Instalación y configuración de un servidor LDAP utilizando CentOS Directory Server

Requisitos generales de hardware

  • De 10.000 a 250.000 entradas: 1GB en RAM y 2 GB de espacio en disco.
  • De 250.000 a 1.000.000 entradas: 1GB en RAM y 4 GB de espacio en disco.
  • Mayor que 1.000.000: 1 GB en RAM y 8 GB de espacio en disco.

Instalación

yum install centos-ds

Configuración

El archivo /etc/hosts debe contener el nombre del servidor asociado a la IP 127.0.0.1:

127.0.0.1       servidor.subdominio.dominio servidor localhost.localdomain 
localhost
::1             localhost6.localdomain6 localhost6

El archivo /etc/resolv.conf debe tener definida la ruta de búsqueda:

search subdominio.dominio
nameserver XXX.XXX.XXX.XXX

Es necesario realizar un análisis previo del sistema. Para ello se ejecutar:

dsktune

La salida del comando anterior debe ser similar a la siguiente:

Red Hat Directory Server system tuning analysis version 10-AUGUST-2007.

NOTICE : System is i686-unknown-linux2.6.9-34.EL (1 processor).

WARNING: 1011MB of physical memory is available on the system. 
1024MB is recommended for best performance on large production system.

NOTICE : The net.ipv4.tcp_keepalive_time is set to 7200000 milliseconds
(120 minutes).  This may cause temporary server congestion from lost
client connections.

WARNING: There are only 1024 file descriptors (hard limit) available, which
limit the number of simultaneous connections.

WARNING: There are only 1024 file descriptors (soft limit) available, which
limit the number of simultaneous connections.

A continuación se debe editar el archivo /etc/sysctl.conf y agregar las siguientes líneas al final del archivo:

# CentOS DS
fs.file-max = 64000
net.ipv4.tcp_keepalive_time = 300

Luego se debe incrementar el número máximo de archivos abiertos editando el archivo /etc/security/limits.conf con el siguiente valor:

*        -        nofile        8192

Por último se debe editar el archivo /etc/pam.d/system-auth con el siguiente valor:

session required /lib/security/$ISA/pam_limits.so

Luego de estos cambios, se debe reiniciar el servidor.

Inicialización del directorio

Se debe ejecutar:

setup-ds-admin.pl

Luego hay que completar las instrucciones del asistente.

Para propósitos generales es recomendado seguir el modo express-setup:

  • Set the computer name: Nombre completo de la maquina. Ej: ldap.ejemplo.cl
  • Set the user as which the Directory Server will run: nobody
  • Set the group as which the Directory Server will run: nobody
  • Register the new Directory Server with an existing Configuration Directory Server: no
  • Set the Configuration Directory Server URL: Por omisión
  • Give the Configuration Directory Server user ID: admin
  • Give the Configuration Directory Server user password: ingresar la contraseña
  • Give the Configuration Directory Server administration domain: ejemplo.cl
  • Set the Directory Server port: 389
  • Set the Directory Server suffix: dc=ejemplo.dc=cl
  • Set the Directory Manager ID: cn=Directory Manager
  • Set the Directory Manager password: ingresar password
  • Set the Administration Server port: 9830
  • Set user as which the Administration Server runs: nobody

Esto inicializa el directorio LDAP y además habilita una interfaz de administración. Para acceder a estos dos servicios de forma remota es necesario abrir los puertos 389:tcp y 9830:tcp.

Manejo del servicio

  • Iniciar el servicio:
service dirsrv start
  • Detener el servicio:
service dirsrv stop
  • Reiniciar el servicio:
service dirsrv restart
  • Ver el estado del servicio:
service dirsrv status
  • Activar el inicio automático del servicio:
chkconfig dirsrv on

chkconfig dirsrv-admin on

Configuración del cortafuegos

Se deben agregar las siguientes líneas a la sección correspondiente del archivo /etc/sysconfig/iptables:

### CentOS Directory Server
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 9830 -j ACCEPT

Posteriormente se debe reiniciar el cortafuegos:

service iptables restart

Administración remota mediante 389-console

Para conectarse a la consola de administración se recomienda utilizar el programa 389-console (disponible en los repositorios oficiales de Fedora). Una vez instalado, se deben completar los siguientes datos de conexión:

Napster2011

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s