Configuração do OpenLdap

 

Apresentação

Equipe

Estudo do OpenLDAP

Projeto Piloto  

Documentos gerados

Busca Pessoas

Busca Vídeos

   



 

Devemos seguir o seguinte roteiro para instalação e configuração do OpenLdap:
bullet Instalação padrão
bullet Requisitos para usar o protocolo TLS
bullet Atualização dos arquivos de configuração
bullet Inclusão do esquema EduPerson
bullet Reinício do OpenLdap
bullet Inclusão dos membros no diretório

Instalação Padrão

A instalação do OpenLdap em ambientes Unix está descrita no Capítulo 2 (A Quick-Start Guide) do Guia do Administrador. Para instalação em ambientes Windows utilize este roteiro.

É importante destacar que na arquitetura do nosso Projeto Piloto, os dados sobre as pessoas são gerenciados e armazenados de forma distribuída por cada instituição participante. Para garantir a integridade e a confidencialidade no acesso a esses dados distribuídos o OpenLDAP permite fazer uso do protocolo TLS. Para que isso seja possível é necessário instalar o pacote OpenSSL antes de instalar o OpenLDAP.

No passo 8 (Edit the configuration file) do Guia, deve ser colocada a seguinte definição:

database bdb

suffix "dc=puc-rio,dc=br"

rootdn "cn=root,dc=puc-rio,dc=br"

rootpw secret

directory /usr/local/var/openldap-data

O arquivo de configuração pressupõe que a instalação seja feita com os parâmetros padronizados. Caso isso não ocorra, lembre-se de modificar o arquivo slapd.conf.

Quando o serviço de diretórios estiver instalado e ativo, devemos adicionar entradas iniciais que definem a estrutura do diretório (passo 2 - add initial entries to your directory). Neste momento deve ser editado o arquivo init.ldif, alterando-se o nome da instituição onde está sendo instalado o diretório.

O arquivo contém a entrada do domínio principal e do grupo People, onde vão ser inseridos os membros do diretório. Contém também um grupo com os departamentos da Universidade onde estão alocados os membros. No exemplo só incluímos o Departamento de Informática.

Utilize o comando ldapadd, descrito no Guia, para adicionar as entradas do arquivo init.ldif.

Voltar

 

Requisitos para usar o protocolo TLS

Para usar o protocolo TLS os seguintes passos devem ser executados:

bullet Criar um certificado para o servidor LDAP. O atributo "Common Name" do certificado deve ser preenchido como nome da máquina onde o servidor LDAP esta rodando.
bullet Armazenar os certificados do servidor e da autoridade certificadora (AC) que o emitiu e a chave primária do certificado, no mesmo diretório onde está o arquivo de configuração do OpenLDAP ( slapd.conf).
Voltar

 

Atualização dos arquivos de configuração

Após inseridas as entradas inciais, devemos substituir o arquivo de configuração slapd.conf por um novo slapd.conf. Neste arquivo inserimos o esquema EduPerson, definimos a url do diretório raiz na puc-rio através da diretiva referral e definimos as diretivas para usar o protocolo TLS. Se alguma outra alteração tiver sido feita no arquivo inicial, deve ser refeita neste novo arquivo. É importante que este arquivo substitua o arquivo original no diretório /usr/local/etc/openldap no Unix.

No arquivo de configuração ldap.conf devemos incluir a diretiva:

TLS_CACERT [path]/[certificado da AC]

Voltar

 

Inclusão do esquema EduPerson

Para que os membros possam ser definidos conforme descrito no Projeto, devemos incluir o esquema eduperson.schema no diretório onde se encontram os outros esquemas (/usr/local/etc/openldap/schema no Unix).

Voltar

 

Reinício do OpenLdap

Para reiniciar o OpenLdap, devemos primeiro parar o processo rodando com o comando:

kill <numero do processo slapd>

Para iniciá-lo, utilizamos novamente o comando:

/usr/local/etc/libexec/slapd

Voltar

 

Inclusão dos membros no diretório

Depois do OpenLdap ativo e configurado, devemos incluir os membros do diretório utilizando como modelo o arquivo model.ldif.  Este arquivo deve ser modificado de forma a conter os membros a serem inseridos no diretório. A seguir, uma breve descrição dos atributos a serem alterados:

bullet dn: identificador da entrada. O uid e o dc devem ser modificados para refletir o identificador do usuário em outros sistemas e o domínio da instituição.
bullet cn: Nome da pessoa
bullet sn: Sobrenome da pessoa
bullet description: Descrição livre sobre a pessoa.
bullet telephoneNumber: Telefone do trabalho
bullet userPassword: senha de acesso ao diretório. O uso de senhas no formato cleartext deve ser evitado, especialmente para o caso do usuário root cuja senha é especificada no arquivo de configuração slapd.conf. Uma solução simples é usar o comando slappasswd (/usr/local/sbin/slappasswd) para criar uma senha.
bullet ou: Nome da Unidade ou Departamento na qual a pessoa está alocada
bullet o: Nome da Organização na qual a pessoa está alocada
bullet mail: email
bullet mobile: telefone celular
bullet labeledURI: página pessoal
bullet displayName: Nome a ser apresentado nas aplicações
bullet givenName: Parte do nome não classificada como sobrenome
bullet uid: Identificador do usuário nos sistemas
bullet title: Função na Instituição
bullet l: Nome da localidade onde está localizada
bullet st: Nome do estado
bullet facsimileTelephoneNumber: Número do fax
bullet postalAddress: Endereço do trabalho
bullet postalCode: CEP
bullet eduPersonPrimaryAffiliation: Relação com a instituição (student, faculty, staff, alum, member, affiliate, employee)
bullet eduPersonOrgDN: Distinguihed name (DN) da entrada do diretório que representa a instituição associada à pessoa.
bullet eduPersonPrimaryOrgUnitDN: Distinguihed name (DN) da entrada do diretório que representa a unidade ou departamento associado à pessoa.
 

Para uma descrição mais detalhada, ver a especificação da classe EduPerson.

Voltar

PUC-RIO                         Laboratório Telemídia (PUC-Rio)                             RNP

Hosted by www.Geocities.ws

1