Usluga direktorija sa OpenLDAP-om [7 i konačna?]: Ldap Account Manager

Zdravo prijatelji!. Nismo željeli objaviti ovaj članak jer se nalazi u zborniku u PDF formatu koji su mnogi čitatelji tražili. Da, napisat ćemo sažetak sa zanimljivim dodacima. I kao pregled tog kompendijuma, mi transkribujemo Uvod:

Mnogi ljudi koji su zaduženi za usluge u poslovnim mrežama, kada preuzmu kontrolu nad mrežom čije su usluge bazirane na Microsoft proizvodima, ako žele da migriraju na Linux, razmišljaju o migraciji Domain Controllera između ostalih usluga.

Ako ne izaberu proizvod treće strane kao što je ClearOS ili Zentyal, ili ako iz drugih razloga žele postati neovisni, tada preuzimaju težak zadatak stvaranja vlastitog Domain Controllera, ili iz Sambe 4 - ili nekog drugog - svog vlastitog Aktivni direktorij.

Tada počinju problemi i neka druga razočaranja. Operativne greške. Ne pronalaze lokaciju problema da bi ih mogli riješiti. Ponovljeni pokušaji instalacije. Djelomično poslovanje službi. I duga lista problema.

Ako bolje pogledamo, većina interneta ne koristi mreže tipa Microsoft. Međutim, u našem poslovnom okruženju radimo mnogo toga.

Ovim zbornikom pokušavamo dati do znanja da možemo stvoriti poslovnu mrežu bez Microsoftove filozofije. Usluge zasnovane na autentifikaciji korisnika u OpenLDAP direktorijumu kao što su: E-Mail, FTP, SFTP, Business Cloud baziran na Owncloudu, itd.

Težimo ponuditi drugačiji pristup baziran na 100% besplatnom softveru, a koji ne koristi niti oponaša – što je u ovom slučaju isto – filozofiju Microsoft mreža, bilo s Microsoft softverom, ili sa OpenLDAP-om i Sambom kao glavnim.

Sva rješenja koja koriste besplatni softver Openldap + Samba nužno zahtijevaju osnovno znanje o tome šta je LDAP server, kako se instalira, kako se konfiguriše i upravlja, itd. Kasnije integrišu Sambu i eventualno Kerberos, i na kraju nam nude da "emuliramo" Domain Controller u Microsoft NT 4 stilu, ili Active Directory.

To je zaista težak zadatak kada ga implementiramo i konfiguriramo iz paketa spremišta. Oni koji su proučavali i primjenjivali obimnu Samba dokumentaciju vrlo dobro znaju o čemu govorimo. Samba 4 čak predlaže administraciju vašeg Active Directory-a korištenjem klasične konzole za administraciju koju nalazimo u Microsoft Active Directory-u, bilo da se radi o 2003. ili nekom drugom naprednijem.

Preporučena literatura.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorski vodič
Vodič za Ubuntu server 12.04
Konfiguracija servera sa GNU/Linuxom.

Odličan priručnik koji nam daje El Maestro, Joel Barrios Dueñas i koji vrlo dobro služi korisnicima Debiana, iako je orijentiran na CentOS i Red Hat.

Koje usluge i softver planiramo da instaliramo i konfigurišemo?

• Nezavisni NTP, DNS i DHCP, odnosno posljednja dva nisu integrirana u Direktorij
• Usluga imenika ili «Usluga direktorija» baziran na OpenLDAP-u
• E-mail, paket za grupni rad “Citadel”, FTP i SFTP,
• Enterprise Cloud «OwnCloud«
• Nezavisni fajl server baziran na Sambi.

U svim slučajevima, proces autentifikacije korisničkih akreditiva će se provoditi protiv Direktorija direktno, ili putem libnss-ldap y PAM u zavisnosti od karakteristika softvera u pitanju.

I bez daljeg odlaganja, uđimo u to.

Ldap Account Manager

Prije nego što nastavimo, moramo pročitati:

• Usluga direktorija sa LDAP-om. Uvod
• Usluga direktorija sa LDAP-om [2]: NTP i dnsmasq
• Usluga direktorija s LDAP-om [3]: Isc-DHCP-poslužitelj i Bind9
• Usluga direktorija sa LDAP-om [4]: ​​OpenLDAP (I)
• Usluga direktorija sa LDAP-om [5]: OpenLDAP (II)
• Usluga imenika s LDAP-om [6]: Certifikati u Debianu 7 "Wheezy"

Oni koji su pratili prethodnu seriju članaka shvatit će da VEĆ imamo Direktorij za upravljanje. To možemo postići na mnogo načina, bilo kroz konzolne uslužne programe grupisane u paketu ldapscripts, web interfejsi PhpLDAPAdmin, Ldap Account Manager, itd., koji se nalaze u spremištu.

Postoji i mogućnost da se to uradi kroz Apache Directory Studio, koji moramo preuzeti sa interneta. Težak je oko 142 megabajta.

Za upravljanje našim Imenikom, toplo preporučujemo korištenje Ldap Account Manager. I prvo što ćemo reći o njemu je da nakon njegove instalacije možemo pristupiti dokumentacija koji se nalazi u folderu /usr/share/doc/ldap-account-manager/docs.

Kroz Ldap Account Manager, Od sada THE M, možemo upravljati korisničkim i grupnim nalozima pohranjenim u našem Imeniku. LAM radi na bilo kom serveru web stranice koji podržava PHP5, a na njega se možemo povezati preko nešifrovanog kanala ili preko StartTLS, što je oblik koji ćemo koristiti u našem primjeru.

Početna instalacija i konfiguracija:

:~# aptitude install ldap-account-manager

Nakon instalacije Apache2 -apache2-mpm-prefork-, iz PHP5 i drugih zavisnosti, i iz samog paketa ldap-account-manager, prva stvar koju moramo učiniti je kreirati simboličku vezu iz mape LAM dokumentacije do korijenske mape dokumenata našeg web servera. primjer:

:~# ln -s /usr/share/doc/ldap-account-manager/docs/manual/ /var/www/lam-docs

Na ovaj način garantiramo pristup LAM priručniku putem web pretraživača, ako pokažemo na adresu http://mildap.amigos.cu/lam-docs.

Kasnije, počnimo s konfigurisanjem samog LAM-a. U pretraživaču na koji pokazujemo http://mildap.amigos.cu/lam.

• Kliknemo na link «LAM konfiguracija».
• Kliknite na link «Uređivanje profila servera».
• Upisujemo lozinku 'm' bez navodnika.

Na stranicama LAM konfiguracije možemo modificirati mnoge parametre prema našim preferencijama i potrebama. Kako sam oduvijek preporučivao da idete od jednostavnog ka složenom, a ne obrnuto, dotakćemo se samo onoga što je striktno neophodno za korištenje moćnog alata koji je LAM. Ako nakon što smo majstori u njenom korištenju, želimo modificirati ili dodati funkcionalnosti, onda su dobrodošle.

• Aktivirajte TLS: da -Preporučeno-.
• Sufiks stabla: dc = prijatelji, dc = cu
• Zadani jezik: español (Španija)
• Lista važećih korisnika*: cn = admin, dc = prijatelji, dc = cu
• Nova šifra: drugačija lozinka od lam
  
• Ponovno unesite lozinku: drugačija lozinka od lam
  

Napomena: The ' * ' znači da je to obavezan unos.

Ispod lijevo su dugmad ^ Sačuvaj y ^ Otkaži. Ako sada sačuvamo promjene, vratit će nas na početnu stranicu i možemo vidjeti da je jezik već promijenjen i da je korisničko ime sada admin. Prije je bilo menadžer. Međutim, vratimo se na uređivanje -sada na španskom- „Podešavanje. LAM-a». Nakon što se vratimo na stranicu za konfiguraciju, učinit ćemo sljedeće:

• Odabiremo karticu 'Vrste računa'.
• U odjeljku 'Aktivni tipovi računa' –> 'Korisnici' –> 'LDAP sufiks', napisali smo: ou=Ljudi,dc=prijatelji,dc=cu.
• U odjeljku 'Aktivni tipovi računa' –> 'Grupe' –> 'LDAP sufiks', napisali smo: ou=Grupe,dc=prijatelji,dc=cu.
• Korištenje dugmadi pod naslovom '^Ukloni ovu vrstu računa', eliminiramo one koji odgovaraju 'Oprema' y 'Samba domene', koji nećemo koristiti.
• Odabiremo karticu 'moduli'.
• En 'Korisnici', na listi 'Odabrani moduli', pomeramo modul 'Samba 3 (sambaSamAccount)' na listu 'Dostupni moduli'.
• En 'grupe', na listi 'Odabrani moduli', pomeramo modul 'Samba 3 (sambaGroupMapping)' na listu 'Dostupni moduli'.

Za sada, i dok se ne upoznamo sa LAM konfiguracijom, ostavićemo to na tome.

Pohranjujemo promjene i vraćamo se na početnu stranicu, gdje moramo unijeti korisničku lozinku admin (cn=admin,dc=prijatelji,dc=cu), deklarirano tokom instalacije slap. Ako vratite bilo koju grešku, provjerite da li je /etc/ldap/ldap.conf je ispravno konfigurisan na samom serveru. Možda vam je putanja do TLS certifikata pogrešna ili neka druga greška. Zapamtite da mora biti ovako:

BASE dc=amigos,dc=cu URI ldap://mildap.amigos.cu # TLS certifikati (potrebni za GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Kada uđemo u LAM, moramo provesti neko vrijeme proučavajući ga PRIJE promjene bilo koje konfiguracije. Njegov interfejs je veoma intuitivan i jednostavan za korišćenje. Iskoristite ga i provjerite.

Napomena: U dokumentu http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, možemo pročitati na kraju:

Jedan LDAP direktorij s puno korisnika (>10)
LAM je testiran za rad sa 10 korisnika. Ako imate puno više korisnika onda imate u osnovi dvije opcije.

• Podijelite svoje LDAP stablo na organizacijske jedinice: ovo je obično najbolja opcija. Stavite svoje naloge u nekoliko organizacionih jedinica i podesite LAM kao u naprednom scenariju iznad.
• Povećajte ograničenje memorije: Povećajte parametar memory_limit u vašem php.ini. Ovo će omogućiti LAM-u da pročita više unosa. Ali ovo će usporiti vrijeme odziva LAM-a.

Budimo kreativni i uredni u administraciji našeg Upravnog odbora.

Sigurnosne politike lozinke i drugi aspekti putem LAM-a

• Kliknemo na link «LAM konfiguracija».
• Kliknite na link «Uređivanje općih postavki».
• Upisujemo lozinku 'm' bez navodnika.

I na toj stranici nalazimo politike lozinki, sigurnosne postavke, dozvoljene hostove i druge.

Napomena: LAM konfiguracija je sačuvana /usr/share/ldap-account-manager/config/lam.conf.

Omogućavamo https za sigurno povezivanje na LAM:

:~# a2ensite default-ssl
:~# a2enmod ssl
:~# /etc/init.d/apache2 restart

Kada omogućimo https na prethodni način, radimo sa certifikatima koje Apache generiše po defaultu i odražava ih u definiciji svog virtuelnog hosta default-ssl. Ako želimo da koristimo druge sertifikate koje smo sami generisali, konsultujte nas /usr/share/doc/apache2.2-common/README.Debian.gz. U pitanju su sertifikati tzv «zmijsko ulje» ili zmijsko ulje, a nalaze se u:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Hajde da usmerimo pretraživač na https://mildap.amigos.cu, i prihvatamo sertifikat. Zatim pokazujemo na https://mildap.amigos.cu/lam i sada možemo raditi preko https na LAM-u.

Važno: Ako se tokom procesa pokretanja servera, Exim potrebno je mnogo vremena da se pokrene, instalirajte laganu zamjenu ssmtp.

:~# aptitude install ssmtp
 Sljedeći NOVI paketi će biti instalirani: ssmtp{b} 0 paketa ažurirano, 1 novi instaliran, 0 za uklanjanje i 0 nije ažurirano. Moram da preuzmem 52,7 kB fajlova. Nakon raspakivanja će se koristiti 8192 B. Zavisnosti za sljedeće pakete nisu zadovoljene: exim4-config: Konflikti: ssmtp ali se instalira 2.64-4. exim4-daemon-light: Konflikt: mail-transport-agent koji je virtuelni paket. ssmtp: Konflikt: mail-transport-agent koji je virtuelni paket. Sljedeće akcije će riješiti ove ovisnosti. Uklonite sljedeće pakete: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Da li prihvatate ovo rješenje? [Y/n/q/?]y

Zatim izvršavamo:

:~# aptitude purge ~c :~# aptitude clean :~# aptitude autoclean :~# ponovno pokretanje

Ako radite sa virtuelnim serverima, ovo bi bio odličan trenutak da napravite dobru rezervnu kopiju celog glavnog servera... za svaki slučaj. 🙂

Replikacija. Sprema i vraća iz baze podataka Direktorija.

U odličnom vodiču - koji preporučujemo svima da pročitaju i prouče - «Vodič za Ubuntu server» sa Ubuntu Servera 12.04 «Precizno», dolazi detaljno objašnjenje dijelova koda koji smo napisali o OpenLDAP-u i generiranju TLS certifikata, a također se vrlo detaljno bavi replikacijom direktorija, te načinom spremanja i vraćanja. baze podataka.

Međutim, u nastavku dajemo proceduru za vraćanje cijele baze podataka u slučaju katastrofe.

Veoma važno:

Izvezenu datoteku moramo UVIJEK imati pri ruci koristeći Ldap Account Manager kao rezervnu kopiju naših podataka. Naravno, datoteka cn=amigos.ldif mora odgovarati našoj instalaciji. Možemo ga dobiti i pomoću naredbe slapcat kao što ćemo vidjeti kasnije.

1.- Eliminiramo samo slapd instalaciju.

:~# aptitude purge slpad

2.- Čistimo sistem paketa

:~# aptitude install -f :~# aptitude purge ~c :~# aptitude clean :~# aptitude autoclean

3.- Potpuno brišemo direktorij bazu podataka

:~# rm -r /var/lib/ldap/*

4.- Ponovo instaliramo slapd demon i njegove zavisnosti

:~# aptitude install slapd

5.- Provjeravamo

:~# ldapsearch -Q -LLL -Y VANJSKI -H ldapi:/// -b cn=config dn :~# ldapsearch -x -LLL -H ldap:/// -b dc=prijatelji,dc=cu dn

6.- Dodamo isti indeksni fajl olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Provjeravamo dodane indekse

:~# ldapsearch -Q -LLL -Y VANJSKI -H ldapi:/// \ -b cn=config '(olcDatabase={1}hdb)' olcDbIndex

8.- Dodali smo ista pravila kontrole pristupa

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- Provjeravamo pravila kontrole pristupa

:~# ldapsearch -Q -LLL -Y VANJSKI -H ldapi:/// \ -b cn=config '(olcAccess=*)' olcAccess olcSuffix

10.- Dodali smo TLS certifikate. Nema potrebe da ih ponovo generišete ili popravljate dozvole. Oni već postoje u sistemu datoteka, ali nisu deklarisani u bazi podataka.

:~# ldapmodify -Y VANJSKI -H ldapi:/// -f /etc/ssl/certinfo.ldif

11.- Dodamo sadržaj prema našoj vlastitoj sigurnosnoj kopiji

:~# ldapadd -x -D cn=admin,dc=prijatelji,dc=cu -W -f dc=prijatelji.ldif

NEMOJTE ponovo pokretati slapd jer indeksira bazu podataka i može se oštetiti!!!. UVIJEK uredite datoteku sigurnosne kopije PRIJE nego što je dodate, kako biste izbjegli unos već postojećih unosa.

Pokazujemo u pretraživaču na https://mildap.amigos.cu/lam i proveravamo.

Slapcat komanda

Naredba slapcat Uglavnom se koristi za generiranje, u LDIF formatu, sadržaja baze podataka kojom upravlja slap. Naredba otvara bazu podataka određenu svojim brojem ili sufiksom i ispisuje odgovarajuću datoteku u LDIF formatu na ekran. Baze podataka konfigurirane kao podređene su također prikazane, osim ako ne navedemo opciju -g.

Najvažnije ograničenje upotrebe ove naredbe je da je ne treba izvršiti kada je slap, barem u načinu pisanja, kako bi se osigurala konzistentnost podataka.

Na primjer, ako želimo napraviti rezervnu kopiju baze podataka Direktorija, u datoteku pod nazivom backup-slapd.ldif, izvršavamo:

:~# servis slapd stop :~# slapcat -l backup-slapd.ldif :~# servis slapd start

Slike LAM-a