-====== OpenLDAP ======+====== Implementacion de un servidor OpenLDAP ======
 OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista), y z/OS. OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista), y z/OS.
Línea 45: Línea 45:
 ===== Replicación ===== ===== Replicación =====
 +==== Multimaster ====
 **REQUIERE Openldap 2.4** **REQUIERE Openldap 2.4**
Línea 50: Línea 52:
 La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base). La replicación multimaster se puede hacer en 1 o más nodos, la única premisa es que todos deben estar iguales al momento de comenzar esta configuración (misma configuración y misma base).
-Vamos a suponer que tenemos los servidores ldapba ldap-miami.+Vamos a suponer que tenemos los servidores ldap1 ldap2.
 En el servidor ldap1 agregar estas línas al final del slapd.conf: En el servidor ldap1 agregar estas línas al final del slapd.conf:
Línea 103: Línea 105:
 El usuario especificado en el binddn debe tener acceso completo a la base. El usuario especificado en el binddn debe tener acceso completo a la base.
 +==== Master / Slave ====
 +En el Master
 +moduleload syncprov
 +overlay syncprov
 +syncprov-checkpoint 100 10
 +syncprov-sessionlog 100
 +En el Slave
 +syncrepl rid=123
 +    provider=ldap://ldap1.com:389
 +    type=refreshAndPersist
 +    retry="60 10 300 +"
 +    searchbase="dc=dominio,dc=com"
 +    schemachecking=off
 +    bindmethod=simple
 +    binddn="cn=admin,ou=users,dc=dominio,dc=com"
 +    credentials=contraseña
 ===== Politicas ===== ===== Politicas =====
Línea 117: Línea 144:
 <code> <code>
 overlay         ppolicy overlay         ppolicy
-ppolicy_default "cn=default,ou=policies,dc=pan-energy"+ppolicy_default "cn=default,ou=policies,dc=dominio,dc=com"
 </code> </code>
Línea 158: Línea 185:
 </code> </code>
 +# Default Password Policy
 +dn: cn=default,ou=pwdpolicies,dc=zes_example,dc=com
 +objectClass: pwdPolicy
 +cn: default
 +# User can change his/her password
 +pwdAllowUserChange: TRUE
 +# Return warning to bind attempt (seconds) -- 3 days
 +pwdExpireWarning: 259200
 +# Interval in seconds to reset failure pwd count
 +pwdFailureCountInterval: 100
 +# Do not allow to bind on expired passwords
 +pwdGraceAuthNLimit:  0
 +# Reject any password changes in this list
 +pwdInHistory: 3
 +# Lock out account when user tries more than x attempts using invalid password
 +pwdLockout: TRUE
 +# Do not allow the system to unlock the account
 +pwdLockoutDuration: 0
 +# Consecutinve # of failure attempts
 +pwdMaxFailure: 5
 +# How long the password lasts before user has to change it (seconds)  -- 90 days
 +pwdMaxAge: 77760000
 +# Password length
 +pwdMinLength: 6
 Modificado todo esto se reinicia el LDAP. Modificado todo esto se reinicia el LDAP.
Línea 211: Línea 288:
 ===== En los clientes ===== ===== En los clientes =====
 +auth [success=1 default=ignore] pam_unix.so
 +auth required pam_ldap.so use_first_pass
 +auth required pam_permit.so
 +account [success=1 default=ignore] pam_unix.so
 +account required pam_ldap.so
 +account required pam_permit.so
 +password requisite pam_cracklib.so try_first_pass retry=3
 +password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
 +password required pam_deny.so
 +session optional pam_keyinit.so revoke
 +session required pam_limits.so
 +session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
 +session required pam_unix.so
 +passwd:     files ldap
 +shadow:     files
 +group:      files ldap
 +//Igualmente estos datos pueden ir en el archivo siguiente como para tener todo mas junto.//
 +host ldap-primario ldap-secundario
 +binddn uid=usuario-query,ou=users,dc=dominio,dc=com
 +bindpw password1234
 +bind_policy soft
 +bindlimit 3
 +timelimit 10
 +base dc=dominio
 +pam_filter objectclass=posixAccount
 +pam_login_attribute uid
 +nss_base_passwd ou=users,dc=dominio,dc=com?one
 +nss_base_group ou=groups,dc=dominio,dc=com?one
 +ssl yes
 +pam_password md5
 +==== NSCD ====
 El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como /etc/passwd, /etc/group, /etc/hosts, LDAP , etc. El NSS (Name Service Switch) provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves como /etc/passwd, /etc/group, /etc/hosts, LDAP , etc.
Línea 246: Línea 392:
 Ref.: http://code.google.com/p/nsscache/wiki/BackgroundOnNameServiceSwitch Ref.: http://code.google.com/p/nsscache/wiki/BackgroundOnNameServiceSwitch
 +===== Notas y extras =====
 +Para configurar el HASH por default del servidor, deberemos agregar dentro del archivo slapd.conf
 +password-hash   {crypt}
 +password-hash   {ssha}
 +//Para que las politicas tengan efecto, deberemos utilizar siempre SSHA//
 +Script para chequear vencimientos de passwords avisar antes de tiempo, o bloquear cuando esta vencido. Con modificaciones hechas por mi.
 +El original esta aca : http://ltb-project.org
 +<code bash>
 +# Configuration
 +# LDAP host URI
 +# eg: ldap://localhost:389
 +# LDAP root DN (optional)
 +# eg: cn=Manager,dc=example,dc=com
 +# LDAP root password (optional)
 +# LDAP default password policy DN
 +# eg: ou=defaultPasswordPolicy,dc=example,dc=com
 +# If commented, we suppose there are no default, and only per-user policies
 +# LDAP search base for users
 +# eg: ou=People,dc=example,dc=com
 +# LDAP search filter to use to get all users
 +# Path to LDAP search binary
 +# Delay to begin sending adverts
 +# Comment to use the pwdExpireWarning value of the user's Password Policy
 +# LDAP attributes storing user's information
 +#   NAME: Display name of the user
 +#   LOGIN: Account ID of the user
 +#   MAIL: Email of the user
 +# Mail body message, with particular variables :
 +#   %name : user name
 +#   %login : user login
 +MY_MAIL_BODY="From: support@example.com\n\n \
 + Hi %name,\n\n \
 + please change your password.\n\nThe LDAP team."
 +# Mail subject
 +MY_MAIL_SUBJECT="Your account will expire soon"
 +# Mail command binary
 +# Replace mailx by mail for RedHat
 +# Log header format
 +# Could include unix commands
 +#MY_LOG_HEADER="`date +\"%b %e %T\"` `hostname` $0[$$]:"
 +# Path to GAWK (GNU awk) binary
 +# Functions
 +# Funciones de tiempo
 +# Pongo segundos y me lo traduce en dias y horas
 +function timerLengthString()
 +    local days=$((0))
 +    local hour=$((0))
 +    local mins=$((0))
 +    local secs=$1
 +    local text=""
 +    # convert seconds to days, hours, etc
 +    days=$((secs / 86400))
 +    secs=$((secs % 86400))
 +    hour=$((secs / 3600))
 +    secs=$((secs % 3600))
 +    mins=$((secs / 60))
 +    secs=$((secs % 60))
 +    # build full string from unit strings
 +    text="$text$(timerLengthStringPart $days "dia")"
 +    text="$text$(timerLengthStringPart $hour "hora")"
 +    text="$text$(timerLengthStringPart $mins "minuto")"
 +    text="$text$(timerLengthStringPart $secs "segundo")"
 +    # trim leading and trailing whitespace
 +    text=${text## }
 +    text=${text%% }
 +    # special case for zero seconds
 +    if [ "$text" == "" ]; then
 +        text="0 seconds"
 +    fi
 +    # echo output for the caller
 +    echo -ne ${text}
 +# formats a time unit into a string
 +# $1: integer count of units: 0, 6, etc
 +# $2: unit name: "hour", "minute", etc
 +function timerLengthStringPart()
 +    local unit=$1
 +    local name=$2
 +    if [ $unit -ge 2 ]; then
 +        echo -ne " ${unit} ${name}s"
 +    elif [ $unit -ge 1 ]; then
 +        echo -ne " ${unit} ${name}"
 +    else
 +        echo -ne ""    
 +    fi    
 +# Retrieves date in seconds.
 +# This function could take one parameter, a time returned by the command
 +# `date +"%Y %m %d %H %M %S"`. Without parameter, it returns GMT time.
 +getTimeInSeconds() {
 + date=0
 + os=`uname -s`
 + if [ "$1" ]; then
 + date=`${MY_GAWK_BIN} 'BEGIN  { \
 + if (ARGC == 2) { \
 +         print mktime(ARGV[1]) \
 + } \
 + exit 0 }' "$1"`
 + else
 + if [ "${os}" = "SunOS" ]; then
 + # Under Sun Solaris, there is no simple way to
 + # retrieve epoch time.
 + # TODO: manage zulu time (GMT)
 + date=`/usr/bin/truss /usr/bin/date 2>&1 | nawk -F= \
 + '/^time\(\)/ {gsub(/ /,"",$2);print $2}'`
 + else
 + now=`date +"%Y %m %d %H %M %S" -u`
 + date=`getTimeInSeconds "$now"`
 + fi
 + fi
 + echo ${date}
 +# Script
 +## Variables initialization
 +ldap_param="-LLL -H ${MY_LDAP_HOSTURI} -x"
 +## Some tests
 +if [ -d ${tmp_dir} ]; then
 + echo "Error : temporary directory exists (${tmp_dir})"
 + exit 1
 +mkdir ${tmp_dir}
 +if [ ${MY_LDAP_ROOTDN} ]; then
 + ldap_param="${ldap_param} -D ${MY_LDAP_ROOTDN} -w ${MY_LDAP_ROOTPW}"
 +## Performs global search
 +${MY_LDAP_SEARCHBIN} ${ldap_param} -s one -b "${MY_LDAP_SEARCHBASE}" \
 + "${MY_LDAP_SEARCHFILTER}" "dn" > ${result_file}
 +## Loops on results
 +while read dnStr
 + # Do not use blank lines
 + if [ ! "${dnStr}" ]; then
 + continue
 + fi
 + # Process ldap search
 + dn=`echo ${dnStr} | cut -d : -f 2`
 + # Increment users counter
 + nb_users=`expr ${nb_users} + 1`
 + ${MY_LDAP_SEARCHBIN} ${ldap_param} -s base -b "${dn}" \
 + ${MY_LDAP_NAME_ATTR} ${MY_LDAP_LOGIN_ATTR} ${MY_LDAP_MAIL_ATTR} pwdChangedTime pwdPolicySubentry \
 + > ${buffer_file}
 + login=`grep -w "${MY_LDAP_LOGIN_ATTR}:" ${buffer_file} | cut -d : -f 2 \
 + | sed "s/^ *//;s/ *$//"`
 + name=`grep -w "${MY_LDAP_NAME_ATTR}:" ${buffer_file} | cut -d : -f 2\
 + | sed "s/^ *//;s/ *$//"`
 + mail=`grep -w "${MY_LDAP_MAIL_ATTR}:" ${buffer_file} | cut -d : -f 2 \
 + | sed "s/^ *//;s/ *$//"`
 + pwdChangedTime=`grep -w "pwdChangedTime:" ${buffer_file} \
 + | cut -d : -f 2 | cut -c 0-15 | sed "s/^ *//;s/ *$//"`
 + pwdPolicySubentry=`grep -w "pwdPolicySubentry:" ${buffer_file} \
 + | cut -d : -f 2 | sed "s/^ *//;s/ *$//"`
 + # Go to next entry if no pwdChangedTime
 + if [ ! "${pwdChangedTime}" ]; then
 + echo "${MY_LOG_HEADER} No hay fecha de cambio para ${login}" >&2
 + continue
 + fi
 + # Go to next entry if no pwdPolicySubEntry and no default policy
 + if [ ! "${pwdPolicySubentry}" -a ! "${MY_LDAP_DEFAULTPWDPOLICYDN}" ]; then
 + echo "${MY_LOG_HEADER} No hay politica de password para ${login}" >&2
 + continue
 + fi
 + # Retrieves user policy pwdMaxAge and pwdExpireWarning attributes
 + ldap_search="${MY_LDAP_SEARCHBIN} ${ldap_param} -s base"
 + if [ "${pwdPolicySubentry}" ]; then
 + ldap_search="${ldap_search} -b ${pwdPolicySubentry}"
 + else
 + ldap_search="${ldap_search} -b ${MY_LDAP_DEFAULTPWDPOLICYDN}"
 + fi
 + ldap_search="$ldap_search pwdMaxAge pwdExpireWarning"
 + pwdMaxAge=`${ldap_search} | grep -w "pwdMaxAge:" | cut -d : -f 2 \
 + | sed "s/^ *//;s/ *$//"`
 + pwdExpireWarning=`${ldap_search} | grep -w "pwdExpireWarning:" | cut -d : -f 2 \
 + | sed "s/^ *//;s/ *$//"`
 + # Replace MAIL_DELAY by pwdExpireWarning if exists
 + MY_MAIL_DELAY=${MY_MAIL_DELAY:=$pwdExpireWarning}
 + # Retrieves time difference between today and last change.
 + if [ "${pwdChangedTime}" ]; then
 + s=`echo ${pwdChangedTime} | cut -c 13-14`
 + m=`echo ${pwdChangedTime} | cut -c 11-12`
 + h=`echo ${pwdChangedTime} | cut -c 9-10`
 + d=`echo ${pwdChangedTime} | cut -c 7-8`
 + M=`echo ${pwdChangedTime} | cut -c 5-6`
 + y=`echo ${pwdChangedTime} | cut -c 0-4`
 + currentTime=`getTimeInSeconds`
 + pwdChangedTime=`getTimeInSeconds "$y $M $d $h $m $s"`
 + diffTime=`expr ${currentTime} - ${pwdChangedTime}`
 + fi
 + # Go to next user if password already expired
 + expireTime=`expr ${pwdChangedTime} + ${pwdMaxAge}`
 + if [ ${currentTime} -gt ${expireTime} ]; then
 + # Sending mail...
 + ${MY_MAIL_BIN} ${mail} ${login} 'bloqueado' \'${EXPIROEN}\' >&2
 +# echo "${logmsg}" | ${MY_MAIL_BIN} ${mail} ${expireTime} ${login} 'bloqueado'  >&2
 + if [ "${login}" != "ldapadmin" ]; then
 +     echo "
 +     dn: uid=${login},ou=users,dc=dominio,dc=com
 +     changetype: modify
 +     add: pwdAccountLockedTime
 +     pwdAccountLockedTime: 000001010000Z"| ldapmodify -x -D "uid=ldapadmin,ou=users,dc=dominio,dc=com" -w ..xtechpae -v
 +     # Print debug information on STDERR
 +     nb_expired_users=`expr ${nb_expired_users} + 1`
 + fi
 +     echo "${MY_LOG_HEADER} Password expirado para ${login} mail enviado a <${mail}>" >&2
 + continue
 + fi
 + # ALL LDAP attributes should be there, else continue to next user
 +# if [ "${mail}" -a "${name}" -a "${login}" -a "${diffTime}" -a "${pwdMaxAge}" ]
 + if [ "${mail}" -a "${login}" -a "${diffTime}" -a "${pwdMaxAge}" ]
 + then
 + EXPIRACION=`expr ${pwdMaxAge} - ${diffTime}`
 + EXPIROEN="$(timerLengthString ${EXPIRACION})"
 + # Ajusts time with delay
 + diffTime=`expr ${diffTime} + ${MY_MAIL_DELAY}`
 + if [ ${diffTime} -gt ${pwdMaxAge} ]; then
 + logmsg="${MY_MAIL_BODY}"
 + logmsg=`echo ${logmsg} | sed "s/%name/${name}/; \
 + s/%login/${login}/"`
 +     # Sending mail...
 +     #echo "${logmsg}" | ${MY_MAIL_BIN} ${mail} \'${EXPIROEN}\' ${login} 'warning' >&2
 +     #echo "${logmsg}" | ${MY_MAIL_BIN} \'${mail}\' \'${EXPIROEN}\' \'${login}\' 'warning' >&2
 +     ${MY_MAIL_BIN} ${mail} ${login} 'warning' \'${EXPIROEN}\' >&2
 +     #echo ${MY_MAIL_BIN} ${mail} ${login} 'warning' \'${EXPIRO}\' >&2
 +     # Print debug information on STDERR
 +     #echo "${MY_LOG_HEADER} Mail de advertencia ${login} <${mail}>" >&2
 +     echo "${MY_LOG_HEADER} Password para "${login}" a punto de expirar en" ${EXPIROEN} >&2
 + # Increment warning counter
 + nb_warning_users=`expr ${nb_warning_users} + 1`
 + fi
 + fi
 +done < ${result_file}
 +# Print statistics on STDOUT
 +echo "${MY_LOG_HEADER} --- Statistics ---"
 +echo "${MY_LOG_HEADER} Users checked: ${nb_users}"
 +echo "${MY_LOG_HEADER} Account expired: ${nb_expired_users}"
 +echo "${MY_LOG_HEADER} Account in warning: ${nb_warning_users}"
 +# Delete temporary files
 +rm -rf ${tmp_dir}
 +# Exit
 +exit 0
 +Script que envia mails
 +<code perl>
 +use strict;
 +use MIME::Lite;
 +my $usuario = $ARGV[1];
 +if(!$usuario) {
 +    print "Falta nombre de usuario";
 +    exit(1);
 +my $tipo_mail = $ARGV[2];
 +if(!$tipo_mail) {
 +    print "Falta tipo de mail, warning o bloqueo";
 +    exit(1);
 +my $email = $ARGV[0];
 +#my $expiracion = localtime($ARGV[1]);
 +my $expiracion = $ARGV[3]." ".$ARGV[4]." ".$ARGV[5]." ".$ARGV[6]." ".$ARGV[7]." ".$ARGV[8]." ".$ARGV[9];
 +if($tipo_mail eq "warning") {
 +    my $asunto = "Su cuenta de usuario (".$usuario.") para equipos de Telecomunicaciones está por vencer";
 +    my $asuntohtml = "Su cuenta de usuario ( ".$usuario." ) para equipos de Telecomunicaciones est&aacute; por vencer en <br> ".$expiracion."";
 +    my $mensaje = "<font size='+1'><i><ul>
 +    <li>Su usuario de autenticaci&oacute;n de Radius vencer&aacute; en ".$expiracion.".</li><br>
 +    <li>Dirigirse a https://servidor-ldap/cambia_password para cambiarla.</li><br>
 +    <li>Leer atentamente las caracter&iacute;sticas que debe tener el password.</li><br>
 +    <li>Una vez vencida su cuenta solamente podr&aacute; ser cambiada por</li>
 +    <ul><li>Nombre int. 3994</li></ul>
 +    <ul><li>Nombre int. 4491</li></ul>
 +    </ul></i></font>";
 +    my $msg = MIME::Lite->new
 +    (
 +        Subject => $asunto,
 + From    => 'Administracion LDAP ldapadmin@servidor-ldap',
 + To      => $email,
 + Type    => 'text/html',
 + Data    => "<H1>".$asuntohtml."</H1><IMG SRC='http://servidor-ldap/logo.gif'><hr>".$mensaje.""
 +    );
 +    $msg->send();
 +    print " $0 : Mail de warning enviado a <".$email.">\n";
 +if($tipo_mail eq 'bloqueado') {
 +    my $asunto = "Su cuenta de usuario (".$usuario.") para equipos de Telecomunicaciones a sido bloqueada";
 +    my $asuntohtml = "Su cuenta de usuario ( ".$usuario." ) para equipos de Telecomunicaciones a sido bloqueada";
 +    my $mensaje = "<font size='+1'><i><ul>
 +    <li>Su usuario de autenticaci&oacute;n de Radius vencio.</li><br>
 +    <li>Una vez vencida su cuenta solamente podr&aacute; ser cambiada por</li>
 +    </ul></i></font>";
 +    my $msg = MIME::Lite->new
 +    (
 +        Subject => $asunto,
 + From    => 'Administracion LDAP ldapadmin@servidor-ldap',
 + To      => $email,
 + Type    => 'text/html',
 + Data    => "<H1>".$asuntohtml."</H1><IMG SRC='http://servidor-ldap/logo.gif'><hr>".$mensaje.""
 +    );
 +    $msg->send();
 +    print " $0 : Mail de bloqueo enviado a <".$email.">\n";
 +==== Autocambio de contraseña ====
 +En el caso de que necesitemos obviamente que antes de que se les caduque la contraseña a los usuarios, ellos mismos puedan cambiar su contraseña, podremos utilizar un script via web
 +{{ :notas:autocambio.png }}
 +En este apartado del archivo slapd.conf deberemos tener activado el self write
 +access to *
 +        by self write
 +Aca estan los archivos del script en PHP
 +==== Referencias ====
 +^ OpenLDAP | http://www.openldap.org/ |
 +^ Configuraciones de ejemplo | http://itsecureadmin.com/wiki/index.php/OpenLDAP_Multi-Master_Replication \\ http://www.zytrax.com/books/ldap/ch7/#ol-syncrepl-mm |
