Tanto la versión final como la demo la podéis obtener mediante iTunes Enhorabuena Gerard y espero que sea el primero de muchos otros juegos!

Adicionalmente, si perdemos la conexión con el servidor no podremos recuperar el estado en el que se encontraban las terminales. Por ejemplo, si estábamos comprimiendo un directorio y se corta la conexión, esta acción se quedará a medias y tendremos que repetirla.

Sin embargo, si hacemos uso de ‘screen‘ podemos solventar de un plumazo esos dos inconvenientes:

• Únicamente nos bastará con realizar una conexión dado que este programa nos permite mantener diversas “ventanas” virtuales dentro de la misma terminal. El concepto es similar a cuando tenemos un único navegador con diferentes pestañas.
• Si la conexión se pierde, screen continuará funcionando y al volver a reconectar con el servidor podremos recuperar el estado original

Lo mejor es experimentar con screen para comprobar su utilidad:

sudo apt-get install screen
screen -R -D

El comando anterior restaurará la sesión anterior de screen en caso de existir o, de lo contrario, creará una sesión nueva. Acto seguido tendremos acceso a una shell como si nada hubiese ocurrido, no obstante ahora podemos utilizar diversas combinaciones de teclas para crear nuevas ventanas o realizar otras acciones:

• ctrl-a c

Crear una nueva ventana con una shell

• ctrl-a k

Destruye la ventana actual

• ctrl-a n
  ctrl-a p

Ir a la ventana siguiente o anterior

• ctrl-a ctrl-a

Ir a la última ventana visualizada

• ctrl-a A

Cambiar el título de la ventana actual

• ctrl-a ESC

Ver el historial (scrolling buffer)

• ctrl-a x

Bloquea terminal

• ctrl-a d

Desasignar screen (recuperar después con screen -R -D)

Adicionalmente, podemos realizar pantallazos o llevar un registro de todos los comandos que ejecutamos:

• ctrl-a h

Guarda pantallazo en “hardcopy.n”

• ctrl-a H

Inicia/para registro de la ventana actual en “screenlog.n”

O incluso podemos compartir una terminal entre diversos usuarios de forma remota con screen.

Finalmente, si deseamos tener una barra inferior donde aparecerá el nombre de las diferentes ventanas, así como la carga del sistema y la hora actual (entre otras cosas), podemos modificar el fichero de configuración ~/.screenrc:

screen -t shell 0
#screen -t shell 0 motd+shell
#screen -t shell2    1
#screen -t server    2
#screen -t Mail 9   tail -f /var/log/messages

select 0
shelltitle "shell"

# skip the startup message
startup_message off

# go to home dir
chdir

# Automatically detach on hangup.
autodetach on

# Change default scrollback value for new windows
defscrollback 1000

# Turns off alternate screen switching in xterms,
# so that text in screen will go into the xterm's scrollback buffer:
termcapinfo xterm* ti@:te@
altscreen on

# start with visual bell as default
vbell on
vbell_msg "bell on %t (%n)"
activity "Activity in %t(%n)"

# Run a screensaver if there's nothing happening for a while.
#idle 600 eval "screen cmatrix -f -o -u 10" "idle 0"
idle 600 lockscreen

### White
#caption always "%{kW}%?%-Lw%?%{bw}%n*%f %t%?(%u)%?%{kW}%?%+Lw%? %= %{= Wk}%110`%109`%111` %H load: %l | %D %d-%m-%Y %0c:%s"

### Black
caption always "%{wk}%?%-Lw%?%{bw}%n*%f %t%?(%u)%?%{wk}%?%+Lw%? %= %{= kw}%110`%109`%111` %H load: %l | %D %d-%m-%Y %0c:%s"

Por defecto Ubuntu instala una versión reducida (tiny) de este editor que no es tan configurable como la versión completa, así que antes de empezar nos aseguramos de tener esta última:

sudo aptitude install vim

A continuación creamos el fichero ‘/etc/vim/vimrc.local’ (o ~/.vimrc si solo queremos que afecte nuestro usuario) con la siguiente configuración:

" When editing a file, always jump to the last cursor position
autocmd BufReadPost *
      \ if line("'\"") > 0 && line ("'\"") <= line("$") |
      \   exe "normal g'\"" |
      \ endif

" sw -> espacios de la indentacion
set sw=4

" tabulacion
set tabstop=4
set smarttab

" Reemplazar tabs con espacios
"set expandtab

" ignore case en las busquedas
set ic

" highlight search, incsearch
set hls is

" Mostrar siempre la linea actual
set ruler

" Coloreado
syntax on

" Lineas
"set number

"Sin beep ni aviso visual
"set vb t_vb=

"Sin beep
"set vb

" Configuración del explorador de ficheros (":Explore")
"""""""""""""""""""""
" Al abrir un fichero, hacerlo en la ventana actual
let g:netrw_browse_split=0

" Activar la ocultacion de ficheros
let g:netrw_hide=1

" Lista de ficheros a ocultar (separar por comas)
let g:netrw_list_hide='^\..*'

" Modo de lista larga (con detalles)
let g:netrw_longlist=1

" Ordenar por "name", "time", o "size"
let g:netrw_sort_by="name"

" Orden "normal" o "reverse"
let g:netrw_sort_direction="normal"
""""""""""""""""""

" Mostrar siempre la barra de tabs
set stal=2

" Remapeo de comandos
nmap :W :w
nmap :Q :q
nmap :WQ :wq

" tab navigation
:nmap <C-p> :tabprevious<cr>
:nmap <C-n> :tabnext<cr>
:nmap <C-t> :tabnew<cr>
:map <C-c> :tabclose<cr>

" No guardar fichero de backup *~
set nobackup

Por otra parte, si queremos utilizar la versión gráfica de vim instalaremos “vim-full”:

apt-get install vim-full

Y crearemos el fichero ‘/etc/vim/gvimrc.local’ con la siguiente configuración:

" Indentación elegante
set smartindent

" Ocultar puntero del raton al escribir
set mousehide

" Color de fondo Negro, color de la letra blanco
hi Normal       guibg=Black guifg=White 

" Esquema de color
"colorscheme torte

if filereadable("/etc/vim/vimrc.local")
  source /etc/vim/vimrc.local
endif

Introducción

Para editar un archivo con Vim ejecutaremos:

vim nombre_archivo.txt
gvim nombre_archivo.txt

Es habitual que se tenga definido un alias de forma que cuando ejecutemos “vi”, realmente estemos ejecutando “vim”:

alias vi='vim'

Este texto debe ser incluido en los archivos .bashrc y .bash_profile del directorio personal del usuario (cd $HOME).

Una vez tenemos abierto vim y estamos editando un archivo debemos conocer diversos comandos para poder utilizar el entorno. El editor se puede encontrar en 3 modos diferentes:

• Modo normal (Normal mode): Se pueden utilizar ciertas combinaciones de teclas para realizar ciertas acciones. Para acceder a este modo presionar escape.
• Modo inserción (Insertion mode): Se puede insertar (insert) o sobreescribir el texto (append). Para acceder a este modo presionar ‘i’, ‘a’ o la tecla ‘insert’ (1 vez = insert, 2 veces = append).
• Modo comando (Command mode): Se puede utilizar cualquier comando SED además de funciones propias de Vim. Para acceder a este modo se debe estar en modo normal y pulsar ‘:’, a continuación se escribirá nuestra petición.
• Modo visual (visual mode): Se puede selecionar texto para tratarlo en conjunto. Para acceder a este modo se debe estar en modo normal y pulsar ‘v’.

Modo Normal

• Desplazamiento con los cursores del teclado o con h (izquierda), j (arriba), k (abajo) y l (derecha)
• Última línea

G

• Primera línea

gg

• Deshacer

u

• Rehacer

CTRL+r

• Buscar un texto

/texto[ENTER]

• Repetir última búsqueda

n

• Repetir última búsqueda en sentido contrario

N

• Dividir la pantalla horizontalmente en 2:

CTRL+ws

• Dividir la pantalla verticalmente en 2:

CTRL+wv

• Crear un nuevo archivo en una pantalla dividida horizontalmente:

CTRL+wn

• Cerrar la división actual

CTRL+wq

• Moverse a la ventana de arriba (j), abajo (k), izquierda (h) o derecha (l):

CTRL+w{j,k,h,l} ó CTRL+w{cursores del teclado}

• Hacer todas las ventanas del mismo tamaño

CTRL+w=

• Incrementar/Decrementar la altura de la ventana actual

CTRL+{+,-}

• Nueva pestaña

CTRL+t

• Siguiente o anterior pestaña

CTRL+n
CTRL+p

• Cerrar pestaña

CTRL+c

Modo Inserción

• Autocompletar palabra en base al texto ya existente

CTRL+N y CTRL+P (p.ej. “hola hCTRL+N” resultado “hola hola”)

Modo Comando

Pulsar [ENTER] después de cada comando

• Ir a la linea 25

:25

• Salir

:q

• Salir cerrando todos los ficheros abiertos

:qa

• Guardar

:w

• Salir guardando

:wq

• Salir sin guardar

:q!

• Guardar en fichero de solo lectura (sólo root)

:w!

• Guardar con otro nombre

:w archivo

• Editar archivo

:e archivo

• Navegar a partir de un directorio

:e directorio
:Explore

• Substituir una cadena de texto A por B (si alguna de estas cadenas contiene caracteres que tengan algun significado especial como por ejemplo ‘/’ se debe anular antes la funcionalidad de este con \, por ejemplo, substituir los ‘/’ por ‘.’ seria :s/\//./)

:%s/A/B/ (p.ej. :s/hola/adios)

• Substituir una cadena de texto A por B en todo el texto

:%s/A/B/g

• Substituir una cadena de texto A por B entre la linea 2 y 10

:2,10s/A/B/g

• Activar la inserción en “modo paste”, esto permite pegar cosas al documento (usando el ratón) de forma que no tabule lo que pegamos, ya que si ese texto ya esta tabulado lo único que hace es pegar desordenando el texto.

:set paste

• Desactivar la inserción en “modo paste”

:set nopaste

• Cortar las líneas que no caben en pantalla.

:set wrap

• No cortar las líneas que no caben en pantalla

:set nowrap

• Dividir pantalla horizontalmente

:split

• Dividir pantalla verticalmente

:vsplit

• Crear nueva pantalla dividida

:new

• Quedarse solo con la ventana actual y ocultar el resto

nly

• Listar todos los ficheros abiertos (buffers)

:files ó :buffers

• Ir al buffer X (los numeros aparecen al hacer un :files o :buffers *en plural*)

:file X ó :buffer X

• Ayuda

:help ó :help termino

Modo Visual

Como ya hemos comentado, para acceder a este modo se debe estar en modo normal y pulsar ‘v’. No obstante, si en lugar de ‘v’ pulsamos ‘Ctrl+v’ pasaremos al modo visual en bloque (permite seleccionar un bloque de texto por columnas en lugar de por filas).

• Seleccionar texto utilizando h(izquierda), j (arriba), k (abajo) y l (derecha) o con los cursores del teclado.
• Es posible aplicar las mismas instrucciones vista en el modo comando y modo normal, pero esto solo se realizará sobre el texto seleccionado.
• Si seleccionamos texto y pasamos a modo comando pulsando ‘:’ se nos mostrar una linea como esta “:’ <,’>”, no debemos borrar estos símbolos ya que es la forma de reconocer vim que estamos aplicando el comando al texto seleccionado.
• Copiar el texto selecionado

y

• Cortar el texto seleccionado

d

• Pegar el texto copiado o cortado. Debemos estar en modo normal, se pasará automáticamente a ese modo despues de copiar o cortar con ‘y’ o ‘d’.

p

Corrector ortográfico

Por defecto, vim dispone de corrector para Inglés pero quizás también nos interese tener para Castellano y Catalan:

sudo -s
cd /usr/share/vim/vimcurrent/spell
wget http://ftp.vim.org/vim/runtime/spell/es.latin1.spl
wget http://ftp.vim.org/vim/runtime/spell/es.latin1.sug
wget http://ftp.vim.org/vim/runtime/spell/es.utf-8.spl
wget http://ftp.vim.org/vim/runtime/spell/es.utf-8.sug                        

wget http://ftp.vim.org/vim/runtime/spell/ca.latin1.spl
wget http://ftp.vim.org/vim/runtime/spell/ca.latin1.sug
wget http://ftp.vim.org/vim/runtime/spell/ca.utf-8.spl
wget http://ftp.vim.org/vim/runtime/spell/ca.utf-8.sug

Una vez instalados los diccionarios, en modo comando:

• Activar corrector

:set spell

• Desactivar corrector

:set nospell

• Seleccionamos idioma

:setlocal spell spelllang=es
:setlocal spell spelllang=ca
:setlocal spell spelllang=en

Las palabras incorrectas se marcaran en color rojo y podremos interaccionar en modo normal:

• Siguiente palabra incorrecta

]s

• Previa palabra incorrecta

[s

• Sugerencias de corrección para una palabra

z=

• Añadir una palabra al diccionario

zg

• Borrar una palabra del diccionario

zw

En la página de Vim se puede encontrar más información, incluso scripts que añaden funcionalidades interesantes.

El profesor Xavier Puig de la Universitat Pompeu Fabra ha colgado un conjunto de clases muy ilustrativas sobre el funcionamiento básico de los mercados financieros (monetarios, renta fija/variable, divisas), derivados (futuros, opciones) y matemáticas financieras elementales (VAN, TIR):

Mercados financieros

• Capítulo 1: Introducción a los mercados financieros
• Capítulo 2: El precio del dinero a corto y largo plazo
• Capítulo 3: Qué es y qué no es la bolsa
• Capítulo 4: Qué es caro y qué es barato
• Capítulo 5: PER y rentabilidad por dividendos

Derivados: Futuros y opciones

• Capítulo 1: Introducción y conceptos básicos
• Capítulo 2: Especulación con futuros – Posición compradora
• Capítulo 3: Cobertura con futuros
• Capítulo 4: Operativa con futuros en la prácticas
• Capítulo 5: Futuros sobre índices bursatiles
• Capítulo 6: Resumen y conclusiones de futuros
• Capítulo 7: Introducción y conceptos básicos de opciones
• Capítulo 8: Opciones de compra / Call Options
• Capítulo 9: Opciones de venta / Put Options

Matemáticas financieras

• Capítulo 1: Introducción
• Capítulo 2: Operaciones
• Capítulo 3: VAN – Formulación y cálculo
• Capítulo 4: VAN – Uso e interpretación
• Capítulo 5: VAN – Un ejemplo
• Capítulo 6: TIR – Tasa interna de rentabilidad
• Capítulo 7: TAE – Tasa anual equivalente

Vamos a configurar el sistema para que Ubuntu reconozca el dispositivo lector y podamos utilizarlo desde el navegador Firefox. Para ello, instalaremos los paquetes necesarios (muchos de los pasos que describo los he obtenido del artículo DNIe y lector ACR38 bajo Linux):

# Herramientas para que el sistema reconozca el lector
apt-get install pcscd pcsc-tools libccid opensc
# Integración con mozilla
apt-get install mozilla-opensc libnss3-tools

Adicionalmente, tendremos que instalar el driver concreto para poder leer DNIs que lo proporciona el ministerio del interior mediante la sección de descargas. Por ejemplo, en mi caso descargo la versión de Ubuntu Intrepid 64 bits (funciona también en Jaunty):

wget http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/opensc-dnie_1.4.5-1_amd64_Ubuntu_Intrepid_Ibex.deb.tar
tar -xvf opensc-dnie_1.4.5-1_amd64_Ubuntu_Intrepid_Ibex.deb.tar
dpkg -i opensc-dnie_1.4.5-1_amd64_Ubuntu_Intrepid_Ibex.deb

A continuación podemos ejecutar “Aplicaciones – Oficina – Registrar módulo DNIe PKCS#11″ para que se active el soporte en Firefox (módulo “/usr/lib/opensc-pkcs11.so”) y se añada el certificado de la Dirección General de la Policía.

Por otra parte, podemos comprobar si el sistema reconoce correctamente el lector. Lo conectamos, ejecutamos pcsc_scan e introducimos nuestro DNI:

# pcsc_scan
PC/SC device scanner
V 1.4.14 (c) 2001-2008, Ludovic Rousseau <ludovic .rousseau@free.fr>
Compiled with PC/SC lite version: 1.4.99
Scanning present readers
0: C3PO LTC31 00 00

Sat May 30 17:00:41 2009
 Reader 0: C3PO LTC31 00 00
  Card state: Card removed,

Sat May 30 17:01:27 2009
 Reader 0: C3PO LTC31 00 00
  Card state: Card inserted,
  ATR: 3B 7F 38 00 00 00 6A 44 4E 49 65 20 02 4C 34 01 13 03 90 00

ATR: 3B 7F 38 00 00 00 6A 44 4E 49 65 20 02 4C 34 01 13 03 90 00
+ TS = 3B --> Direct Convention
+ T0 = 7F, Y(1): 0111, K: 15 (historical bytes)
  TA(1) = 38 --> Fi=744, Di=12, 62 cycles/ETU (57600 bits/s at 3.57 MHz)
  TB(1) = 00 --> VPP is not electrically connected
  TC(1) = 00 --> Extra guard time: 0
+ Historical bytes: 00 6A 44 4E 49 65 20 02 4C 34 01 13 03 90 00
  Category indicator byte: 00 (compact TLV data object)
    Tag: 6, len: A (pre-issuing data)
      Data: 44 4E 49 65 20 02 4C 34 01 13
    Mandatory status indicator (3 last bytes)
      LCS (life card cycle): 03 (Initialisation state)
      SW: 9000 (Normal processing.)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 7F 38 00 00 00 6A 44 4E 49 65 20 02 4C 34 01 13 03 90 00
3B 7F 38 00 00 00 6A 44 4E 49 65 [1,2]0 02 4C 34 01 13 03 90 00
    DNI electronico (Spanish electronic ID card)

http://www.dnielectronico.es

Si todo ha ido bien, vayamos a intentar leer los certificados de nuestro DNI mediante Firefox. Lo abrimos con el lector conectado y vamos a “Editar – Preferencias – Avanzado – Cifrado – Ver Certificados – Sus Certificados”, donde nos pedirá el PIN de nuestro DNI.

Podemos comprobar la autenticación y firma mediante la página de prueba de la FNMT:

https://av-dnie.cert.fnmt.es/compruebacert/compruebacert

Finalmente, determinados sitios web intentaran acceder al lector mediante Java (p.ej. entidades financieras como Bankinter o ING-Direct) y necesitaremos soporte para Java, para lo cual tendremos que escoger la versión abierta o la de Sun:

apt-get install openjdk-6-jre icedtea6-plugin
apt-get install sun-java6-jre sun-java6-plugin

Por desgracia, no he sido capaz de autenticarme en ninguna web que intente acceder al DNI mediante Java. Con la versión OpenJDK/IcedTea me salta un mensaje de error que no ofrece muchas pistas y con la versión de Sun me indica que el sistema operativo no es compatible.

$ ls -la /dev/sg3
crw-rw----+ 1 root root 21, 2 2009-05-24 14:36 /dev/sg3

Para cambiar este comportamiento, vamos a extraer información sobre el dispositivo que en mi caso corresponde sg3 pero puede variar según la configuración (consultar dmesg):

# udevadm info -a -p /sys/class/scsi_generic/sg3
...
looking at parent device '/devices/pci0000:00/0000:00:1e.0/0000:05:02.0/host10/target10:0:2/10:0:2:0':
    KERNELS=="10:0:2:0"
    SUBSYSTEMS=="scsi"
    DRIVERS==""
    ATTRS{device_blocked}=="0"
    ATTRS{type}=="3"
    ATTRS{scsi_level}=="3"
    ATTRS{vendor}=="HP      "
    ATTRS{model}=="C5110A          "
    ATTRS{rev}=="3701"
    ATTRS{state}=="running"
    ATTRS{timeout}=="0"
    ATTRS{iocounterbits}=="32"
    ATTRS{iorequest_cnt}=="0x7"
    ATTRS{iodone_cnt}=="0x7"
    ATTRS{ioerr_cnt}=="0x0"
    ATTRS{modalias}=="scsi:t-0x03"
    ATTRS{evt_media_change}=="0"
    ATTRS{queue_depth}=="2"
    ATTRS{queue_type}=="none"
...

A continuación, creamos una nueva regla UDEV en el fichero “/etc/udev/rules.d/99-personalizado.rules”:

# permissions for SCSI scanner
KERNEL=="sg[0-9]*", SUBSYSTEMS=="scsi", ATTRS{type}=="3", ATTRS{model}=="C5110A*", NAME="%k", SYMLINK="scanner", MODE="0660", GROUP="scanner"

En la regla estamos indicando que todos los dispositivos sgX (sg1, sg2, etc.), del tipo SCSI y modelo C5110A (información que coincide con el scanner, según el comando udevadm que hemos ejecutado antes) deben tener permisos lectura y escritura para el grupo “scanner”. Adicionalmente, se creará un enlace simbólico “/dev/scanner” apuntando al dispositivo.

A continuación, crearemos el grupo “scanner” y añadiremos todos los usuarios que queremos que utilicen este dispositivo:

groupadd scanner
adduser miusuario scanner

En este punto, ya podemos reiniciar el equipo o recargar el driver del scanner:

rmmod sym53c8xx
modprobe sym53c8xx

Si ha funcionado, nuestro dispositivo tendrá los siguientes permisos:

$ ls -la /dev/sg3
crw-rw----+ 1 root scanner 21, 2 2009-05-24 14:56 /dev/sg3

Finalmente podremos escanear utilizando “Aplicaciones -> Gráficos -> Programa de escaneo de imágenes XSane” o bien directamente desde Gimp.

Para hacerla funciona en Ubuntu, lo primero que tendremos que hacer es descargar el correspondiente firmware:

cd /lib/firmware/
sudo wget http://www.wi-bw.tfh-wildau.de/~pboettch/home/files/dvb-usb-dib0700-1.20.fw

Añadimos las opciones propias de la tarjeta editando “/etc/modprobe.d/options.conf”:

#options bttv tuner=0 radio=0 pll=1 card=37 # Antigua sintonizadora PreviewPixel
options dvb-usb-dib0700 force_lna_activation=1

En este punto ya podemos reiniciar nuestro PC para que la tarjeta sea detectada correctamente. Podemos comprobar la correcta instalación mediante el comando “lsusb”:

$ lsusb
Bus 003 Device 002: ID 2040:8400 Hauppauge

A continuación vamos a generar el listado de canales disponibles para que podamos visualizarlos desde el reproductor VLC:

sudo apt-get install dvb-utils
scan /usr/share/dvb/dvb-t/es-Collserola | tee channels.conf
sudo mv channels.conf /etc/

Cabe destacar que en mi caso utilizo como “es-Collserola” como fichero base dada mi cercania a Barcelona, pero según la situación geográfica podemos utilizar otros modelos que encontraremos en el directorio “/usr/share/dvb/dvb-t/”.

Finalmente, para poder sintonizar la TV podemos utilizar VLC:

apt-get install vlc vlc-plugin-pulse
vlc /etc/channels.conf

A través de la lista de reproducción podremos navegar entre los diferentes canales.

Tenemos a nuestra disposición también programas más complejos que nos permitiran realizar grabaciones y otras opciones más avanzadas (típicas de un media center) como MythTV y Freevo (este último no he conseguido hacerlo funcionar). Personalmente esperaba que fuesen más cómodos de utilizar, para un PC de escritorio es mucho más rápido de utilizar VLC si lo único que queremos es visualizar la programación actual.

Con el objetivo de tener un mayor control sobre los usuarios definidos y una política de contraseñas homogénea, lo ideal en una red es disponer de un servicio centralizado de autenticación. Imaginaros que disponemos de una red con 20 servidores y necesitásemos dar de alta un nuevo usuario, deberíamos ejecutar las pertinentes modificaciones en los 20 diferentes entornos con el riesgo de errores e inconsistencias que ésto implica. Por otra parte, desde la perspectiva del usuario nos encontramos con 20 contraseñas que no tienen porque estar sincronizadas, diferentes políticas, etc… al final es más que probable que el usuario utilice contraseñas débiles o que las anote en un postit pegado al monitor.

Por esos motivos, desde el punto de vista de la seguridad, es recomendable disponer de un servicio centralizado de autenticación. Históricamente en el mundo Unix se ha utilizado NIS (Network Information Service), pero actualmente ya se encuentra en desuso y se recomienda LDAP por tratarse de un sistema más moderno y seguro.

Entre las implementaciones de LDAP más conocidas tenemos el Directorio Activo de Windows y OpenLDAP para sistemas Linux/Unix (también puede integrarse con clientes Windows). Veamos como podemos montar un servicio centralizado de autenticación con OpenLDAP que cumpla los siguientes requisitos:

• Autenticación contra un único punto centralizado de la red.
• Conexiones cifradas con TLS.
• Identificación de estaciones mediante certificados digitales (únicamente podrán conectarse al servidor los clientes que dispongan de un certificado creado por nosotros y viceversa)
• Política de contraseñas homogénea y robusta.
• Los usuarios definidos en OpenLDAP dispondrán de campos donde se especificará a que máquinas tienen acceso. La autorización a que servicios de cada máquina se delegará a cada servidor para no perder flexibilidad.
• Cuando el usuario se autentica por primera vez en un sistema, se almacenan sus credenciales en una cache local, de forma que si el servidor de LDAP cae temporalmente, el usuario puede seguir conectándose.

Entidad certificadora SSL

Cómo comentabamos en la introducción, vamos a configurar LDAP para que se realicen conexiones cifradas. Para ésto tenemos la opción de generar un certificado SSL auto-firmado:

mkdir /etc/ldap/ssl
cd /etc/ldap/ssl
openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem -days 3650

Con este certificado únicamente podemos cifrar las conexiones pero no identificar los clientes o el servidor. Por tanto, cualquiera ordenador de la red puede conectarse al servidor sin que éste pueda verificar si se trata de un cliente autorizado, o a la inversa, los clientes no pueden verificar que se estan conectando al servidor autorizado y por ejemplo podrían enviar información confidencial (p.ej. contraseñas).

Para evitar esa situación, la configuración más segura consiste en crear nuestra propia Autoridad Certificadora (CA) y emitir tantos certificados como necesitamos (1 por cliente + el servidor) firmados por la misma. Así podremos especificar que el servidor y el cliente solo acepten conexiones con certificados firmados por nuestra Autoridad Certificadora:

mkdir /etc/ssl/marblestationCA
mkdir /etc/ssl/marblestationCA/certs
mkdir /etc/ssl/marblestationCA/private

echo "01" > /etc/ssl/marblestationCA/serial
touch /etc/ssl/marblestationCA/index.txt

Creamos “/etc/ssl/marblestationCA/caconfig.cnf”:

# My sample caconfig.cnf file.
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca      = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir             = /etc/ssl/marblestationCA
certificate     = $dir/cacert.pem
database        = $dir/index.txt
new_certs_dir   = $dir/certs
private_key     = $dir/private/cakey.pem
serial          = $dir/serial

#
#
# Default expiration and encryption policies for certificates.
#
default_crl_days        = 3650
default_days            = 1825
default_md              = md5
#
policy          = local_ca_policy
x509_extensions = local_ca_extensions
#
#
# Default policy to use when generating server certificates.  The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName              = supplied
stateOrProvinceName     = supplied
countryName             = supplied
emailAddress            = supplied
organizationName        = supplied
#
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
#subjectAltName          = DNS:host.ejemplo.com,DNS:xenhost.ejemplo.com
basicConstraints        = CA:false
#nsCertType              = server
#
#
# The default root certificate generation policy.
#
[ req ]
default_bits    = 2048
default_keyfile = /etc/ssl/marblestationCA/private/cakey.pem
default_md      = md5
#
prompt                  = no
distinguished_name      = root_ca_distinguished_name
x509_extensions         = root_ca_extensions
#
#
# Root Certificate Authority distinguished name.  Change these fields to match
# your local environment!
#
[ root_ca_distinguished_name ]
commonName              = Marble Station Root Certificate Authority
stateOrProvinceName     = Catalunya
countryName             = ES
emailAddress            = root@host.ejemplo.com
organizationName        = Marble Station
organizationalUnitName  = Host
#
[ root_ca_extensions ]
basicConstraints        = CA:true

A continuación creamos las claves que usará el CA, la contraseña que establezcamos ahora será solicitada cada vez que queramos firmar un nuevo certificado:

OPENSSL_CONF=/etc/ssl/marblestationCA/caconfig.cnf openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 3650

Este comando generará el certificado “/etc/ssl/marblestationCA/cacert.pem” y la clave privada de CA “/etc/ssl/marblestationCA/private/cakey.pem”.

A continuación crearemos una clave para el servidor que ofrece el servicio LDAP y otro para un cliente, para ello creamos el fichero “/etc/ssl/marblestationCA/host-server.cnf”:

#
# desktop-server.cnf
#

[ req ]
prompt                  = no
distinguished_name      = server_distinguished_name

[ server_distinguished_name ]
commonName              = host.ejemplo.com
stateOrProvinceName     = Catalunya
countryName             = ES
emailAddress            = root@host.ejemplo.com
organizationName        = Marble Station
organizationalUnitName  = Host

NOTA: Es muy importante tener en cuenta que el dominio que indiquemos en “commonName” debe coincidir con el dominio de la máquina que va a utilizar el certificado, de lo contrario las conexiones serán rechazadas. Por ejemplo, algo tan sencillo como un servidor con 2 dominios ‘uno.com’ y ‘dos.com’ apuntando a la misma IP, si el certificado se genera indicando ‘uno.com’, los clientes que se conecten deben hacerlo mediante ese dominio y no ‘dos.com’. A pesar de apuntar a la misma IP, OpenLDAP verificará el dominio utilizado.

Generamos la clave sin contraseña (argumento “-nodes”) dado que de lo contrario el servicio no podría arrancar de forma automática:

OPENSSL_CONF=/etc/ssl/marblestationCA/host-server.cnf openssl req -newkey rsa:1024 -keyout host-server_key.pem -keyform PEM -out host-server_req.pem -outform PEM -nodes

Utilizamos la petición de firma para el CA que acabamos de crear (“host-server_req.pem”) para generar el certificado final firmado:

OPENSSL_CONF=/etc/ssl/marblestationCA/caconfig.cnf openssl ca -in host-server_req.pem -out host-server_crt.pem

A continuación podemos repetir el proceso para generar más certificados firmados por el CA, creando un nuevo fichero de configuración (p.ej. “/etc/ssl/marblestationCA/desktop-server.cnf”) y repitiendo los pasos anteriores:

OPENSSL_CONF=/etc/ssl/marblestationCA/desktop-server.cnf openssl req -newkey rsa:1024 -keyout desktop-server_key.pem -keyform PEM -out desktop-server_req.pem -outform PEM -nodes
OPENSSL_CONF=/etc/ssl/marblestationCA/caconfig.cnf openssl ca -in desktop-server_req.pem -out desktop-server_crt.pem

Servidor OpenLDAP

En el apartado anterior hemos preparado los certificados que vamos a utilizar, ahora ha llegado la hora de instalar el servidor OpenLDAP:

apt-get install slapd ldap-utils db4.2-util
apt-get install libpam-ldap

Los certificados de la anterior sección, concretamente el certificado que será utilizado por el servidor y el certificado del CA los copiaremos a su lugar correspondiente:

sudo -s
mkdir /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/host-server_key.pem /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/host-server_crt.pem /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/cacert.pem /etc/ldap/ssl/
chown openldap:openldap /etc/ldap/ssl/*
chmod 640 /etc/ldap/ssl/*

Copiamos el esquema que nos permitirá indicar a que hosts se pueden conectar los usuarios (atributos ‘host’, que pueden contener el hostname de las máquinas o un ‘*’ para permitir acceso a todas):

cp /usr/share/doc/libpam-ldap/ldapns.schema /etc/ldap/schema/

A continuación editamos la configuración del servidor ‘/etc/ldap/slapd.conf’:

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

include         /etc/ldap/schema/misc.schema
include         /etc/ldap/schema/ppolicy.schema
include         /etc/ldap/schema/ldapns.schema

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid

# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values
loglevel        none

# Where the dynamically loaded modules are stored
modulepath  /usr/lib/ldap
moduleload  back_hdb
moduleload ppolicy.la

# The maximum number of entries that is returned for a search operation
sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1

backend     hdb
database        hdb

# The base of your directory in database #1
suffix          "dc=marblestation,dc=com"

overlay ppolicy
ppolicy_default "cn=Standard,ou=Policies,dc=marblestation,dc=com"
ppolicy_use_lockout

# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
rootdn          "cn=admin,dc=marblestation,dc=com"

# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"

index   uid eq

# For the Debian package we use 2MB as default but be sure to update this
# value if you have plenty of RAM
dbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high
# to get slapd running at all. See http://bugs.debian.org/303057 for more
# information.

# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500

# Indexing options for database #1
index           objectClass eq

# Save the time that the entry gets modified, for database #1
lastmod         on

# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
# #,shadowLastChange
access to attrs=userPassword
        by dn="cn=admin,dc=marblestation,dc=com" write
        by anonymous auth
        by self write
        by * none

access to attrs=shadowLastChange
  by self write
  by * read

# Ensure read access to the base for things like
# supportedSASLMechanisms.  Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read

# The admin dn has full write access, everyone else
# can read everything.
access to *
        by dn="cn=admin,dc=marblestation,dc=com" write
        by * read

TLSCertificateFile /etc/ldap/ssl/host-server_crt.pem
TLSCertificateKeyFile /etc/ldap/ssl/host-server_key.pem
TLSCACertificateFile /etc/ldap/ssl/cacert.pem
TLSVerifyClient demand

En este fichero, respecto al original, se han realizado la siguientes modificaciones:

• Se han añadido nuevos esquemas mediante el comando ‘include’.
• Se realiza la carga del módulo ‘ppolicy’ y se establece la configuración básica.
• Se especifica el sufijo que será utilizado para la identificación de los datos que contendrá LDAP (“dc=marblestation,dc=com”)
• Se establece el usuario administrador mediante el comando ‘rootdn’ (teniendo en cuenta el mismo sufijo que hemos especificado)
• Se configuran los certificados TLS para que estos sean requeridos y validados.

Por otra parte, en el fichero ‘/etc/default/slapd’ activaremos el servicio SSL y Unix sockets:

SLAPD_SERVICES="ldaps:/// ldapi:///"

Con esto ya podemos reiniciar nuestro servidor OpenLDAP:

/etc/init.d/slapd restart

Ahora nos falta definir la estructura base de los datos internos.

Estructura del directorio

La información en LDAP se almacena mediante objetos que son construidos a partir de clases definidas en los esquemas (éstos se cargan automáticamente en base a las ‘includes’ del fichero de configuración de slapd). Veamos una definición de ejemplo:

dn: cn=admin,dc=marblestation,dc=com
objectClass: organizationalRole
objectClass: simpleSecurityObject
cn: admin
description: LDAP administrator
userPassword: {SSHA}HHWw45HYVamEIUFHp1emGejTkbY1bntB

Elementos de la definición anterior:

• En primer lugar tenemos el nombre unívoco (Distinguished Name) del objeto: “cn=admin,dc=marblestation,dc=com”. Siempre acompañado del sufijo que hemos especificado en la configuración (en este caso “dc=marblestation,dc=com”).
• El objeto tendrá los atributos de las clases ‘organizationalRole’ y ’simpleSecurityObject’. Estas clases se encuentran definidos en los esquemas ‘/etc/ldap/schema/’ que son cargados por LDAP al iniciarse. Un objeto puede estar compuesto por tantas clases auxiliares (p.ej. simpleSecurityObject) y abstractas (p.ej. top) como se requiera pero solo puede haber una de tipo estructural (organizationalRole en este caso).
• Finalmente se listan los atributos, en este caso ‘cn’, ‘description’ y ‘userPassword’.

Todos los objetos en LDAP siguen siempre esa estructura, la cual dista bastante de las típicas bases de datos relacionales (SQL). Otra diferencia importante respecto a esas BBDD es que LDAP está optimizado para realizar consultas de lectura muy rápidas, por eso LDAP se utiliza en entornos que utilizan datos que no van a ser modificados frecuentemente (a diferencia de una BBDD relacional como MySQL).

Pasemos a construir la estructura básica de nuestro servidor LDAP, nos situamos en un directorio temporal de trabajo y creamos el fichero ’structure.ldif’:

##### Raiz
dn: dc=marblestation,dc=com
objectClass: dcObject
objectClass: organizationalUnit
dc: marblestation
ou: marblestation Dot Com

##### Administrador de LDAP
dn: cn=admin,dc=marblestation,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: {SSHA}HHWw45HYVamEIUFHp1emGejTkbY1bntB
## Password genered with slappasswd

##### Usuarios
dn: ou=People,dc=marblestation,dc=com
objectClass: organizationalUnit
ou: people

##### Grupos
dn: ou=Group,dc=marblestation,dc=com
objectClass: organizationalUnit
ou: group

##### Politicas de contraseñas
dn: ou=Policies,dc=marblestation,dc=com
objectClass: organizationalUnit
ou: policies

En ese fichero hemos definido la raiz donde colgarán todos los datos, el administrador del sistema LDAP y unidades organizativas donde añadiremos los usuarios, los grupos y las políticas de contraseña.

Cabe destacar que todas las contraseñas que necesitemos para definir la estructura las generaremos mediante el comando ’slappasswd’ (por ejemplo, la del usuario administrador anterior):

$ slappasswd
New password:
Re-enter password:
{SSHA}d2BamRTgBuhC6SxC0vFGWol31ki8iq5m

Continuemos con el contenido del servidor LDAP. Añadiremos una política de contraseñas que definiremos en el fichero ‘policy.ldif’:

##### Política estándard
dn: cn=Standard,ou=Policies,dc=marblestation,dc=com
objectClass: top
objectClass: device
objectClass: pwdPolicy
cn: Standard
# Field were password is stored:
pwdAttribute: userPassword
#### Expiration rules
# Number of seconds that must elapse between modifications allowed to  the  password:
# 1 day
pwdMinAge: 86400
# 60 days
pwdMaxAge: 5184000
# 7 days
pwdExpireWarning: 604800
# if its value is zero (0), users  with  expired  passwords will not be allowed to authenticate to the directory.
pwdGraceAuthnLimit: 0
# User must change its password after an admin has set it
pwdMustChange: TRUE
# Users can change their password
pwdAllowUserChange: TRUE
# It is needed the old password to set a new one
# NOTA: Si lo activamos no podremos cambiar la contraseña mediante pam_ldap
pwdSafeModify: FALSE
##### Password quality
# Maximum number of used passwords that will be stored in the pwdHistory attribute:
pwdInHistory: 12
# If its value is one (1), the server will check  the  syntax,  and  if  the
# server  is  unable  to  check  the syntax, whether due to a client-side
# hashed password or some other reason, it will be accepted. If its value
# is  two  (2),  the  server  will check the syntax, and if the server is
# unable to check the syntax it will return an error refusing  the  password.
pwdCheckQuality: 2
# Minimum  number  of  characters
pwdMinLength: 8
##### Automatic locks
# Lock user accounts after 5 failed authentications
pwdMaxFailure: 5
pwdLockout: TRUE
# 10 minutes
pwdLockoutDuration: 600
# if its value is zero (0), the failure counter will only be reset by a successful authentication
pwdFailureCountInterval: 0

Ésta política será la que aplicará a todos los usuarios (excepto al administrador LDAP) y el propio fichero es auto-explicativo.

Vamos a crear un usuario de prueba en el fichero ‘users.ldif’:

dn: uid=marble,ou=people,dc=marblestation,dc=com
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
objectClass: inetLocalMailRecipient
objectClass: hostObject
objectClass: authorizedServiceObject
#objectClass: kerberosSecurityObject
#######################################
### Posix Account
uid: marble
cn: Sergi Blanco Cuaresma
gecos: Sergi Blanco Cuaresma
uidNumber: 1000
gidNumber: 1000
loginShell: /bin/bash
homeDirectory: /home/marble
#######################################
### Password
userPassword: {SSHA}PFIJb4fTH4klVKd5nE4J0WDUs3Rtmxtd
pwdReset: TRUE
#pwdPolicySubEntry: cn=Standard,ou=Policies,dc=marblestation,dc=com
#pwdPolicySubEntry: cn=No Policy, ou=Policies, dc=example, dc=com
## Discarted
#shadowExpire: -1
#shadowFlag: 0
#shadowMin: 1
shadowWarning: 7
shadowMax: 60
shadowLastChange: 0
#shadowMax: 99999
#shadowLastChange: 14156
#######################################
### Kerberos
#krbname: marble@EJEMPLO.COM
#######################################
### Authorization (e.g. host: desktop, authorizedService: sshd)
host: *
authorizedService: *
### Mail
mailRoutingAddress: marble@host.ejemplo.com
mailHost: host.ejemplo.com

Ésta sera la definición habitual de los usuarios de los sistemas, la mayoría de atributos corresponden con la información que habitualmente se almacena en sistemas Unix. Adicionalmente, tenemos otros atributos como ‘host’, que define a que máquinas podrá conectarse (el ‘*’ significa “a todas”, si quisiéramos especificar máquinas tendríamos que repetir el atributo tantas veces como máquinas queramos especificar).

Cabe destacar que utilizaremos los atributos shadow para replicar la política global que hemos establecido con ‘ppolicy’. Si bien podríamos ignorarlos, no nos cuesta nada indicar la misma política de contraseña para asegurarnos que se cumple bajo cualquier circunstancia (p.ej. si tenemos conexiones SSH con autenticación por claves RSA/DSA, PAM únicamente comprueba los campos shadow y por tanto ‘ppolicy’ no tiene efecto hasta que el usuario no realiza una conexión utilizando su clave normal).

Finalmente nos falta definir los grupos del sistema, añadamos un par de ejemplo en un fichero ‘groups.ldif’:

dn: cn=marble,ou=group,dc=marblestation,dc=com
objectClass: posixGroup
cn: marble
gidNumber: 1000

dn: cn=users,ou=group,dc=marblestation,dc=com
objectClass: posixGroup
cn: users
memberUid: marble
gidNumber: 100

Ahora que ya tenemos todos los ficheros con la estructura y los datos iniciales, ha llegado el momento de cargarlos en el servidor. Para ello borraremos todos los datos actuales de LDAP (no hemos introducido nada todavia, por tanto no debería haber nada de valor) y cargamos la información:

sudo /etc/init.d/slapd stop
sudo rm -rf /var/lib/ldap/*
sudo slapadd -l structure.ldif
sudo slapadd -l policy.ldif
sudo slapadd -l users.ldif
sudo slapadd -l groups.ldif
sudo chown -R openldap:openldap /var/lib/ldap
sudo /etc/init.d/slapd start

Si todo ha ido bien, ya tenemos nuestro servidor LDAP en marcha con la estructura base y un usuario de prueba.

Consultas locales a OpenLDAP

Para poder hacer consultas desde el propio servidor donde hemos instalado LDAP editamos ‘/etc/ldap/ldap.conf’:

BASE    dc=marblestation,dc=com
URI ldapi:///

De esta forma los comandos ‘ldap’ se conectaran al servidor utilizando Unix sockets y no necesitaremos configurar TLS dado que los datos no viajan por ninguna red.

Podemos probar a realizar una consulta conectando como el administrador de LDAP (nos solicitará la contraseña que le hayamos asignado en la definición del mismo) y preguntando sobre los objetos con el atributo ‘uid=marble’:

ldapsearch -x -D "cn=admin,dc=marblestation,dc=com" -W uid=marble

Si queremos evitar tener que escribir siempre el nombre del administrador, podemos crear el archivo ‘~/.ldaprc’:

BASE    dc=marblestation,dc=com
URI ldapi:///
BINDDN  cn=admin,dc=marblestation,dc=com

Así simplemente bastará con ejecutar:

ldapsearch -x -W uid=marble

Administración LDAP y gestión de usuarios

Comandos LDAP

OpenLDAP proporciona diversos comandos para la administración del servicio:

ldapdelete: Borra entradas.
ldapmodrdn: Modifica RDN (Relative Distinguised Names), por ejemplo permite mover “uid=marble,ou=people,dc=marblestation,dc=com” a “uid=marble,ou=gente,dc=marblestation,dc=com”
ldapsearch: Realiza consultas.
ldapcompare: Comparaciones.
ldapmodify: Permite añadir entradas o realizar modificaciones.
ldappasswd: Establece la contraseña del usuario.
ldapwhoami: Indica el usuario con el que nos conectamos a LDAP.

Su uso no es sencillo y para aprender a utilizarlas lo mejor es consultar sus respectivos manuales. No obstante, disponemos de otras interfícies que nos facilitaran la gestión de LDAP.

phpLDAPadmin

Para la administración general del LDAP, si tenemos ya configurado Apache2, una de las opciones más cómodas es la instalación de phpldapadmin:

apt-get install phpldapadmin

Editamos ‘/etc/phpldapadmin/config.php’ y establecemos los siguientes parámetros (acceso local por Unix sockets, etc.):

...
$ldapservers->SetValue($i,'server','host','ldapi://');
...
$ldapservers->SetValue($i,'server','base',array('dc=marblestation,dc=com'));
...
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=marblestation,dc=com');
...

Podremos acceder a la aplicación mediante ‘http://localhost/phpldapadmin/’ y desde allí la aplicación nos permitirá realizar consultar, modificaciones, duplicar objetos, etc.

CPU – Change Passowrd Utility

Si bien con phpLDAPadmin podremos realizar casi cualquier operación sobre LDAP vía web, CPU nos proporciona comandos de consola análogos a los tradicionales ‘useradd’, ‘usermod’, ‘userdel’, ‘groupadd’, etc. Ésto puede facilitar al administrador la tarea de gestión de usuarios:

apt-get install cpu

Editamos ‘/etc/cpu/cpu.conf’ para establecer las opciones de conexión (vía local por Unix Socket), usuario administrador LDAP (no indicamos la contraseña, haremos que nos la pregunte cada vez que ejecutemos cpu) y otros parámetros:

# See cpu.conf(5) for documentation

[GLOBAL]
DEFAULT_METHOD  = ldap
CRACKLIB_DICTIONARY = /var/cache/cracklib/cracklib_dict

[LDAP]
LDAP_URI                = ldapi:///
BIND_DN                 = "cn=admin,dc=marblestation,dc=com"
BIND_PASS               = ""
USER_BASE               = "ou=People,dc=marblestation,dc=com"
GROUP_BASE              = "ou=Group,dc=marblestation,dc=com"
USER_OBJECT_CLASS       = account,posixAccount,shadowAccount,top,inetLocalMailRecipient,hostObject,authorizedServiceObject
#kerberosSecurityObject
GROUP_OBJECT_CLASS  = posixGroup,top
USER_FILTER = (objectClass=posixAccount)
GROUP_FILTER    = (objectClass=posixGroup)
USER_CN_STRING  = uid
GROUP_CN_STRING = cn
SKEL_DIR    = /etc/skel
DEFAULT_SHELL   = /bin/bash
HOME_DIRECTORY  = /home
MAX_UIDNUMBER = 10000
MIN_UIDNUMBER = 1000
MAX_GIDNUMBER = 10000
MIN_GIDNUMBER = 1000
ID_MAX_PASSES = 1000
# Whether each user should have its own group created or not
USERGROUPS = yes
# If you change usergroup set this to the default group a user should have
#USERS_GID = 100
RANDOM = "false"
PASSWORD_FILE = "/etc/passfile"
SHADOW_FILE = "/etc/shadowfile"
HASH = "clear"
SHADOWLASTCHANGE    = 11192
SHADOWMAX       = 99999
SHADOWWARING        = 7
SHADOWEXPIRE        = -1
SHADOWFLAG      = 134538308
SHADOWMIN       = -1
SHADOWINACTIVE      = -1

Adicionalmente, crearemos el fichero ‘/etc/cpu/attributes.ldif’:

pwdReset: TRUE
host: *
authorizedService: *

De esta forma, cuando creemos usuarios se añadirán los atributos anteriores por defecto (el usuario esta obligado a resetear la contraseña y tiene acceso a todos los sistemas). Hagamos una prueba añadiendo un nuevo usuario (la primera contraseña que nos solicita corresponde a la del administrador LDAP):

cpu -w -a /etc/cpu/attributes.ldif useradd -p test01

El anterior comando generará el usuario ‘test01′ y el grupo ‘test01′.

Si queremos listar los usuarios definidos:

cpu -w cat

Bloqueo y desbloqueo de usuarios:

cpu -w usermod -L test01
cpu -w usermod -U test01

Borrado de usuarios:

cpu -w userdel prueba22

Para consultar el listado completo de comandos que podemos ejecutar con ‘cpu’ podemos consultar el manual:

man cpu-ldap

Clientes OpenLDAP

A continuación vamos a configurar una máquina que se conectará contra el servidor OpenLDAP para autenticar a sus usuarios:

apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db ldap-utils libpam-ccreds

Para la conexión, necesitaremos disponer de un certificado firmado por la CA que hemos generado tal y como se especificaba al inicio del artículo. Una vez generados los certificados (clave privada, clave pública firmada y certificado CA), los copiaremos mediante sftp y los moveremos al lugar correspondiente:

sudo -s
mkdir /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/desktop-server_key.pem /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/desktop-server_crt.pem /etc/ldap/ssl/
cp /etc/ssl/marblestationCA/cacert.pem /etc/ldap/ssl/
chmod 644 /etc/ldap/ssl/*
chown root:root /etc/ldap/ssl/*

A continuación vamos a configurar LDAP como cliente, editamos ‘/etc/ldap/ldap.conf’:

BASE    dc=marblestation,dc=com
URI     ldaps://host.ejemplo.com

TLS_CACERT /etc/ldap/ssl/cacert.pem
TLS_REQCERT demmand
#TLS_REQCERT never # Useful to check if "Can't contact LDAP server" because of certificate problems

Utilizando el usuario que vayamos a utilizar para conectarnos al servidor, creamos ‘~/.ldaprc’:

BASE    dc=marblestation,dc=com
URI     ldaps://host.ejemplo.com
BINDDN  cn=admin,dc=marblestation,dc=com

TLS_CACERT /etc/ldap/ssl/cacert.pem
TLS_REQCERT demmand
#TLS_REQCERT never # Useful to check if "Can't contact LDAP server" because of certificate problems

#### User only (need to copy /etc/ldap/ldap.conf to ~/.ldaprc)
# Client certificate and key
# Use these, if your server requires client authentication.
TLS_CERT /etc/ldap/ssl/desktop-server_crt.pem
TLS_KEY /etc/ldap/ssl/desktop-server_key.pem

En esos dos ficheros hemos especificado:

• El nombre base “dc=marblestation,dc=com”.
• El servidor al que nos vamos a conectar y el protocolo que vamos a utilizar, en este caso nos conectaremos mediante SSL al puerto 636 LDAP del servidor ‘host.ejemplo.com’. Es muy importante que este dominio coincida con el ‘commonName’ especificado en el servidor al cual nos vamos a conectar, de lo contrario la conexión no se establecerá.
• El usuario con el que vamos a realizar la conexión (corresponde al administrador).
• Certificado privado, público firmado y CA, así como la solicitud de validación del certificado del servidor.

A continuación podemos probar la conexión realizando una consulta al servidor:

ldapsearch -x -W uid=marble

Ahora que ya hemos podido comprobar que podemos conectarnos sin problemas desde el cliente, vamos a configurar el sistema para que autentique los usuarios contra LDAP.

Lo primero será editar el fichero ‘/etc/ldap.conf’ para establecer los parámetros de conexión utilizados por PAM (sistema habitual de autenticación):

# Your LDAP server. Must be resolvable without using LDAP.
uri ldaps://host.ejemplo.com

# The distinguished name of the search base.
base dc=marblestation,dc=com

ldap_version 3

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
# NOTA: No activar o dejará de ser efectiva la politica de contraseñas (ppolicy)
#rootbinddn cn=admin,dc=marblestation,dc=com

# Search timelimit
timelimit 5

# Bind/connect timelimit
bind_timelimit 5

# Reconnect policy: hard (default) will retry connecting to
# the software with exponential backoff, soft will fail
# immediately.
bind_policy soft

# Filter to AND with uid=%s
#pam_filter objectclass=posixAccount
#pam_filter gidNumber=1000

# check for login rights on the host
pam_check_host_attr yes
#pam_filter (&(objectClass=posixAccount)(authorizedService=site-admin))
#pam_filter |(host=desktop)(host=\*)

#pam_check_service_attr yes

pam_lookup_policy yes

# Specify a minium or maximum UID number allowed
#pam_min_uid 1000
#pam_max_uid 0

# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password md5
pam_password clear

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
ssl start_tls
ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
tls_checkpeer yes
# tls_checkpeer no # Useful to check if "Can't contact LDAP server" because of certificate problems

# CA certificates for server certificate verification
#tls_cacertdir /etc/ssl/certs
tls_cacertfile /etc/ldap/ssl/cacert.pem

# Client certificate and key
tls_cert /etc/ldap/ssl/desktop-server_crt.pem
tls_key /etc/ldap/ssl/desktop-server_key.pem

use_sasl off
rootuse_sasl off
sasl_secprops maxssf=0
idle_timelimit 3600
nss_reconnect_tries 1
nss_reconnect_sleeptime 1
nss_reconnect_maxsleeptime 8
nss_reconnect_maxconntries 2
nss_paged_results yes
nss_base_passwd ou=people,dc=marblestation,dc=com?one
nss_base_shadow ou=people,dc=marblestation,dc=com?one
nss_base_group ou=group,dc=marblestation,dc=com?one

nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,chipcard,daemon,dhcp,ftp,games,gdm,gnats,haldaemon,hplip,irc,klog,landscape,libuuid,list,lp,mail,man,messagebus,news,nx,polkituser,proxy,pulse,root,snmp,sshd,sync,sys,syslog,uucp,www-data

En este fichero hemos especificado:

• Host al que nos conectaremos. Como siempre, es importante que coincida con el ‘commonName’ del certificado del servidor, de lo contrario la conexión no se establecerá.
• Opciones de conexión varias (el puerto 636 corresponde a ldaps://).
• Configuraciones PAM:
  • Validación del atributo ‘host’. Si el usuario dispone de un atributo ‘host’ con valor ‘*’ o con el nombre de la máquina (debe coincidir con el resultado del comando ‘hostname’), entonces podrá logearse en el sistema. De lo contrario, se deniega el acceso.
  • Validación de la política de contraseñas.
  • Envío de contraseñas en claro. Este requisito es necesario para que la política de contraseñas pueda ser validada en el servidor y por otra parte, tampoco supone un riesgo de seguridad dado que la conexión será cifrada.
• Configuración de los certificados a utilizar.
• Rutas donde encontrar la información de usuarios, grupos, etc.

A continuación vamos a preparar el sistema para que si perdemos conectividad, podamos seguir asociando uid y gid con los nombres asignados. Para esto se copiaran todos los usuarios y grupos (solo uid/gid y nombres) en local mediante el comando:

sudo nss_updatedb ldap

Es necesario que esta actualización se haga de forma periódica mediante cron (al menos 1 vez al día) por si hay cambios en el servidor:

echo '#!/bin/sh'               | sudo tee    /etc/cron.daily/upd-local-nss-db
echo `which nss_updatedb` ldap | sudo tee -a /etc/cron.daily/upd-local-nss-db
sudo chmod +x /etc/cron.daily/upd-local-nss-db

En este punto estamos preparados para indicarle al sistema de donde debe obtener la información sobre usuarios, contraseñas y grupos, para ello editamos ‘/etc/nsswitch.conf’ y cambiamos:

#passwd:         compat
#group:          compat
#shadow:         compat

Por:

passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db
shadow:     files ldap

En estas líneas estamos indicando que el sistema debe buscar la información de usuarios y grupos primero en los archivos locales (/etc/passwd y /etc/group) y después en LDAP, pero en caso de que este último falle entonces debe consultar la copia local que hemos realizado con ‘nss_updatedb’. En el caso de las contraseñas, únicamente consultará el fichero local (‘/etc/shadow’) y el servidor (el cacheo de credenciales lo realizaremos por otra vía).

Con esta configuración tendremos máxima flexibilidad dado que podremos optar por tener usuario/grupos locales y usuarios/grupos centralizados de forma simultanea. O bien, podemos migrar todas las cuentas a LDAP y dejar en blanco los archivos locales.

Para validar la configuración, podemos comprobar el listado de usuarios/grupos actuales de nuestro sistema (combinará los definidos localmente con los usuarios creados en LDAP):

sudo getent passwd
sudo getent group

Finalmente nos falta configurar los archivos de autenticación PAM.

NOTA: Si estamos accediendo remotamente al servidor que estamos modificando, es importante tener en cuenta que estos cambios pueden bloquearnos futuros accesos y por tanto debemos probar cada cambio que hagamos.

Comenzaremos editando ‘/etc/pam.d/common-auth’ para que quede con el siguiente contenido:

auth    [success=done default=ignore]   pam_unix.so nullok_secure try_first_pass
# If LDAP is unavailable, go to next line.  If authentication via LDAP is successful, skip 1 line.
# If LDAP is available, but authentication is NOT successful, skip 2 lines.
auth    [authinfo_unavail=ignore success=1 default=2] pam_ldap.so use_first_pass
auth    [default=done]  pam_ccreds.so action=validate use_first_pass
auth    [default=done]  pam_ccreds.so action=store
auth    [default=bad]   pam_ccreds.so action=update

En este fichero hemos indicado que primero debe intentar autenticar los usuarios utilizando la información local, de lo contrario trata de autenticar contra el servidor LDAP (utilizando la configuración ‘/etc/ldap.conf’ que ya hemos preparado). Si este último falla, comprobará si las credenciales se encuentran cacheadas en local e intentará autenticarlo (antepenúltima línea).

Por otra parte, cada vez que se realice una autenticación exitosa contra LDAP, se ejecutará la penúltima línea y se guardarán las credenciales en local (concretamente en /var/cache/.security.db). En caso que la cuenta haya sido bloqueada/eliminada de LDAP, se ejecutará la última línea con la cual se borraran las credenciales cacheadas del usuario.

Editemos ahora ‘/etc/pam.d/common-account’ para que quede con el siguiente contenido:

account     [user_unknown=ignore authinfo_unavail=ignore default=done] pam_ldap.so
account     [user_unknown=ignore authinfo_unavail=ignore default=done] pam_unix.so
account     required       pam_permit.so

Editamos ‘/etc/pam.d/common-session’ y lo dejamos así:

session    required     pam_limits.so
#session    required     pam_mkhomedir.so skel=/etc/skel/
session    required     pam_unix.so
session    optional     pam_ldap.so

Editamos ‘/etc/pam.d/common-password’ para que contenga:

password   required   pam_ldap.so ignore_unknown_user
password   optional   pam_unix.so shadow md5 try_first_pass

A continuación podemos probar a autenticarnos en el sistema (login normal, ssh o ’su – usuario’) utilizando usuarios locales y usuarios definidos en LDAP (p.ej. el que hemos creado de prueba).

Cuando conectemos con el usuario de LDAP, las credenciales han debido ser cacheadas y podemos validarlo mediante:

sudo cc_dump
  Credential Type  User             Service  Cached Credentials
  ----------------------------------------------------------------------------------
  Salted SHA1      fred             any     4a985b233701cf106ed450a0168fa8e0aa86ef5d

En caso de que queramos borrar manualmente alguna credencial cacheada, podemos ejecutar:

sudo cc_test -update any usuario -

Con esto ya tenemos montado el sistema de autenticación centralizado cliente-servidor

La configuración base la podemos mejorar añadiendo autenticación, para esto tendremos que tener activos varios módulos de nuestro servidor apache:

a2enmod auth_basic
a2enmod authn_file
a2enmod authz_user

Editamos el fichero donde hayamos definido el dominio de nuestra página web, por ejemplo “/etc/apache2/sites-enabled/000-ejemplo.com” y debajo de:

ScriptAlias /cgi-bin/awstats.pl /usr/lib/cgi-bin/awstats.pl

Añadimos:

    <Directory /usr/lib/cgi-bin/awstats.pl>
        AllowOverride All
        Options FollowSymLinks
        Order allow,deny
        allow from all

        AuthName "Acceso restringido a Estadísticas"
        AuthType basic
        AuthUserFile /etc/awstats/htpasswd.ejemplo.com
        require valid-user
    </Directory>

De esta forma estamos indicando a Apache que queremos autenticar los usuarios que accedan a “awstats.pl” y que los usuarios/contraseñas los tiene que comprobar en el fichero “/etc/awstats/htpasswd.ejemplo.com”. Así que necesitamos crear este último fichero con los usuarios que necesitemos:

htpasswd -cm /etc/awstats/htpasswd.ejemplo.com usuario1
htpasswd -m /etc/awstats/htpasswd.ejemplo.com usuario2

Para mayor seguridad, en la configuración de awstats (p.ej. ‘/etc/awstats/awstats.ejemplo.com.conf’) indicamos que únicamente queremos que awstats se muestre a usuarios autenticados:

AllowAccessFromWebToAuthenticatedUsersOnly=1

Reiniciamos apache y ya tenemos restringido el acceso a awstats:

/etc/init.d/apache reload

Por otra parte, si queremos añadir geolocalización de IPs a awstats:

sudo -s
apt-get install liburi-perl libgeo-ip-perl
mkdir /usr/local/share/GeoIP
cd /usr/local/share/GeoIP
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
gzip -d *

Y añadimos a la configuración de awstats (p.ej. ‘/etc/awstats/awstats.ejemplo.com.conf’):

LoadPlugin="geoip GEOIP_STANDARD /usr/local/share/GeoIP/GeoIP.dat"
LoadPlugin="geoip_city_maxmind GEOIP_STANDARD /usr/local/share/GeoIP/GeoLiteCity.dat"
LoadPlugin="geoip_org_maxmind GEOIP_STANDARD /usr/local/share/GeoIP/GeoIPASNum.dat"

Listo una configuración modelo de awstats por si resulta de utilidad, donde también se incluyen secciones extra especialmente pensadas por si la página en cuestión es un wordpress:

LogFile="/var/log/apache2/vhosts/ejemplo.com.access.log"
LogFormat=1
DNSLookup=1
DirData="/var/lib/awstats/ejemplo.com/"
DirCgi="/cgi-bin"
DirIcons="/icon"
SiteDomain="ejemplo.com"
HostAliases="www.ejemplo.com" # Separated by spaces
AllowToUpdateStatsFromBrowser=1
AllowFullYearView=3
AllowAccessFromWebToAuthenticatedUsersOnly=1
SkipFiles="REGEX[^\/wp-admin] REGEX[^\/wp-includes\/wlwmanifest.xml] REGEX[^\/cgi-bin\/awstats.pl] REGEX[^\/icons] REGEX[^\/w00tw00t\.at\.ISC\.SANS\.DFind]"
SkipHosts="REGEX[^192\.168\.]"
NotPageList="css js class gif jpg jpeg png bmp ico swf" # what file extensions will not be counted as Page Views or Downloads
#LevelForWormsDetection=2 # Full detection (decreases speed by 15%
#ShowWormsStats=HBL

# "/js/awstats_misc_tracker.js" needs to be added to webpage
# More info: http://awstats.sourceforge.net/docs/awstats_config.html#MiscTrackerUrl
MiscTrackerUrl="/js/awstats_misc_tracker.js"
ShowScreenSizeStats=1
ShowMiscStats=1

# Show domains/country chart
# # Context: Web, Streaming, Mail, Ftp
# # Default: PHB, Possible column codes: PHB
ShowDomainsStats=UVPHB

LoadPlugin="tooltips" # Help
LoadPlugin="decodeutfkeys" # makes it possible to show keywords and keyphrases correctly using national characters
LoadPlugin="geoip GEOIP_STANDARD /usr/local/share/GeoIP/GeoIP.dat"
LoadPlugin="geoip_city_maxmind GEOIP_STANDARD /usr/local/share/GeoIP/GeoLiteCity.dat"
LoadPlugin="geoip_org_maxmind GEOIP_STANDARD /usr/local/share/GeoIP/GeoIPASNum.dat"

ExtraSectionName1="Wordpress entries"
# Code 304: Not modified
# Code 200: OK
ExtraSectionCodeFilter1="200 304"
# http://domain/?p=100
ExtraSectionCondition1="URL,\/"
ExtraSectionFirstColumnTitle1="Entry ID"
ExtraSectionFirstColumnValues1="QUERY_STRING,p=([^&]+)"
ExtraSectionFirstColumnFormat1="www.ejemplo.com/?p=%s"
##
## U = Unique visitors
## V = Visits
## P = Number of pages
## H = Number of hits (or mails)
## B = Bandwith (or total mail size for mail logs)
## L = Last access date
## E = Entry pages
## X = Exit pages
## C = Web compression (mod_gzip,mod_deflate)
ExtraSectionStatTypes1=UVPHBL
ExtraSectionAddAverageRow1=0
ExtraSectionAddSumRow1=1
MaxNbOfExtra1=10
MinHitExtra1=1

ExtraSectionName2="Wordpress pages"
ExtraSectionCodeFilter2="200 304"
ExtraSectionCondition2="URL,\/"
ExtraSectionFirstColumnTitle2="Page ID"
ExtraSectionFirstColumnValues2="QUERY_STRING,page_id=([^&]+)"
ExtraSectionFirstColumnFormat2="www.ejemplo.com/?page_id=%s"
ExtraSectionStatTypes2=UVPHBL
ExtraSectionAddAverageRow2=0
ExtraSectionAddSumRow2=1
MaxNbOfExtra2=10
MinHitExtra2=1

ExtraSectionName3="Top downloads"
ExtraSectionCodeFilter3="200 304"
ExtraSectionCondition3="URL,(.*((\.diff)|(\.doc)|(\.pdf)|(\.rtf)|(\.sh)|(\.tgz)|(\.zip)|(\.bz2)|(\.gz)))"
ExtraSectionFirstColumnTitle3="Download"
ExtraSectionFirstColumnValues3="URL,(.*)"
ExtraSectionFirstColumnFormat3="%s"
ExtraSectionStatTypes3=HBL
ExtraSectionAddAverageRow3=0
ExtraSectionAddSumRow3=1
MaxNbOfExtra3=10
MinHitExtra3=1