1. Introdução

Este tutorial apresenta os passos necessários para efetuar a instalação do diretório OpenLDAP com o esquema brEduPerson no Ubuntu Server 22.04 LTS. Será utilizada a abordagem OLC (cn=config) que permite a alteração de configurações em tempo real.

2. Roteiro

2.1. Inicialmente, copie e cole o seguinte bloco de linhas:

Execute as linhas com os valores substituídos conforme a observação anterior:

debconf-set-selections <<-EOF
slapd slapd/internal/generated_adminpw password changeit
slapd slapd/internal/adminpw password changeit
slapd slapd/password2 password changeit
slapd slapd/password1 password changeit
slapd slapd/invalid_config boolean true
slapd slapd/move_old_database boolean true
slapd slapd/purge_database boolean false
slapd slapd/no_configuration boolean false
slapd slapd/domain string ${DOMINIO-INSTITUICAO}
slapd shared/organization string ${INSTITUICAO}
slapd slapd/dump_database_destdir string /var/backups/slapd-VERSION
slapd slapd/dump_database select when needed
EOF

Em seguida execute o comando:

export DEBIAN_FRONTEND=noninteractive

Por fim, instale o slapd e ldap-utils:

apt install -y slapd ldap-utils

2.2. Para iniciar a configuração do usuário admin do cn=config faça a geração do hash da senha. Para tanto, execute o comando a seguir:

slappasswd -h {SSHA}

Após a execução do comando, será solicitado a criação de uma senha. Desta senha, será criada um Hash, guarde esta informação.

2.3. A seguir, crie o arquivo /root/admin-cn-config.ldif com o seguinte conteúdo:

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: ${HASH}

2.4. Aplique a configuração da senha do usuário admin do cn=config:

ldapmodify -H ldapi:// -Y EXTERNAL -f /root/admin-cn-config.ldif

2.5. Faça download e importação dos schemas:

wget https://svn.cafe.rnp.br/repos/OpenLDAP/Schemas/breduperson.ldif -O /root/breduperson.ldif
wget https://svn.cafe.rnp.br/repos/OpenLDAP/Schemas/eduperson.ldif -O /root/eduperson.ldif
wget https://svn.cafe.rnp.br/repos/OpenLDAP/Schemas/samba.ldif -O /root/samba.ldif
wget https://svn.cafe.rnp.br/repos/OpenLDAP/Schemas/schac.ldif -O /root/schac.ldif

Em seguida, execute a importação dos schemas individualmente:

ldapadd -H ldapi:// -Y EXTERNAL -f /root/breduperson.ldif
ldapadd -H ldapi:// -Y EXTERNAL -f /root/eduperson.ldif
ldapadd -H ldapi:// -Y EXTERNAL -f /root/samba.ldif
ldapadd -H ldapi:// -Y EXTERNAL -f /root/schac.ldif

2.6. Caso a máquina possua Firewall local, para liberar o acesso as portas utilizadas para acesso remoto ao LDAP, adicione as linhas a seguir no final do arquivo de regras do firewall (/etc/default/firewall).:

# Liberação do LDAP                                   #LDAP
iptables -A INPUT -p tcp -m tcp --dport 389 -j ACCEPT #LDAP
iptables -A INPUT -p tcp -m tcp --dport 636 -j ACCEPT #LDAP
                                                      #LDAP

Em seguida, reinicie o firewall.

/etc/init.d/firewall restart

2.7. Por fim, para fazer a carga inicial de dados e ajuste de ACLs, execute as linhas abaixo:

wget https://svn.cafe.rnp.br/repos/OpenLDAP/Scripts/popula.sh -O /root/popula.sh

Edite o arquivo popula.sh e altere as seguintes informações de RAIZ_BASE_LDAP e DOMINIO_INST no início do arquivo, de acordo com o seu domínio, conforme o exemplo:

RAIZ_BASE_LDAP="dc=rnp,dc=br"
DC="`slapcat | grep "dc:" | awk '{print $2}'`"
DOMINIO_INST="rnp.br"

Altere o script para ser executado:

chmod +x /root/popula.sh

Execute o script popula.sh

3. Acesso ao OpenLDAP

3.1. Para acessar a DIT principal deve-se utilizar os seguintes parâmetros:

• Hostname: IP do Servidor

• Porta: 389

• Bind DN: Concatenação de "cn=admin" com a Base DN. Ex.: cn=admin,dc=rnp,dc=br

• Bind Password: Senha definida no item 2.1. Padrão "changeit" caso não tenha sido alterada.

• Base DN: Conversão da varíavel ${DOMINIO-INSTITUICAO} do item 2.1 para o formato LDAP. Ex.: "rnp.br" >> "dc=rnp,dc=br"

3.2. Para acessar a DIT de configuração deve-se utilizar os seguintes parâmetros:

• Hostname: IP do Servidor

• Porta: 389

• Bind DN: cn=admin,cn=config

• Bind Password: Senha definida no item 2.3.

• Base DN: cn=config

1. Introdução

Este tutorial apresenta os passos necessários para a configuração do campo sambaNTPassword no LDAP.

2. Roteiro

2.1 Após a instalação do OpenLDAP, selecione um usuário da base, como o exemplo abaixo:

2.2 Na tela à direita, selecione qualquer objectClass e clique com o botão direito. Vá em "New Value":

2.3 Na tela abaixo, procure na coluna da esquerda por "sambaSamAccount" conforme ilustrado a seguir. Selecione, e clique em "Add" depois vá em "Next":

2.4 Na tela seguinte, perceba que o objectClass do "sambaSamAccount" aparece inserido, e temos um novo campo do "sambaSID"

Após inserir o valor, clique em "Finish".

2.5 Clique na área em branco, e vá na opção "New Attribute..."

2.6 Na tela abaixo, procure por "sambaNTPassword", e em seguida clique em "Finish"

2.7 Após adicionar o atributo, ele aparecerá sem valor. Neste campo, é necessário colocar uma senha com o Hash NTLM.

Para isto, crie uma senha e converta no site abaixo para o Hash mencionado.

No exemplo abaixo, utilizamos a senha "123456", em seguida, clicamos em "Calculate NTLM Hash":

Agora temos o Hash NTLM sendo baseado na senha inserida:

Basta copia-lo para o campo do "sambaNTPassword":

2.8 Clique duas vezes na opção userPassword, que está em branco, e crie a nova senha para este campo. Feito isto, dê "OK":

2.9 Abaixo, é um exemplo de como os campos ficarão preenchidos:

Agora o LDAP estará configurado para os protocolos PAP (default) e MSCHAPv2 (sambaNTPassword).