Venimos dedicando varios artículos a la instalación y configuración de OpenLDAP usando la línea de comandos.

Sin embargo, aunque la instalación la deberemos realizar siempre de este modo, los aspectos relacionados con la configuración y el uso de LDAP no tienen que resolverse siempre de este modo.

De hecho, existe una herramienta llamada LDAP Account Manager, que nos permite realizar la práctica totalidad de estas operaciones desde la comodidad de una interfaz web. Además, al tratarse de una aplicación web, funciona perfectamente en diferentes plataformas, permitiéndonos administrar el servidor LDAP desde cualquier lugar y desde cualquier sistema o dispositivo compatible.

Hoy aprenderemos a instalarla y realizar una configuración básica, sobre el sistema Ubuntu Server 20.04 LTS que venimos utilizando durante esta serie de artículos. Y en un próximo artículo aprenderemos a utilizarla para administrar nuestros usuarios y grupos en el servidor OpenLDAP.

Instalación de LDAP Account Manager

LDAP Account Manager se encuentra de forma predeterminada en los repositorios oficiales de Ubuntu 14.04 LTS, por lo que será muy sencillo instalarlo.

La única circunstancia a tener en cuenta son las dependencias. Como se trata de una aplicación escrita en PHP, para funcionar correctamente necesita disponer de un servidor LAPM instalado y activo en el servidor.

Sin embargo, el proceso de instalación nos ofrecerá incluirlas de forma automática, por lo que el problema quedará resuelto implícitamente.

Incluso podemos añadir la opción -y a la orden de instalación para evitar incluso que nos pregunte. Por lo tanto, abriremos la terminal y ejecutaremos el siguiente comando:

sudo apt-get install ldap-account-manager

Realizar ajustes previos

Para realizar la configuración previa de LDAP Account Manager no es necesario editar ningún archivo de configuración. Basta con abrir el navegador y escribir en la barra de direcciones lo siguiente:

http://localhost/lam

Esto nos llevará a la página inicial de LDAP Account Manager. Para iniciar la configuración, basta con hacer clic sobre el enlace LAM configuration. Sin embargo, si prefieres realizar todo el proceso en español, puedes elegir el idioma en la lista desplegable Language. Como cabe esperar, en ese momento, toda la interfaz se muestra en español.

Al hacerlo, llegamos a una página donde tenemos dos opciones:

• Editar la configuración general.

• Editar perfiles del servidor.

A continuación, veremos cómo resolver ambas tareas.

Editar la configuración general.

Comenzaremos por Editar la configuación general para establecer el perfil del servidor.

Antes de entrar en la opción elegida, LDAP Account Manager nos pide la contraseña maestra.

Esta contraseña no está relacionada con la que escribimos para la administración del directorio OpenLDAP, sino que es propia de LDAP Account Manager.

De forma predeterminada, su valor es lam, aunque deberemos cambiarla lo antes posible.

Así llegamos a la página Configuración general, que se divide, a su vez en cuatro apartados diferentes:

• Preferencias de seguridad, donde podemos establecer los siguientes valores:

  • Un límite de tiempo en el que una sesión puede estar inactiva. Después de ese periodo, se cerrará automáticamente. Como puedes ver, de forma predeterminada, el límite es de 30 minutos.

  • Una lista de direcciones IP desde las que se puede acceder a LDAP Account Manager. Se pueden establecer rangos de valores usando el carácter asterísco (*). Por ejemplo, 192.168.1.*.

  • Los certificados SSL que usaremos, aunque de forma predeterminada se utilizan los certificados que tengamos preinstalados en el sistema.

• Política de contraseñas, donde podemos indicar una política centralizada para las contraseñas en LDAP Account Manager. Esta política será válida en todos los campos de contraseña dentro del administrador LDAP Account Manager, salvo las contraseñas de configuración.

• Iniciando sesión, que permite el seguimiento de eventos de forma integrada con el sistema (syslog en GNU/Linux o el Visor de eventos en Windows) o en un archivo separado. Debemos tener cuidado con los archivos de eventos de LAM, porque en el nivel de Advertencia pueden contener información sensible (como contraseñas). Por ello, en un sistema en producción, debemos cambiar el Nivel de trazas a un valor diferente. En cuanto a los errores que pueda producir PHP, LDAP Account Manager los ignora de forma predeterminada y, en la mayoría de los casos, esta será la opción apropiada.

• Cambiando la contraseña maestra, es la opción que nos permite cambiar la contraseña maestra. No debemos dejar el valor predeterminado (lam), porque es ampliamente conocido.

De momento, dejaremos todos los valores predeterminados, salvo la contraseña maestra. Por lo que nos dirigimos a la parte inferior de la página y la escribimos (por duplicado, como es habitual, para evitar los errores tipográficos).

Al hacerlo, volveremos a la pantalla principal.

Editar perfiles del servidor.

Una vez de vuelta en la pantalla principal, el siguiente paso será editar los perfiles del servidor. Para lograrlo, deberemos volver a la página Configuración de LAM.

Como cabe esperar, ahora haremos clic sobre la segunda opción: Editar perfiles del servidor. Los perfiles del servidor almacenan información sobre el servidor OpenLDAP y las características de sus cuentas.

Un aspecto importante es que no hay límite en el número de perfiles de servidor, aunque, como veremos, nosotros nos centraremos en los valores predeterminados.

Como antes, para entrar en la opción elegida, LDAP Account Manager nos pide la contraseña maestra. Debes tener en cuenta que el cambio de contraseña que hemos hecho más arriba tiene efecto cuando iniciemos sesión la próxima vez por lo que, si has seguido los pasos que indicamos aquí de forma consecutiva, deberás seguir usando la contraseña predeterminada (lam), aunque la próxima vez que entres, ya deberás usar la nueva.

Así llegamos a la página Configuración de los perfiles. Como puedes ver, la página se divide en cuatro solapas:

• Configuración general, que contiene la información global del servidor LDAP, como el nombre del host o las características de seguridad.

• Tipos de cuentas, donde se indican las diferentes clases de cuentas que administraremos, como usuarios, grupos o equipos.

• Módulos, que contiene la lista de módulos que definen las características de las cuentas que vamos a administrar (si son cuentas Unix, Samba, Koalab, etc).

• Preferencias del módulo, que contiene aspectos específicos del módulo que hayamos seleccionado en la solapa anterior.

Aquí nos centraremos sólo en las dos primeras.

Solapa Configuración general

La solapa Configuración general se divide en las siguientes áreas:

• Preferencias del servidor

• Configuración del idioma

• Preferencias de lamdaemon

• Configuración de herramientas

• Preferencias de seguridad

Iremos explicando el contenido de cada una de ellas según vayamos avanzando.

En el apartado Preferencias del servidor deberemos completar los siguientes datos:

• Dirección del servidor: Como el servidor OpenLDAP se encuentra en el mismo equipo que LDAP Account Manager, nos limitaremos a dejar el valor predeterminado (ldap://localhost:389).

• Activar TLS: TLS son las siglas de Transport Layer Security (Seguridad de la capa de transporte). Como por ahora no vamos a utilizar conexiones cifradas, mantenemos el valor predeterminado (no).

• Sufijo del árbol: LDAP Account Manager incluye un navegador para LDAP. Si queremos hacer modificaciones de forma directa en él , deberemos incluir aquí el sufijo que use nuestro árbol. Para nuestro ejemplo, será este: dc=somebooks,dc=local.

• Límite de búsqueda LDAP: Permite reducir los resultados de una búsqueda cuando tenemos un directorio muy extenso. En nuestro caso, lo dejaremos desactivado.

En el apartado Configuración del idioma, elegimos el idioma para este perfil de servidor. En nuestro caso elegimos, lógicamente, el idioma Español.

LDAP Account Manager sólo puede manejar carpetas personales (home) y cuotas mediante scripts externos. El apartado Preferencias de lamdaemon nos permite indicar cuál es el servidor para las carpetas personales y dónde se encuentra el script que administra las cuotas.

También permite establecer los permisos predeterminados para las carpetas personales de los nuevos usuarios. El apartado Configuración de herramientas nos permite indicar si utilizaremos algunas de las herramientas que se relacionan:

• Editor de PDF (PDF editor): Si lo habilitamos, podremos exportar la información de las cuentas en archivos PDF. Además, podremos editar los perfiles PDF para indicar la estructura de la página y la información incluida.

• Editor de OU (OU editor): Se trata de un sencillo editor que nos permitirá añadir o quitar Unidades Organizativas de nuestro árbol LDAP.

• Información del servidor (Server information): Nos mostrará información y estadísticas relacionadas con el servidor LDAP.

• Comprobar (Tests): Permite verificar si el esquema LDAP que estamos usando es compatible con LDAP Account Manager, indicando los posibles problemas.

• Explorador de esquemas (Schema browser): permite examinar el esquema del servidor LDAP, obteniendo los tipos de clases, atributos, sintaxis y reglas que hay disponibles.

• Editor de perfiles (Profile editor): Contiene plantillas para las cuentas. Con él, se podrán indicar valores predeterminados que se utilizarán durante la creación de cuentas.

• Multi edit: Facilita la modificación por lotes de un gran número de entradas LDAP, añadiendo o quitando atributos o asignándoles valores específicos.

• Enviar archivos (File upload): Nos permite crear las cuentas mediante un sencillo editor de textos, usando formato CVS, y después incluirlas todas a la vez en el árbol LDAP subiendo el archivo

Aunque puede ser muy interesante habilitar algunas de estas opciones, de momento lo dejaremos todo en blanco. En el apartado Preferencias de seguridad, dispondremos de dos métodos de inicio de sesión: Lista fijada y Búsqueda LDAP.

• Si elegimos Lista fijada, deberemos especificar uno o varios usuarios (uno en cada línea). Por cada uno de ellos, escribiremos su nombre global único (Distinguished Name – DN) siguiendo las indicaciones que vimos al principio de este capítulo (por ejemplo, cn=admin,dc=somebooks,dc=local).

• Por su parte, eligiendo Búsqueda LDAP haremos que LDAP Account Manager busque un DN en el directorio a partir de un nombre de usuario.

En nuestro caso, elegiremos la primera opción. Por último, también podremos cambiar la contraseña de este perfil de servidor, escribiéndola por duplicado en los dos últimos campos de esta página.

Solapa Tipos de cuentas

LDAP Account Manager admite diferentes tipos de entradas LDAP y, en esta solapa, tenemos la oportunidad de indicar las que necesitamos administrar nosotros en particular. La solapa Tipos de cuentas se divide sólo en dos áreas:

• Tipos de cuentas disponibles

• Tipos de cuentas activos

A continuación veremos el contenido de ambas: La sección Tipos de cuentas disponibles muestra una lista de los posibles tipos de cuentas. Podemos activar cualquiera de ellos haciendo clic en el signo más que hay junto a cada uno de ellos. La sección Tipos de cuentas activos contiene los tipos de cuentas que se encuentran vigentes en nuestro sistema. En cada uno de ellos, podremos configurar diferentes opciones, aunque nosotros nos limitaremos a las básicas:

• Sufijo LDAP: Como cabe esperar, debe contener el sufijo LDAP para cada entrada de este tipo.

• Atributos del listado: Representa la lista de atributos que se mostrarán en el listado de cuentas.

En particular, para este ejemplo, podemos limitarnos a escribir el sufijo para cada uno de los tipos de cuentas que vamos a manejar. En nuestro caso serán los siguientes:

• Para el tipo de cuenta Usuarios, escribiremos el sufijo ou=usuarios,dc=somebooks,dc=local

• Para el tipo de cuenta Grupos, escribiremos el sufijo ou=grupos,dc=somebooks,dc=local

• Para el tipo de cuenta Equipos, escribiremos el sufijo ou=equipos,dc=somebooks,dc=local

• Por último, en Dominios de samba, escribiremos el sufijo dc=somebooks,dc=local

Como puedes suponer, los valores concretos dependerán de la estructura del directorio que hemos creado en la primera parte de este capítulo.

Cuando hayamos concluido, hacemos clic sobre el botón Guardar que encontramos al final de la página. Al hacerlo, volveremos a la pantalla principal.

Por el momento, lo dejaremos aquí. Espero que te haya resultado interesante.