Kataloogiteenus koos OpenLDAP-iga [7 ja lõplik?]: Ldapi kontohaldur

Tere, sõbrad!. Me ei soovinud seda artiklit avaldada, kuna see sisaldub PDF-vormingus kokkuvõttes, mida paljud lugejad on palunud. Jah, kirjutame kokkuvõtte huvitavate täiendustega. Ja selle kokkuvõtte eelvaadena transkribeerime Sissejuhatus:

Paljud ettevõtted, kes vastutavad ettevõttevõrkude teenuste eest, võtavad Microsofti toodetel põhineva võrgu eest vastutamise korral Linuxi ülemineku korral arvesse domeenikontrollerite üleminekut teiste teenuste hulka.

Kui nad ei vali kolmanda osapoole toodet, näiteks ClearOS või Zentyal, või kui muudel põhjustel soovivad nad iseseisvaks saada, võtavad nad hoolika ülesande saada kas oma domeenikontrolleriks või Samba 4-st - või muuks - oma Active Directory.

Siis algavad probleemid ja veel mõned pettumused. Töövead. Nad ei leia probleemide asukohta nende lahendamiseks. Korduvad installikatsetused. Teenuste osaline toimimine. Ja pikk nimekiri probleemidest.

Kui vaatame tähelepanelikult, ei kasuta suurem osa Internetist Microsofti tüüpi võrke. Kuid oma ärikeskkonnas teeme seda palju.

Selle kokkuvõttega püüame näidata, et suudame ärivõrgu luua ilma Microsofti filosoofiata. Teenused, mis põhinevad kasutajate autentimisel OpenLDAP kataloogi abil, näiteks: E-post, FTP, SFTP, Owncloudil põhinev Business Cloud jne.

Püüame pakkuda teistsugust lähenemisviisi, mis põhineb 100% vabal tarkvaral ja mis ei kasuta ega jäljenda - mis antud juhul on sama - Microsofti võrkude filosoofia kas Microsofti tarkvara või peamiste OpenLDAP ja Samba puhul.

Kõik lahendused, mis kasutavad tasuta tarkvara Openldap + Samba, läbivad tingimata põhiteadmised, mis on LDAP-server, kuidas see installitakse, kuidas seda konfigureeritakse ja hallatakse jne. Hiljem integreerivad nad Samba ja võib-olla ka Kerberose ning lõpuks pakuvad nad meile "jäljendada" domeenikontrollerit Microsofti NT 4 või Active Directory stiilis.

Tõsine ülesanne, kui selle juurutame ja seadistame hoidlapakettidest. Need, kes on uurinud ja rakendanud ulatuslikku Samba dokumentatsiooni, teavad väga hästi, mida me mõtleme. Samba 4 soovitab isegi teie Active Directory haldamist, kasutades klassikalist halduskonsooli, mille leiame Microsofti Active Directory'ist, olgu see siis 2003 või mõni muu arenenum.

Soovitatav lugemine.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 administraatori juhend
Ubuntu serveri juhend 12.04
Serveri seadistamine GNU / Linuxiga.

Suurepärane käsiraamat, mille El Maestro, Joel Barrios Dueñas meile annab ja mis teenib Debiani mängijaid väga hästi, kuigi see on suunatud CentOS-ile ja Red Hatile.

Milliseid teenuseid ja tarkvara plaanime installida ja konfigureerida?

• Sõltumatu NTP, DNS ja DHCP, st kaks viimast pole kataloogi integreeritud
• Kataloogiteenus või «Kataloogiteenus»Põhineb OpenLDAP-il
• E-post, "Citadel" grupitöö komplekt, FTP ja SFTP,
• ÄripilvOwnCloud«
• Sambal põhinev sõltumatu failiserver.

Igal juhul viiakse kasutajate mandaatide autentimine läbi kataloogi otse või selle kaudu libnss-ldap y PAM sõltuvalt kõnealuse tarkvara omadustest.

Ja pikemalt mõtlemata asume asja kallale.

Ldap kontohaldur

Enne jätkamist peame lugema:

• Directory Service koos LDAP-ga. Sissejuhatus
• Kataloogiteenus LDAP-ga [2]: NTP ja dnsmasq
• Kataloogiteenus LDAP-iga [3]: Isc-DHCP-Server ja Bind9
• Kataloogiteenus LDAP-ga [4]: ​​OpenLDAP (I)
• Kataloogiteenus LDAP-ga [5]: OpenLDAP (II)
• Kataloogiteenus LDAP-iga [6]: Debian 7 "Wheezy" sertifikaadid

Need, kes on jälginud eelmiste artiklite seeriat, on märganud, et meil on JUBA kataloog, mida hallata. Saame selle saavutada mitmel viisil, olgu see siis paketti grupeeritud konsooli utiliitide kaudu ldapscripts, veebiliidesed PhpLDAPadmin, Ldap kontohaldurjne., mis asuvad hoidlas.

Samuti on võimalus seda teha Apache kataloogistuudio, mille peame Internetist alla laadima. Selle kaal on umbes 142 megabaiti.

Meie kataloogi haldamiseks soovitame tungivalt kasutada Ldap kontohaldur. Ja esimene asi, mida me selle kohta ütleme, on see, et pärast selle installimist pääseme sellele juurde dokumentatsioon mis asub kaustas / usr / share / doc / ldap-account-manager / docs.

poolt Ldap kontohaldur, edaspidi LAM, saame hallata meie kataloogi salvestatud kasutaja- ja rühmakontosid. LAM töötab mis tahes veebisaidi serveris, mis toetab PHP5, ja saame sellega ühenduse luua krüptimata kanali kaudu või StartTLS, millist vormi me oma näites kasutame.

Esmane installimine ja seadistamine:

: ~ # aptitude install ldap-account-manager

Pärast installimist Apache2 -apache2-mpm-prefork-, PHP5-st ja muudest sõltuvustest ning paketist endast ldap-kontohaldur, esimese asjana peame looma sümboolse lingi LAM-i dokumentatsioonikaustast meie veebiserveri dokumentide juurkausta. Näide:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Sel viisil tagame juurdepääsu veebibrauseri kaudu LAM-i käsiraamatule, kui osutame aadressile http://mildap.amigos.cu/lam-docs.

Hiljem alustame LAM-i enda konfigureerimist. Brauseris osutame http://mildap.amigos.cu/lam.

• Klõpsame lingil "LAM-i konfiguratsioon".
• Klõpsake lingil "Redigeeri serveriprofiile".
• Sisestame parooli "The m" ilma jutumärkideta.

LAM-i konfiguratsioonilehtedel saame muuta paljusid parameetreid vastavalt meie eelistustele ja vajadustele. Kuna ma olen alati soovitanud minna lihtsast kompleksini ja mitte vastupidi, puudutame ainult seda, mis on tingimata vajalik võimsa tööriista kasutamiseks, milleks on LAM. Kui pärast selle kasutamist oleme meistrid, tahame funktsioone muuta või lisada, siis tere tulemast.

• TLS-i aktiveerimine: jah -Soovitatav-.
• Puu järelliide: dc = sõbrad, dc = cu
• Vaikekeel: español (Hispaania)
• Kehtivate kasutajate loend *: cn = admin, dc = sõbrad, dc = cu
• Uus salasõna: erinev parool kui lam
  
• Sisesta parool uuesti: erinev parool kui lam
  

Märkus: " * tähendab, et see on kohustuslik kanne.

Vasakul all on nupud ^ Salvesta y ^ Tühista. Kui salvestame muudatused kohe, naaseb see meie algsele lehele ja näeme, et keel on juba muutunud ja kasutaja nimi on nüüd admin. Enne oli Juht. Kuid läheme tagasi, et redigeerida nüüd-hispaania keeles- "Seadistamine. LAM-i ». Pärast konfiguratsioonilehele naasmist teeme järgmist:

• Valime vahelehe 'Kontotüübid'.
• Jaos 'Aktiivsed kontotüübid' -> 'Kasutajad' -> 'LDAP järelliide', kirjutasime: ou = inimesed, dc = sõbrad, dc = cu.
• Jaos 'Aktiivsed kontotüübid' -> 'Grupid' -> 'LDAP järelliide', kirjutasime: ou = rühmad, dc = sõbrad, dc = cu.
• Kasutades nuppe pealkirjaga '^ Eemalda seda tüüpi konto', kõrvaldame need, mis vastavad "Meeskonnad" y 'Samba domeenid', mida me ei kasuta.
• Valime vahelehe "Moodulid".
• En 'Kasutajad', loendis 'Valitud moodulid', liigutame moodulit 'Samba 3 (sambaSamAccount)' nimekirja 'Saadaval moodulid'.
• En "Grupid", loendis 'Valitud moodulid', liigutame moodulit 'Samba 3 (sambaGroupMapping)' nimekirja 'Saadaval moodulid'.

Praegu ja kuni me LAM-i konfiguratsiooniga tuttavaks ei saa, jätame selle sinnapaika.

Salvestame muudatused ja naaseme algsele lehele, kuhu peame sisestama kasutaja parooli admin (cn = admin, dc = sõbrad, dc = cu), deklareeritud seadme paigaldamise ajal laks. Kui tagastate vea, kontrollige, kas /etc/ldap/ldap.conf see on serveris endas õigesti konfigureeritud. Teil võib olla TLS-sertifikaadi vale tee või mõni muu tõrge. Pidage meeles, et see peaks välja nägema selline:

PÕHJUS dc = sõbrad, dc = cu URI ldap: //mildap.amigos.cu # TLS-sertifikaadid (vajalik GnuTLS-i jaoks) TLS_CACERT /etc/ssl/certs/cacert.pem

LAM-i sisenedes peame enne konfiguratsiooni muutmist veetma aega. Selle liides on väga intuitiivne ja hõlpsasti kasutatav. Kasutage seda ja kontrollige.

Märkus: Dokumendis http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, võime lugeda lõpus:

Ühe LDAP-kataloogi, kus on palju kasutajaid (> 10 000)
LAM-i testiti töötamiseks 10 000 kasutajaga. Kui teil on palju rohkem kasutajaid, on teil põhimõtteliselt kaks võimalust.

• Jagage oma LDAP-puu organisatsiooniüksustesse: see on tavaliselt kõige paremini toimiv variant. Pange oma kontod mitmesse organisatsiooniüksusesse ja seadistage LAM nagu ülaltoodud täpsema stsenaariumi korral.
• Suurendage mälupiiri: suurendage parameetrit memory_limit oma php.ini-s. See võimaldab LAM-il lugeda rohkem kirjeid. Kuid see aeglustab LAM-i reageerimisaega.

Olgem loovad ja korralikud oma kataloogi halduses.

Paroolide turvapoliitika ja muud aspektid LAM-i kaudu

• Klõpsame lingil «LAM-i konfiguratsioon».
• Klõpsake lingil "Üldiste seadete muutmine".
• Sisestame parooli "The m" ilma jutumärkideta.

Sellelt lehelt leiame paroolieeskirjad, turvaeelistused, lubatud hostid ja teised.

Märkus: LAM-i konfiguratsioon on salvestatud /usr/share/ldap-account-manager/config/lam.conf.

Lubame https-il turvaliselt LAM-iga ühenduse luua:

: ~ # a2ensite vaikimisi-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 taaskäivitage

Kui lubame https-i eelmisel viisil, töötame Apache vaikimisi genereeritavate sertifikaatidega ja kajastame neid oma virtuaalse hosti määratluses default-ssl. Kui soovime kasutada muid enda loodud sertifikaate, palun andke meile nõu /usr/share/doc/apache2.2-common/README.Debian.gz. Kõnealuseid sertifikaate nimetatakse "Maduõli" o maduõli ja neid leidub:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Suuname brauseri https://mildap.amigos.cuja aktsepteerime sertifikaati. Siis osutame https://mildap.amigos.cu/lam ja me saame juba töötada https LAM-i kaudu.

NB! kui serveri käivitamise ajal on Exim alustamine võtab kaua aega, paigaldage kerge asendaja ssmtp.

: ~ # aptitude install ssmtp
 Installitakse järgmised uued paketid: ssmtp {b} 0 värskendatud paketti, 1 uus installitud, 0 eemaldamiseks ja 0 pole värskendatud. Pean alla laadima 52,7 kB faile. Pärast lahtipakkimist kasutatakse 8192. B Järgmiste pakettide sõltuvus pole rahuldatud: exim4-config: Konfliktid: ssmtp, kuid installitakse 2.64-4. exim4-daemon-light: Konfliktid: mail-transport-agent, mis on virtuaalne pakett. ssmtp: Konfliktid: mail-transport-agent, mis on virtuaalne pakett. Järgmised toimingud lahendavad need sõltuvused Eemaldage järgmised paketid: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Kas nõustute selle lahendusega? [Jah / n / q /?] Ja

Siis täidame:

: ~ # sobivuse puhastamine ~ c: ~ # sobivus puhas: ~ # sobivuse automaatne puhastamine: ~ # taaskäivitamine

Kui töötate virtuaalserveritega, oleks see suurepärane aeg teha kogu põhiserverist hea varukoopia ... igaks juhuks. 🙂

Replikatsioon. Salvestage ja taastage kataloogi andmebaas.

Suurepärases juhendis - mida soovitame kõigil lugeda ja õppida - «Ubuntu serveri juhend»Ubuntu Server 12.04-st« Precise »tuleb üksikasjalik selgitus OpenLDAP-i ja TLS-i sertifikaatide loomise kohta kirjutatud koodi osade kohta. Samuti käsitletakse üksikasjalikult kataloogide replikatsiooni ning kuidas salvestada ja taastada andmebaasidesse.

Siin on aga kogu andmebaasi taastamise protseduur katastroofi korral.

Väga tähtis:

Eksporditud fail peab meil alati Ldapi kontohalduri kaudu käepärast olema meie andmete varukoopiana. Muidugi peab fail cn = amigos.ldif vastama meie enda installile. Selle võime hankida ka slapcati käsu kaudu, nagu näeme hiljem.

1.- Me kõrvaldame ainult slapd-installi.

: ~ # sobivuse puhastamise slpad

2.- Puhastame pakendisüsteemi

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3. - Kustutame kataloogide andmebaasi täielikult

: ~ # rm -r / var / lib / ldap / *

4. - Installime uuesti slapd-deemoni ja selle sõltuvused

: ~ # aptitude install slapd

5.- Kontrollime

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = sõbrad, dc = cu dn

6.- Lisame sama indeksfaili olcDbIndex.ldif

: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f ./olcDbIndex.ldif

7.- Kontrollime lisatud indekseid

: ~ # ldapsearch -Q -LLL -Y VÄLIS-H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Lisame sama juurdepääsu kontrollreegli

: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f ./olcAccess.ldif

9.- Kontrollime juurdepääsu kontrollimise reegleid

: ~ # ldapsearch -Q -LLL -Y VÄLIS-H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Lisame TLS-sertifikaadid. Lube pole vaja uuesti üles ehitada ega parandada. Need eksisteerivad juba failisüsteemis, kuid pole andmebaasis deklareeritud.

: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Lisame sisu vastavalt enda varukoopiale

: ~ # ldapadd -x -D cn = admin, dc = sõbrad, dc = cu -W -f dc = sõbrad.ldif

ÄRGE taaskäivitage slapd-i, kuna see indekseerib andmebaasi ja see võib olla rikutud !!! Redigeerige oma varukoopiat ALATI ENNE selle lisamist, et vältida olemasolevate kirjete sisestamist.

Suuname brauseris https://mildap.amigos.cu/lam ja me kontrollime.

Slapcat käsk

Käsk laks Seda kasutatakse enamasti LDIF-vormingus - andmebaasi käsitseva andmebaasi sisu loomiseks laks. Käsk avab andmebaasi, mille määrab selle number või järelliide, ja kirjutab vastava faili ekraanile LDIF-vormingus. Kuvatakse ka alluvatena konfigureeritud andmebaasid, välja arvatud juhul, kui määrame selle valiku -g.

Selle käsu kasutamise kõige olulisem piirang on see, et seda ei tohiks käivitada, kui laks, vähemalt kirjutusrežiimis, andmete järjepidevuse tagamiseks.

Näiteks kui soovime teha kataloogi andmebaasi varukoopia nimega faili backup-slapd.ldif, täidame:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM-pildid