Ago
5
Esto me lo han preguntado bastante y por fin me da por postearlo. Me salto el paso de que es OTRS, por que si habéis llegado hasta esta entrada es por que sabéis de que va.
La cosa es que debéis agregar un par de lineas en Config.pm tal que así:
[...]
$Self->{‘AdminEmail’} = ‘root@localhost’;
$Self->{‘DefaultCharset’} = ‘utf-8′; #Estas 2 lineas las he puesto para que veáis donde colocar lo que viene
##ldap
$Self->{‘AuthModule’} = ‘Kernel::System::Auth::LDAP’;
$Self->{‘AuthModule::LDAP::Host’} = ‘directorio.linuxadmin.es’;
$Self->{‘AuthModule::LDAP::BaseDN’} = ‘cn=users,cn=accounts,dc=linuxadmin,dc=es’;
$Self->{‘AuthModule::LDAP::UID’} = ‘uid’;
$Self->{‘AuthModule::LDAP::UserAttr’} = ‘uid’;
$Self->{‘AuthModule::LDAP::SearchUserDN’} = ”; #Si no podéis hacer búsquedas anónimas, rellenarlo
$Self->{‘AuthModule::LDAP::SearchUserPw’} = ”; #Password del usuario para búsquedas anónimas
$Self->{‘AuthModule::LDAP::Params’} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};
$Self->{‘AuthSyncModule’} = ‘Kernel::System::Auth::Sync::LDAP’;
$Self->{‘AuthSyncModule::LDAP::Host’} =
‘directorio.linuxadmin.es’;
$Self->{‘AuthSyncModule::LDAP::BaseDN’} = ‘dc=linuxadmin, dc=es’;
$Self->{‘AuthSyncModule::LDAP::UID’} = ‘UID’;
$Self->{‘AuthSyncModule::LDAP::UserSyncMap’} = {
# DB -> LDAP
UserFirstname => ‘givenName’,
UserLastname => ‘sn’,
UserEmail => ‘mail’,
};
# Los usuarios estaran en el grupo users
$Self->{‘AuthSyncModule::LDAP::UserSyncInitialGroups’} = [
'users',
];
Reiniciad el servicio de otrs y listo.
TweetJul
27
Es importante en los días en los que estamos la comunicación entre todo el personal de la oficina y que mejor manera que con una mensajería interna, ya que tener el messenger no queda muy corporativo. Hemos elegido ejabberd y los usuarios como siempre de un LDAP, si os preguntáis por que siempre cojo los datos del LDAP es para tener un control mayor. Si buscáis por el blog tengo como instalar un LDAP, pero si esta montado mejor que mejor.
Instalamos ejabberd desde los repositorios
#yum install ejabberd
Activar el servicio:
#chkconfig ejabberd on
Editar fichero de configuración:
#vi /etc/ejabberd/ejabberd.cfg
Os lo voy a postear y vosotros cambiáis las lineas que creáis convenientes:
{loglevel, 5}. #Nivel del log, en nivel 3 esta bien, pero el 5 te da todos los datos
{hosts, ["chat.linuxadmin.es"]}. #Host
{listen,
[
{5222, ejabberd_c2s, [
{certfile, "/etc/ejabberd/ejabberd.pem"}, starttls,
{access, c2s},
{shaper, c2s_shaper},
{max_stanza_size, 65536}
]},
{5269, ejabberd_s2s_in, [
{shaper, s2s_shaper},
{max_stanza_size, 131072}
]},
{5280, ejabberd_http, [
http_poll,
web_admin
]}
]}.
{s2s_use_starttls, true}.
{s2s_certfile, “/etc/ejabberd/ejabberd.pem”}.
{auth_method, ldap}.
{ldap_servers, ["directorio.linuxadmin.es"]}. #Hostname del servidor ldap
{ldap_port,389}. #Puerto
{ldap_uidattr, “uid”}. #Atributo único
{ldap_uids, [{"uid", "%u"}]}.
{ldap_base, “cn=users,cn=accounts,dc=directorio,dc=linuxadmin,dc=es”}.
{shaper, normal, {maxrate, 1000}}.
{shaper, fast, {maxrate, 50000}}.
%%Administradores web
{acl, admin, {user, “ipuerto”}}. #Usuario administrador para interfaz web
{acl, local, {user_regexp, “”}}.
{access, max_user_sessions, [{10, all}]}.
{access, local, [{allow, local}]}.
{access, c2s, [{deny, blocked},
{allow, all}]}.
{access, c2s_shaper, [{none, admin},
{normal, all}]}.
{access, s2s_shaper, [{fast, all}]}.
{access, announce, [{allow, admin}]}.
{access, configure, [{allow, admin}]}.
{access, muc_admin, [{allow, admin}]}.
{access, muc, [{allow, all}]}.
{access, pubsub_createnode, [{allow, all}]}.
{access, register, [{deny, all}]}. #Denegamos que los usuarios se puedan registrar
{language, “es”}. #Idioma
{modules,
[
{mod_adhoc, []},
{mod_announce, [{access, announce}]},
{mod_caps, []},
{mod_configure,[]},
{mod_disco, []},
{mod_irc, []},
{mod_last, []},
{mod_muc, [
{access, muc},
{access_create, muc},
{access_persistent, muc},
{access_admin, muc_admin}
]},
{mod_offline, []},
{mod_privacy, []},
{mod_private, []},
{mod_pubsub, [ % requires mod_caps
{access_createnode, pubsub_createnode},
{plugins, ["default", "pep"]}
]},
{mod_register, [
{welcome_message, {"Welcome!",
"Hi\nWelcome to this Jabber server."}},
{access, register}
]},
{mod_roster, []},
{mod_shared_roster,[]},
{mod_stats, []},
{mod_time, []},
{mod_vcard, []},
{mod_version, []}
]}.
Ahora iniciamos el servicio:
#/etc/init.d/ejabberd start
Ahora podremos ejecutar el cliente, tened cuidado con el firewall en fedora, es muy restrictivo. Para entrar a la parte de administración del ejabber entrad en la dirección del ejabber:
http://chat.linuxadmin.es/admin
Recordad el usuario que hemos puesto una linea de arriba, ipuerto, bueno pues para entrar sería ipuerto@chat.linuxadmin.es y la contraseña que tengáis.
TweetJun
22
Ya hable un poco de como restringir usuarios en Squid, pero claro en un entorno de 300 usuarios no te vas a poner a picar usuarios a mano, a parte de engorroso, sería un desastre, así que lo mejor es añadir a los usuarios en grupos.
He cogido la estructura del árbol de freeIPA para más información. He escrito esto por que he visto que había mucha información acerca de Squid con grupos del active pero no con grupos de un LDAP que no sea de Microsoft. Ahora la cosa esta en editar el fichero de configuración de Squid, añadiendo estas lineas:
Con estas dos lineas de abajo ya autentificaría, pero buscamos hacerlo por grupos
auth_param basic program /etc/squid/squid_ldap_auth
auth_param basic credentialsttl 1 hour
acl password proxy_auth REQUIRED
Os muestro el cat de /etc/squid/squid_ldap_auth, este archivo debe de tener permisos de ejecución:
#!/bin/bash
/usr/lib/squid/ldap_auth -b “cn=users,cn=accounts,dc=linuxadmin,dc=es” -f uid=%s directorio.linuxadmin.es
Volvemos al squid.conf y añadiremos esta otra linea, he puesto una especie de ejemplo para daros pistas de como estaría montado:
external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b “cn=groups,cn=accounts,dc=linuxadmin,dc=es” -f “(&(objectclass=posixGroup) (cn=%a) (member=%v))” -B “cn=users,cn=accounts,dc=linuxadmin,dc=es”-F uid=%s -h directorio.linuxadmin.es
acl internet external ldap_group Recepcion #Es una acl para el grupo Recepción
Solo quedaría que lo adaptaseis a vuestro árbol LDAP. Entiendo que podreis configurar perfectamente las acls, pero si teneis alguna duda posteadla.
TweetJun
3
Buscando alternativas a un Active Directory para hacer una migración total, me toca buscar alternativas a este. Ya hable acerca de como instalar FreeIPA pero había que seguir buscando alternativas a este, así que me encontré con zivios que a priori tiene buena pinta. Su base es muy parecido a la de freeIPA, Kerberos5, LDAP y un DNS (lo del DNS es por el REALM). El primer cambio que vi respecto a la versión anterior fue la instalación que se ha simplificado bastante, en prácticamente cuatro clicks lo tenéis funcionando, en este caso la instalación se hace desde una interfaz web.
Una vez instalado, se maneja todo desde la interfaz web, no tenis que usar la consola para nada después de la instalación. Otra cosa que es de agradecer son los repositorios, ya que nos permite tener nuestro software actualizado.
La versión 0.60 al estar en versión desarrollo, no tiene todas las caracterisitacas al 100%, pero nos deja entrever lo que tendrá. Como apunte, podría mejorar la integracón con squid, ya que no soy capaz de hacerlo funcionar, aunque siempre dicen que el verdadero problema de los ordenadores esta entre la silla y el monitor. Hoy han actulizado las capturas de la nueva versión asi que os invito a que paseis por esta pagina para que las echeis el ojo. Si teneis alguna duda no dudeis en posteadla.
TweetAbr
6
Todo el mundo conocerá el famoso Active Directory de Microsft y la verdad es que pueden presumir mucho de ello ya que mantiene a los usuarios a ralla por así decirlo. Todo esto esta muy bien pero los clientes de Linux digamos que tienen ciertos problemillas, por eso los administradores nos volvemos un poco locos.
APOC (A Point of Control), basaado en el famoso Sun Desktop Manager. Permite la gestion de permisos en una red corporativa, se podrá gestionar perfiles para aplicaciones como Openoffice (con extensiones) , Mozilla, Gconfi (la subversion) y Java. Staroffice ya tiene soporte (para eso es de Sun).
Se a liberdao bajo la licencia CDDL/GPLv2 (modelo de licencia dual)
Pagina del proyecto: apoc.freedesktop.org.
Abr
4
Tal y como dije en una entrada anterior de lo que se venía en samba4, en la ultima alpha, la 7, han añadido la unión al dominio de los equipos con Windows 7 beta. Así pues en la primera beta prometo probarla y unir una maquina Windows 7 para ver como reacciona.
Lo bueno de todo esto es que el proyecto samba4 se apoyara principalmente en OpenLDAP, para obtener todas las caracteristicas tendremos que disponer de OpenLDAP 2.5.15.
Más info de LDAP, y de Samba4.
Ene
27
No hay duda de que tener Samba instalado es a día de hoy una obligación para poder convivir con los sistemas operativos de Microsoft, si somos los unicos que utilizamos Linux en la oficina. Y para los administradores de sistemas, yo por ejemplo, pues tenemos dos opciones, o un Active Directory o un Samba con LDAP, este último más complicado de montar pero no llegamos a obtener todas las funcionalidades de un Active. Hasta aquí todo bien.
Pero los chicos de Microsoft no son tan malos como creemos ¿o si? y estan cooperando con los desarrolladores de Samba proporcionandoles importante información sobre el funciomaneto del Active para sistemas que no son de Microsoft, así pues Samba4 creo que vendrá pegando fuerte, actualmente estan en la verisón 3. A día de hoy Samba4 solo esta en fase alpha alphisima,así que habrá que esperar a un beta. Tambien hay que decir que samba4 no nace a partir de samba3 si no que lo han empezado de cero. Para mas info aquí.
Sería perfecto para el administrador decidir entre basar sus servidores en Active o Samba sin ningún pero.
Me parece un paso de gigante y de este proyecto espero mucho, solo me queda felicitar a los desarrolladores de Samba por la labor que hacen de facilitarnos la vida un poco más.
TweetEne
13
Para intentar la perdida de datos o evitar el tiempo de parada de un servidor LDAP podemos replicarlo para evitar esos fallos catastróficos. Tenemos que tener un LDAP con la estructura perfectamente definida por que una vez hecha la replica esta no modificara la estructura, solo los datos.
Ni que decir tiene que en los dos equipos debe de estar instalado LDAP.
En el slave añadimos o descomentamos estas líneas del /etc/ldap/slapd.conf
suffix “dc=ismaelrubio,dc=wordpress”
rootdn “cn=admin,dc=ismaelrubio,dc=wordpress”
rootpw “tupassword”
updatedn “cn=admin,dc=ismaelrubio,dc=wordpress”
updateref ldap://10.100.87.2 #ip o hostname del server maestro
Reiniciamos el servicio de LDAP
En el server maestro, miramos que estas 3 líneas de abajo sean iguales a las del slave (/etc/ldap/sladp.conf)
suffix “dc=ismaelrubio,dc=wordpress”
rootdn “cn=admin,dc=ismaelrubio,dc=wordpress”
rootpw “tupassword”
Y además añadiremos:
replica host=ip:del:master:389
suffix=”dc=ismaelrubio,dc=wordpress”
binddn=”cn=admin,dc=ismaelrubio,dc=wordpress”
bindmethod=simple credentials=”tu_passwd”
Descomentamos:
replogfile /var/lib/ldap/replog
Reiniciamos el servicio de LDAP
Desde el slave hacemos un ldapsearch para sacar los datos.
#ldapsearch -LLL -x -h IP:del:master -D “cn=admin,dc=ismaelrubio,dc=wordpress” -W -b “dc=ismaelrubio,dc=wordpress” > base_master.ldif
Añadimos el ldif
#ldapadd -x -h localhost -D “cn=admin,dc=ismaelrubio,dc=wordpress” -W -f base_master.ldif
Si nos da error de que no puede meter el primer campo editamos el base_master.ldif y borramos los 2 primeros párrafos, y volvemos a ejecutar el comando anterior.
Notas:
- Nunca se modifica desde el slave
- Tiene que haber los mismos esquemas en las dos maquinas por que si no dará error al meter el ldif del master (por ejemplo el esquema de samba)
- Los esquema deben de ser iguales
Así pues probamos añadiendo una entrada nueva o modificando, si los cambios realizados en el master n0 replican al instante en el esclavo hay algo mal. Se aceptan sugerencias.
Saludos
Tweet
