INSTALACION Y CONFIGURACION DE LDAP + FREE RADIUS

PRESENTADO A: ING. JEAN POLO CEQUEDA

PRESENTADO POR: WILSON ARIEL MENESES BARROSO – 1150400

MARIA DE LOS ANGELES CASTRO DURAN - 1150293

Universidad Francisco de Paula Santander

Facultad de Ingenierías
Ingeniería de Sistemas
San José de Cúcuta
2016
 Concepto LDAP

LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo
Ligero/Simplificado de Acceso a Directorios) que hacen referencia a un protocolo a
nivel de aplicación que permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversa información en un entorno de red. LDAP también se
considera una base de datos (aunque su sistema de almacenamiento puede ser
diferente) a la que pueden realizarse consultas.

Un directorio es un conjunto de objetos con atributos organizados en una manera

lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en
una serie de nombres (personas u organizaciones) que están ordenados
alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono
adjuntos. Para entender mejor, es un libro o carpeta, en la cual se escriben nombres
de personas, teléfonos y direcciones, y se ordena alfabéticamente.

Un árbol de directorio LDAP a veces refleja varios límites políticos, geográficos u

organizacionales, dependiendo del modelo elegido. Los despliegues actuales de
LDAP tienden a usar nombres de Sistema de Nombres de Dominio (DNS por sus
siglas en inglés) para estructurar los niveles más altos de la jerarquía. Conforme se
desciende en el directorio pueden aparecer entradas que representan personas,
unidades organizacionales, impresoras, documentos, grupos de personas o cualquier
cosa que representa una entrada dada en el árbol (o múltiples entradas).

Habitualmente, almacena la información de autenticación (usuario y contraseña) y es

utilizado para autenticarse aunque es posible almacenar otra información (datos de
contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados,
etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto
de información sobre una red.
 INSTALACIÓN LDAP EN FEDORA SERVER 24

1) Instalar OpenLDAP.
# dnf -y install openldap-servers openldap-clients

#cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/

DB_CONFIG
# chown ldap. /var/lib/ldap/DB_CONFIG
# systemctl start slapd
# systemctl enable slapd
 2) Definir contraseña de administrador de OpenLDAP

2.1) Generar contraseña cifrada

# slappasswd
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

2.2) Especifique la contraseña generada anteriormente para la sección

"olcRootPW

# nano chrootpw.ldif

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

3) Importar esquemas básicos

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

 4) Establezca su nombre de dominio en LDAP DB
4.1) Generar contraseña de administrador de directorio
# slappasswd
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxx

4.2) Reemplazar a su propio nombre de dominio para sección "dc = ***,

dc = ***" y especifica la contraseña generada anteriormente para la sección
"olcRootPW"

# nano chdomain.ldif
 # ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

4.3) Reemplazar a su propio nombre de dominio para sección "dc = ***,

dc = ***"

# nano basedomain.ldif

ldapadd -x -D cn=Manager,dc=mc,dc=asor -W -f basedomain.ldif

 5) Configurar LDAP TLS
# cd /etc/pki/tls/certs
# make server.key

Eliminar contraseña de la clave privada

# openssl rsa -in server.key -out server.key

# openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650

6) Configurar Slapd para SSL/TLS.

# cp /etc/pki/tls/certs/server.key \
/etc/pki/tls/certs/server.crt \
/etc/pki/tls/certs/ca-bundle.crt \
/etc/openldap/certs/

# chown ldap. /etc/openldap/certs/server.key \

/etc/openldap/certs/server.crt \
/etc/openldap/certs/ca-bundle.crt

# nano mod_ssl.ldif

Crear archivo mod_ssl.ldif

 # ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif

# systemctl restart slapd

7) Si Firewalld está en ejecución, permita el servicio LDAP.

# firewall-cmd --add-service={ldap,ldaps} --permanent

success

# firewall-cmd --reload

Success
 8) Verificar que el servicio slapd este ejecutandose

# systemctl status slapd

CONCEPTO FREE RADIUS

FreeRdius incluye un servidor Radius , una licencia BSD biblioteca de cliente , una
biblioteca PAM y un módulo Apache . En la mayoría de los casos, la palabra
FreeRadius se refiere al servidor Radius.

FreeRadius es el mayor despliegue del servidor Radius en el mundo. Es la base para

múltiples ofertas comerciales. Suministra las necesidades AAA de muchas
compañías de Fortune-500 y Tier 1 ISP.

También es ampliamente utilizado para la Empresa Wi-Fi IEEE 802.1X y seguridad

de la red, en particular en la comunidad académica, incluyendo eduroam .

El servidor es rápido , rico en características , modular y escalable .

El servidor ha alcanzado un establo Versión 3.0.12 (SIG) , con mejoras
incrementales añadidas en cada lanzamiento.

Install phpLDAPadmin

Instale phpLDAP admin para que funcione el servidor LDAP a través del
navegador Web.

1) Instale e inicie Apache httpd

Puede instalarlo siguiendo los siguientes pasos: https://www.server-
world.info/en/note?os=CentOS_7&p=httpd&f=1

2) Instalar PHP
# yum -y install php php-mbstring php-pear
# /etc/php.ini

2.1) En la línea 878: descomente y agregue su zona horaria

 # systemctl restart httpd

2.2) Cree una página de prueba de PHP y acceda a ella desde el PC cliente con
el navegador web. Está bien si se muestra la siguiente página.

# nano /var/www/html/index.php
3) Instalar admin phpLDAP.

INSTALACION EN FEDORA SERVER 24

Configuración de la autenticación, FreeRadius con OpenLDAP

1) Configuración del servidor OpenLDAP

En primer lugar se requiere para su servidor OpenLDAP configuración para
terminar por debajo de la configuración. Su uso por debajo enlace para
instalarlo.
2) Instalar paquetes freeradius
Instalar todos los paquetes de servidor freeradius2 en su sistema usando los
siguientes comandos.

# Yum install freeradius2 freeradius2-utils freeradius2-LDAP

3) Descargar archivo de esquema

Descargar archivo de esquema LDAP radio y copiar al directorio LDAP
mediante el siguiente esquema de comandos.

3.1 Descargar archivo

# Wget http://open.rhx.it/phamm/schema/radius.schema

3.2 Copia de archivos en el directorio de esquema

# Cp radius.schema / etc / openldap / schema /

3.3 Incluir archivo en el archivo de configuración LDAP

# /etc/openldap/slapd.conf
 incluir # /etc/openldap/schema/radius.schema

4) Editar Radio Archivos LDAP

Editar archivo de radio de LDAP / Etc / raddb / módulos / LDAP y añadir a

continuación los detalles del servidor LDAP.

# Vim / etc / raddb / módulos / LDAP

{LDAP
server = "openldap.example.com"
basedn = "dc = ejemplo, dc = com"
identidad = "cn = Manager, ou = personas, dc = ejemplo, dc = com"
filter = "(uid =% {-User-Name Stripped: -% {User-Name}})"
base_filter = "(objectClass = radiusprofile)"
start_tls = sin
groupmembership_filter = "(| (& (objectClass = groupOfNames)
(miembro =% {ldap-userdn})) (& (objectClass = groupOfUniqueNames)
(uniquemember =% {} userdn con LDAP)))"
profile_attribute = "radiusprofile"
access_attr = "fluido"
dictionary_mapping = $ {} raddbdir /ldap.attrmap
ldap_connections_number = 10
timeout = 4
timelimit = 5
net_timeout = 1
set_auth_type = yes
}

Editar /etc/freeradius/ldap.attrmap
añadir siguientes detalles:

# Vim /etc/freeradius/ldap.attrmap
CheckItem usuario-contraseña userPassword
replyItem Túnel-Tipo radiusTunnelType
replyItem Tunnel-Medium-Tipo radiusTunnelMediumType
replyItem túnel-Privado-Grupo-Id radiusTunnelPrivateGroupId

5) Habilitar la autenticación LDAP

 Después de actualizar los archivos anteriormente, Deja para habilitar la
autenticación LDAP en / Etc / raddb / sites-available / interior del túnel y / Etc /
raddb / sites-available / default por líneas de abajo descomenta.

Auth-Type LDAP {
LDAP
}

6) Configuración de la prueba

Por último la configuración de su instalación mediante comando siguiente

# Radtest contraseña ldapuser1 ldap.example.com 2 testing123