione OK.

Configurar dominio DNS OpenLDAP

Introduzca el nombre de la organización y seleccione OK. Opcionalmente, puede dejarlo por defecto con el mismo nombre del dominio.

Configurar nombre de organización OpenLDAP

Ahora introduzca la contraseña del administrador de OpenLDAP y seleccione OK para continuar.

Introduzca la contraseña de administrador de OpenLDAP

Confirme la contraseña de administrador de OpenLDAP y seleccione OK de nuevo.

Confirmar contraseña de administrador

Seleccione NO cuando se le pide que borre la antigua base de datos slapd.

No borrar base de datos antigua OpenLDAP

Ahora seleccione Sí para mover la antigua base de datos slapd.

Mover la antigua base de datos slapd

Y la configuración de los paquetes de OpenLDAP está ahora completada.

Para verificar la configuración de OpenLDAP, ejecute el comando ‘slapcat’ a continuación.

sudo slapcat

Ahora debería obtener una salida similar a la captura de pantalla de abajo. El nombre de dominio y el nombre de la organización para OpenLDAP está correctamente usando el botón ‘midominio.local‘Anuncio

comando slapcat

Finalmente, reinicie el servicio ‘slapd’ para aplicar los nuevos cambios. A continuación, verifique el servicio ‘slapd’.

sudo systemctl restart slapd
sudo systemctl status slapd

Ahora debería obtener el estado del servicio ‘slapd’ como ‘activo (en ejecución)‘.

Reinicie y verifique el servicio slapd

Configuración del cortafuegos UFW

Si está ejecutando el servidor Debian con el cortafuegos UFW activado, tendrá que añadir el servicio LDAP y LDAPS al cortafuegos UFW.

Se recomienda utilizar el cortafuegos en su entorno local, ya que reforzará la seguridad de su servidor.

Ahora ejecute el comando ufw de abajo para añadir el LDAP y LDAPS servicio al firewall ufw.

sudo ufw allow LDAP
sudo ufw allow LDAPS

A continuación, recargue la regla del cortafuegos UFW con el siguiente comando.

sudo ufw reload

Por último, verifique la lista de servicios habilitados en su cortafuegos UFW con el siguiente comando.

sudo ufw status

Debería obtener un resultado como el de la captura de pantalla siguiente. Los servicios LDAP y LDAPS se añaden al cortafuegos UFW.

Configurar el cortafuegos UFW

Ahora está listo para configurar el grupo y el usuario del servidor OpenLDAP.

Configurar el grupo de usuarios

El servidor OpenLDAP se utiliza a menudo para la autenticación en un grupo de ordenadores o servidores. Y en este paso, se configurará el grupo en el servidor OpenLDAP utilizando el archivo LDIF (LDAP Data Interchange Format).

El LDIF es un archivo de formato de las entradas LDAP y puede ser utilizado para gestionar usuarios y grupos en el servidor OpenLDAP.

Cree un nuevo archivo ‘/etc/ldap/users.ldif’ usando el editor nano.

sudo nano /etc/ldap/users.ldif

Copie y pegue la siguiente configuración. Esta configuración creará un nuevo grupo llamado ‘Personas‘ en el nombre de dominio ‘midominio.local.

dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: People

Guarde y cierre el archivo.

A continuación, ejecute el comando ‘ldapadd’ para añadir el grupo definido en el archivo ‘users.ldif’.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldif

Se te pedirá que introduzcas la contraseña ‘admin’ del servidor OpenLDAP. Y cuando el proceso sea exitoso, deberías ver un mensaje como ‘adding new entry «ou=People,dc=mydomain,dc=local»‘.

Configurar el grupo People de OpenLDAP

Para verificar el grupo ‘Personas‘, ejecuta el comando ‘ldapsearch’ que aparece a continuación. Este comando mostrará los grupos disponibles en el servidor OpenLDAP.

sudo ldapsearch -x -b "dc=mydomain,dc=local" ou

Ahora debería ver el grupo ‘Gente‘ está disponible en el servidor OpenLDAP.

Mostrar grupo OpenLDAP

Configurar un nuevo usuario

Después de configurar el grupo en el OpenLDAP, ahora puede añadir un nuevo usuario al servidor OpenLDAP. Y también, esto se puede hacer utilizando el archivo LDIF y la herramienta de línea de comandos ‘ldapadd’.

Ahora crea un nuevo archivo ‘alice.ldif’ usando el editor nano.

sudo nano alice.ldif

Copie y pegue la siguiente configuración y asegúrese de cambiar la contraseña ‘AlicePassword‘ con la contraseña fuerte.

En este ejemplo, crearás un nuevo usuario llamado ‘alice‘ con el directorio de inicio ‘/home/alice‘ y el shell por defecto ‘/bin/bash‘. Además, el usuario ‘alice‘ forma parte del grupo ‘Gente‘.

# Add user alice to LDAP Server
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bash

Guarde y cierre el archivo.

A continuación, ejecute el comando ‘ldapadd’ para añadir un nuevo usuario basado en el archivo ‘alice.ldif’.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldif

Introduzca la contraseña de administrador de OpenLDAP y debería obtener una salida como ‘adding new entry «cn=alice,ou=People,dc=mydomain,dc=local»‘, lo que significa que el nuevo usuario ‘aliceSe ha añadido al servidor OpenLDAP.

Creando nuevo usuario OpenLDAP

Ejecute el comando ‘ldapsearch’ que aparece a continuación para obtener la lista de usuarios en el servidor OpenLDAP.

sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"

Deberías obtener la salida como en la captura de pantalla de abajo. El nuevo usuario ‘alice‘ ya está disponible en el servidor OpenLDAP.

Comprobación de usuarios de OpenLDAP

Conclusión

¡Enhorabuena! Ya ha instalado con éxito el servidor OpenLDAP en el servidor de Debian 11. Además, ha aprendido a añadir grupos y usuarios utilizando los ficheros LDIF (LDAP Data Interchange Format) y la herramienta de línea de comandos ‘ldapadd’.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *