Υπηρεσία καταλόγου με LDAP [4]: ​​OpenLDAP (I)

Γεια σας φίλοι!. Ας ξεκινήσουμε τις δραστηριότητές μας και, όπως πάντα προτείνουμε, διαβάστε τα τρία προηγούμενα άρθρα της σειράς:

• Υπηρεσία καταλόγου με LDAP. Εισαγωγή.
• Υπηρεσία καταλόγου με LDAP [2]: NTP και dnsmasq.
• Υπηρεσία καταλόγου με LDAP [3]: Isc-DHCP-Server και Bind9.

DNS, DHCP και NTP είναι οι ελάχιστες βασικές υπηρεσίες για τον απλό κατάλογό μας OpenLDAP εγγενής, λειτουργεί σωστά στο Debian 6.0 "Squeeze"ή στο Ubuntu 12.04 LTS «Precise Pangolin».

Παράδειγμα δικτύου:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Στο πρώτο μέρος θα δούμε:

• Εγκατάσταση OpenLDAP (χαστούκι 2.4.23-7.3)
• Έλεγχοι μετά την εγκατάσταση
• Δείκτες που πρέπει να ληφθούν υπόψη
• Κανόνες ελέγχου πρόσβασης δεδομένων
• Δημιουργία πιστοποιητικών TLS στο Squeeze

ενώ στο δεύτερο μέρος θα συνεχίσουμε με:

• Έλεγχος ταυτότητας τοπικού χρήστη
• Συμπληρώστε τη βάση δεδομένων
• Διαχειριστείτε τη βάση δεδομένων χρησιμοποιώντας βοηθητικά προγράμματα κονσόλας
• Περίληψη μέχρι τώρα ...

Εγκατάσταση OpenLDAP (χαστούκι 2.4.23-7.3)

Ο διακομιστής OpenLDAP εγκαθίσταται χρησιμοποιώντας το πακέτο χαστούκι. Πρέπει επίσης να εγκαταστήσουμε το πακέτο ldap-utils, που μας παρέχει ορισμένα εργαλεία από την πλευρά του πελάτη, καθώς και τα βοηθητικά προγράμματα του OpenLDAP.

: ~ # aptitude install slapd ldap-utils

Κατά τη διαδικασία εγκατάστασης, το debconf Θα μας ζητήσει τον κωδικό πρόσβασης του διαχειριστή ή του χρήστη «διαχειριστής«. Επίσης εγκαθίστανται ορισμένες εξαρτήσεις. ο χρήστης έχει δημιουργηθεί άνοιγμα; δημιουργείται η αρχική διαμόρφωση διακομιστή καθώς και ο κατάλογος LDAP.

Σε παλαιότερες εκδόσεις του OpenLDAP, η ρύθμιση παραμέτρων του δαίμονα χαστούκι έγινε εξ ολοκλήρου μέσω του αρχείου /etc/ldap/slapd.conf. Στην έκδοση που χρησιμοποιούμε και αργότερα, η διαμόρφωση γίνεται στο ίδιο χαστούκι, και για το σκοπό αυτό α DIT «Δέντρο πληροφοριών καταλόγου»Ή Δέντρο πληροφοριών καταλόγου, ξεχωριστά.

Η μέθοδος διαμόρφωσης γνωστή ως RTC «Διαμόρφωση σε πραγματικό χρόνο»Ρύθμιση σε πραγματικό χρόνο ή ως μέθοδος cn = διαμόρφωση, μας επιτρέπει να ρυθμίσουμε δυναμικά το χαστούκι χωρίς να απαιτείται επανεκκίνηση της υπηρεσίας.

Η βάση δεδομένων διαμόρφωσης αποτελείται από μια συλλογή αρχείων κειμένου σε μορφή LDIF «Μορφή ανταλλαγής δεδομένων LDAP»Μορφή LDAP για ανταλλαγή δεδομένων, που βρίσκεται στο φάκελο /etc/ldap/slapd.d.

Για να πάρετε μια ιδέα για την οργάνωση των φακέλων χαστούκι.δ, ας τρέξουμε:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: συνολικά 8 drwxr-x --- 3 openldap openldap 4096 16 Φεβ 11:08 cn = config -rw ------- 1 openldap openldap 407 16 Φεβρουαρίου 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 16 Φεβρουαρίου 11:08 cn = ενότητα {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 Φεβ 11:08 cn = schema -rw ------- 1 openldap openldap 325 Feb 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 Φεβ 11 08:0 olcBackend = {1} hdb.ldif -rw ------- 472 openldap openldap 16 11 Φεβ 08:0 olcDatabase = {1} config.ldif -rw ------- 586 openldap openldap 16 11 Φεβ 08:1 olcDatabase = {- 1} frontend.ldif -rw ------- 1012 openldap openldap 16 Φεβ 11 08:1 olcDatabase = {40} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = σχήμα: σύνολο 1 -rw ------- 15474 openldap openldap 16 11 Φεβρουαρίου 08:0 cn = {1} core.ldif -rw ------- 11308 openldap openldap 16 11 Φεβ 08:1 cn = {1} cosine.ldif -rw ------- 6438 openldap openldap 16 11 Φεβ 08:2 cn = {1} nis.ldif -rw ------- 2802 openldap openldap 16 11 Φεβρουαρίου 08:3 cn = {XNUMX} inetorgperson.ldif

Αν κοιτάξουμε λίγο την προηγούμενη έξοδο, βλέπουμε ότι το Backend χρησιμοποιείται στο Squeeze είναι ο τύπος της βάσης δεδομένων hdb, η οποία είναι μια παραλλαγή του BdB "Berkeley Database", και ότι είναι πλήρως ιεραρχική και υποστηρίζει τη μετονομασία υπο-δένδρων. Για να μάθετε περισσότερα για το πιθανό Υπόβαθρα που υποστηρίζει OpenLDAP, επισκεφθείτε http://es.wikipedia.org/wiki/OpenLDAP.

Βλέπουμε επίσης ότι χρησιμοποιούνται τρεις ξεχωριστές βάσεις δεδομένων, δηλαδή, μία αφιερωμένη στη διαμόρφωση, άλλη σε frontend, και το τελευταίο που είναι η βάση δεδομένων hdb καθαυτή.

Επιπλέον, χαστούκι εγκαθίσταται από προεπιλογή με τα σχήματα πυρήνας, συνημίτονο, Νις e άτομο του διαδικτύου.

Έλεγχοι μετά την εγκατάσταση

Σε ένα τερματικό εκτελούμε ήρεμα και διαβάζουμε τις εξόδους. Θα ελέγξουμε, ειδικά με τη δεύτερη εντολή, τη διαμόρφωση που συνάγεται από την καταχώριση του φακέλου χαστούκι.δ.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | περισσότερα: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} συνημίτονο , cn = σχήμα, cn = config dn: cn = {2} nis, cn = σχήμα, cn = config dn: cn = {3} inetorgperson, cn = σχήμα, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Επεξήγηση κάθε εξόδου:

• cn = διαμόρφωση: Καθολικές παράμετροι.
• cn = module {0}, cn = config: Δυναμικά φορτωμένη μονάδα.
• cn = σχήμα, cn = config: Περιέχει το σκληρό κωδικοποιημένο στο επίπεδο των σχηματικών συστημάτων.
• cn = {0} core, cn = σχήμα, cn = config: Η σκληρό κωδικοποιημένο του σχηματικού πυρήνα.
• cn = {1} συνημίτονο, cn = σχήμα, cn = config: Το σχήμα Συνημίτονο.
• cn = {2} nis, cn = σχήμα, cn = config: Το σχήμα Νις.
• cn = {3} inetorgperson, cn = σχήμα, cn = config: Το σχήμα άτομο του διαδικτύου.
• olcBackend = {0} hdb, cn = config: Backend τύπος αποθήκευσης δεδομένων hdb.
• olcDatabase = {- 1} frontend, cn = config: frontend της βάσης δεδομένων και των προεπιλεγμένων παραμέτρων για τις άλλες βάσεις δεδομένων.
• olcDatabase = {0} config, cn = config: Διαμόρφωση βάσης δεδομένων του χαστούκι (cn = διαμόρφωση).
• olcDatabase = {1} hdb, cn = config: Η παρουσία της βάσης δεδομένων μας (dc = φίλοι, dc = cu)

: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = παράδειγμα, dc = com dn
dn: dc = φίλοι, dc = cu dn: cn = διαχειριστής, dc = φίλοι, dc = cu

• dc = φίλοι, dc = cu: Δέντρο πληροφοριών καταλόγου βάσης DIT
• cn = διαχειριστής, dc = φίλοι, dc = cu: Διαχειριστής (rootDN) του DIT που δηλώθηκε κατά την εγκατάσταση.

σημείωση: Το επίθημα βάσης dc = φίλοι, dc = cu, το πήρα debconf κατά την εγκατάσταση από FQDN διακομιστής mildap.amigos.cu.

Δείκτες που πρέπει να ληφθούν υπόψη

Η ευρετηρίαση των καταχωρήσεων πραγματοποιείται για τη βελτίωση της απόδοσης των αναζητήσεων στο DIT, με κριτήρια φίλτρου. Τα ευρετήρια που θα λάβουμε υπόψη είναι τα ελάχιστα συνιστώμενα σύμφωνα με τα χαρακτηριστικά που δηλώνονται στα προεπιλεγμένα σχήματα.

Για δυναμική τροποποίηση των ευρετηρίων στη βάση δεδομένων, δημιουργούμε ένα αρχείο κειμένου σε μορφή LDIFκαι αργότερα το προσθέτουμε στη βάση δεδομένων. Δημιουργούμε το αρχείο olcDbIndex.ldif και το αφήνουμε με το ακόλουθο περιεχόμενο:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUid eq, ebd eq, ebDd : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eqDdd: , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - προσθήκη: olcDbIndex olcDbddex

Προσθέτουμε τα ευρετήρια στη βάση δεδομένων και ελέγχουμε την τροποποίηση:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, subq olcDbIndex: sn pres, sub, eq olcDbIndex: δεδομένο όνομα, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Κανόνες ελέγχου πρόσβασης δεδομένων

Οι κανόνες που έχουν καθοριστεί έτσι ώστε οι χρήστες να μπορούν να διαβάζουν, να τροποποιούν, να προσθέτουν και να διαγράφουν δεδομένα στη βάση δεδομένων του καταλόγου ονομάζονται Access Control, ενώ θα ονομάσουμε Access Control Lists ήΛίστα ελέγχου πρόσβασης ACL»Στις πολιτικές που διαμορφώνουν τους κανόνες.

Για να ξέρετε ποια ACL δηλώθηκαν από προεπιλογή κατά τη διαδικασία εγκατάστασης του χαστούκι, εκτελούμε:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Κάθε μία από τις προηγούμενες εντολές θα μας δείξει το ACL ότι μέχρι τώρα έχουμε δηλώσει στον κατάλογό μας. Συγκεκριμένα, η τελευταία εντολή τους δείχνει όλα, ενώ οι πρώτες τρεις μας δίνουν τους κανόνες ελέγχου πρόσβασης και για τους τρεις. DIT εμπλέκονται στο δικό μας χαστούκι.

Πάνω στο θέμα του ACL και για να μην κάνετε πολύ μεγαλύτερο άρθρο, σας συνιστούμε να διαβάσετε τις μη αυτόματες σελίδες άντρας slapd.access.

Για να εγγυηθεί την πρόσβαση των χρηστών και των διαχειριστών για ενημέρωση των καταχωρίσεών τους loginShell y Γκέκο, θα προσθέσουμε το ακόλουθο ACL:

## Δημιουργούμε το αρχείο olcAccess.ldif και το αφήνουμε με το ακόλουθο περιεχόμενο: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" write by self write by * ανάγνωση

## Προσθέτουμε το ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Ελέγχουμε τις αλλαγές
ldapsearch -Q -LLL -Y ΕΞΩΤΕΡΙΚΗ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Δημιουργία πιστοποιητικών TLS στο Squeeze

Για να έχουμε έναν ασφαλή έλεγχο ταυτότητας με το διακομιστή OpenLDAP, πρέπει να το κάνουμε μέσω μιας κρυπτογραφημένης περιόδου λειτουργίας την οποία μπορούμε να επιτύχουμε χρησιμοποιώντας το TLS «Ασφάλεια επιπέδου μεταφοράς» o Ασφαλές στρώμα μεταφοράς.

Ο διακομιστής OpenLDAP και οι πελάτες του μπορούν να χρησιμοποιήσουν το πλαίσιο TLS για την παροχή προστασίας σχετικά με την ακεραιότητα και την εμπιστευτικότητα, καθώς και για την υποστήριξη ενός ασφαλούς ελέγχου ταυτότητας LDAP μέσω του μηχανισμού SASL «Απλό επίπεδο ελέγχου ταυτότητας και ασφάλειας« Εξωτερικός.

Οι σύγχρονοι διακομιστές OpenLDAP ευνοούν τη χρήση */ ΈναρξηTLS /* o Ξεκινήστε ένα επίπεδο ασφαλούς μεταφοράς στο πρωτόκολλο /LDAPS:///, το οποίο είναι ξεπερασμένο. Οποιεσδήποτε ερωτήσεις, επισκεφτείτε το *Start TLS v. ldaps://* en http://www.openldap.org/faq/data/cache/605.html

Απλώς αφήστε το αρχείο ως εγκατεστημένο από προεπιλογή / etc / default / slapd με τη δήλωση SLAPD_SERVICES = »ldap: /// ldapi: ///», με σκοπό τη χρήση ενός κρυπτογραφημένου καναλιού μεταξύ του πελάτη και του διακομιστή, και των ίδιων των βοηθητικών εφαρμογών για τη διαχείριση του OpenLDAP που είναι εγκατεστημένα τοπικά.

Η μέθοδος που περιγράφεται εδώ, με βάση τα πακέτα gnutls-bin y ssl-πιστοποιη ισχύει για το Debian 6 "Squeeze" και επίσης για τον Ubuntu Server 12.04. Για το Debian 7 "Wheezy" μια άλλη μέθοδος βασίζεται σε OpenSSL.

Η δημιουργία των πιστοποιητικών στο Squeeze πραγματοποιείται ως εξής:

1.- Εγκαθιστούμε τα απαραίτητα πακέτα
: ~ # aptitude install gnutls-bin ssl-cert

2.- Δημιουργούμε το πρωτεύον κλειδί για την αρχή έκδοσης πιστοποιητικών
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Δημιουργούμε ένα πρότυπο για τον ορισμό της ΑΠ (Αρχή έκδοσης πιστοποιητικών)
: ~ # nano /etc/ssl/ca.info cn = Κουβανοί φίλοι ca cert_signing_key

4.- Δημιουργούμε το πιστοποιητικό CA Self Signed ή Self-Signed για πελάτες
: ~ # certtool --generate-self-sign \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Δημιουργούμε ένα ιδιωτικό κλειδί για τον διακομιστή
: ~ # certtool --generate-privkey \ - bit 1024 \ --outfile /etc/ssl/private/mildap-key.pem

σημείωση: Αντικατάσταση "λιπαρό"στο όνομα του παραπάνω αρχείου από αυτό του δικού σας διακομιστή. Η ονομασία του Πιστοποιητικού και του Κλειδιού, τόσο για τον διακομιστή όσο και για την υπηρεσία που το χρησιμοποιεί, μας βοηθά να διατηρούμε τα πράγματα καθαρά.

6.- Δημιουργούμε το αρχείο /etc/ssl/mildap.info με το ακόλουθο περιεχόμενο:
: ~ # nano /etc/ssl/mildap.info οργάνωση = Κουβανοί φίλοι cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiry_days = 3650

σημείωση: Στο παραπάνω περιεχόμενο δηλώνουμε ότι το πιστοποιητικό ισχύει για περίοδο 10 ετών. Η παράμετρος πρέπει να προσαρμοστεί ανάλογα με τις ανάγκες μας.

7.- Δημιουργούμε το πιστοποιητικό διακομιστή
: ~ # certtool --generate-Certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-Certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Μέχρι στιγμής έχουμε δημιουργήσει τα απαραίτητα αρχεία, πρέπει μόνο να προσθέσουμε στον Κατάλογο τη θέση του Πιστοποιητικού Αυτογράφου cacert.pem; αυτό του πιστοποιητικού διακομιστή mildap-cert.pem; και το ιδιωτικό κλειδί του διακομιστή mildap-key.pem. Πρέπει επίσης να προσαρμόσουμε τα δικαιώματα και τον κάτοχο των δημιουργημένων αρχείων.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - προσθήκη: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem -key.pem

8.- Προσθήκη: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Προσαρμόζουμε τον κάτοχο και τα δικαιώματα
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod ή /etc/ssl/private/mildap-key.pem

Το πιστοποιητικό cacert.pem Είναι αυτό που πρέπει να αντιγράψουμε σε κάθε πελάτη. Για να χρησιμοποιηθεί αυτό το πιστοποιητικό στον ίδιο τον διακομιστή, πρέπει να το δηλώσουμε στο αρχείο /etc/ldap/ldap.conf. Για να γίνει αυτό, τροποποιούμε το αρχείο και το αφήνουμε με το ακόλουθο περιεχόμενο:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = φίλοι, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Τέλος, αλλά και ως επιταγή, επανεκκίνηση της υπηρεσίας χαστούκι και ελέγχουμε την έξοδο του syslog από το διακομιστή, για να μάθετε εάν η υπηρεσία επανεκκινήθηκε σωστά χρησιμοποιώντας το πιστοποιητικό που δηλώθηκε πρόσφατα.

: ~ # επανεκκίνηση υπηρεσίας slapd
: ~ # tail / var / log / syslog

Εάν η υπηρεσία δεν επανεκκινηθεί σωστά ή παρατηρούμε σοβαρό σφάλμα στο syslogας μην αποθαρρυνόμαστε. Μπορούμε να προσπαθήσουμε να επιδιορθώσουμε τη ζημιά ή να ξεκινήσουμε ξανά. Εάν αποφασίσουμε να ξεκινήσουμε από το μηδέν την εγκατάσταση του χαστούκι, δεν είναι απαραίτητο να διαμορφώσουμε τον διακομιστή μας.

Για να διαγράψουμε όλα όσα έχουμε κάνει μέχρι τώρα για έναν ή τον άλλο λόγο, πρέπει να απεγκαταστήσουμε το πακέτο χαστούκικαι, στη συνέχεια, διαγράψτε το φάκελο / var / lib / ldap. Πρέπει επίσης να αφήσουμε το αρχείο στην αρχική του έκδοση /etc/ldap/ldap.conf.

Είναι σπάνιο ότι όλα λειτουργούν σωστά στην πρώτη προσπάθεια. 🙂

Θυμηθείτε ότι στην επόμενη δόση θα δούμε:

• Έλεγχος ταυτότητας τοπικού χρήστη
• Συμπληρώστε τη βάση δεδομένων
• Διαχειριστείτε τη βάση δεδομένων χρησιμοποιώντας βοηθητικά προγράμματα κονσόλας
• Περίληψη μέχρι τώρα ...

Τα λέμε σύντομα φίλοι !.