خدمة الدليل مع OpenLDAP [7 والنهائي؟]: مدير حساب Ldap

مرحبا اصدقاء !. لم نرغب في نشر هذه المقالة لأنها واردة في الملخص بتنسيق PDF الذي طلبه العديد من القراء. نعم ، سنكتب ملخصًا مع إضافات مثيرة للاهتمام. وكمعاينة لتلك الخلاصة الوافية ، نقوم بنسخ ملف مقدمة:

كثير من الأشخاص المسؤولين عن الخدمات في شبكات المؤسسة ، عندما يتولون مسؤولية شبكة تعتمد خدماتها على منتجات Microsoft ، إذا كانوا يريدون الانتقال إلى Linux ، فإنهم يفكرون في ترحيل وحدات تحكم المجال من بين خدمات أخرى.

إذا لم يختاروا منتجًا تابعًا لجهة خارجية مثل ClearOS أو Zentyal ، أو إذا كانوا يرغبون في أن يصبحوا مستقلين لأسباب أخرى ، فإنهم يضطلعون بالمهمة الشاقة المتمثلة في أن يصبحوا وحدة تحكم المجال الخاصة بهم ، أو من Samba 4 - أو غيرها - Active Directory الخاص بهم.

ثم تبدأ المشاكل وبعض خيبات الأمل الأخرى. أخطاء التشغيل. لم يجدوا مكان المشاكل ليتمكنوا من حلها. محاولات التثبيت المتكررة. العمليات الجزئية للخدمات. وقائمة طويلة من المشاكل.

إذا نظرنا عن كثب ، فإن معظم الإنترنت لا يستخدم شبكات من نوع Microsoft. ومع ذلك ، في بيئة أعمالنا نقوم بالكثير.

من خلال هذه الخلاصة ، نحاول إظهار أنه يمكننا إنشاء شبكة أعمال بدون فلسفة Microsoft. الخدمات القائمة على مصادقة المستخدمين مقابل دليل OpenLDAP مثل: البريد الإلكتروني ، و FTP ، و SFTP ، و Business Cloud المستندة إلى Owncloud ، إلخ.

نطمح إلى تقديم نهج مختلف يعتمد على 100٪ البرمجيات الحرة ، وهذا لا يستخدم أو يحاكي - وهو نفس الأمر بالنسبة للحالة - فلسفة شبكات Microsoft ، إما مع برامج Microsoft ، أو مع OpenLDAP و Samba كشبكات رئيسية.

جميع الحلول التي تستخدم البرنامج المجاني Openldap + Samba ، تمر بالضرورة عبر المعرفة الأساسية لما هو خادم LDAP ، وكيف يتم تثبيته ، وكيف يتم تكوينه وإدارته ، وما إلى ذلك. لاحقًا قاموا بدمج Samba وربما Kerberos ، وفي النهاية عرضوا علينا "محاكاة" وحدة تحكم المجال بأسلوب Microsoft NT 4 أو Active Directory.

مهمة صعبة بالفعل عندما نقوم بتنفيذها وتكوينها من حزم المستودع. أولئك الذين درسوا وطبقوا وثائق Samba الشاملة يعرفون جيدًا ما نعنيه. حتى أن Samba 4 يقترح إدارة Active Directory الخاص بك باستخدام وحدة التحكم الإدارية الكلاسيكية التي نجدها في Microsoft Active Directory ، سواء كان ذلك عام 2003 أو أي دليل آخر أكثر تقدمًا.

اقتراحات للقراءة.

https://wiki.debian.org/LDAP
دليل المسؤول لبرنامج OpenLDAP 2.4
Ubuntu ServerGuide 12.04 تحديث
تهيئة الخادم مع جنو / لينكس.

دليل ممتاز يقدمه لنا El Maestro و Joel Barrios Dueñas والذي يخدم لاعبي دبيان جيدًا ، على الرغم من أنه موجه إلى CentOS و Red Hat.

ما الخدمات والبرامج التي نخطط لتثبيتها وتكوينها؟

• NTP و DNS و DHCP المستقلان ، أي ، لم يتم دمج الأخيرين في الدليل
• خدمة الدليل أو «خدمة الدليل»بناء على OpenLDAP
• البريد الإلكتروني ، "Citadel" Group Work Suite ، FTP و SFTP ،
• سحابة الأعمال «OwnCloud«
• خادم ملفات مستقل يعتمد على Samba.

في جميع الحالات ، سيتم تنفيذ عملية مصادقة بيانات اعتماد المستخدمين مقابل الدليل مباشرة أو من خلال libnss- ldap y برنامج الأغذية العالمي اعتمادًا على خصائص البرنامج المعني.

وبدون مزيد من اللغط ، دعنا نبدأ العمل.

مدير حساب Ldap

قبل المتابعة ، يجب أن نقرأ:

• خدمة الدليل مع LDAP. المقدمة
• خدمة الدليل مع LDAP [2]: NTP و dnsmasq
• خدمة الدليل مع LDAP [3]: Isc-DHCP-Server و Bind9
• خدمة الدليل مع LDAP [4]: ​​OpenLDAP (I)
• خدمة الدليل مع LDAP [5]: OpenLDAP (II)
• Directory Service with LDAP [6]: الشهادات في Debian 7 "Wheezy"

أولئك الذين تابعوا سلسلة المقالات السابقة سيلاحظون أن لدينا بالفعل دليلًا لإدارته. يمكننا تحقيق ذلك بعدة طرق ، إما من خلال أدوات وحدة التحكم المجمعة في الحزمة ldapscripts، واجهات الويب phpLDAPadmin, مدير حساب Ldap، وما إلى ذلك ، الموجودة في المستودع.

هناك أيضًا إمكانية القيام بذلك من خلال استوديو دليل اباتشي، والتي يجب تنزيلها من الإنترنت. يزن حوالي 142 ميغا بايت.

لإدارة دليلنا ، نوصي بشدة باستخدام امتداد مدير حساب Ldap. وأول شيء سنقوله عن ذلك ، هو أنه بعد تثبيته ، يمكننا الوصول إليه توثيق الموجود في المجلد / usr / share / doc / ldap-account-manager / docs.

من خلال مدير حساب Ldap، من الآن فصاعدا LAM، يمكننا إدارة حسابات المستخدمين والمجموعات المخزنة في دليلنا. يعمل LAM على أي خادم صفحة ويب يدعم PHP5 ، ويمكننا الاتصال به من خلال قناة غير مشفرة ، أو من خلال ابدأTLS، وهو الشكل الذي سنستخدمه في مثالنا.

التثبيت والتكوين الأولي:

: ~ # aptitude install ldap-account-manager

بعد تركيب ملف Apache2 -اباتشي 2-مب-بريفورك- ، من PHP5 والاعتماديات الأخرى ، ومن الحزمة نفسها مدير حساب ldapأول شيء يجب علينا فعله هو إنشاء رابط رمزي من مجلد وثائق LAM إلى المجلد الجذر للمستندات على خادم الويب الخاص بنا. مثال:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

بهذه الطريقة نضمن الوصول إلى دليل LAM من خلال متصفح الويب ، إذا أشرنا إلى العنوان http://mildap.amigos.cu/lam-docs.

بعد ذلك ، لنبدأ في تكوين LAM نفسها. في المتصفح نشير إلى http://mildap.amigos.cu/lam.

• نضغط على الرابط "تكوين LAM".
• اضغط على الرابط "تحرير ملفات تعريف الخادم".
• نكتب كلمة المرور 'معهم' بدون اقتباس.

في صفحات تكوين LAM ، يمكننا تعديل العديد من المعلمات وفقًا لتفضيلاتنا واحتياجاتنا. نظرًا لأنني أوصيت دائمًا بالانتقال من البسيط إلى المركب ، وليس العكس ، فسوف نلمس فقط ما هو ضروري تمامًا لاستخدام الأداة القوية التي هي LAM. إذا أردنا تعديل أو إضافة وظائف بعد أن أصبحنا أساتذة في استخدامها ، فمرحبًا بك.

• تنشيط TLS: نعم فعلا -موصى به-.
• لاحقة الشجرة: dc = أصدقاء ، dc = cu
• اللغة الافتراضية: الإسباني (اسبانيا)
• قائمة المستخدمين الصالحين *: cn = admin ، dc = friends ، dc = cu
• كلمة السر الجديدة: كلمة مرور مختلفة من lam
  
• إعادة إدخال كلمة المرور: كلمة مرور مختلفة من lam
  

ملاحظة: " * 'يعني أنه إدخال مطلوب.

أسفل اليسار الأزرار ^ احفظ y ^ إلغاء. إذا قمنا بحفظ التغييرات الآن ، فستعيدنا إلى الصفحة الأولى ويمكننا أن نرى أن اللغة قد تغيرت بالفعل وأن اسم المستخدم هو الآن مشرف. كان من قبل مدير مبيعات. ومع ذلك ، دعنا نعود إلى تعديل -now باللغة الإسبانية- "ضبط. من لام ». بعد أن نعود إلى صفحة التكوين ، سنفعل ما يلي:

• نختار علامة التبويب أنواع الحسابات.
• في القسم "أنواع الحسابات النشطة" -> "المستخدمون" -> "لاحقة LDAP"، كتبنا: ou = الناس ، dc = الأصدقاء ، dc = cu.
• في القسم "أنواع الحسابات النشطة" -> "المجموعات" -> "لاحقة LDAP"، كتبنا: ou = مجموعات ، dc = أصدقاء ، dc = cu.
• باستخدام الأزرار بعنوان "^ إزالة هذا النوع من الحساب"، نحذف تلك المقابلة لـ 'فرق' y "نطاقات سامبا"، والتي لن نستخدمها.
• نختار علامة التبويب "وحدات".
• En "المستخدمون"، في القائمة وحدات مختارة، نقوم بنقل الوحدة "سامبا 3 (حساب سامبا)" إلى قائمة "الوحدات المتاحة".
• En 'مجموعات'، في القائمة وحدات مختارة، نقوم بنقل الوحدة "Samba 3 (sambaGroupMapping)" إلى قائمة "الوحدات المتاحة".

في الوقت الحالي ، وحتى نتعرف على تكوين LAM ، سنتركه عند هذا الحد.

نحفظ التغييرات ونعود إلى الصفحة الأولى ، حيث يجب علينا كتابة كلمة مرور المستخدم مشرف (cn = admin ، dc = friends ، dc = cu)، أعلن أثناء تثبيت صفعة. إذا قمت بإرجاع خطأ ، فتحقق من أن ملف /etc/ldap/ldap.conf تم تكوينه بشكل صحيح على الخادم نفسه. قد يكون لديك المسار الخاطئ لشهادة TLS أو خطأ آخر. تذكر أنه يجب أن يبدو كالتالي:

BASE dc = friends، dc = cu URI ldap: //mildap.amigos.cu # شهادات TLS (مطلوبة لـ GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

بمجرد دخول LAM ، يجب أن نقضي بعض الوقت في دراسته قبل تغيير أي تكوين. واجهته بديهية للغاية وسهلة الاستخدام. استخدمه وتحقق.

الملاحظة: في الوثيقة http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios، يمكننا أن نقرأ في النهاية:

دليل LDAP واحد به الكثير من المستخدمين (> 10)
تم اختبار LAM للعمل مع 10 مستخدم. إذا كان لديك الكثير من المستخدمين ، فلديك خياران أساسيان.

• قسّم شجرة LDAP في وحدات تنظيمية: عادةً ما يكون هذا هو الخيار الأفضل أداءً. ضع حساباتك في عدة وحدات تنظيمية وقم بإعداد LAM كما في السيناريو المتقدم أعلاه.
• زيادة حد الذاكرة: قم بزيادة معامل memory_limit في ملف php.ini الخاص بك. سيسمح هذا لـ LAM بقراءة المزيد من الإدخالات. لكن هذا سيبطئ أوقات استجابة LAM.

لنكن مبدعين ومنظمين في إدارة دليلنا.

سياسات أمان كلمة المرور ، والجوانب الأخرى من خلال LAM

• نضغط على الرابط «تكوين LAM».
• اضغط على الرابط "تحرير الإعدادات العامة".
• نكتب كلمة المرور 'معهم' بدون اقتباس.

وفي تلك الصفحة ، نجد سياسات كلمة المرور وتفضيلات الأمان والمضيفات المسموح بها وغيرها.

ملاحظة: يتم حفظ تكوين LAM بتنسيق /usr/share/ldap-account-manager/config/lam.conf.

نقوم بتمكين https للاتصال بـ LAM بأمان:

: ~ # a2ensite الافتراضي- ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 إعادة التشغيل

عندما نقوم بتمكين https بالطريقة السابقة ، فإننا نعمل مع الشهادات التي ينشئها Apache افتراضيًا ، ونعكسها في تعريف مضيفها الافتراضي الافتراضية SSL. إذا أردنا استخدام شهادات أخرى أنشأناها بأنفسنا ، من فضلك ودعنا نتشاور /usr/share/doc/Apache2.2-common/README.Debian.gz. يتم استدعاء الشهادات المعنية "زيت الثعبان" o زيت الحية ، وتوجد في:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

دعنا نوجه المتصفح إلى https://mildap.amigos.cu، ونقبل الشهادة. ثم نشير إلى https://mildap.amigos.cu/lam ويمكننا بالفعل العمل من خلال https the LAM.

هام: إذا كان أثناء عملية بدء تشغيل الخادم ، فإن ملف الاستيراد والتصدير يستغرق وقتًا طويلاً للبدء ، قم بتثبيت البديل الخفيف الوزن com.ssmtp.

: ~ # aptitude قم بتثبيت ssmtp
 سيتم تثبيت الحزم الجديدة التالية: ssmtp {b} 0 حزم محدثة و 1 جديدة مثبتة و 0 للإزالة و 0 لم يتم تحديثها. أحتاج إلى تنزيل 52,7 كيلوبايت من الملفات. بعد تفريغ حزمة 8192 B. لن يتم استيفاء تبعيات الحزم التالية: exim4-config: التعارضات: ssmtp ولكن سيتم تثبيت 2.64-4. exim4-daemon-light: التعارضات: mail-transport-agent وهي حزمة افتراضية. ssmtp: التعارضات: وكيل نقل البريد وهي حزمة افتراضية. ستعمل الإجراءات التالية على حل هذه التبعيات. قم بإزالة الحزم التالية: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light هل تقبل هذا الحل؟ [نعم / ن / ف /؟] و

ثم ننفذ:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

إذا كنت تعمل مع خوادم افتراضية ، فسيكون هذا وقتًا رائعًا لعمل نسخة احتياطية جيدة من الخادم الرئيسي بأكمله ... فقط في حالة. 🙂

تكرار. حفظ واستعادة قاعدة بيانات الدليل.

في الدليل الممتاز -الذي ننصح الجميع بقراءته ودراسته- «دليل خادم أوبونتو»من Ubuntu Server 12.04« دقيق »، هناك شرح مفصل لأجزاء من الكود الذي كتبناه حول OpenLDAP وإنشاء شهادات TLS ، بالإضافة إلى ذلك ، تتم مناقشة النسخ المتماثل للدليل بتفصيل كبير ، وكيفية القيام بالحفظ والاستعادة من قواعد البيانات.

ومع ذلك ، إليك إجراء لاستعادة قاعدة البيانات بأكملها في حالة وقوع كارثة.

مهم جدا:

يجب أن يكون لدينا دائمًا الملف الذي تم تصديره في متناول اليد من خلال مدير حساب Ldap كنسخة احتياطية من بياناتنا. بالطبع ، يجب أن يتوافق الملف cn = amigos.ldif مع التثبيت الخاص بنا. يمكننا أيضًا الحصول عليها من خلال أمر slapcat كما سنرى لاحقًا.

1.- نقوم بإلغاء تثبيت slapd فقط.

: ~ # aptitude purge slpad

2. - نقوم بتنظيف نظام التغليف

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- نقوم بحذف قاعدة بيانات الدليل بالكامل

: ~ # rm -r / var / lib / ldap / *

4.- نقوم بإعادة تثبيت البرنامج الخفي slapd وتوابعه

: ~ # aptitude install slapd

5.- نتحقق

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = أصدقاء ، dc = cu dn

6.- إضافة نفس ملف الفهرس olcDbIndex.ldif

: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcDbIndex.ldif

7.- نتحقق من المؤشرات المضافة

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- نضيف نفس قاعدة التحكم في الوصول

: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcAccess.ldif

9.- نتحقق من قواعد التحكم في الوصول

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- نضيف شهادات TLS. لا حاجة لإعادة بناء أو إصلاح الأذونات. إنها موجودة بالفعل في نظام الملفات ، لكن لم يتم التصريح عنها في قاعدة البيانات.

: ~ # ldapmodify -Y خارجي -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- نضيف المحتوى حسب نسختنا الاحتياطية

: ~ # ldapadd -x -D cn = admin، dc = friends، dc = cu -W -f dc = friends.ldif

لا تقم بإعادة تشغيل slapd لأنه يقوم بفهرسة قاعدة البيانات ويمكن إتلافها !!! قم دائمًا بتحرير ملف النسخ الاحتياطي الخاص بك قبل إضافته ، لتجنب إدخال الإدخالات الحالية.

نشير في المتصفح إلى https://mildap.amigos.cu/lam ونحن نتحقق.

الأمر slapcat

القيادة سلابكات يتم استخدامه في الغالب لإنشاء محتوى بتنسيق LDIF ، وهو محتوى قاعدة البيانات التي تتعامل مع ملفات صفعة. يفتح الأمر قاعدة البيانات المحددة برقمها أو باللاحقة ، ويكتب الملف المقابل بتنسيق LDIF على الشاشة. يتم أيضًا عرض قواعد البيانات التي تم تكوينها على أنها تابعة ، ما لم نحدد الخيار -g.

إن أهم قيود استخدام هذا الأمر هو أنه لا ينبغي تنفيذه عند وجود ملف صفعة، على الأقل في وضع الكتابة ، لضمان اتساق البيانات.

على سبيل المثال ، إذا أردنا عمل نسخة احتياطية من قاعدة بيانات الدليل ، إلى ملف يسمى النسخ الاحتياطي slapd.ldif، ننفذ:

: ~ # خدمة slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # بدء خدمة slapd

صور لام