Capítulo 11: Instalar y configurar OpenLDAP en Ubuntu 14.04 LTS



11.10. Instalar y configurar la interfaz web LDAP Account Manager para administrar OpenLDAP

Puedes obtener más información sobre LDAP Account Manager en su página oficial (http://sourceforge.net/projects/lam) o en la Wikipedia (http://en.wikipedia.org/wiki/LDAP_Account_Manager).

Existe un cliente para LDAP, basado en una interfaz web, que
permite administrar de una forma sencilla un servidor LDAP desde cualquier lugar, a través de un sencillo navegador de Internet. Este cliente es LDAP Account Manager, aunque también se conoce de forma abreviada como LAM.

El proyecto fue creado en 2003 por Michael Dürgner, Roland Gruber, Tilo Lutz y Leonhard Walchshäusl con el objetivo de administrar cuentas de usuarios, equipos y grupos bajo los protocolos POSIX y SAMBA. El resultado fue LDAP Account Manager, un software escrito en PHP que se ofreció a la comunidad informática bajo licencia GPL.

Las ventajas que aporta son:

  • Puede funcionar sobre cualquier servidor web que soporte PHP a partir de la versión 4.
  • Es compatible con cualquier navegador web en el lado cliente que soporte CSS.
  • Puede utilizarse con OpenLDAP a partir de la versión 2.0.
  • Puede utilizar conexiones sin cifrar o cifradas con SSL.
  • Puede exportar la información de las cuentas en formato PDF.
  • Puede crear nuevas cuentas a partir de archivos de texto.

En la actualidad, además, se encuentra disponible en 16 idiomas.

LDAP Account Manager dispone de una vista con forma de árbol jerárquico que permite recorrer toda la estructura del directorio. También, incorpora funciones de búsqueda avanzadas que lo convierten en una herramienta intuitiva para consultar y administrar el directorio LDAP.

Además de las características anteriores, podemos destacar las siguientes:

  • Edición de entradas a partir de plantillas.
  • Copias de entradas de un lugar a otro, incluso entre diferentes servidores.
  • Es capaz de copiar árboles completos de forma recursiva.
  • Borra entradas individuales y árboles completos.
  • Búsquedas sencillas y avanzadas en el directorio.
  • etc.

Como se trata de una aplicación web, funciona perfectamente en diferentes plataformas, permitiendonos administrar el servidor LDAP desde cualquier lugar y desde cualquier sistema.

Instalación de LDAP Account Manager

El acrónimo LAMP se refiere a una infraestructura web basada en las siguientes herramientas:

  • El sistema operativo LInux.
  • El servidor web Apache.
  • El gestor de bases de datos MySQL
  • El lenguaje de programación PHP

PHP puede sustituirse con Perl o Python y MySQL con MariaDB.

LDAP Account Manager se encuentra de forma predeterminada en los repositorios oficiales de Ubuntu 14.04 LTS, por lo que será muy sencillo instalarlo.

La única circunstancia a tener en cuenta son las dependencias. Como se trata de una aplicación escrita en PHP, para funcionar correctamente necesita disponer de un servidor LAPM instalado y activo en el servidor.
Sin embargo, el proceso de instalación nos ofrecerá incluirlas de forma automática, por lo que el problema quedará resuelto implícitamente. Incluso podemos añadir la opción -y a la orden de instalación para evitar incluso que nos pregunte.

Por lo tanto, abriremos la terminal y ejecutaremos el siguiente comando:

sudo apt-get install ldap-account-manager

1

Escribimos la contraseña y pulsamos la tecla Intro.

2

Poco después, y sin ninguna intervención por nuestra parte, el programa estará instalado.

Realizar ajustes previos

Para realizar la configuración previa de LDAP Account Manager no es necesario editar ningún archivo de configuración. Basta con abrir el navegador y escribir en la barra de direcciones lo siguiente:

http://localhost/lam

Esto nos llevará a la página inicial de LDAP Account Manager. Para iniciar la configuración, basta con hacer clic sobre el enlace LAM configuration. Sin embargo, si prefieres realizar todo el proceso en español, puedes elegir el idioma en la lista desplegable Language.

Como cabe esperar, en ese momento, toda la interfaz se muestra en español.

1

Ahora, hacemos clic sobre el enlace Configuración de LAM.

Al hacerlo, llegamos a una página donde tenemos dos opciones:

  • Editar la configuración general.
  • Editar perfiles del servidor.

A continuación, veremos cómo resolver ambas tareas.

Editar la configuración general.

Comenzaremos por Editar la configuación general para establecer el perfil del servidor.

1

Hacemos clic sobre Editar la configuración general.

Antes de entrar en la opción elegida, LDAP Account Manager nos pide la contraseña maestra. Esta contraseña no está relacionada con la que escribimos para la administración del directorio OpenLDAP, sino que es propia de LDAP Account Manager.

De forma predeterminada, su valor es lam, aunque deberemos cambiarla lo antes posible.

2

Escribimos la contraseña y hacemos clic sobre el botón Aceptar.

Así llegamos a la página Configuración general, que se divide, a su vez en cuatro apartados diferentes:

  • Preferencias de seguridad, donde podemos establecer los siguientes valores:
    • Un límite de tiempo en el que una sesión puede estar inactiva. Después de ese periodo, se cerrará automáticamente. Como puedes ver, de forma predeterminada, el límite es de 30 minutos.
    • Una lista de direcciones IP desde las que se puede acceder a LDAP Account Manager. Se pueden establecer rangos de valores usando el carácter asterísco (*). Por ejemplo, 192.168.1.*.
    • Los certificados SSL que usaremos, aunque de forma predeterminada se utilizan los certificados que tengamos preinstalados en el sistema.
  • Política de contraseñas, donde podemos indicar una política centralizada para las contraseñas en LDAP Account Manager. Esta política será válida en todos los campos de contraseña dentro del administrador LDAP Account Manager, salvo las contraseñas de configuración.
  • Iniciando sesión, que permite el seguimiento de eventos de forma integrada con el sistema (syslog en GNU/Linux o el Visor de eventos en Windows) o en un archivo separado. Debemos tener cuidado con los archivos de eventos de LAM, porque en el nivel de Advertencia pueden contener información sensible (como contraseñas). Por ello, en un sistema en producción, debemos cambiar el Nivel de trazas a un valor diferente.
    En cuanto a los errores que pueda producir PHP, LDAP Account Manager los ignora de forma predeterminada y, en la mayoría de los casos, esta será la opción apropiada.
  • Cambiando la contraseña maestra, es la opción que nos permite cambiar la contraseña maestra. No debemos dejar el valor predeterminado (lam), porque es ampliamente conocido.

3

Contenido completo de la página de Configuración general.

De momento, dejaremos todos los valores predeterminados, salvo la contraseña maestra. Por lo que nos dirigimos a la parte inferior de la página y la escribimos (por duplicado, como es habitual, para evitar los errores tipográficos).

4

Después, podemos hacer clic sobre el botón Aceptar.

Al hacerlo, volveremos a la pantalla principal.

Editar perfiles del servidor.

Una vez de vuelta en la pantalla principal, el siguiente paso será editar los perfiles del servidor. Para lograrlo, deberemos volver a la página Configuración de LAM.

1

Hacemos clic sobre el enlace Configuración de LAM.

Como cabe esperar, ahora haremos clic sobre la segunda opción: Editar perfiles del servidor. Los perfiles del servidor almacenan información sobre el servidor OpenLDAP y las características de sus cuentas.

Un aspecto importante es que no hay límite en el número de perfiles de servidor, aunque, como veremos, nosotros nos centraremos en los valores predeterminados.

2

Hacemos clic sobre la segunda opción.

Como antes, para entrar en la opción elegida, LDAP Account Manager nos pide la contraseña maestra. Debes tener en cuenta que el cambio de contraseña que hemos hecho más arriba tiene efecto cuando iniciemos sesión la próxima vez por lo que, si has seguido los pasos que indicamos aquí de forma consecutiva, deberás seguir usando la contraseña predeterminada (lam), aunque la próxima vez que entres, ya deberás usar la nueva.

3

Escribimos la contraseña y hacemos clic sobre el botón Aceptar.

Así llegamos a la página Configuración de los perfiles. Como puedes ver, la página se divide en cuatro solapas:

  • Configuración general, que contiene la información global del servidor LDAP, como el nombre del host o las características de seguridad.
  • Tipos de cuentas, donde se indican las diferentes clases de cuentas que administraremos, como usuarios, grupos o equipos.
  • Módulos, que contiene la lista de módulos que definen las características de las cuentas que vamos a administrar (si son cuentas Unix, Samba, Koalab, etc).
  • Preferencias del módulo, que contiene aspectos específicos del módulo que hayamos seleccionado en la solapa anterior.

Aquí nos centraremos sólo en las dos primeras.

Solapa Configuración general

La solapa Configuración general se divide en las siguientes áreas:

  • Preferencias del servidor
  • Configuración del idioma
  • Preferencias de lamdaemon
  • Configuración de herramientas
  • Preferencias de seguridad

Iremos explicando el contenido de cada una de ellas según vayamos avanzando.

1

Contenido completo de la solapa Configuración general.

En el apartado Preferencias del servidor deberemos completar los siguientes datos:

  • Dirección del servidor: Como el servidor OpenLDAP se encuentra en el mismo equipo que LDAP Account Manager, nos limitaremos a dejar el valor predeterminado (ldap://localhost:389).
  • Activar TLS: TLS son las siglas de Transport Layer Security (Seguridad de la capa de transporte). Como por ahora no vamos a utilizar conexiones cifradas, mantenemos el valor predeterminado (no).
  • Sufijo del árbol: LDAP Account Manager incluye un navegador para LDAP. Si queremos hacer modificaciones de forma directa en él , deberemos incluir aquí el sufijo que use nuestro árbol. Para nuestro ejemplo, será este: dc=somebooks,dc=local.
  • Límite de búsqueda LDAP: Permite reducir los resultados de una búsqueda cuando tenemos un directorio muy extenso. En nuestro caso, lo dejaremos desactivado.

En el apartado Configuración del idioma, elegimos el idioma para este perfil de servidor. En nuestro caso elegimos, lógicamente, el idioma Español.

2

Completamos los datos y seguimos avanzando por la página.

LDAP Account Manager sólo puede manejar carpetas personales (home) y cuotas mediante scripts externos. El apartado Preferencias de lamdaemon nos permite indicar cuál es el servidor para las carpetas personales y dónde se encuentra el script que administra las cuotas. También permite establecer los permisos predeterminados para las carpetas personales de los nuevos usuarios.

El apartado Configuración de herramientas nos permite indicar si utilizaremos algunas de las herramientas que se relacionan:

  • Editor de PDF (PDF editor): Si lo habilitamos, podremos exportar la información de las cuentas en archivos PDF. Además, podremos editar los perfiles PDF para indicar la estructura de la página y la información incluida.
  • Editor de OU (OU editor): Se trata de un sencillo editor que nos permitirá añadir o quitar Unidades Organizativas de nuestro árbol LDAP.
  • Información del servidor (Server information): Nos mostrará información y estadísticas relacionadas con el servidor LDAP.
  • Comprobar (Tests): Permite verificar si el esquema LDAP que estamos usando es compatible con LDAP Account Manager, indicando los posibles problemas.
  • Explorador de esquemas (Schema browser): permite examinar el esquema del servidor LDAP, obteniendo los tipos de clases, atributos, sintaxis y reglas que hay disponibles.
  • Editor de perfiles (Profile editor): Contiene plantillas para las cuentas. Con él, se podrán indicar valores predeterminados que se utilizarán durante la creación de cuentas.
  • Multi edit: Facilita la modificación por lotes de un gran número de entradas LDAP, añadiendo o quitando atributos o asignándoles valores específicos.
  • Enviar archivos (File upload): Nos permite crear las cuentas mediante un sencillo editor de textos, usando formato CVS, y después incluirlas todas a la vez en el árbol LDAP subiendo el archivo

Aunque puede ser muy interesante habilitar algunas de estas opciones, de momento lo dejaremos todo en blanco.

En el apartado Preferencias de seguridad, dispondremos de dos métodos de inicio de sesión: Lista fijada y Búsqueda LDAP.

  • Si elegimos Lista fijada, deberemos especificar uno o varios usuarios (uno en cada línea). Por cada uno de ellos, escribiremos su nombre global único (Distinguished Name – DN)
    siguiendo las indicaciones que vimos al principio de este capítulo (por ejemplo, cn=admin,dc=somebooks,dc=local).
  • Por su parte, eligiendo Búsqueda LDAP haremos que LDAP Account Manager busque un DN en el directorio a partir de un nombre de usuario.

En nuestro caso, elegiremos la primera opción.

Por último, también podremos cambiar la contraseña de este perfil de servidor, escribiéndola por duplicado en los dos últimos campos de esta página.

3

Ahora, podemos hacer clic sobre el botón Guardar o seguir configurando la solapa Tipos de cuentas.

Solapa Tipos de cuentas

LDAP Account Manager admite diferentes tipos de entradas LDAP y, en esta solapa, tenemos la oportunidad de indicar las que necesitamos administrar nosotros en particular. La solapa Tipos de cuentas se divide sólo en dos áreas:

  • Tipos de cuentas disponibles
  • Tipos de cuentas activos

1

Contenido completo de la solapa Tipos de cuentas.

A continuación veremos el contenido de ambas:

La sección Tipos de cuentas disponibles muestra una lista de los posibles tipos de cuentas. Podemos activar cualquiera de ellos haciendo clic en el signo más que hay junto a cada uno de ellos.

La sección Tipos de cuentas activos contiene los tipos de cuentas que se encuentran vigentes en nuestro sistema. En cada uno de ellos, podremos configurar diferentes opciones, aunque nosotros nos limitaremos a las básicas:

  • Sufijo LDAP: Como cabe esperar, debe contener el sufijo LDAP para cada entrada de este tipo
  • Atributos del listado: Representa la lista de atributos que se mostrarán en el listado de cuentas.

En particular, para este ejemplo, podemos limitarnos a escribir el sufijo para cada uno de los tipos de cuentas que vamos a manejar. En nuestro caso serán los siguientes:

  • Para el tipo de cuenta Usuarios, escribiremos el sufijo ou=usuarios,dc=somebooks,dc=local
  • Para el tipo de cuenta Grupos, escribiremos el sufijo ou=grupos,dc=somebooks,dc=local
  • Para el tipo de cuenta Equipos, escribiremos el sufijo ou=equipos,dc=somebooks,dc=local
  • Por último, en Dominios de samba, escribiremos el sufijo dc=somebooks,dc=local

Como puedes suponer, los valores concretos dependerán de la estructura del directorio que hemos creado en la primera parte de este capítulo.

2

El aspecto de la ventana será como en la imagen

Cuando hayamos concluido, hacemos clic sobre el botón Guardar que encontramos al final de la página. Al hacerlo, volveremos a la pantalla principal.