Verzeichnisdienst mit OpenLDAP [7 und endgültig?]: Ldap Account Manager

Hallo Freunde!. Wir wollten diesen Artikel nicht veröffentlichen, da er im Kompendium im PDF-Format enthalten ist, das viele Leser angefordert haben. Ja, wir werden eine Zusammenfassung mit interessanten Ergänzungen schreiben. Und als Vorschau auf dieses Kompendium transkribieren wir das Einführung:

Viele Personen, die für Dienste in Unternehmensnetzwerken verantwortlich sind, wenn sie ein Netzwerk übernehmen, dessen Dienste auf Microsoft-Produkten basieren, und die auf Linux migrieren möchten, ziehen unter anderem die Migration von Domänencontrollern in Betracht.

Wenn sie sich nicht für ein Produkt eines Drittanbieters wie ClearOS oder Zentyal entscheiden oder aus anderen Gründen unabhängig werden möchten, übernehmen sie die mühsame Aufgabe, ihr eigener Domänencontroller oder von Samba 4 oder einem anderen Active Directory zu werden.

Dann beginnen die Probleme und einige andere Enttäuschungen. Betriebsfehler. Sie finden den Ort der Probleme nicht, um sie lösen zu können. Wiederholte Installationsversuche. Teiloperationen der Dienste. Und eine lange Liste von Problemen.

Wenn wir genau hinschauen, verwendet der größte Teil des Internets keine Microsoft-Netzwerke. In unserem Geschäftsumfeld tun wir jedoch viel.

Mit diesem Kompendium versuchen wir zu zeigen, dass wir ohne die Microsoft-Philosophie ein Unternehmensnetzwerk aufbauen können. Dienste, die auf der Authentifizierung von Benutzern anhand eines OpenLDAP-Verzeichnisses basieren, z. B.: E-Mail, FTP, SFTP, Business Cloud basierend auf Owncloud usw.

Wir streben danach, einen anderen Ansatz anzubieten, der auf 100% freier Software basiert und der die Philosophie von Microsoft-Netzwerken weder mit Microsoft-Software noch mit OpenLDAP und Samba als Hauptansätzen verwendet oder emuliert - was für den Fall gleich ist.

Alle Lösungen, die die kostenlose Software Openldap + Samba verwenden, müssen die Grundkenntnisse darüber besitzen, was ein LDAP-Server ist, wie er installiert, wie er konfiguriert und verwaltet wird usw. Später integrieren sie Samba und möglicherweise Kerberos und bieten uns am Ende an, einen Domänencontroller im Stil von Microsoft NT 4 oder eines Active Directory zu "emulieren".

Eine schwierige Aufgabe, wenn wir sie aus den Repository-Paketen implementieren und konfigurieren. Diejenigen, die die umfangreiche Dokumentation von Samba studiert und angewendet haben, wissen sehr gut, was wir meinen. Samba 4 schlägt sogar die Verwaltung Ihres Active Directory mithilfe der klassischen Administrationskonsole vor, die wir in einem Microsoft Active Directory finden, sei es 2003 oder einem anderen fortgeschrittenen.

Literatur-Empfehlungen.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorhandbuch
Ubuntu-Serverhandbuch 12.04
Serverkonfiguration mit GNU / Linux.

Ausgezeichnetes Handbuch, das uns Joel Barrios Dueñas, El Maestro, gibt und das Debian-Spielern sehr gut dient, obwohl es sich an CentOS und Red Hat orientiert.

Welche Dienste und Software planen wir zu installieren und zu konfigurieren?

• Unabhängiges NTP, DNS und DHCP, dh die letzten beiden sind nicht in das Verzeichnis integriert
• Verzeichnisdienst oder «Verzeichnisdienst»Basierend auf OpenLDAP
• E-Mail, Gruppenarbeitssuite "Citadel", FTP und SFTP,
• Business Cloud «OwnCloud«
• Unabhängiger Dateiserver basierend auf Samba.

In allen Fällen wird der Prozess der Authentifizierung der Anmeldeinformationen der Benutzer direkt oder über das Verzeichnis ausgeführt libnss-ldap y PAM abhängig von den Eigenschaften der jeweiligen Software.

Und ohne weiteres kommen wir zur Sache.

LDAP-Account-Manager

Bevor wir fortfahren, müssen wir lesen:

• Verzeichnisdienst mit LDAP. Einführung
• Verzeichnisdienst mit LDAP [2]: NTP und dnsmasq
• Verzeichnisdienst mit LDAP [3]: Isc-DHCP-Server und Bind9
• Verzeichnisdienst mit LDAP [4]: ​​OpenLDAP (I)
• Verzeichnisdienst mit LDAP [5]: OpenLDAP (II)
• Verzeichnisdienst mit LDAP [6]: Zertifikate in Debian 7 "Wheezy"

Diejenigen, die der Reihe früherer Artikel gefolgt sind, werden bemerkt haben, dass wir BEREITS ein Verzeichnis verwalten müssen. Wir können dies auf viele Arten erreichen, sei es durch die im Paket zusammengefassten Konsolendienstprogramme LDAP-Skripte, die Webschnittstellen PHPLDAPAdmin, LDAP-Account-Managerusw., die sich im Repository befinden.

Es besteht auch die Möglichkeit, dies durch die zu tun Apache Directory Studio, die wir aus dem Internet herunterladen müssen. Es wiegt etwa 142 Megabyte.

Zur Verwaltung unseres Verzeichnisses empfehlen wir dringend die Verwendung von LDAP-Account-Manager. Und das erste, was wir dazu sagen werden, ist, dass wir nach der Installation darauf zugreifen können Dokumentation welches sich im Ordner befindet / usr / share / doc / ldap-account-manager / docs.

durch LDAP-Account-Managervon nun an LAMkönnen wir Benutzer- und Gruppenkonten verwalten, die in unserem Verzeichnis gespeichert sind. Das LAM läuft auf jedem Webseiten-Server, der PHP5 unterstützt, und wir können über einen unverschlüsselten Kanal oder über eine Verbindung zu ihm herstellen StartTLSDies ist die Form, die wir in unserem Beispiel verwenden werden.

Erstinstallation und Konfiguration:

: ~ # aptitude ldap-account-manager installieren

Nach der Installation des Apache2 -Apache2-mpm-prefork-, aus PHP5 und anderen Abhängigkeiten und aus dem Paket selbst LDAP-Konto-ManagerAls erstes müssen wir einen symbolischen Link vom LAM-Dokumentationsordner zum Stammordner der Dokumente auf unserem Webserver erstellen. Beispiel:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Auf diese Weise garantieren wir den Zugriff auf das LAM-Handbuch über einen Webbrowser, wenn wir auf die Adresse verweisen http://mildap.amigos.cu/lam-docs.

Als nächstes beginnen wir mit der Konfiguration des LAM selbst. In einem Browser zeigen wir auf http://mildap.amigos.cu/lam.

• Wir klicken auf den Link "LAM-Konfiguration".
• Klick auf den Link "Serverprofile bearbeiten".
• Wir geben das Passwort ein 'Sie' ohne die Anführungszeichen.

Auf den LAM-Konfigurationsseiten können wir viele Parameter entsprechend unseren Vorlieben und Anforderungen ändern. Da ich immer empfohlen habe, vom Einfachen zum Komplexen zu wechseln und nicht umgekehrt, werden wir nur das berühren, was für die Verwendung des leistungsstarken Tools LAM unbedingt erforderlich ist. Wenn wir, nachdem wir Meister in seiner Verwendung geworden sind, Funktionen ändern oder hinzufügen möchten, sind wir herzlich willkommen.

• TLS aktivieren: ja -Empfohlen-.
• Baumsuffix: dc = Freunde, dc = cu
• Standardsprache: Spanisch (Spanien)
• Liste der gültigen Benutzer *: cn = admin, dc = freunde, dc = cu
• Neues Passwort: anderes Passwort als lam
  
• Kennwort erneut eingeben: anderes Passwort als lam
  

Hinweis: Das ' * 'bedeutet, dass es sich um einen erforderlichen Eintrag handelt.

Unten links befinden sich die Schaltflächen ^ Speichern y ^ Abbrechen. Wenn wir die Änderungen jetzt speichern, kehren wir zur Startseite zurück und wir können sehen, dass sich die Sprache bereits geändert hat und der Name des Benutzers jetzt lautet Administrator. Vorher war Geschäftsführer. Gehen wir jedoch zurück, um das -now auf Spanisch- zu bearbeiten. "Rahmen. des LAM ». Nachdem wir wieder auf der Konfigurationsseite sind, werden wir Folgendes tun:

• Wir wählen die Registerkarte 'Arten von Konten'.
• In der Sektion 'Aktive Kontotypen' -> 'Benutzer' -> 'LDAP-Suffix', wir schrieben: ou = Menschen, dc = Freunde, dc = cu.
• In der Sektion 'Aktive Kontotypen' -> 'Gruppen' -> 'LDAP-Suffix', wir schrieben: ou = Gruppen, dc = Freunde, dc = cu.
• Verwenden Sie die Schaltflächen mit dem Titel '^ Diesen Kontotyp entfernen', wir eliminieren die entsprechenden "Teams" y "Samba-Domains", die wir nicht verwenden werden.
• Wir wählen die Registerkarte "Module".
• En 'Benutzer', auf der Liste 'Ausgewählte Module'bewegen wir das Modul 'Samba 3 (sambaSamAccount)' zur Liste von 'Verfügbare Module'.
• En 'Gruppen', auf der Liste 'Ausgewählte Module'bewegen wir das Modul 'Samba 3 (sambaGroupMapping)' zur Liste von 'Verfügbare Module'.

Bis wir uns mit der LAM-Konfiguration vertraut gemacht haben, werden wir sie vorerst belassen.

Wir speichern die Änderungen und kehren zur Startseite zurück, auf der wir das Passwort des Benutzers eingeben müssen Administrator (cn = admin, dc = freunde, dc = cu), während der Installation der deklariert schlagen. Wenn Sie einen Fehler zurückgeben, überprüfen Sie, ob die /etc/ldap/ldap.conf Es ist auf dem Server selbst korrekt konfiguriert. Möglicherweise haben Sie den falschen Pfad zum TLS-Zertifikat oder einen anderen Fehler. Denken Sie daran, es sollte so aussehen:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # TLS-Zertifikate (für GnuTLS erforderlich) TLS_CACERT /etc/ssl/certs/cacert.pem

Sobald wir uns im LAM befinden, müssen wir einige Zeit damit verbringen, es zu studieren, bevor wir eine Konfiguration ändern. Die Benutzeroberfläche ist sehr intuitiv und einfach zu bedienen. Verwenden Sie es und überprüfen Sie.

Beobachtung: In dem Dokument http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarioskönnen wir am Ende lesen:

Einzelnes LDAP-Verzeichnis mit vielen Benutzern (> 10 000)
LAM wurde getestet, um mit 10 Benutzern zu arbeiten. Wenn Sie viel mehr Benutzer haben, haben Sie grundsätzlich zwei Möglichkeiten.

• Teilen Sie Ihren LDAP-Baum in Organisationseinheiten auf: Dies ist normalerweise die Option mit der besten Leistung. Ordnen Sie Ihre Konten mehreren Organisationseinheiten zu und richten Sie LAM wie im obigen erweiterten Szenario ein.
• Speicherlimit erhöhen: Erhöhen Sie den Parameter memory_limit in Ihrer php.ini. Dadurch kann LAM weitere Einträge lesen. Dies verlangsamt jedoch die Reaktionszeiten von LAM.

Lassen Sie uns bei der Verwaltung unseres Verzeichnisses kreativ und ordentlich sein.

Kennwortsicherheitsrichtlinien und andere Aspekte über LAM

• Wir klicken auf den Link «LAM-Konfiguration».
• Klick auf den Link "Allgemeine Einstellungen bearbeiten".
• Wir geben das Passwort ein 'Sie' ohne die Anführungszeichen.

Auf dieser Seite finden Sie die Kennwortrichtlinien, Sicherheitseinstellungen, zulässigen Hosts und andere.

Hinweis: Die LAM-Konfiguration wird in gespeichert /usr/share/ldap-account-manager/config/lam.conf.

Wir ermöglichen https, eine sichere Verbindung zum LAM herzustellen:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 Neustart

Wenn wir https auf die vorherige Weise aktivieren, arbeiten wir mit den Zertifikaten, die Apache standardmäßig generiert, und spiegeln sie in der Definition seines virtuellen Hosts wider Standard-ssl. Wenn wir andere von uns selbst erstellte Zertifikate verwenden möchten, wenden Sie sich bitte an uns /usr/share/doc/apache2.2-common/README.Debian.gz. Die betreffenden Zertifikate werden aufgerufen "Schlangenöl" o Schlangenöl, und sie sind zu finden in:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Zeigen wir mit dem Browser auf https://mildap.amigos.cuund wir akzeptieren das Zertifikat. Dann zeigen wir auf https://mildap.amigos.cu/lam und wir können bereits über https das LAM arbeiten.

Wichtig: Wenn während des Serverstartvorgangs die Exim Es dauert lange, bis der leichte Ersatz installiert ist ssmtp.

: ~ # aptitude install ssmtp
 Die folgenden NEUEN Pakete werden installiert: ssmtp {b} 0 aktualisierte Pakete, 1 neu installierte, 0 zu entfernende und 0 nicht aktualisierte. Ich muss 52,7 kB Dateien herunterladen. Nach dem Entpacken wird 8192 B verwendet. Die Abhängigkeiten der folgenden Pakete sind nicht erfüllt: exim4-config: Konflikte: ssmtp, aber 2.64-4 wird installiert. exim4-daemon-light: Konflikte: Mail-Transport-Agent, der ein virtuelles Paket ist. ssmtp: Konflikte: Mail-Transport-Agent, der ein virtuelles Paket ist. Die folgenden Aktionen lösen diese Abhängigkeiten auf. Entfernen Sie die folgenden Pakete: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Akzeptieren Sie diese Lösung? [J / n / q /?] Und

Dann führen wir aus:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # neustart

Wenn Sie mit virtuellen Servern arbeiten, ist dies eine gute Zeit, um eine gute Sicherung des gesamten Hauptservers durchzuführen… für alle Fälle. 🙂

Reproduzieren. Speichern und wiederherstellen Sie die Verzeichnisdatenbank.

In dem ausgezeichneten Leitfaden, den wir jedem zum Lesen und Lernen empfehlen, «Ubuntu Server-Handbuch»Ab Ubuntu Server 12.04« Präzise »gibt es eine ausführliche Erläuterung von Teilen des Codes, den wir über OpenLDAP und die Generierung von TLS-Zertifikaten geschrieben haben. Darüber hinaus wird die Verzeichnisreplikation ausführlich erläutert und erläutert, wie das Speichern und Wiederherstellen durchgeführt wird der Datenbanken.

Hier finden Sie jedoch ein Verfahren zum Wiederherstellen der gesamten Datenbank im Katastrophenfall.

Sehr wichtig:

Wir müssen die exportierte Datei IMMER über den Ldap Account Manager zur Hand haben als Backup unserer Daten. Natürlich muss die Datei cn = amigos.ldif unserer eigenen Installation entsprechen. Wir können es auch über den Befehl slapcat erhalten, wie wir später sehen werden.

1.- Wir entfernen nur die Slapd-Installation.

: ~ # aptitude purge slpad

2.- Wir reinigen das Paketsystem

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Wir löschen die Verzeichnisdatenbank vollständig

: ~ # rm -r / var / lib / ldap / *

4.- Wir installieren den slapd-Daemon und seine Abhängigkeiten neu

: ~ # aptitude install slapd

5.- Wir prüfen

: ~ # ldapsearch -Q -LLL -Y EXTERN -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = Freunde, dc = cu dn

6.- Fügen Sie dieselbe Indexdatei olcDbIndex.ldif hinzu

: ~ # ldapmodify -Y EXTERN -H ldapi: /// -f ./olcDbIndex.ldif

7.- Wir überprüfen die hinzugefügten Indizes

: ~ # ldapsearch -Q -LLL -Y EXTERN -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Wir fügen dieselbe Zugriffssteuerungsregel hinzu

: ~ # ldapmodify -Y EXTERN -H ldapi: /// -f ./olcAccess.ldif

9.- Wir überprüfen die Zugangskontrollregeln

: ~ # ldapsearch -Q -LLL -Y EXTERN -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Wir fügen die TLS-Zertifikate hinzu. Keine Notwendigkeit, Berechtigungen neu zu erstellen oder zu reparieren. Sie sind bereits im Dateisystem vorhanden, werden jedoch nicht in der Datenbank deklariert.

: ~ # ldapmodify -Y EXTERN -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Wir fügen den Inhalt gemäß unserer eigenen Sicherung hinzu

: ~ # ldapadd -x -D cn = admin, dc = freunde, dc = cu -W -f dc = friends.ldif

Starten Sie das slapd NICHT neu, da es die Datenbank indiziert und beschädigt werden kann !!! Bearbeiten Sie Ihre Sicherungsdatei IMMER, BEVOR Sie sie hinzufügen, um die Eingabe vorhandener Einträge zu vermeiden.

Wir zeigen in einem Browser auf https://mildap.amigos.cu/lam und wir überprüfen.

Der Befehl slapcat

Der Befehl Slapcat Es wird hauptsächlich verwendet, um den Inhalt der Datenbank, die das verwaltet, im LDIF-Format zu generieren schlagen. Der Befehl öffnet die Datenbank, die durch ihre Nummer oder das Suffix bestimmt wird, und schreibt die entsprechende Datei im LDIF-Format auf den Bildschirm. Die als untergeordnet konfigurierten Datenbanken werden ebenfalls angezeigt, sofern wir die Option nicht angeben -g.

Die wichtigste Einschränkung bei der Verwendung dieses Befehls besteht darin, dass er nicht ausgeführt werden sollte, wenn der schlagenZumindest im Schreibmodus, um die Datenkonsistenz sicherzustellen.

Wenn Sie beispielsweise eine Sicherungskopie der Verzeichnisdatenbank in eine Datei mit dem Namen erstellen möchten backup-slapd.ldifführen wir aus:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM-Bilder