Scenes from a geek memory

Mi granito de arena

Hace algún tiempo me propuse colaborar con Debian de alguna manera, y Fer me introdujo en una forma sencilla de colaborar: traduciendo descripciones de paquetes.

Como podéis ver, hay mucho por hacer aún. En Debian hay nada más y nada menos que 43544 descripciones de paquetes, entre las 3 versiones, Etch, Lenny y Sid.

El sistema de traducción es un poco espartano, a veces no demasiado óptimo, pero yo creo que funciona bastante bien.

Desde aquí os animo a colaborar en lo posible. Eso sí, antes deberíais leeros las normas de traducción y apuntaros a la lista de correo de traducciones de debian en español: debian-l10n-spanish

Retomando el blog

Pues no sé muy bien por qué, pero no escribo nada desde julio.

Aprovechando que vienen cursos y que soy nuevo miembro de la junta del gul

(soy vocal), voy a ver si me hago un hackergochi para el planeta y escribo un poco qué tal me va.

Brevemente: Tras tirarme (casi) todo el verano estudiando como un perro, comienzo otro nuevo curso con 4 asignaturas y el proyecto (a ver si acabo de una f****ing vez).

Por cierto, voy a dar un curso de apache, que aún tengo que preparar (se aceptan sugerencias)

Pronto más y mejor.

Instalando openldap con soporte SSL en debian I (instalando el servidor)

Aprovechando que tenemos servidor nuevo en el GUL, me he propuesto instalar openldap con soporte ssl desde cero y documentarlo, ya que las guías que he encontrado por ahí no son muy buenas, algunas cosas no quedan claras.

El objetivo primero es instalar openldap en la máquina y que los usuarios locales autentiquen a través de ldap.

Lo primero que hemos de hacer es instalar openldap y algunas utilidades que nos harán falta más tarde:

#apt-get install slapd ldap-utils

Ahora debemos modificar el fichero /etc/ldap/slapd.conf de la siguiente manera:

# The base of your directory in database #1
suffix “dc=gul,dc=uc3m,dc=es”
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword
by dn=”cn=admin,dc=gul,dc=uc3m,dc=es” write
by anonymous auth
by self write
by * none
# The admin dn has full write access, everyone else
# can read everything.
access to *
by dn=”cn=admin,dc=gul,dc=uc3m,dc=es” write
by * read

Con esto hemos configurado el servidor ldap para el dominio del GUL-UC3M.

Ahora procederemos al tema de los certificados para el soporte ssl. Hay varias formas de generar las claves del servidor, pero me decantaré por la de generar una autoridad de certificación propia (CA), la cual firmará los certificados tanto del servidor como de los clientes.

Instalamos openssl:

#apt-get install openssl

Generamos una CA propia:

#cd /usr/lib/ssl/misc/
#./CA.sh -newca

Es necesario introducir todos los datos correctamente así como una passphrase para la CA.
#mv demoCA /etc/gulCA

Con esto tenemos nuestra autoridad de certificación en /etc/gulCA

Ahora modificamos el fichero /usr/lib/ssl/openssl.cnf de manera que todo se haga con nuestra CA:

####################################################################
[ CA_default ]

dir = /etc/gulCA # Where everything is kept
Ahora creamos la clave del servidor y la petición de firmado para la CA:

#cd /etc/gulCA

#openssl req -newkey rsa:1024 -nodes -keyout newreq.pem -out newreq.pem

Hacemos la petición de firmado:

# /usr/lib/ssl/misc/CA.sh -sign

Nos pedirá la passphrase de la CA introducida anteriormente.

Con esto las claves ya estarán firmadas, ahora debemos crear un directorio donde se guardarán para su posterior uso por slapd:

#mkdir /etc/ldap/slapd-certs
#cp cacert.pem /etc/ldap/slapd-certs/
#mv newcert.pem /etc/ldap/slapd-certs/servercrt.pem
#mv newreq.pem /etc/ldap/slapd-certs/serverkey.pem
#chmod 400 /etc/ldap/slapd-certs/serverkey.pem

A continuación debemos editar el fichero /etc/ldap/slapd.conf para que contenga las siguientes líneas:

TLSCipherSuite HIGH:MEDIUM:+SSLv2:RSA
TLSCACertificateFile /etc/ldap/slapd-certs/cacert.pem
TLSCertificateFile /etc/ldap/slapd-certs/servercrt.pem
TLSCertificateKeyFile /etc/ldap/slapd-certs/serverkey.pem

Para que el servidor arranque tanto en modo no seguro como en modo seguro, hay que modificar el fichero /etc/default/slapd de la siguiente manera:

SLAPD_SERVICES=”ldap:/// ldaps:///”
Si todo ha ido bien, al arrancar el servidor ldap, no debería dar ningún error:

#/etc/init.d/slapd start

Starting OpenLDAP: slapd.

Para comprobar que el servidor está corriendo podemos ejecutar:

# netstat -alnp | grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 7716/slapd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 7716/slapd
tcp 0 0 127.0.0.1:389 127.0.0.1:49456 ESTABLISHED7716/slapd
tcp6 0 0 :::389 :::* LISTEN 7716/slapd
tcp6 0 0 :::636 :::* LISTEN 7716/slapd

Podemos ver cómo el servidor está corriendo en los puertos 389 (no seguro) y 636(seguro).

Más adelante más

Cualquier sugerencia, corrección de errores, etc, etc es bienvenida

Planeta gul

El otro día el pesao de Roberto insistió en agregarme al planeta GUL-UC3M. Así que nada, ahí estoy. Solo avisar que muchas de mis paridas no tienen que ver con el soft. libre, pero bueno, aceptaremos barco.

Me estoy oliendo un enmarronamiento progresivo en la junta, ya estoy avisado xD

Bueno, nos vemos este viernes en la reunión

Hmm, a ver si me hago un hackergotchi