Служба каталогаў з OpenLDAP [7 і апошняя?]: Менеджэр уліковых запісаў Ldap

Прывітанне, сябры !. Мы не хацелі публікаваць гэты артыкул, бо ён змешчаны ў зборніку ў фармаце PDF, які запытвалі многія чытачы. Так, мы напішам рэзюмэ з цікавымі дапаўненнямі. У якасці папярэдняга прагляду гэтага зборніка мы расшыфроўваем Увядзенне:

Шмат людзей, якія адказваюць за паслугі ў карпаратыўных сетках, калі яны бяруць на сябе кіраванне сеткай, паслугі якой заснавана на прадуктах Microsoft, калі хочуць перайсці на Linux, яны разглядаюць міграцыю кантролераў дамена сярод іншых службаў.

Калі яны не выбіраюць незалежны прадукт, напрыклад ClearOS або Zentyal, альбо калі па іншых прычынах хочуць стаць незалежнымі, яны бяруць на сябе карпатлівую задачу - стаць уласным кантролерам дамена, альбо Samba 4 - альбо іншым - уласным Active Directory.

Потым пачынаюцца праблемы і некаторыя іншыя расчараванні. Памылкі пры эксплуатацыі. Яны не знаходзяць месца для вырашэння праблем. Паўторныя спробы ўстаноўкі. Частковыя аперацыі службаў. І доўгі спіс праблем.

Калі мы прыгледзімся, большая частка Інтэрнэту не выкарыстоўвае сеткі тыпу Microsoft. Аднак у нашым бізнес-асяроддзі мы робім шмат.

Гэтым зборнікам мы спрабуем паказаць, што мы можам стварыць бізнес-сетку без філасофіі Microsoft. Паслугі, заснаваныя на праверцы сапраўднасці карыстальнікаў у каталогу OpenLDAP, такія як: E-Mail, FTP, SFTP, Business Cloud на аснове Owncloud і г.д.

Мы імкнемся прапанаваць іншы падыход, заснаваны на 100% бясплатным праграмным забеспячэнні, і ён не выкарыстоўвае і не эмулюе - што аднолькава - філасофія сетак Microsoft альбо з праграмным забеспячэннем Microsoft, альбо з OpenLDAP і Samba ў якасці асноўных .

Усе рашэнні, якія выкарыстоўваюць бясплатнае праграмнае забеспячэнне Openldap + Samba, абавязкова праходзяць базавыя веды пра тое, што такое LDAP-сервер, як ён усталёўваецца, як наладжваецца і кіруецца і г.д. Пазней яны інтэгруюць Samba і, магчыма, Kerberos, і ў рэшце рэшт прапануюць нам "эмуляваць" кантролер дамена ў стылі Microsoft NT 4 альбо Active Directory.

Сапраўды, складаная задача, калі мы рэалізуем і наладжваем яе з пакетаў сховішча. Тыя, хто вывучаў і ўжываў шырокую дакументацыю Samba, добра ведаюць, што мы маем на ўвазе. Samba 4 нават прапануе адміністраваць ваш Active Directory, выкарыстоўваючы класічную кансоль адміністравання, якую мы знаходзім у Microsoft Active Directory, няхай гэта будзе 2003 ці іншая больш дасканалая.

Рэкамендаванае чытанне.

https://wiki.debian.org/LDAP
Кіраўніцтва адміністратара OpenLDAP Software 2.4
Кіраўніцтва сервера Ubuntu 12.04
Канфігурацыя сервера з GNU / Linux.

Выдатнае кіраўніцтва, якое дае нам El Maestro, Joel Barrios Dueñas, і якое вельмі добра абслугоўвае гульцоў Debian, хаця яно арыентавана на CentOS і Red Hat.

Якія паслугі і праграмнае забеспячэнне мы плануем усталяваць і наладзіць?

  • Незалежныя NTP, DNS і DHCP, гэта значыць два апошнія не інтэграваны ў Каталог
  • Служба даведнікаў альбо «Служба каталогаў»На аснове OpenLDAP
  • E-Mail, "Citadel" Group Work Suite, FTP і SFTP,
  • Бізнес-воблака «OwnCloud«
  • Незалежны файлавы сервер на аснове Samba.

Ва ўсіх выпадках працэс праверкі сапраўднасці ўліковых дадзеных карыстальнікаў будзе ажыццяўляцца ў дачыненні да Каталога непасрэдна альбо праз libnss-ldap y PAM у залежнасці ад характарыстык разгляданага праграмнага забеспячэння.

І без лішніх слоў, прыступім да справы.

Менеджэр уліковых запісаў Ldap

Перш чым працягваць, мы павінны прачытаць:

Тыя, хто прытрымліваўся шэрагу папярэдніх артыкулаў, заўважылі, што ў нас ужо ёсць Каталог для кіравання. Мы можам дасягнуць гэтага рознымі спосабамі, няхай гэта будзе праз кансольныя ўтыліты, згрупаваныя ў пакеце ldapscripts, вэб-інтэрфейсы PhpLDAPAdmin, Менеджэр уліковых запісаў Ldapі г.д., якія знаходзяцца ў сховішчы.

Існуе таксама магчымасць зрабіць гэта праз Студыя каталогаў Apache, які мы павінны загрузіць з Інтэрнэту. Ён важыць каля 142 мегабайт.

Для адміністравання нашага каталога мы настойліва рэкамендуем выкарыстоўваць Менеджэр уліковых запісаў Ldap. І першае, што мы скажам пра гэта, гэта тое, што пасля яго ўстаноўкі мы можам атрымаць доступ да яго дакументацыя які знаходзіцца ў тэчцы / usr / share / doc / ldap-account-manager / docs.

па Менеджэр уліковых запісаў Ldap, з гэтага часу LAM, мы можам кіраваць уліковымі запісамі карыстальнікаў і груп, якія захоўваюцца ў нашым каталогу. LAM працуе на любым серверы вэб-старонак, які падтрымлівае PHP5, і мы можам падключыцца да яго праз незашыфраваны канал альбо праз StartTLS, якую мы будзем выкарыстоўваць у нашым прыкладзе.

Першапачатковая ўстаноўка і канфігурацыя:

: ~ # aptitude усталяваць ldap-account-manager

Пасля ўстаноўкі Apache2 -apache2-mpm-prefork-, ад PHP5 і іншых залежнасцей, а таксама ад самога пакета ldap-уліковы запіс-менеджэр, першае, што мы павінны зрабіць, гэта стварыць сімвалічную спасылку з тэчкі дакументацыі LAM у каранёвую тэчку дакументаў на нашым вэб-серверы. Прыклад:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Такім чынам мы гарантуем доступ да кіраўніцтва LAM праз вэб-аглядальнік, калі мы паказваем на адрас http://mildap.amigos.cu/lam-docs.

Далей пачнем наладжваць сам LAM. У аглядальніку, на які мы паказваем http://mildap.amigos.cu/lam.

  • Мы націскаем на спасылку "Канфігурацыя LAM".
  • Націсніце на спасылку "Рэдагаваць профілі сервера".
  • Мы набіраем пароль "М" без двукоссяў.

На старонках канфігурацыі LAM мы можам змяніць мноства параметраў у адпаведнасці з нашымі перавагамі і патрэбамі. Паколькі я заўсёды рэкамендаваў перайсці ад простага да складанага, а не наадварот, мы закранем толькі тое, што строга неабходна для выкарыстання магутнага інструмента, які з'яўляецца LAM. Калі пасля таго, як мы станем майстрамі ў яго выкарыстанні, мы хочам змяніць або дадаць функцыянальныя магчымасці, то вітаем.

  • Актываваць TLS: ды -Рэкамендуецца-.
  • Суфікс дрэва: dc = сябры, dc = cu
  • Мова па змаўчанні: іспанскі (Іспанія)
  • Спіс сапраўдных карыстальнікаў *: cn = адміністратар, dc = сябры, dc = cu
  • Новы пароль: іншы пароль ад lam
  • Увядзіце пароль паўторна: іншы пароль ад lam

Заўвага: " * 'азначае, што гэта абавязковы запіс.

Унізе злева - кнопкі ^ Захаваць y ^ Адмяніць. Калі мы захаваем змены зараз, гэта верне нас на пачатковую старонку, і мы ўбачым, што мова ўжо змянілася і што імя карыстальніка цяпер адмін. Раней было Менеджэр. Аднак вернемся да рэдагавання -now на іспанскай мове- "Настройка. LAM ». Пасля таго, як мы вернемся на старонку канфігурацыі, мы зробім наступнае:

  • Выбіраем ўкладку "Тыпы рахункаў".
  • У раздзеле 'Тыпы актыўных уліковых запісаў' -> 'Карыстальнікі' -> 'Суфікс LDAP', мы пісалі: ou = людзі, dc = сябры, dc = cu.
  • У раздзеле 'Тыпы актыўных уліковых запісаў' -> 'Групы' -> 'Суфікс LDAP', мы пісалі: ou = групы, dc = сябры, dc = cu.
  • З дапамогай кнопак з назвай '^ Выдаліць гэты тып уліковага запісу', мы ліквідуем адпаведныя "Каманды" y "Дамены Samba", якімі мы не будзем карыстацца.
  • Выбіраем ўкладку "Модулі".
  • En "Карыстальнікі", у спісе 'Абраныя модулі', мы пераносім модуль 'Samba 3 (sambaSamAccount)' да спісу "Даступныя модулі".
  • En "Групы", у спісе 'Абраныя модулі', мы пераносім модуль 'Samba 3 (sambaGroupMapping)' да спісу "Даступныя модулі".

Пакуль што, пакуль мы не азнаёмімся з канфігурацыяй LAM, мы пакінем гэта на гэтым.

Мы захоўваем змены і вяртаемся на пачатковую старонку, дзе мы павінны ўвесці пароль карыстальніка адмін (cn = адміністратар, dc = сябры, dc = cu), заяўленая падчас усталёўкі ляпнуць. Калі вы выдаліце ​​памылку, пераканайцеся, што /etc/ldap/ldap.conf ён правільна настроены на самім серверы. Магчыма, у вас няправільны шлях да сертыфіката TLS альбо іншая памылка. Памятаеце, гэта павінна выглядаць так:

BASE dc = сябры, dc = cu URI ldap: //mildap.amigos.cu # Сертыфікаты TLS (неабходныя для GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Апынуўшыся ў LAM, мы павінны выдаткаваць некаторы час на яго вывучэнне ДА змены любой канфігурацыі. Яго інтэрфейс вельмі інтуітыўна зразумелы і просты ў выкарыстанні. Выкарыстоўвайце яго і правярайце.

Заўвага: У дакуменце http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, мы можам прачытаць у канцы:

Адзіны каталог LDAP з вялікай колькасцю карыстальнікаў (> 10 000)
LAM прайшоў праверку на працу з 10 000 карыстальнікаў. Калі ў вас значна больш карыстальнікаў, у вас ёсць у асноўным два варыянты.

  • Падзяліце дрэва LDAP на арганізацыйныя адзінкі: звычайна гэта найбольш эфектыўны варыянт. Размясціце свае ўліковыя запісы ў некалькіх арганізацыйных падраздзяленнях і ўсталюйце LAM, як у пашыраным сцэнарыі вышэй.
  • Павялічыць ліміт памяці: павялічце параметр memory_limit у вашым php.ini. Гэта дазволіць LAM чытаць больш запісаў. Але гэта замарудзіць час водгуку LAM.

Будзем творчымі і ўпарадкаванымі ў адміністрацыі нашага каталога.

Палітыка бяспекі пароля і іншыя аспекты праз LAM

  • Мы націскаем на спасылку «Канфігурацыя LAM».
  • Націсніце на спасылку "Рэдагаваць агульныя налады".
  • Мы набіраем пароль "М" без двукоссяў.

І на гэтай старонцы мы знаходзім палітыку пароля, параметры бяспекі, дазволеныя хосты і іншыя.

Заўвага: Канфігурацыя LAM захавана ў /usr/share/ldap-account-manager/config/lam.conf.

Мы дазваляем https бяспечна падключацца да LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 перазапусціць

Калі мы ўключаем https папярэднім спосабам, мы працуем з сертыфікатамі, якія Apache стварае па змаўчанні, і адлюстроўваюць іх у вызначэнні віртуальнага хаста па змаўчанні, SSL. Калі мы хочам выкарыстоўваць іншыя сертыфікаты, згенераваныя намі, просім параіцца /usr/share/doc/apache2.2-common/README.Debian.gz. Размовы, пра якія ідзе гаворка, называюцца "Змяіны алей" o Змяіны алей, і яны ёсць у:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Давайце накіруем браўзэр https://mildap.amigos.cu, і мы прымаем сертыфікат. Тады мы паказваем на https://mildap.amigos.cu/lam і мы ўжо можам працаваць праз https LAM.

Важна: калі ў працэсе запуску сервера, Exim пачынаецца шмат часу, усталюйце лёгкі заменнік ssmtp.

: ~ # aptitude ўсталяваць ssmtp
 Будуць усталяваны наступныя НОВЫЯ пакеты: ssmtp {b} 0 абноўленых пакетаў, 1 новы ўсталяваны, 0 для выдалення і 0 не абноўленых. Мне трэба загрузіць 52,7 кБ файлаў. Пасля распакавання будзе выкарыстана 8192 B. Залежнасці наступных пакетаў не задаволены: exim4-config: Канфлікты: ssmtp, але будзе ўсталявана 2.64-4. exim4-daemon-light: Канфлікты: паштовы транспартны агент, які ўяўляе сабой віртуальны пакет. ssmtp: Канфлікты: паштовы транспартны агент, які з'яўляецца віртуальным пакетам. Наступныя дзеянні вырашаць гэтыя залежнасці Выдаліце ​​наступныя пакеты: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Вы прымаеце гэта рашэнне? [Y / n / q /?] І

Затым мы выконваем:

: ~ # аптытудная чыстка ~ c: ~ # аптытудная чыстка: ~ # аптытудная аўтачыстка: ~ # перазагрузка

Калі вы працуеце з віртуальнымі серверамі, выдатны час зрабіць добрую рэзервовую копію ўсяго асноўнага сервера ... на ўсялякі выпадак. 🙂

Рэплікацыя. Захаваць і аднавіць базу дадзеных Каталога.

У выдатным даведніку, які мы рэкамендуем усім прачытаць і вывучыць, «Кіраўніцтва па серверы Ubuntu»У Ubuntu Server 12.04« Precise »прыводзіцца падрабязнае тлумачэнне частак кода, якія мы напісалі пра OpenLDAP і генерацыю сертыфікатаў TLS, а таксама шмат падрабязна гаворыцца пра рэплікацыю каталогаў і пра тое, як захаваць і аднавіць базы дадзеных.

Аднак вось працэдура аднаўлення ўсёй базы дадзеных у выпадку катастрофы.

Вельмі важна:

Мы заўсёды павінны мець пад рукой экспартаваны файл праз Ldap Account Manager у якасці рэзервовай копіі нашых дадзеных. Зразумела, файл cn = amigos.ldif павінен адпавядаць нашай уласнай устаноўцы. Мы таксама можам атрымаць яго праз каманду slapcat, як мы ўбачым пазней.

1. - Мы ліквідуем толькі ўстаноўку slapd.

: ~ # apditude purge slpad

2.- Мы чысцім сістэму пакетаў

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3. - Мы цалкам выдаляем базу дадзеных Каталога

: ~ # rm -r / var / lib / ldap / *

4. - Мы пераўсталёўваем дэман slapd і яго залежнасці

: ~ # aptitude усталяваць slapd

5.- Мы правяраем

: ~ # ldapsearch -Q -LLL -Y ЗНЕШНІ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = сябры, dc = cu dn

6. - Мы дадаем той самы індэксны файл olcDbIndex.ldif

: ~ # ldapmodify -Y ЗНЕШНІ -H ldapi: /// -f ./olcDbIndex.ldif

7.- Мы правяраем дададзеныя індэксы

: ~ # ldapsearch -Q -LLL -Y ЗНЕШНІ -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8. - Мы дадаем адно і тое ж правіла кантролю доступу

: ~ # ldapmodify -Y ЗНЕШНІ -H ldapi: /// -f ./olcAccess.ldif

9. - Мы правяраем Правілы кантролю доступу

: ~ # ldapsearch -Q -LLL -Y ЗНЕШНІ -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10. - Мы дадаем сертыфікаты TLS. Не трэба аднаўляць альбо выпраўляць дазволы. Яны ўжо існуюць у файлавай сістэме, але не аб'яўляюцца ў базе дадзеных.

: ~ # ldapmodify -Y ЗНЕШНІ -H ldapi: /// -f /etc/ssl/certinfo.ldif

11. - Мы дадаем змест у адпаведнасці з уласнай рэзервовай копіяй

: ~ # ldapadd -x -D cn = адміністратар, dc = сябры, dc = cu -W -f dc = friends.ldif

НЕ перазапускайце slapd, таму што ён індэксуе базу дадзеных і можа быць пашкоджаны !!! ЗАЎСЁДЫ рэдагуйце файл рэзервовай копіі ПЕРАД дадавання, каб пазбегнуць уводу існуючых запісаў.

Мы паказваем у браўзэры на https://mildap.amigos.cu/lam і мы правяраем.

Каманда slapcat

Каманда пляскаць У асноўным ён выкарыстоўваецца для стварэння ў фармаце LDIF, змесціва базы дадзеных, якая апрацоўвае ляпнуць. Каманда адкрывае базу дадзеных, вызначаную яе нумарам альбо суфіксам, і запісвае на экран адпаведны файл у фармаце LDIF. Базы дадзеных, настроеныя як падпарадкаваныя, таксама паказваюцца, калі мы не ўказваем опцыю -g.

Найбольш важным абмежаваннем выкарыстання гэтай каманды з'яўляецца тое, што яна не павінна выконвацца, калі ляпнуць, па меншай меры, у рэжыме запісу, каб забяспечыць узгодненасць дадзеных.

Напрыклад, калі мы хочам зрабіць рэзервовую копію базы дадзеных Directory, у файл з імем рэзервовая копія-slapd.ldif, мы выконваем:

: ~ # прыпынак службы slapd: ~ # slapcat -l backup-slapd.ldif: ~ # запуск службы slapd

Выявы LAM

лям-01

лям-02

лям-03

лям-04

лям-05

лям-06


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

15 каментарыяў, пакіньце свой

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

  1.   Хасэ Антоніо сказаў

    Вялікі ўклад, мне спадабаўся, а таксама рэкамендаванае чытанне.
    Ён шукаў падобны артыкул без асаблівага поспеху.

    Я даю вам 10 😉

    1.    Федэрыка сказаў

      Дзякуй за каментарыі і ацэнку маіх артыкулаў !!!

  2.   давайце выкарыстоўваць Linux сказаў

    Цікава! Яшчэ раз цудоўны ўклад, Фіцо!
    Абдымі! Павел.

    1.    Федэрыка сказаў

      Вялікі дзякуй за каментарый і пахвалу, сябар Пабла !!! Я спадзяюся, што гэта будзе карысна тым, хто ў ім мае патрэбу.

  3.   відагну сказаў

    Выдатны змест! Яшчэ раз дзякуй за абмен.

    прывітанне

    1.    Федэрыка сказаў

      Дзякуй за каментарый !!!

  4.   Паляўнічы сказаў

    Гамерун Фіцо !! А афіцыйны PDF, калі ён будзе гатовы?

    1.    Федэрыка сказаў

      Прывітанне dhunter !!!. Уявіце сабе, што ў дадатак да 7 публікацый, апублікаваных да гэтага часу, я раскажу, як інтэграваць асноўны паштовы сервер на базе CITADEL; Паслугі FTP, SFTP; бізнес-воблака на аснове OwnCloud; аўтаномны сервер Samba з карыстальнікамі сістэмы праз libnss-ldap і PAM і г.д. Зрабіце ўласныя высновы. 🙂 Думаю, да канца сакавіка ці пачатку красавіка.

      1.    guzmanweb сказаў

        Прывітанне Федэрыка, дзякуй за ўклад, мы будзем яго чакаць. з абнаўленнем ..

        1.    Федэрыка сказаў

          Я прыкладу намаганні, каб скончыць яго да канца гэтага месяца. Напісаць кнігу зусім няпроста, нават калі гэта ўсяго некалькі старонак.

  5.   nexus6 сказаў

    Я магу толькі сказаць, што з удзельнікаў гэтага блога вы падаецца мне самым цікавым, найбольш растлумачаным і самым далёкім бокам УСІХ.

    1.    Федэрыка сказаў

      Вялікі дзякуй за агляд. У кожным артыкуле, які я пішу, я раблю ўсё магчымае, бо ведаю, што заўсёды ёсць такія чытачы, як вы, нягледзячы на ​​многіх, хто не каментуе.
      Прывітанне Nexus6 !!!

  6.   Эдгар сказаў

    Добры дзень, кожны раз, калі я пракансультуюся ў сетцы наконт ldap, я бачу, што вы даяце рэкамендацыі, якія я віншую за ваш намер.
    У гэтым пытанне
    Мае сябры кажуць мне, што пры адключэнні сеткі аперацыйная сістэма, ужо праверка сапраўднасці з ldap, мяняе мову на ангельскую, і вы можаце расказаць мне пра тое, дзе я павінен праверыць, які файл трэба праверыць, каб на іспанскай мове карыстальнік ужо быў ініцыялізаваны дададзены ў LDAP загадзя, дзякуй за дапамогу

  7.   крокавец сказаў

    Федэрыка выдатны пост, як звычайна. Я чытаў, што вы каментуеце нешта, звязанае з PDF-файлам, з канфігурацыяй большасці тэлематычных паслуг, якія выкарыстоўваюцца ў бізнес-сеткі. Вы сказалі, што да канца сакавіка альбо да пачатку красавіка мінулага года ён будзе гатовы. Маё пытанне ў тым, ці ўдалося вам у гэты час скончыць яго і загрузіць? Загадзя дзякуй, у рэшце рэшт я збіраюся паспрабаваць Openfire, я бачу, што ў яго ёсць нават вэб-інтэрфейс для 9090.

    1.    Федрыка А. Вальдэс Туягу сказаў

      Дзякуй за вашы каментарыі, Педра Пабла. Замест таго, каб адказаць вам шырока, я напісаў артыкул, які вы прачытаеце сёння альбо заўтра. Такія ўдзячныя чытачы, як вы, заслугоўваюць адказу. Дзякуй зноў.

bool (праўда)