Directory Service med OpenLDAP [7 og endelig?]: Ldap Account Manager

Hej venner!. Vi ønskede ikke at offentliggøre denne artikel, da den er indeholdt i kompendiet i PDF-format, som mange læsere har efterspurgt. Ja, vi vil skrive et resumé med interessante tilføjelser. Og som en forsmag på dette kompendium transskriberer vi Indledning:

Mange ledere af forretningsnetværkstjenester overvejer at migrere domænecontrollere blandt andre tjenester, når de tager ansvaret for et netværk, hvis tjenester er baseret på Microsoft-produkter, hvis de ønsker at migrere til Linux.

Hvis de ikke vælger et tredjepartsprodukt som ClearOS eller Zentyal, eller hvis de af andre grunde ønsker at blive uafhængige, så påtager de sig den besværlige opgave at lave deres egen domænecontroller eller fra Samba 4 -eller en anden- til deres egen Active Directory.

Så begynder problemerne og nogle andre skuffelser. Driftsfejl. De finder ikke placeringen af ​​problemerne for at løse dem. Gentagne installationsforsøg. Delvis drift af tjenesterne. Og en lang liste med problemer.

Hvis du ser godt efter, bruger det meste af internettet ikke netværk af Microsoft-typen. Men i vores forretningsmiljø gør vi det meget.

Med dette kompendium forsøger vi at gøre opmærksom på, at vi kan lave et forretningsnetværk uden Microsoft-filosofien. Tjenester baseret på autentificering af brugere mod en OpenLDAP Directory såsom: E-mail, FTP, SFTP, Owncloud-baseret Business Cloud osv.

Vi stræber efter at tilbyde en anden tilgang baseret på 100 % fri software, og som ikke bruger eller efterligner - hvilket i tilfældet er det samme - filosofien om Microsoft-netværk, enten med Microsoft Software eller med OpenLDAP og Samba som de vigtigste. .

Alle løsninger, der bruger den gratis software Openldap + Samba, gennemgår nødvendigvis den grundlæggende viden om, hvad en LDAP-server er, hvordan er den installeret, hvordan er den konfigureret og administreret osv.? Senere integrerer de Samba og muligvis Kerberos, og i sidste ende tilbyder de os at "emulere" en Domain Controller i stil med Microsofts NT 4, eller en Active Directory.

En svær opgave, når vi implementerer og konfigurerer fra lagerpakkerne. De, der har studeret og anvendt den omfattende Samba-dokumentation, ved udmærket, hvad vi mener. Samba 4 foreslår endda administration af dit Active Directory gennem brug af den klassiske administrationskonsol, som vi finder i et Microsoft Active Directory, det være sig 2003 eller en mere avanceret.

Anbefalede læsninger.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorvejledning
Ubuntu Server Guide 12.04
Konfiguration af servere med GNU/Linux.

Fremragende manual, som Mesteren, Joel Barrios Dueñas giver os, og som tjener Debian-brugere meget godt, selvom den er orienteret til CentOS og Red Hat.

Hvilke tjenester og software planlægger vi at installere og konfigurere?

  • Uafhængig NTP, DNS og DHCP, det vil sige, at de to sidste ikke er integreret i Directory
  • Directory Service eller «Katalogtjeneste» baseret på OpenLDAP
  • E-mail, Suite til gruppearbejde "Citadel", FTP og SFTP,
  • Enterprise Cloud «OwnCloud«
  • Standalone filserver baseret på Samba.

I alle tilfælde vil processen med autentificering af brugerlegitimationsoplysningerne blive udført direkte mod biblioteket eller gennem libnss-ldap y PAM afhængigt af den pågældende softwares egenskaber.

Og uden videre, lad os komme i gang.

Ldap Account Manager

Inden vi fortsætter, skal vi læse:

De, der har fulgt serien af ​​tidligere artikler, vil have indset, at vi ALLEREDE har en mappe at administrere. Vi kan opnå dette på mange måder, enten gennem konsolværktøjerne grupperet i pakken lscripts, webgrænseflader phpLDAPadmin, Ldap Account Managerosv., som er i depotet.

Der er også mulighed for at gøre det gennem Apache Directory Studio, som vi skal downloade fra internettet. Den vejer omkring 142 megabyte.

For at administrere vores bibliotek anbefaler vi kraftigt brugen af Ldap Account Manager. Og det første, vi vil sige om det, er, at efter dets installation kan vi få adgang til det dokumentation som ligger i mappen /usr/share/doc/ldap-account-manager/docs.

Gennem Ldap Account Manager, herefter LAM, kan vi administrere bruger- og gruppekonti, der er gemt i vores bibliotek. LAM'en kører på enhver websideserver, der understøtter PHP5, og vi kan oprette forbindelse til den via en ukrypteret kanal eller via STARTTLS, som er den form, vi vil bruge i vores eksempel.

Indledende installation og konfiguration:

:~# aptitude installer ldap-account-manager

Efter installationen af Apache2 -apache2-mpm-forgaffel-, fra PHP5 og andre afhængigheder, og fra selve pakken ldap-konto-manager, den første ting, vi skal gøre, er at oprette et symbolsk link fra LAM-dokumentationsmappen til rodmappen af ​​dokumenterne på vores webserver. Eksempel:

:~# ln -s /usr/share/doc/ldap-account-manager/docs/manual/ /var/www/lam-docs

På denne måde garanterer vi adgang til LAM-manualen via en webbrowser, hvis vi peger på adressen http://mildap.amigos.cu/lam-docs.

Lad os senere begynde at konfigurere selve LAM. I en browser vi peger på http://mildap.amigos.cu/lam.

  • Vi klikker på linket "LAM-konfiguration".
  • Klik på linket "Rediger serverprofiler".
  • Vi indtaster adgangskoden 'M'et' uden citaterne.

På LAM-konfigurationssiderne kan vi ændre mange parametre i henhold til vores præferencer og behov. Da jeg altid har anbefalet at gå fra det enkle til det komplekse, og ikke omvendt, vil vi kun berøre det, der er strengt nødvendigt for at bruge det kraftfulde værktøj, som er LAM. Hvis vi efter at vi er mestre i brugen af ​​det, ønsker at ændre eller tilføje funktioner, velkomne.

  • Aktiver TLS: Ja -Anbefalede-.
  • Træsuffiks: dc = venner, dc = cu
  • Standardsprog: Español (Spanien)
  • Liste over gyldige brugere*: cn = admin, dc = venner, dc = cu
  • Nyt kodeord: adgangskode forskellig fra lam
  • Genindtast kodeord: adgangskode forskellig fra lam

Bemærk: ' * ' betyder, at det er et påkrævet input.

Nederst til venstre er knapperne ^ gemme y ^ Annuller. Hvis vi gemmer ændringerne nu, vil det returnere os til startsiden, og vi kan se, at sproget allerede er ændret, og at brugernavnet er nu admin. Før var Manager. Men lad os genredigere -nu på spansk- "Indstilling. af LAM». Når vi er tilbage på konfigurationssiden, vil vi gøre følgende:

  • Vi vælger fanen 'Kontotyper'.
  • I afsnittet 'Aktive kontotyper' -> 'Brugere' -> 'LDAP-suffiks', skrev vi: ou=Mennesker,dc=venner,dc=cu.
  • I afsnittet 'Aktive kontotyper' -> 'Grupper' -> 'LDAP-suffiks', skrev vi: ou=Grupper,dc=venner,dc=cu.
  • Brug af knapperne med titlen '^Fjern denne type konto', fjerner vi dem, der svarer til 'Udstyr' y 'Samba Domains', som vi ikke vil bruge.
  • Vi vælger fanen 'Moduler'.
  • En 'Brugere', på listen 'Udvalgte moduler', flytter vi modulet 'Samba 3 (sambaSamAccount)' til listen over 'Tilgængelige moduler'.
  • En 'grupper', på listen 'Udvalgte moduler', flytter vi modulet 'Samba 3 (sambaGroupMapping)' til listen over 'Tilgængelige moduler'.

For nu, og indtil vi bliver fortrolige med konfigurationen af ​​LAM, vil vi lade det være.

Vi gemmer ændringerne og vender tilbage til startsiden, hvor vi skal indtaste brugerens adgangskode admin (cn=admin,dc=venner,dc=cu), erklæret under installationen af smække. Hvis det returnerer en fejl, skal du kontrollere, at /etc/ldap/ldap.conf er korrekt konfigureret på selve serveren. Det er muligt, at du har den forkerte sti til TLS-certifikatet eller en anden fejl. Husk at det skal være sådan her:

BASE dc=amigos,dc=cu URI ldap://mildap.amigos.cu # TLS-certifikater (påkrævet for GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Når vi først er inde i LAM, bør vi bruge lidt tid på at studere det, FØR vi ændrer nogen indstillinger. Dens grænseflade er meget intuitiv og nem at bruge. Brug det og tjek.

observation: I dokumentet http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, kan vi læse til sidst:

Enkelt LDAP-bibliotek med mange brugere (>10)
LAM blev testet til at fungere med 10 brugere. Hvis du har mange flere brugere, har du grundlæggende to muligheder.

  • Opdel dit LDAP-træ i organisatoriske enheder: Dette er normalt den bedste løsning. Læg dine konti i flere organisatoriske enheder og opsæt LAM som i det avancerede scenarie ovenfor.
  • Forøg hukommelsesgrænsen: Forøg memory_limit parameteren i din php.ini. Dette vil give LAM mulighed for at læse flere poster. Men dette vil sænke responstiderne for LAM.

Lad os være kreative og organiserede i administrationen af ​​vores bibliotek.

Adgangskodesikkerhedspolitikker og andre aspekter gennem LAM

  • Vi klikker på linket "LAM-konfiguration".
  • Klik på linket "Rediger generelle indstillinger".
  • Vi indtaster adgangskoden 'M'et' uden citaterne.

Og på den side finder vi adgangskodepolitikkerne, sikkerhedsindstillingerne, tilladte værter og andre.

Bemærk: LAM-konfigurationen er gemt i /usr/share/ldap-account-manager/config/lam.conf.

Vi gør det muligt for https at oprette forbindelse til LAM sikkert:

:~# a2ensite default-ssl
:~# a2enmod ssl
:~# /etc/init.d/apache2 genstart

Når vi aktiverer https på den tidligere måde, arbejder vi med de certifikater, som Apache genererer som standard, og det afspejler dem i definitionen af ​​dens virtuelle vært. standard-ssl. Hvis vi ønsker at bruge andre certifikater, der er genereret af os selv, bedes du kontakte os /usr/share/doc/apache2.2-common/README.Debian.gz. De pågældende certifikater kaldes "Snake Oil" eller Snake Oil, og findes i:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Lad os pege browseren til https://mildap.amigos.cu, og vi accepterer certifikatet. Så sigter vi mod https://mildap.amigos.cu/lam og vi kan nu arbejde gennem https LAM.

Vigtigt: Hvis under serveropstartsprocessen, exim tager lang tid at starte, installer letvægtserstatningen ssmtp.

:~# aptitude install ssmtp
 Følgende NYE pakker vil blive installeret: ssmtp{b} 0 opdaterede pakker, 1 ny installeret, 0 til at fjerne og 0 ikke opdateret. Jeg skal downloade 52,7 kB filer. Efter udpakning bruges 8192 B. Afhængighederne af følgende pakker er ikke opfyldt: exim4-config: Konflikter: ssmtp men 2.64-4 vil blive installeret. exim4-daemon-light: Konflikter: mail-transport-agent som er en virtuel pakke. ssmtp: Konflikter: mail-transport-agent som er en virtuel pakke. Følgende handlinger vil løse disse afhængigheder Fjern følgende pakker: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Accepterer du denne løsning? [Y/n/q/?]y

Så udfører vi:

:~# aptitude purge ~c :~# aptitude clean :~# aptitude autoclean :~# genstart

Hvis du arbejder med virtuelle servere, ville dette være et godt tidspunkt at lave en god backup af hele hovedserveren... for en sikkerheds skyld. 🙂

Replikation. Gem og gendan fra mappedatabasen.

I den fremragende guide -som vi anbefaler alle at læse og studere- «Ubuntu server guide» fra Ubuntu Server 12.04 «Precise», kommer en detaljeret forklaring af dele af koden, som vi har skrevet om OpenLDAP og TLS certifikatgenerering, og også Directory Replikering er dækket meget detaljeret, og hvordan man laver Gem og Gendannelse af databaserne .

Men her er en procedure til at gendanne hele databasen i tilfælde af en katastrofe.

Meget vigtigt:

Vi skal ALTID have den eksporterede fil ved hånden gennem Ldap Account Manager som backup af vores data. Selvfølgelig skal filen cn=amigos.ldif svare til vores egen installation. Vi kan også få det gennem slapcat-kommandoen, som vi vil se senere.

1.- Vi fjerner kun slapd installationen.

:~# aptitude purge slpad

2.- Vi renser pakkesystemet

:~# aptitude install -f :~# aptitude purge ~c :~# aptitude clean :~# aptitude autoclean

3.- Vi sletter mappedatabasen fuldstændigt

:~# rm -r /var/lib/ldap/*

4.- Vi geninstallerer slapd-dæmonen og dens afhængigheder

:~# aptitude install slapd

5.- Vi tjekker

:~# ldapsearch -Q -LLL -Y EKSTERN -H ldapi:/// -b cn=config dn :~# ldapsearch -x -LLL -H ldap:/// -b dc=friends,dc=cu dn

6.- Vi tilføjer den samme indeksfil olcDbIndex.ldif

: ~ # ldapmodify -Y EKSTERN -H ldapi: /// -f ./olcDbIndex.ldif

7.- Vi tjekker de tilføjede indekser

:~# ldapsearch -Q -LLL -Y EKSTERN -H ldapi:/// \ -b cn=config '(olcDatabase={1}hdb)' olcDbIndex

8.- Vi tilføjer den samme Adgangskontrolregel

: ~ # ldapmodify -Y EKSTERNT -H ldapi: /// -f ./olcAccess.ldif

9.- Vi tjekker Adgangskontrolreglerne

:~# ldapsearch -Q -LLL -Y EKSTERN -H ldapi:/// \ -b cn=config '(olcAccess=*)' olcAccess olcSuffix

10.- Vi tilføjer TLS-certifikaterne. Der er ingen grund til at genopbygge dem eller rette tilladelser. De findes allerede i filsystemet, men er ikke erklæret i databasen.

:~# ldapmodify -Y EKSTERN -H ldapi:/// -f /etc/ssl/certinfo.ldif

11.- Vi tilføjer indholdet efter vores egen sikkerhedskopi

:~# ldapadd -x -D cn=admin,dc=venner,dc=cu -W -f dc=venner.ldif

Genstart IKKE slapd, fordi den indekserer databasen, og den kan blive beskadiget !!!. Rediger ALTID din backup-fil, FØR du tilføjer den, så du ikke introducerer poster, der allerede eksisterer.

Vi peger i en browser på https://mildap.amigos.cu/lam og vi tjekker.

Slapcat-kommandoen

Kommandoen Slapcat Det bruges hovedsageligt til at generere i LDIF-format, indholdet af databasen, der administrerer smække. Kommandoen åbner databasen bestemt af dens nummer eller suffiks, og skriver den tilsvarende fil i LDIF-format til skærmen. Databaser konfigureret som underordnede vises også, medmindre vi angiver muligheden -g.

Den vigtigste begrænsning ved brugen af ​​denne kommando er, at den ikke må udføres, når programmet kører. smække, i det mindste i skrivetilstand, for at sikre datakonsistens.

For eksempel, hvis vi ønsker at lave en sikkerhedskopi af Directory-databasen, til en fil med navnet backup-slapd.ldif, vi udfører:

:~# service slapd stop :~# slapcat -l backup-slapd.ldif :~# service slapd start

LAM billeder

lam-01

lam-02

lam-03

lam-04

lam-05

lam-06


15 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Jose Antonio sagde han

    Fantastisk bidrag, jeg elskede det, og også de anbefalede læsninger.
    Jeg havde ledt efter en lignende vare i lang tid uden det store held.

    Jeg giver dig 10 😉

    1.    Federico sagde han

      Tak for din kommentar og for at vurdere mine artikler!

  2.   lad os bruge linux sagde han

    Interessant! Endnu en gang fremragende bidrag, fico!
    Kram! Paul.

    1.    Federico sagde han

      Mange tak for din kommentar og ros, ven Pablo !!!. Jeg håber, det er nyttigt for dem, der har brug for det.

  3.   vidagnu sagde han

    Fremragende indhold! Tak igen for at dele.

    hilsen

    1.    Federico sagde han

      Tak for kommentaren !!!

  4.   djæger sagde han

    Homerun Fico!! Og hvornår vil den officielle pdf være klar?

    1.    Federico sagde han

      Hilsen dhunter!!!. Forestil dig, at jeg udover at indeholde de 7 indlæg, der er offentliggjort indtil nu, vil inkludere, hvordan man integrerer en grundlæggende mailserver baseret på CITADEL; FTP, SFTP-tjenester; en Enterprise Cloud baseret på OwnCloud; en Standalone Samba-server med systembrugere via libnss-ldap og PAM og så videre. Træk dine egne konklusioner. 🙂 Jeg tror i slutningen af ​​marts eller begyndelsen af ​​april.

      1.    guzmanweb sagde han

        Hej Federico, tak for bidraget, vi vil glæde os til det. med opdateringen..

        1.    Federico sagde han

          Jeg vil gøre en indsats for at afslutte det inden udgangen af ​​denne måned. Det er slet ikke nemt at skrive en bog, selvom den kun er et par sider lang.

  5.   nexus6 sagde han

    Jeg kan kun sige, at af bidragyderne til denne blog forekommer du mig at være den mest interessante, bedst forklarede og mest detaljerede af ALLE.

    1.    Federico sagde han

      Mange tak for din vurdering. I hver artikel jeg skriver gør jeg mit bedste, for jeg ved at der altid er læsere som dig, på trods af at mange ikke kommenterer.
      Hilsen Nexus6!!!

  6.   Edgar sagde han

    god eftermiddag, hver gang jeg tjekker på nettet om ldap, finder jeg, at du giver anbefalinger, hvilket jeg takker for din hensigt. Nu er jeg ny her, og som alle andre vil jeg gerne lære
    Dette er spørgsmålet
    Mine venner fortæller mig, at når netværket er afbrudt, ændrer operativsystemet, der allerede er godkendt med ldap, sproget til engelsk, som du kan fortælle mig om, hvor jeg skal tjekke, hvilken fil der skal kontrolleres, så den er på spansk, så min bruger kan være initialiseret igen tilføjet i ldap på forhånd tak for hjælpen

  7.   petrop sagde han

    Federico fremragende indlæg som sædvanlig. Jeg læste, at du kommenterede noget relateret til en PDF med konfigurationen af ​​de fleste af de telematiktjenester, der bruges i et forretningsnetværk. De sagde, at den ville være klar i slutningen af ​​marts eller begyndelsen af ​​april sidste år. Mit spørgsmål er, om det på det tidspunkt lykkedes dig at afslutte det og uploade det? På forhånd tak, til sidst vil jeg prøve Openfire, jeg kan se, at den endda har en webgrænseflade til 9090.

    1.    Fedrico A. Valdes Toujague sagde han

      Tak for dine kommentarer, Pedro Pablo. I stedet for at svare dig udførligt, skrev jeg en artikel, som du vil læse i dag eller i morgen. Taknemmelige læsere som dig fortjener et svar. Tak igen.