History

guía de instalación y despliegue de LDAP

Preparación básica

  • Descargar la imagen de aquí.
  • Preparar la máquina virtual con los siguientes parámetros:
    • Tamaño Volumen: 3GB
    • RAM: 128 MB
    • Nombre: ldap
  vmcreate --size 3G --file ldap-1.1_3.tgz --mem 128 --ip 192.168.69.21 ldap
  • Arrancar la máquina virtual
  xm create -c /etc/xen/auto/ldap
  • Entrar como root con clave passwd.root y cambiarla.

Configuración de la máquina

Existen dos opciones de configuración:
  • Configuración centralizada: Si la máquina va a estar integrada en una infraestructura de gestión ModularIT
  • Configuración local: Si la máquina no va a estar integrada en una infraestructura de gestión ModularIT

Configuración centralizadas

En el servidor Puppet

  • En el grupo de cliente de la máquina, definimos los parámetros globales referentes a los servicios de la máquina LDAP
  ## LDAP service variables
  # IP of the LDAP server
  $ldap_ip = "192.168.69.21" 
  # LDAP
  $ldapsuffix = "dc=modularit,dc=com" 
  $ldappass = "ldap.pass" 
  # DHCP
  $domainname = "modularit.lan" 
  $dnsservers = "$ldap_ip" 
  $router = "192.168.69.1" 
  $netprefix = "192.168.69" 
  $nbservers = "$samba_ip" 
  $dhcpkey = "wezsyLWspcFUDAA0iZu0jQMtLTTcyRlWnOcrpYxNerYbalGODZVGmTvMjUbh" 
  # Intranet
  $clientname = "Entorno de pruebas ModularIT"
  • Crear la entrada de la máquina que estamos instalando, con su nombre ModularIT
  node "devel.ldap" inherits "devel" {
        # First installation?
        $bootstrap = yes

        $modularit_name = "devel.ldap" 
        $comment = "Development LDAP" 
        include modularit 
  }

En el cliente (la máquina que estamos instalando)

  • Paramos puppetd y lo arrancamos en modo debug para comprobar que actualiza todo:
  /etc/init.d/puppet stop
  puppetd --debug --no-daemonize --runinterval 60 --fqdn NOMBRE_MODULARIT --server PUPPET_MODULARIT
  • Los parámetros NOMBRE_MODULARIT y PUPPET_MODULARIT serán facilitados por el responsable del servicio (usted mismo si es ese responsable). Consulte en la lista de correo si tiene dudas.
  • Una vez que el puppet completa varios ciclos sin error, lo ejecutamos como servicio.
  /etc/init.d/puppet restart
  • Para comprobar que las notificaciones al Nagios funcionan correctamente, ejecutamos el planificador de PIFIA
  /var/lib/pica/bin/scheduler Emergency
  /var/lib/pica/bin/scheduler Warning
  • En el Nagios comprobamos si hay alguna alerta que no genere un OK. En este punto es normal tener alertas critical de AIDE

configuración local

Este tipo de instalación es necesaria cuando la máquina no esta integrada en un entorno de gestion centralizado ModularIT

  • Ir al directorio /opt
  • Descargar el arbol de configuraciónes de ModularIT
  links --source "http://git.modularit.org/?p=modularit.git;a=snapshot;h=HEAD;sf=tgz" | tar xvzf -
  • Esto nos creo un directorio /opt/modularit
  • Creamos el directorio de modulos de puppet y enlazamos a ModularIT
  mkdir /etc/puppet/modules
  ln -s /opt/modularit/Puppet/modularit /etc/puppet/modules/
  • Editamos el fichero de variables de configuración /opt/modularit/Puppet/offline/variables.pp y lo adaptamos a la configuración que queremos usar. Este fichero sera comun para todas las máquinas ModularIT de esa instalación concreta
  • Editamos el fichero /opt/modularit/Puppet/offline/offline.pp para establecer el nombre y el tipo de máquina modularit, en este caso ldap. Este fichero sera diferente para cada máquina (el nombre y el tipo de máquina cambia).
  • Una vez que tenemos la configuración, ejecutamos puppet en modo offline
  puppet --debug /opt/modularit/Puppet/offline/offline.pp
  • El proceso debería terminar sin errores.

Preparación del servicio

  • Ejecutamos el script de inicialización del servicio LDAP. OJO! este paso borra la base de datos del LDAP, así que solo debe hacerse si realmente estamos inicializando el servicio.
  modularit-ldap-init.rb
  • Este script nos crea los objetos básicos del LDAP
  • Objetos contenedores
  • Dominio SAMBA con el nombre y SSID configurados
  • Grupos Predeterminados
    • usuarios (10000) Domain Users
    • administradores (10001) Domain Admins
    • machines (10002) Domain Machines
    • Usuario admin, administrador de todos los servicios ModularIT. Inicialmente este usuario se crea bloqueado, hay que acceder al gestor LDAP para activar la clave.
  • Nos conectarnos a la URL: http://ldap/lam/
  • Nos validamos usando la clave configurada en $ldappass
  • Creamos los grupos que sean necesarios para el esquema de seguridad planteado
  • El grupo primario de todos los usuarios debe ser usuarios y se añadirán al resto de los grupos. Esto es así porque las aplicaciones que usan LDAP solo ven la pertenencia explicita a un grupo (cuando aparece en la lista de miembros)
  • Creamos los usuarios necesarios

Inicializar AIDE

Una vez que esta todo funcionando, inicializar la BBDD de AIDE tal como se describe en AIDE

Also available in: HTML TXT