Usluga direktorija sa OpenLDAP-om [7 i konačna?]: Ldap Account Manager

Pozdrav prijatelji! Nismo željeli objaviti ovaj članak jer je sadržan u sažetku u PDF formatu koji su zatražili mnogi čitatelji. Da, napisat ćemo sažetak sa zanimljivim dodacima. I kao pregled tog sažetka, prepisujemo Uvod:

Mnogi ljudi zaduženi za usluge u korporativnim mrežama, kada preuzmu mrežu čije se usluge temelje na Microsoftovim proizvodima, ako žele migrirati na Linux, između ostalih usluga razmišljaju o migraciji Upravljača domena.

Ako ne odaberu proizvod treće strane kao što je ClearOS ili Zentyal, ili ako se iz drugih razloga žele osamostaliti, poduzimaju mukotrpan zadatak da postanu vlastiti kontrolor domene ili Samba 4 ili drugi - svoj Aktivni direktorij.

Tada počinju problemi i neka druga razočaranja. Operativne greške. Ne pronalaze lokaciju problema da bi ih mogli riješiti. Ponovljeni pokušaji instalacije. Djelomično poslovanje službi. I duga lista problema.

Ako pažljivo pogledamo, većina Interneta ne koristi mreže tipa Microsoft. Međutim, u našem poslovnom okruženju radimo puno.

Ovim priručnikom pokušavamo pokazati da možemo stvoriti poslovnu mrežu bez Microsoftove filozofije. Usluge zasnovane na autentifikaciji korisnika prema OpenLDAP direktorijumu kao što su: E-pošta, FTP, SFTP, Poslovni oblak zasnovan na Owncloud, itd.

Težimo da ponudimo drugačiji pristup zasnovan na 100% besplatnom softveru, a koji ne koristi ili oponaša - što je po tom pitanju isto - filozofija Microsoftovih mreža, bilo sa Microsoftovim softverom, bilo sa OpenLDAP-om i Sambom kao glavnim .

Sva rješenja koja koriste besplatni softver Openldap + Samba, nužno prolaze kroz osnovno znanje o tome što je LDAP server, kako se instalira, kako se konfigurira i administrira itd. Kasnije integriraju Sambu i možda Kerberos, a na kraju nam nude da "oponašamo" kontroler domene u stilu Microsoftovog NT 4 ili Active Directory.

Doista težak zadatak kada ga implementiramo i konfiguriramo iz paketa spremišta. Oni koji su proučavali i primjenjivali lisnatu Samba dokumentaciju vrlo dobro znaju na što mislimo. Samba 4 čak predlaže administraciju vašeg Active Directory-a pomoću klasične administratorske konzole koju nalazimo u Microsoft Active Directory-u, bilo da je riječ o 2003. ili nekoj naprednijoj.

Preporučena literatura.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorski vodič
Ubuntu ServerGuide 12.04
Konfiguracija servera sa GNU / Linuxom.

Izvrstan priručnik koji nam daju El Maestro, Joel Barrios Dueñas i koji vrlo dobro služi igračima Debiana, iako je orijentiran na CentOS i Red Hat.

Koje usluge i softver planiramo instalirati i konfigurirati?

  • Nezavisni NTP, DNS i DHCP, odnosno zadnja dva nisu integrirana u direktorij
  • Usluga direktorija ili «Usluga direktorija»Na osnovu OpenLDAP
  • E-pošta, "Citadel" grupni radni paket, FTP i SFTP,
  • Business Cloud «OwnCloud«
  • Nezavisni poslužitelj datoteka zasnovan na Sambi.

U svim slučajevima, postupak autentifikacije vjerodajnica korisnika provest će se direktno ili direktno putem direktorija libnss-ldap y PAM ovisno o karakteristikama dotičnog softvera.

I bez daljnjega, pređimo na posao.

Ldap Account Manager

Prije nastavka moramo pročitati:

Oni koji su pratili seriju prethodnih članaka primijetiće da VEĆ imamo Direktorij kojim možemo upravljati. To možemo postići na mnogo načina, bilo putem uslužnih programa konzole grupiranih u paketu ldapscripts, web sučelja PhpLDAPAdmin, Ldap Account Manageritd., koji se nalaze u spremištu.

Takođe postoji mogućnost da se to uradi putem Apache Directory Studio, koju moramo preuzeti s Interneta. Teška je oko 142 megabajta.

Za administraciju našeg direktorija toplo preporučujemo upotrebu Ldap Account Manager. I prvo što ćemo reći o tome je da nakon njegove instalacije možemo pristupiti njegovom dokumentacija koja se nalazi u fascikli / usr / share / doc / ldap-account-manager / docs.

Kroz Ldap Account Manager, od sada THE M, možemo upravljati korisničkim i grupnim računima pohranjenim u našem direktoriju. LAM radi na bilo kojem serveru web stranica koji podržava PHP5, a mi se na njega možemo povezati putem nešifriranog kanala ili putem StartTLS, što je oblik koji ćemo koristiti u našem primjeru.

Početna instalacija i konfiguracija:

: ~ # aptitude instaliraj ldap-account-manager

Nakon instalacije Apache2 -apache2-mpm-prefork-, iz PHP5 i drugih zavisnosti, te iz samog paketa ldap-account-manager, prvo što moramo učiniti je stvoriti simboličku vezu iz fascikle LAM dokumentacije do korijenske mape dokumenata na našem web serveru. Primjer:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Na ovaj način garantujemo pristup priručniku za LAM putem web preglednika, ako pokažemo na adresu http://mildap.amigos.cu/lam-docs.

Dalje, krenimo s konfiguriranjem samog LAM-a. U pregledniku na koji ukazujemo http://mildap.amigos.cu/lam.

  • Kliknemo na vezu "LAM konfiguracija".
  • Kliknite na vezu "Uredi profile servera".
  • Ukucavamo lozinku 'The m' bez navodnika.

Na konfiguracijskim stranicama LAM-a možemo mijenjati mnoge parametre u skladu s našim željama i potrebama. Kao što sam uvijek preporučivao da se od jednostavnog pređe do složenog, a ne obrnuto, dodirnut ćemo samo ono što je neophodno za upotrebu moćnog alata koji je LAM. Ako nakon što postanemo Masters u njegovoj upotrebi, želimo izmijeniti ili dodati funkcionalnosti, dobrodošli.

  • Aktivirajte TLS: da -Preporučuje se-.
  • Sufiks stabla: dc = prijatelji, dc = cu
  • Zadani jezik: español (Španija)
  • Spisak važećih korisnika *: cn = admin, dc = prijatelji, dc = cu
  • Nova šifra: drugačija lozinka od lam
  • Ponovo unesite lozinku: drugačija lozinka od lam

Napomena: The ' * 'znači da je to obavezan unos.

Dolje lijevo su tipke ^ Spremi y ^ Otkaži. Ako sada spremimo promjene, vratit će nas na početnu stranicu i možemo vidjeti da se jezik već promijenio i da je korisničko ime sada admin. Prije je bilo menadžer. Međutim, preuredimo -now na španskom- "Podešavanje. LAM-a ». Nakon što se vratimo na stranicu za konfiguraciju, učinit ćemo sljedeće:

  • Odabiremo karticu 'Vrste računa'.
  • U odjeljku 'Tipovi aktivnih računa' -> 'Korisnici' -> 'LDAP sufiks', napisali smo: ou = ljudi, dc = prijatelji, dc = cu.
  • U odjeljku 'Tipovi aktivnih računa' -> 'Grupe' -> 'LDAP sufiks', napisali smo: ou = Grupe, dc = prijatelji, dc = cu.
  • Korištenjem tipki s naslovom '^ Ukloni ovu vrstu računa', uklanjamo one koji odgovaraju 'Oprema' y 'Samba domene', koju nećemo koristiti.
  • Odabiremo karticu 'Moduli'.
  • En 'Korisnici', na listi 'Odabrani moduli', premještamo modul 'Samba 3 (sambaSamAccount)' na listu 'Dostupni moduli'.
  • En 'Grupe', na listi 'Odabrani moduli', premještamo modul 'Samba 3 (sambaGroupMapping)' na listu 'Dostupni moduli'.

Za sada, i dok se ne upoznamo s LAM konfiguracijom, ostavljamo to na tome.

Spremamo promjene i vraćamo se na početnu stranicu, gdje moramo upisati korisničku lozinku admin (cn = admin, dc = prijatelji, dc = cu), deklarirano tokom instalacije slapd. Ako vratite grešku, provjerite je li /etc/ldap/ldap.conf ispravno je konfiguriran na samom serveru. Možda imate pogrešan put do TLS certifikata ili drugu grešku. Zapamtite da bi to trebalo izgledati ovako:

BAZA dc = prijatelji, dc = cu URI ldap: //mildap.amigos.cu # TLS certifikati (potrebni za GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Kad uđemo u LAM, moramo provesti neko vrijeme proučavajući ga PRIJE promjene bilo koje konfiguracije. Njegov interfejs je vrlo intuitivan i lak za upotrebu. Upotrijebite ga i provjerite.

Napomena: U dokumentu http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, možemo pročitati na kraju:

Pojedinačni LDAP direktorij s puno korisnika (> 10 000)
Testirano je da LAM radi sa 10 korisnika. Ako imate puno više korisnika, u osnovi imate dvije mogućnosti.

  • Podijelite svoje LDAP stablo u organizacijske jedinice: Ovo je obično najbolja opcija. Stavite svoje račune u nekoliko organizacijskih jedinica i postavite LAM kao u naprednom scenariju gore.
  • Povećajte ograničenje memorije: Povećajte parametar memory_limit u svom php.ini. Ovo će omogućiti LAM-u da pročita više unosa. Ali ovo će usporiti vrijeme odziva LAM-a.

Budimo kreativni i uredni u administraciji našeg imenika.

Politike zaštite lozinke i drugi aspekti putem LAM-a

  • Kliknemo na vezu «LAM konfiguracija».
  • Kliknite na vezu "Uredi opće postavke".
  • Ukucavamo lozinku 'The m' bez navodnika.

I na toj stranici nalazimo politike lozinke, sigurnosne postavke, dopuštene hostove i druge.

Napomena: LAM konfiguracija je spremljena u /usr/share/ldap-account-manager/config/lam.conf.

Omogućujemo https-u da se sigurno poveže sa LAM-om:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 restart

Kada omogućimo https na prethodni način, radimo sa certifikatima koje Apache generira prema zadanim postavkama i odražava ih u definiciji svog virtualnog hosta default-ssl. Ako želimo koristiti druge certifikate koje smo sami generirali, molimo vas da se posavjetujete /usr/share/doc/apache2.2-common/README.Debian.gz. Potvrde o kojima se radi pozivaju se "Zmijsko ulje" o zmijsko ulje, a nalaze se u:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Uperimo pretraživač na https://mildap.amigos.cu, a mi prihvaćamo certifikat. Zatim ukazujemo na https://mildap.amigos.cu/lam i već možemo raditi putem https LAM-a.

Važno: ako je tokom procesa pokretanja poslužitelja, Exim treba dugo vremena da se pokrene, instalirajte laganu zamjenu ssmtp.

: ~ # aptitude instaliraj ssmtp
 Bit će instalirani sljedeći NOVI paketi: ssmtp {b} 0 ažuriranih paketa, 1 novi instalirani, 0 za uklanjanje i 0 neažurnih. Moram preuzeti 52,7 kB datoteka. Nakon raspakiranja koristit će se 8192 B. Zavisnosti sljedećih paketa nisu zadovoljene: exim4-config: Konflikti: ssmtp, ali bit će instalirani 2.64-4. exim4-daemon-light: Sukobi: mail-transport-agent koji je virtualni paket. ssmtp: Konflikti: mail-transport-agent koji je virtualni paket. Sljedeće akcije će riješiti ove zavisnosti Uklonite sljedeće pakete: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Prihvatate li ovo rješenje? [Y / n / q /?] I

Zatim izvršavamo:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Ako radite s virtualnim serverima, ovo bi bilo sjajno vrijeme da napravite dobru sigurnosnu kopiju cijelog glavnog servera ... za svaki slučaj. 🙂

Replikacija. Spremite i vratite bazu podataka direktorija.

U izvrsnom vodiču - koji svima preporučujemo da pročitaju i prouče-Vodič za Ubuntu server»Iz Ubuntu Server 12.04« Precizno », nalazi se detaljno objašnjenje dijelova koda koje smo napisali o OpenLDAP-u i generiranju TLS certifikata, a pored toga, Replikacija direktorija raspravlja se vrlo detaljno i kako se sprema i obnavljanje baza podataka.

Međutim, ovdje je postupak za vraćanje cijele baze podataka u slučaju katastrofe.

Veoma važno:

Izvezenu datoteku UVIJEK moramo imati pri ruci putem Ldap Account Managera kao sigurnosna kopija naših podataka. Naravno, datoteka cn = amigos.ldif mora odgovarati našoj vlastitoj instalaciji. Također ga možemo dobiti putem naredbe slapcat kao što ćemo vidjeti kasnije.

1.- Eliminiramo samo slapd instalaciju.

: ~ # aptitude pročišćavanje slpad

2.- Čistimo sistem paketa

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- U potpunosti brišemo bazu podataka direktorija

: ~ # rm -r / var / lib / ldap / *

4. - Ponovno instaliramo slapd demon i njegove ovisnosti

: ~ # aptitude instalirati slapd

5.- Provjeravamo

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = prijatelji, dc = cu dn

6.- Dodajte istu indeksnu datoteku olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Provjeravamo dodane indekse

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Dodamo isto pravilo kontrole pristupa

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- Provjeravamo pravila kontrole pristupa

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Dodamo TLS certifikate. Nema potrebe za obnovom ili popravljanjem dozvola. Oni već postoje u datotečnom sistemu, ali nisu deklarirani u bazi podataka.

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Sadržaj dodajemo prema vlastitoj sigurnosnoj kopiji

: ~ # ldapadd -x -D cn = admin, dc = prijatelji, dc = cu -W -f dc = friends.ldif

NEMOJTE ponovo pokretati slapd jer indeksira bazu podataka i može biti oštećen !!! UVIJEK uredite svoju sigurnosnu kopiju PRIJE dodavanja kako biste izbjegli unos postojećih unosa.

Ukazujemo u pregledniku na https://mildap.amigos.cu/lam i provjeravamo.

Naredba slapcat

Naredba slapcat Uglavnom se koristi za generiranje u LDIF formatu, sadržaju baze podataka koja obrađuje slapd. Naredba otvara bazu podataka određenu brojem ili sufiksom i na ekran upisuje odgovarajuću datoteku u LDIF formatu. Prikazuju se i baze podataka konfigurirane kao podređene, osim ako ne odredimo opciju -g.

Najvažnije ograničenje upotrebe ove naredbe je da se ne smije izvršavati kada se slapd, barem u načinu pisanja, kako bi se osigurala dosljednost podataka.

Na primjer, ako želimo napraviti sigurnosnu kopiju baze podataka direktorija, u datoteku s imenom backup-slapd.ldif, izvršavamo:

: ~ # servis slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # servis slapd start

LAM slike

lam-01

lam-02

lam-03

lam-04

lam-05

lam-06


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

15 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   jose antonio rekao je

    Veliki doprinos, svidio mi se, kao i preporučena literatura.
    Tražio je sličan članak bez puno uspjeha.

    Dajem vam 10 😉

    1.    federico rekao je

      Hvala vam što ste komentarisali i ocenili moje članke !!!

  2.   iskoristimo linux rekao je

    Zanimljivo! Još jednom odličan doprinos, Fico!
    Zagrljaj! Paul.

    1.    federico rekao je

      Puno vam hvala na komentaru i pohvali, prijatelju Pablo !!! Nadam se da je korisna onima kojima je potrebna.

  3.   vidagnu rekao je

    Odličan sadržaj! Hvala još jednom na dijeljenju.

    Saludos

    1.    federico rekao je

      Hvala na komentaru !!!

  4.   dhunter rekao je

    Homerun Fico !! A službeni pdf za kada će biti spreman?

    1.    federico rekao je

      Pozdrav dhunter !!!. Zamislite da ću pored sadržanja 7 do sada objavljenih postova, uključiti i kako integrirati osnovni mail server zasnovan na CITADEL-u; FTP, SFTP usluge; poslovni oblak zasnovan na OwnCloud-u; samostalni Samba server sa korisnicima sistema putem libnss-ldap-a i PAM-a, i tako dalje. Donesite vlastite zaključke. 🙂 Mislim da krajem marta ili početkom aprila.

      1.    guzmanweb rekao je

        Pozdrav Federico, hvala na doprinosu, radovat ćemo se. sa ažuriranjem ..

        1.    federico rekao je

          Potrudit ću se da to završim do kraja ovog mjeseca. Uopće nije lako napisati knjigu čak i ako ima samo nekoliko stranica.

  5.   nexus6 rekao je

    Mogu samo reći da mi se od saradnika na ovom blogu čini da ste najzanimljiviji, najbolje objašnjeni i najudaljenija strana SVIH.

    1.    federico rekao je

      Hvala vam puno na recenziji. U svakom članku koji napišem dajem sve od sebe jer znam da uvijek ima čitatelja poput vas, uprkos mnogima koji ne komentiraju.
      Pozdrav Nexus6 !!!

  6.   edgar rekao je

    Dobar dan, kad god se posavetujem s mrežom o ldap-u, nađem vas kako dajete preporuke, što vam čestitam na namjeri, sada sam nov u ovome i poput svih željnih učenja
    To je pitanje
    Moji prijatelji mi kažu da kada je mreža prekinuta, operativni sistem koji je već ovjeren sa ldap mijenja moj jezik na engleski da mi možete reći gdje trebam provjeriti koju datoteku provjeriti da bi moj korisnik bio ponovo inicijaliziran na španjolskom već unaprijed dodano u LDAP, hvala na pomoći

  7.   pedrop rekao je

    Federico odličan post kao i obično. Čitao sam da komentirate nešto vezano uz PDF s konfiguracijom većine telematskih usluga koje se koriste u poslovnoj mreži. Rekli ste da će do kraja marta ili početka aprila prošle godine biti spremno. Moje pitanje je da li ste u to vrijeme uspjeli to završiti i poslati? Hvala unaprijed, na kraju ću testirati Openfire, vidim da ima čak i web sučelje za 9090.

    1.    Fedrico A. Valdés Toujague rekao je

      Hvala na komentarima, Pedro Pablo. Umjesto da vam opširno odgovorim, napisao sam članak koji ćete pročitati danas ili sutra. Zahvalni čitaoci poput vas zaslužuju odgovor. Hvala još jednom.