Flashcards: 210.4 - Servidor Openldap
41 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Cuál es el método de configuración recomendado en las versiones modernas de OpenLDAP?
R: b) OLC (Online Configuration) con cn=config. OLC (Online Configuration), también conocido como cn=config, es el método recomendado en las versiones modernas de OpenLDAP. Permite modificar la configuración en caliente sin reiniciar el servidor, y almacena la configuración como entradas LDAP en el directorio /etc/ldap/slapd.d/.
P: ¿Qué herramienta se utiliza para exportar el contenido de la base de datos OpenLDAP a formato LDIF?
R: c) slapcat. slapcat exporta el contenido de la base de datos directamente a formato LDIF. Opera directamente sobre los archivos de la base de datos, sin pasar por el demonio slapd, por lo que puede ejecutarse incluso con el servidor detenido.
P: ¿Qué backend de base de datos es el recomendado para nuevas instalaciones de OpenLDAP?
R: c) mdb. MDB (Memory-Mapped Database) es el backend recomendado para OpenLDAP. Es más rápido, fiable y sencillo de administrar que los backends antiguos bdb y hdb (basados en BerkeleyDB), que están obsoletos.
P: ¿Qué requisito tienen slapadd y slapindex para funcionar correctamente?
R: b) El servidor slapd debe estar detenido. slapadd y slapindex operan directamente sobre los archivos de la base de datos sin pasar por el demonio slapd. Por lo tanto, el servidor debe estar detenido para evitar corrupciones. Después de ejecutarlos, se deben ajustar los permisos: chown -R openldap:openldap /var/lib/ldap.
P: ¿Dónde se almacena la configuración OLC (cn=config) en un sistema Debian?
R: c) /etc/ldap/slapd.d/. La configuración OLC se almacena en el directorio /etc/ldap/slapd.d/ en sistemas Debian/Ubuntu (en RHEL/CentOS es /etc/openldap/slapd.d/). Este directorio contiene archivos LDIF que representan la configuración como entradas LDAP y no deben editarse manualmente.
P: ¿Qué comando genera un hash de contraseña para usar en la configuración de OpenLDAP?
R: b) slappasswd. slappasswd genera hashes de contraseñas en formatos como SSHA, SHA, MD5 o CRYPT. El hash resultante se usa como valor de rootpw en slapd.conf o olcRootPW en OLC. ldappasswd es diferente: cambia la contraseña de un usuario vía protocolo LDAP.
P: En la configuración de ACLs de OpenLDAP, ¿qué nivel de acceso permite leer, buscar y comparar pero NO escribir?
R: c) read. El nivel read incluye los permisos de search, compare y auth de forma acumulada. Es el nivel más alto que permite consultar datos sin poder modificarlos. El siguiente nivel, write, añade la capacidad de modificación.
P: ¿Cuál es la directiva OLC equivalente a suffix de slapd.conf?
R: b) olcSuffix. En OLC, las directivas de slapd.conf se traducen añadiendo el prefijo olc. Así, suffix se convierte en olcSuffix, rootdn en olcRootDN, rootpw en olcRootPW, y así sucesivamente.
P: ¿Qué tipo de replicación SyncRepl mantiene una conexión persistente para recibir cambios en tiempo real?
R: b) refreshAndPersist. En modo refreshAndPersist, el consumidor establece una conexión persistente con el proveedor. Tras una sincronización inicial, el proveedor envía los cambios en tiempo real. En contraste, refreshOnly realiza consultas periódicas (polling).
P: ¿Qué comando se utiliza para convertir un archivo slapd.conf al formato de directorio OLC (slapd.d)?
R: b) slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d. slaptest con las opciones -f (archivo de configuración de origen) y -F (directorio OLC de destino) convierte la configuración del formato estático slapd.conf al formato dinámico OLC. Es útil para migrar servidores al método de configuración moderno.
P: ¿Qué esquema de OpenLDAP proporciona las clases posixAccount y posixGroup necesarias para la autenticación de usuarios Linux?
R: d) nis.schema. El esquema nis.schema proporciona las clases de objeto posixAccount y posixGroup, que definen los atributos necesarios para integrar LDAP con la autenticación de usuarios en sistemas Unix/Linux, como uidNumber, gidNumber, homeDirectory y loginShell.
P: En la configuración de ACLs de OpenLDAP, ¿qué sujeto representa a los usuarios que se han autenticado correctamente?
R: c) users. En las ACLs de OpenLDAP, el sujeto users representa a todos los usuarios que se han autenticado (bind) correctamente en el directorio. anonymous se refiere a conexiones sin autenticación, self al propio usuario de la entrada, y * a todos (autenticados y anónimos).
P: ¿Qué overlay de OpenLDAP se utiliza para implementar políticas de contraseña como caducidad y complejidad?
R: c) ppolicy. El overlay ppolicy (Password Policy) permite definir políticas de contraseña avanzadas, como longitud mínima, caducidad, historial de contraseñas y bloqueo de cuentas tras intentos fallidos. Se configura como un overlay en la base de datos y se gestiona mediante entradas pwdPolicy en el directorio.
P: ¿Qué directiva de slapd.conf define el DN del administrador de la base de datos LDAP?
R: b) rootdn. La directiva rootdn en slapd.conf define el DN del administrador (superusuario) de la base de datos LDAP. Este usuario tiene acceso total al directorio, independientemente de las ACLs. Su contraseña se establece con rootpw. En OLC, el equivalente es olcRootDN.
P: ¿Qué modo de replicación SyncRepl funciona mediante consultas periódicas del consumidor al proveedor?
R: b) refreshOnly. En el modo refreshOnly, el consumidor (slave) consulta periódicamente al proveedor (master) para obtener los cambios. Es un modelo de tipo polling. En contraste, refreshAndPersist mantiene una conexión persistente para recibir cambios en tiempo real.
P: ¿Qué nivel de acceso en las ACLs de OpenLDAP permite a un usuario autenticarse pero no leer ni buscar datos?
R: b) auth. El nivel de acceso auth permite únicamente la autenticación (bind) contra una entrada, sin permitir leer, buscar o comparar datos. Se utiliza típicamente para permitir que los usuarios anónimos puedan autenticarse usando el atributo userPassword sin poder leer su valor.
P: ¿Cuál es la directiva OLC equivalente a rootpw de slapd.conf?
R: b) olcRootPW. En OLC, las directivas se traducen añadiendo el prefijo olc y manteniendo mayúsculas según la convención. Así, rootpw se convierte en olcRootPW, rootdn en olcRootDN, suffix en olcSuffix, etc.
P: ¿Qué opción se utiliza con ldapmodify para autenticarse mediante el mecanismo SASL EXTERNAL a través de un socket Unix?
R: b) -Y EXTERNAL -H ldapi:///. La opción -Y EXTERNAL indica autenticación SASL con el mecanismo EXTERNAL (basado en el UID del proceso) y -H ldapi:/// indica conexión a través del socket Unix local. Esta combinación es habitual para administrar la configuración OLC como root.
P: ¿Qué directiva de slapd.conf se utiliza para definir índices sobre los atributos de la base de datos?
R: b) index. La directiva index en slapd.conf define los índices que se crean sobre los atributos para mejorar el rendimiento de las búsquedas. Los tipos de índice incluyen eq (igualdad), pres (presencia), sub (subcadena) y approx (aproximación). En OLC, el equivalente es olcDbIndex.
P: ¿Qué overlay de OpenLDAP gestiona automáticamente la membresía inversa de grupos, añadiendo el atributo memberOf a las entradas de usuario?
R: c) memberof. El overlay memberof gestiona automáticamente el atributo memberOf en las entradas de usuario cuando estos se añaden o eliminan como miembros de un grupo. Esto facilita las búsquedas de pertenencia a grupos sin necesidad de consultar cada grupo individualmente.
P: ¿Qué comando se utiliza para exportar toda la base de datos de OpenLDAP a un archivo LDIF llamado backup.ldif?
R: slapcat -l backup.ldif. slapcat exporta el contenido de la base de datos directamente a formato LDIF. La opción -l especifica el archivo de salida. Opera directamente sobre los archivos de la base de datos sin pasar por el demonio slapd.
P: ¿Qué comando genera un hash de contraseña en formato SSHA para usar en la configuración de OpenLDAP?
R: slappasswd. El comando slappasswd solicita una contraseña y genera su hash en formato SSHA por defecto. El hash resultante se puede usar como valor de rootpw en slapd.conf o olcRootPW en OLC. Se puede especificar otro algoritmo con -h, por ejemplo: slappasswd -h {SHA}.
P: ¿Qué comando regenera los índices de la base de datos de OpenLDAP (requiere que slapd esté detenido)?
R: slapindex. El comando slapindex regenera todos los índices definidos en la configuración de la base de datos. Es necesario detener el demonio slapd antes de ejecutarlo para evitar corrupciones. Después de ejecutarlo, se deben ajustar los permisos: chown -R openldap:openldap /var/lib/ldap.
P: ¿Qué comando se utiliza para importar el archivo datos.ldif directamente a la base de datos de OpenLDAP?
R: slapadd -l datos.ldif. slapadd importa datos en formato LDIF directamente a la base de datos de OpenLDAP, sin pasar por el demonio slapd. El servidor debe estar detenido durante la importación. Después, se deben corregir los permisos del directorio de la base de datos.
P: ¿Qué comando carga el esquema cosine.ldif en la configuración OLC de OpenLDAP usando autenticación SASL EXTERNAL?
R: ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif. Este comando añade el esquema cosine al servidor OpenLDAP utilizando la configuración OLC. La opción -Y EXTERNAL usa autenticación SASL con el mecanismo EXTERNAL (basado en el UID del proceso local), y -H ldapi:/// indica la conexión a través del socket Unix.
P: Tip de examen: OLC (cn=config) es el método recomendado y el predeterminado en las distribucion…
R: OLC (cn=config) es el método recomendado y el predeterminado en las distribuciones modernas. La configuración se almacena en /etc/ldap/slapd.d/. Los archivos dentro de este directorio NO deben editarse manualmente; se gestionan con ldapmodify.
P: Tip de examen: mdb es el backend recomendado para nuevas instalaciones. hdb y bdb están o…
R: mdb es el backend recomendado para nuevas instalaciones. hdb y bdb están obsoletos pero pueden aparecer en preguntas sobre sistemas heredados.
P: Tip de examen: slapcat, slapadd y slapindex operan directamente sobre la base de datos si…
R: slapcat, slapadd y slapindex operan directamente sobre la base de datos sin pasar por el demonio slapd. Por eso, slapadd y slapindex requieren que el servidor esté detenido. slapcat puede ejecutarse con el servidor en ejecución pero se recomienda detenerlo.
P: Tip de examen: SyncRepl es el método de replicación estándar en OpenLDAP. Conocer la diferencia…
R: SyncRepl es el método de replicación estándar en OpenLDAP. Conocer la diferencia entre refreshOnly y refreshAndPersist es importante: el primero es polling y el segundo es push en tiempo real.
P: Que hace el comando slap*?
R: Herramientas del lado del servidor (slapcat, slapadd, etc.)
P: Que hace el comando ldap*?
R: Herramientas del lado del cliente (ldapsearch, ldapadd, etc.)
P: Que hace el comando core.schema?
R: Atributos y clases base de LDAP
P: Que hace el comando inetorgperson.schema?
R: Clase inetOrgPerson para personas
P: Que hace el comando nis.schema?
R: Clases POSIX (posixAccount, posixGroup)
P: Que es/son Introducción a OpenLDAP?
R: OpenLDAP es la implementación de código abierto más utilizada de un servidor LDAP en Linux. El demonio principal es slapd (Stand-alone LDAP Daemon).
P: Que es/son Métodos de configuración?
R: OpenLDAP soporta dos métodos de configuración:
P: Que es/son Esquemas (Schemas)?
R: Los esquemas definen los tipos de objetos y atributos disponibles en el directorio.
P: Que es/son Control de acceso (ACLs)?
R: Las ACLs controlan quién puede acceder a qué datos y con qué nivel de permisos.
P: Que es/son Overlays?
R: Los overlays son módulos que extienden la funcionalidad de slapd:
P: Que es/son Replicación (SyncRepl)?
R: SyncRepl permite replicar datos entre servidores LDAP. El proveedor (master) envía cambios al consumidor (slave).
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: