wiki:Servicos/Ldap

Version 18 (modified by viani, 9 years ago) (diff)

--

LDAP

Lightweight Directory Access Protocol, ou LDAP, é um protocolo para atualizar e pesquisar diretórios rodando sobre TCP/IP. Um diretório LDAP tende a refletir vários limites políticos, geográficos e/ou organizacionais, dependendo do modelo adotado. Em geral o LDAP permite que a busca seja mais rápida a escrita em função da estrutura de diretórios que ele usa.

A utilização do LDAP hoje em dia tende a se basear nos nomes já existentes do sistema de domínios da internet, na estruturação dos níveis mais básicos de hierarquia. Mais profundamente, podem aparecer estruturas representando pessoas, unidades organizacionais, impressoras, documentos, grupos de pessoas ou qualquer outra coisa que represente um nó. O Expresso, monta a árvore de organizações e usuários e cadastra dados básicos como nome, sobrenome e senha destes. Todos os usuários do Expresso estão cadastrados dentro de alguma organização do LDAP.

Cada registro no LDAP é como um nó de uma árvore ou um grafo. Por exemplo no expresso, o usuário joca da organização celepar, do servidor servidor.pr.gov.br estaria registrado na sua base como:

uid=joca, ou=CELEPAR, dc=servidor,dc=pr,dc=gov,dc=br

Onde cada uma dessas entradas é um nível da estrutura. Do mais externo até o mais interno brasil->governamental->parana->servidor->celepar->joca

Configurando LDAP para o Expresso no mesmo servidor ou em outro diferente

Primeiro configure seu servidor da forma como sua distribuição recomenda. O seu domínio LDAP será registrado no setup do expresso posteriormente.

Após isso é preciso tomar cuidado com os includes dos esquemas do egroupware. Então copie /var/www/expresso/doc-expressolivre/debian/arqs-conf/etc/ldap/schema/*.schema para /etc/ldap/schema/ e depois adicione no seu /etc/ldap/slapd.conf (ou similar)

include         /etc/ldap/schema/qmailuser.schema
include         /etc/ldap/schema/phpgwaccount.schema
include         /etc/ldap/schema/samba.schema
include         /etc/ldap/schema/phpgwcontact.schema

Também coloque suporte a LDAP V2

# Allow LDAPv2 binds
allow bind_v2

Para configurar a aplicação Expresso, é necessário entrar pelo browser, na url expresso/setup.

Depois disso, se logue no admin/config e vá no item "Se tiver usando o LDAP". Configure os seguintes parâmetros:

Servidor LDAP :: IP ou nome do servidor ldap (se quiser usar LDAP seguro, use ldaps://seuservidor) 

Contexto de contas LDAP :: Exemplo: dc=pr,dc=gov,dc=br

Filtro de pesquisa para Contas :: <deixe em branco>

Contexto de grupos LDAP :: Exemplo: dc=pr,dc=gov,dc=br

Super usuário LDAP :: Ex.: cn=admin,dc=ediser25,dc=pr, dc=gov, dc=br

Senha do super usuário LDAP :: <senha do admin>

Populando a base do LDAP

Pegue o expresso.ldif que está anexado nesta página. Edite ele da seguinte forma:

  • Substitua LDAP_DN pela base do ldap (dc=... , dc=...)
  • Substitua LDAP_PWD_MD5 pela senha do expresso admin em md5

comando para gerar (slappasswd -v -s senha -h {MD5} | sed s#'/'#'
\/'#g )

  • Substitua ORG pela organização (dc=...)
  • Substitua DOMAIN pelo domínio (exemplo.com.br)
  • Substitua LDAP_DC Nome do domínio (exemplo)

Em seguida faça:

slapadd -v -l /tmp/expresso.ldif

Como testar

Um jeito, fácil e eficiente é baixar o ldap browser nos links abaixo. Nele você pode configurar a conexão local, ler a sua base. Conectado nele existe a opção de verificar, mover e copiar entradas.

Anexos

expresso.ldif