OpenLDAP - Histórico de revisão

http://wiki.sc.usp.br/index.php?action=history&feed=atom&title=OpenLDAP OpenLDAP - Histórico de revisão 2026-04-11T18:32:11Z Histórico de revisões para esta página neste wiki MediaWiki 1.35.1 http://wiki.sc.usp.br/index.php?title=OpenLDAP&diff=28&oldid=prev Mterra: Criou página com '== Objetivo == Instalação de OpenLDAP em servidores Linux Ubuntu. == Requisitos == * Ubuntu Server * Openssl == Procedimentos == === Instalação === <ol style="list-styl...' 2021-03-31T17:18:25Z

<p>Criou página com '== Objetivo == Instalação de OpenLDAP em servidores Linux Ubuntu. == Requisitos == * Ubuntu Server * Openssl == Procedimentos == === Instalação === <ol style="list-styl...'</p> <p><b>Página nova</b></p><div>== Objetivo ==<br /> Instalação de OpenLDAP em servidores Linux Ubuntu.<br /> <br /> == Requisitos ==<br /> * Ubuntu Server<br /> * Openssl<br /> <br /> == Procedimentos ==<br /> === Instalação ===<br /> <br /> <ol style="list-style-type:lower-alpha"><br /> <li>Instalação do daemon do OpenLDAP (<tt>slapd</tt>):<br /> <pre><br /> # apt-get install slapd<br /> </pre><br /> </li><br /> <li>Instalação das ferramentas do OpenLDAP (<tt>ldapadd</tt>,<tt>ldapsearch</tt>, <tt>ldapmodify</tt>, etc):<br /> <pre><br /> # apt-get install ldap-utils<br /> </pre><br /> </li><br /> <li>Instalação das ferramentas para DB Berkeley:<br /> <pre><br /> # apt-get install db4.5-util<br /> </pre><br /> </li><br /> </ol><br /> <br /> === Configuração ===<br /> <ol style="list-style-type:lower-alpha"><br /> <li>Copie os esquemas do Qmail-LDAP e freeRADIUS no diretório <tt>/etc/ldap/schema</tt>.</li><br /> <li>Edite o arquivo de configuração do slapd <tt>/etc/ldap/slapd.conf</tt>.</li><br /> <li>Acrescente os esquemas LDAP para o Qmail-LDAP e freeRADIUS:<br /> <pre><br /> include /etc/ldap/schema/qmail.schema<br /> include /etc/ldap/schema/radius.schema<br /> </pre><br /> <li>Defina o nível de log do slapd (veja em <tt>slapd.conf(5)</tt> sobre outras opções):<br /> <pre><br /> loglevel 256<br /> </pre><br /> O nível <tt>256</tt> permite gerar informações de conexões, operações e resultados. O valor padrão é <tt>8</tt>, que gera penas informações de conexão.</li><br /> <li>Defina a base do diretório no banco de dados:<br /> <pre><br /> suffix "dc=usp,dc=br"<br /> </pre><br /> Esta base define o início da estrutura de diretório do seu banco de dados.</li><br /> <li>Defina o superusuário do banco de dados (<tt>rootdn</tt>):<br /> <pre><br /> rootdn "cn=admin,dc=usp,dc=br"<br /> </pre><br /> </li><br /> <li>Defina as indexações das entradas do seu banco de dados (para otimização em busca na estrutura do diretório):<br /> <pre><br /> index objectClass eq<br /> index uid eq<br /> index mail eq,sub<br /> index mailAlternateAddress eq,sub<br /> index mailForwardingAddress eq,sub<br /> </pre><br /> Os valores <tt>eq</tt> e <tt>sub</tt> definem a forma da indexação e da busca: <tt>eq</tt> busca o valor exato enquanto <tt>sub</tt> busca partes do valor.</li><br /> <li>Defina que os acessos aos atributos por parte dos usuários (a ordem em que aparecem no arquivo de configuração é importante):<br /> <pre><br /> access to attrs=userPassword<br /> by dn="cn=admin,dc=usp,dc=br" write<br /> by anonymous auth<br /> by self write<br /> by * none<br /> </pre><br /> Permite o acesso ao atributo <tt>userPassword</tt> na seguinte ordem:<br /> * O <tt>rootdn</tt> tem permissão de escrita (<tt>write</tt>);<br /> * Em uma conexão sem identificação (<tt>anonymous</tt>) exige-se a autenticação (<tt>auth</tt>);<br /> * Em uma conexão identificada <tt>self</tt> é permitido a escrita;<br /> * E os demais não tem nenhuma permissão.<br /> <br /> <pre><br /> access to attrs=mailForwardingAddress,deliveryMode,mailReplyText<br /> by dn="cn=admin,dc=usp,dc=br" write<br /> by anonymous read<br /> by self write<br /> by * none<br /> </pre><br /> Permite o acesso aos atributos <tt>mailForwardingAddress</tt>, <tt>deliveryMode</tt> e <tt>mailReplyText</tt> na seguinte ordem:<br /> * O <tt>rootdn</tt> tem permissão de escrita;<br /> * Em uma conexão sem identificação é permitido ler (<tt>read</tt>);<br /> * Em uma conexão identificada é permitido a escrita;<br /> * Os demais não tem nenhuma permissão.<br /> <pre><br /> access to * <br /> by dn="cn=admin,dc=usp,dc=br" write<br /> by * read<br /> </pre><br /> Permite que o acesso aos demais atributos na seguinte ordem:<br /> * O <tt>rootdn</tt> tem permissão de escrita.<br /> * Os demais tem permissão de leitura.</li><br /> </OL><br /> <br /> == Criando o banco de dados ==<br /> O banco de dados do OpenLDAP fica localizado no diretório do sistema <tt>/var/lib/ldap/</tt> com permissões ao usuário e grupo <tt>openldap</tt>.<br /> <br /> <ol style="list-style-type:lower-alpha"><br /> <li><span id="parada">Pare o processo do daemon</span>:<br /> <pre><br /> # /etc/init.d/slapd stop<br /> </pre><br /> </li><br /> <li><span id="remocao">Remova os arquivos do diretório <tt>/var/lib/ldap</tt></span>:<br /> <pre><br /> # rm /var/lib/ldap/*<br /> </pre><br /> </li><br /> <li>Gere uma senha em SSHA para o superusuário (<tt>rootdn</tt>):<br /> <pre><br /> # slappasswd <br /> </pre><br /> Uma senha criptografada em SSHA é gerada (<tt>SSHA}senha_criptografada</tt>).</li><br /> <li>Crie o arquivo <li>/tmp/init.ldif</li> com o seguinte conteúdo:<br /> <pre><br /> dn: dc=usp,dc=br<br /> objectClass: dcObject<br /> objectClass: organization<br /> dc: usp<br /> o: usp<br /> <br /> dn: cn=admin,dc=usp,dc=br<br /> objectClass: dcObject<br /> objectClass: simpleSecurityObject<br /> objectClass: organizationalRole<br /> cn: admin<br /> dc: usp<br /> description: LDAP administrator<br /> userPassword: {SSHA}senha_criptografada<br /> <br /> dn: ou=radius,dc=usp,dc=br<br /> objectClass: dcObject<br /> objectClass: organizationalUnit<br /> ou: radius<br /> dc: usp<br /> description: Usuarios do radius<br /> <br /> dn: ou=qmail,dc=usp,dc=br<br /> objectClass: dcObject<br /> objectClass: organizationalUnit<br /> ou: qmail<br /> dc: usp<br /> description: Usuarios do qmail<br /> <br /> dn: ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> objectClass: organizationalUnit<br /> ou: sc.usp.br<br /> ou: qmail<br /> description: Dominio sc.usp.br<br /> </pre><br /> onde:<br /> * '''dn''': define um ''distinguish name'' que identifica unicamente uma entrada na árvore do diretório.<br /> * '''objectClass''': define a classe do objeto utilizado definido em algum esquema.<br /> * '''atributo''': define o atributo da classe de objeto utilizado e seu respectivo valor.<br /> Para informações sobre os atributos, verifique nos esquemas utilizados na configuração.<br /> <br /> Este arquivo permite: <br /> * a criação da árvore inicial <tt>dc=usp,dc=br</tt>;<br /> * a criação do superusuário <tt>cn=admin,dc=usp,dc=br</tt> com a senha gerada no passo anterior (<tt>{SSHA}senha_criptografada</tt>);<br /> * a criação da organização para conter os usuários do freeRADIUS (<tt>ou=radius,dc=usp,dc=br</tt>);<br /> * a criação da organização para conter os domínios do qmailLDAP (<tt>ou=qmail,dc=usp,dc=br</tt>);<br /> * a criação da organização para conter os usuários do domínio do qmailLDAP (<tt>ou=sc.usp.br,ou=qmail,dc=usp,dc=br</tt>).<br /> </li><br /> <li>Crie o dirétório:<br /> <pre><br /> # slapadd -l /tmp/init.ldif<br /> </pre><br /> </li><br /> <li><span id="verificacao">Verifique se a árvore foi criada corretamente</span>:<br /> <pre><br /> # slapcat<br /> </pre><br /> </li><br /> <li><span id="permissao">Altere as permissões dos arquivos do diretório <tt>/var/lib/ldap</tt></span>:<br /> <pre><br /> # chown openldap:openldap /var/lib/ldap/*<br /> </pre><br /> </li><br /> <li><span id="execucao">Inicialize o daemon <tt>slapd</tt></span>:<br /> <pre><br /> # /etc/init.d/slapd start<br /> </pre><br /> </li><br /> </ol><br /> <br /> === Trabalhando com o banco de dados ===<br /> ==== Inserindo dados ====<br /> <ol style="list-style-type:lower-alpha"><br /> <li>Crie o arquivo <tt>/tmp/usuario.ldif</tt> para inserção da entrada <tt>uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br</tt> que define a conta <tt>test</tt> para o Qmail-LDAP:<br /> <pre><br /> dn: uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> objectClass: inetOrgPerson<br /> objectClass: qmailUser<br /> ou: sc.usp.br<br /> cn: Conta de Teste<br /> sn: test<br /> uid: test<br /> mail: test@sc.usp.br<br /> qmailUID: 509<br /> qmailGID: 509<br /> accountStatus: active<br /> qmailDotMode: both<br /> userPassword: {CRYPT}senha_criptografada<br /> mailHost: hermes.cisc.usp.br<br /> mailQuotaSize: 125829120<br /> mailQuotaCount: 0<br /> homeDirectory: /var/qmail/maildirs/sc.usp.br/J/test/<br /> mailMessageStore: /var/qmail/maildirs/sc.usp.br/J/test/Maildir/<br /> </pre><br /> Cada entrada tem que ter um único <tt>dn</tt> em toda árvore do diretório.</li><br /> <li>Insira o usuário no banco de dados:<br /> <pre><br /> # ldapadd -x -W -D "cn=admin,dc=usp,dc=br" -f /tmp/usuario.ldif<br /> </pre><br /> </li><br /> <li>Crie o arquivo <tt>/tmp/raidus.ldiff</tt> para inserção da entrada <tt>uid=test,ou=radius,dc=usp,dc=br</tt> que define a conta <tt>test</tt> para o freeRADIUS:<br /> <pre><br /> dn: uid=test,ou=radius,dc=usp,dc=br<br /> objectClass: inetOrgPerson<br /> objectClass: radiusprofile<br /> ou: radius<br /> uid: test<br /> cn: Conta de Teste<br /> sn: test<br /> userPassword: {CRYPT}AJLSPco3rZRDg<br /> radiusAuthType: ldap<br /> radiusExpiration: Jan 01 2008<br /> radiusSimultaneousUse: 1<br /> </pre><br /> </li><br /> <li>Insira o usuário no banco de dados:<br /> <pre><br /> # ldapadd -x -W -D "cn=admin,dc=usp,dc=br" -f /tmp/radius.ldif<br /> </pre><br /> </li><br /> </ol><br /> <br /> ==== Verificando os atributos ====<br /> <ol style="list-style-type:lower-alpha"><br /> <li>Para verificar os dados de uma entrada específica como superusuário, digite:<br /> <pre><br /> # ldapsearch -x -W -D "cn=admin,dc=usp,dc=br" -b "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br"<br /> </pre><br /> </li><br /> <li>Para verificar todos os dados de um ramo da árvore como superusuário, digite:<br /> <pre><br /> # ldapsearch -x -W -D "cn=admin,dc=usp,dc=br" -b "ou=sc.usp.br,ou=qmail,dc=usp,dc=br"<br /> </pre><br /> </li><br /> <li>Para verificar os atributos específicos de uma entrada como superusuário, digite:<br /> <pre><br /> # ldapsearch -x -W -D "cn=admin,dc=usp,dc=br" -b "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br" mail cn<br /> </pre><br /> </li><br /> <li>Para verificar os atributos específicos de uma entrada específica como superusuário, digite:<br /> <pre><br /> # ldapsearch -x -W -D "cn=admin,dc=usp,dc=br" -b "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br" ('uid=test') mail cn<br /> </pre><br /> </li><br /> <li>Para verificar os dados de uma entrada específica como anônimo, digite:<br /> <pre><br /> # ldapsearch -x -b "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br"<br /> </pre><br /> </li><br /> <li>Para verificar os dados de uma entrada específica, mas como dono da entrada, digite:<br /> <pre><br /> # ldapsearch -x -W -D "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br" -b "uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br"<br /> </pre><br /> </li><br /> </ol><br /> <br /> ==== Modificando atributos ====<br /> <ol style="list-style-type:lower-alpha"><br /> <li>Crie o arquivo <tt>/tmp/modificar.ldif</tt> para modificar um atributo de uma entrada existente:<br /> <pre><br /> dn: uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> changetype: modify<br /> replace: cn<br /> cn: Conta de teste de email<br /> -<br /> </pre><br /> onde:<br /> * '''dn''': define a entrada da árvore;<br /> * '''changetype''': define a ação a ser realizada;<br /> * '''replace''': define que atributo irá ser modificado;<br /> * '''atributo''': define o atributo e o valor a ser modificado.<br /> * '''-''': delimita a ação.<br /> </li><br /> <li>Modifique o atributo:<br /> <pre><br /> # ldapmodify -x -W -D "cn=admin,dc=usp,dc=br" -f /tmp/modificar.ldif<br /> </pre><br /> </li><br /> <li>Crie o arquivo <tt>/tmp/adicionar.ldif</tt> para adicionar um novo atributo a uma entrada existente:<br /> <pre><br /> dn: uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> changetype: modify<br /> add: mailQuotaCount<br /> mailQuotaCount: 1000<br /> -<br /> </pre><br /> onde:<br /> * '''dn''': define a entrada da árvore;<br /> * '''changetype''': define a ação a ser realizada;<br /> * '''add''': define que atributo irá ser adicionado;<br /> * '''atributo''': define o atributo e o valor a ser modificado.<br /> * '''-''': delimita a ação.<br /> </li><br /> <li>Adicione o atributo:<br /> <pre><br /> # ldapmodify -x -W -D "cn=admin,dc=usp,dc=br" -f /tmp/adicionar.ldif<br /> </pre><br /> </li><br /> <li>Crie o arquivo <tt>/tmp/remover.ldif</tt> para remover um atributo em uma entrada existente:<br /> <pre><br /> dn: uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> changetype: modify<br /> delete: mailQuotaSize<br /> -<br /> </pre><br /> onde:<br /> * '''dn''': define a entrada da árvore;<br /> * '''changetype''': define a ação a ser realizada;<br /> * '''delete''': define que atributo irá ser removido;<br /> * '''atributo''': define o atributo e o valor a ser modificado.<br /> * '''-''': delimita a ação.<br /> </li><br /> <li>Remova o atributo:<br /> <pre><br /> # ldapmodify -x -W -D "cn=admin,dc=usp,dc=br" -f /tmp/remover.ldif<br /> </pre><br /> </li><br /> <li>As modificações de uma entrada existente (modificar, criar e remover) podem ser feitas em um único arquivo LDIF:<br /> <pre><br /> dn: uid=test,ou=sc.usp.br,ou=qmail,dc=usp,dc=br<br /> changetype: modify<br /> replace: cn<br /> cn: Conta de teste de email<br /> -<br /> add: mailQuotaCount<br /> mailQuotaCount: 1000<br /> -<br /> delete: mailQuotaSize<br /> -<br /> </pre><br /> </li><br /> </ol><br /> <br /> === Backupeando os dados ===<br /> <ol style="list-style-type:lower-alpha"><br /> <li>Para fazer o backup completo da árvore do diretório e salvar no arquivo <tt>/tmp/backup.ldif</tt>, digite:<br /> <pre><br /> # slapcat > /tmp/backup.ldif<br /> </pre><br /> </li><br /> </ol><br /> <br /> == Referências ==<br /> * [[LDAP|O que é LDAP]]<br /> * [http://www.openldap.org/ Projeto OpenLDAP]<br /> * [http://www.qmail-ldap.org/ Projeto Qmail-LDAP]<br /> * [http://www.freeradius.org/ Projeto FreeRadius]<br /> * [http://www.whitemiceconsulting.com/node/42 Esquema Radius]</div>

Mterra