Kataloogiteenus LDAP-ga [4]: ​​OpenLDAP (I)

Tere, sõbrad!. Läheme asja juurde ja lugege sarja kolme eelmist artiklit nagu alati soovitame:

• Directory Service koos LDAP-ga. Sissejuhatus.
• Kataloogiteenus LDAP-ga [2]: NTP ja dnsmasq.
• Kataloogiteenus LDAP-iga [3]: Isc-DHCP-Server ja Bind9.

DNS, DHCP ja NTP on meie lihtsa kataloogi põhilised minimaalsed teenused OpenLDAP emakeelena, töötab korralikult Debian 6.0 "Squeeze"või Ubuntu 12.04 LTS-is "Precise Pangolin".

Näidisvõrk:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Esimeses osas näeme:

• OpenLDAP install (slapd 2.4.23-7.3)
• Kontrollid pärast paigaldamist
• Indeksid, mida arvestada
• Andmete juurdepääsu kontrollimise reeglid
• TLS-sertifikaatide genereerimine Squeeze'is

samas kui teises osas jätkame:

• Kohaliku kasutaja autentimine
• Andmebaasi täitmine
• Andmebaasi haldamine konsooli utiliitide abil
• Senine kokkuvõte ...

OpenLDAP install (slapd 2.4.23-7.3)

OpenLDAP-server on installitud paketi abil laks. Samuti peame paketi installima ldap-utils, mis pakub meile mõningaid kliendipoolseid tööriistu ja ka OpenLDAP-i enda utiliite.

: ~ # aptitude install slapd ldap-utils

Installiprotsessi ajal debconf See küsib meilt administraatori või kasutaja parooli «admin«. Samuti on installitud mitmeid sõltuvusi; kasutaja on loodud openldap; luuakse algne serveri konfiguratsioon ja ka LDAP-kataloog.

OpenLDAPi varasemates versioonides on deemoni konfiguratsioon laks tehti täielikult toimiku kaudu /etc/ldap/slapd.conf. Kasutatavas versioonis ja hilisemas versioonis toimub seadistamine samamoodi laksja selleks a DIT «Kataloogi teabepuu»Või kataloogide infopuu eraldi.

Konfiguratsioonimeetod, mida nimetatakse RTC «Reaalajas seadistamine»Reaalajas seadistamine või meetodina cn = konfig, võimaldab meil dünaamiliselt seadistada laks teenuse taaskäivitamist nõudmata.

Konfiguratsiooniandmebaas koosneb selles vormingus tekstifailide kogust LDIF «LDAP andmevahetuse vorming»LDAP-vorming andmevahetuseks, mis asub kaustas /etc/ldap/slapd.d.

Kausta korraldusest aimu saamiseks slapd.d, jookseme:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: kokku 8 drwxr-x --- 3 openldap openldap 4096 16. veebruar 11:08 cn = config -rw ------- 1 openldap openldap 407 16. veebruar 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: kokku 28 -rw ------- 1 openldap openldap 383 16. veebruar 11:08 cn = moodul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. veebruar 11:08 cn = skeem -rw ------- 1 openldap openldap 325 16. veebruar 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. veebruar 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. veebruar 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. veebruar 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. veebruar 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = skeem: kokku 40 -rw ------- 1 openldap openldap 15474 16. veebruar 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. veebruar 11:08 cn = {1} kosinus.ldif -rw ------- 1 openldap openldap 6438 16. veebruar 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. veebruar 11:08 cn = {3} inetorgperson.ldif

Kui vaatame natuke eelmist väljundit, näeme, et Taustaprogramm Squeeze'is kasutatav andmebaasitüüp HDB, mis on bdb "Berkeley Database" ning et see on täielikult hierarhiline ja toetab alampuude ümbernimetamist. Lisateavet võimalike kohta Taustaprogrammid mis toetab OpenLDAP-i, külastage http://es.wikipedia.org/wiki/OpenLDAP.

Samuti näeme, et kasutatakse kolme eraldi andmebaasi, st üks on pühendatud konfiguratsioonile, teine Frontendja viimane, mis on andmebaas HDB iseenesest.

Lisaks laks on skeemidega vaikimisi installitud tuum, Kosineen, aprill e interneti inimene.

Kontrollid pärast paigaldamist

Terminalis täidame ja loeme väljundeid rahulikult. Kontrollime kausta loetelust tuletatud konfiguratsiooni, eriti teise käsuga slapd.d.

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b cn = config | veel: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = moodul {0}, cn = config dn: cn = skeem, cn = config dn: cn = {0} tuum, cn = skeem, cn = config dn: cn = {1} koosinus , cn = skeem, cn = config dn: cn = {2} nis, cn = skeem, cn = config dn: cn = {3} inetorgperson, cn = skeem, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} esiosa, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Iga väljundi selgitus:

• cn = konfig: Globaalsed parameetrid.
• cn = moodul {0}, cn = konfiguratsioon: Dünaamiliselt laaditud moodul.
• cn = skeem, cn = konfiguratsioon: Sisaldab kõvasti kodeeritud süsteemiskeemide tasandil.
• cn = {0} tuum, cn = skeem, cn = konfiguratsioon: kõvasti kodeeritud tuuma skemaatiline.
• cn = {1} koosinus, cn = skeem, cn = konfiguratsioon: Skeem Kosinus.
• cn = {2} nis, cn = skeem, cn = konfiguratsioon: Skeem Nis.
• cn = {3} inetorgperson, cn = skeem, cn = config: Skeem interneti inimene.
• olcBackend = {0} hdb, cn = konfiguratsioon: Taustaprogramm andmesalvestuse tüüp HDB.
• olcDatabase = {- 1} kasutajaliides, cn = konfiguratsioon: Frontend andmebaasi ja teiste andmebaaside vaikeparameetrid.
• olcDatabase = {0} config, cn = config: konfiguratsiooni andmebaas laks (cn = konfig).
• olcDatabase = {1} hdb, cn = config: Meie andmebaasi eksemplar (dc = sõbrad, dc = cu)

: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = näide, dc = com dn
dn: dc = sõbrad, dc = cu dn: cn = admin, dc = sõbrad, dc = cu

• dc = sõbrad, dc = cu: DIT baaskataloogi teabepuu
• cn = admin, dc = sõbrad, dc = cu: Installimisel deklareeritud DIT-i administraator (rootDN).

Pange tähele: Aluse järelliide dc = sõbrad, dc = cu, Võta see debconf paigaldamise ajal alates KKK serverist mildap.amigos.cu.

Indeksid, mida arvestada

Kirjeid indekseeritakse selleks, et parandada veebisaidil otsingute toimivust DIT, koos filtrikriteeriumidega. Indeksid, mida me kaalume, on miinimumsoovitatavad vastavalt vaikeskeemides deklareeritud atribuutidele.

Andmebaasis olevate indeksite dünaamiliseks muutmiseks loome selles vormingus tekstifaili LDIFja hiljem lisame selle andmebaasi. Me loome faili olcDbIndex.ldif ja jätame selle järgmise sisuga:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config muutmistüüp: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex, login: loginUid eq, login: loginUid eq : loginShelli eq, olcDbIndex: login - lisage: olcDbIndex olcDbIndex: uid pres, sub, eq - lisage: olcDbIndex olcDbIndex: cn pres, sub, eq - lisage: olcDbIndex olcDbIndex: sn pres, sub, eq - addInxx: add , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: vaikimisi sub - add: olcDbIndex olcDbIndex: posti eq, subinitial - add: olcDbIndex olcDbIn

Lisame indeksid andmebaasi ja kontrollime modifikatsiooni:

: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y VÄLIS-H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq, uid presq, uid presq, uid presq, uid presq, uid presq cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, ekv

Andmete juurdepääsu kontrollimise reeglid

Juurdepääsukontrolliks nimetatakse reegleid, mis on loodud selleks, et kasutajad saaksid kataloogiandmebaasis andmeid lugeda, muuta, lisada ja kustutada, samal ajal kui kutsume juurdepääsu kontrollloendeid või «ACL-i juurdepääsu kontrollnimekiri»Reeglite konfigureerivate reeglite juurde.

Et teada, kumb ACL-id deklareeriti vaikimisi programmi installiprotsessi käigus laks, täidame:

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} esiosa)' olcAccess

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y VÄLIS -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Kõik eelmised käsud näitavad meile ACL-id et siiani oleme oma kataloogis deklareerinud. Täpsemalt näitab viimane käsk neid kõiki, samas kui esimesed kolm annavad meile kõigi kolme juurdepääsu kontrollireeglid. DIT kaasatud meie laks.

Teemal ACL-id ja selleks, et mitte palju pikemat artiklit teha, soovitame lugeda käsiraamatu lehti mees slapd.juurdepääs.

Tagamaks kasutajate ja administraatorite juurdepääsu nende kirjete värskendamisele sisselogimineShell y Geckos, lisame järgmise ACL-i:

## Loome olcAccess.ldif faili ja jätame selle järgmise sisuga: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config muutmistüüp: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = sõbrad, dc = cu" kirjutage ise kirjutades * lugeda

## Lisame ACL-i
: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f ./olcAccess.ldif

# Kontrollime muudatusi
ldapsearch -Q -LLL -Y VÄLIS-H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Sertifikaatide genereerimine TLS Squeeze'is

OpenLDAP-serveriga turvalise autentimise saamiseks peame seda tegema krüptitud seansi kaudu, mille saame saavutada TLS - transpordikihi turvalisus o Turvaline transpordikiht.

OpenLDAP-server ja selle kliendid saavad seda kasutada raamistik TLS pakub kaitset terviklikkuse ja konfidentsiaalsuse osas ning toetab mehhanismi kaudu turvalist LDAP-autentimist SASL «Lihtne autentimine ja turvakiht« Väline.

Kaasaegsed OpenLDAP-serverid eelistavad * kasutamist/ StartTLS /* o Käivitage turvaline transpordikiht /LDAPS: ///, mis on vananenud. Kui teil on küsimusi, külastage aadressi * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Jätke fail vaikimisi installituks / etc / default / slapd avaldusega SLAPD_SERVICES = »ldap: /// ldapi: ///», et kasutada krüptitud kanalit kliendi ja serveri ning abirakenduste vahel kohapeal installitud OpenLDAP-i haldamiseks.

Siin kirjeldatud meetod, mis põhineb pakettidel gnutls-bin y ssl-sert see kehtib Debian 6 "Squeeze" ja ka Ubuntu Server 12.04 jaoks. Debiani 7 "Wheezy" jaoks on teine ​​meetod, mis põhineb OpenSSL.

Sertifikaatide genereerimine toimub Squeeze'is järgmiselt:

1.- Paigaldame vajalikud paketid
: ~ # aptitude install gnutls-bin ssl-cert

2. - Loome sertifikaadi väljaandjale esmase võtme
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3. - Loome malli CA (sertifitseerimisasutuse) määratlemiseks
: ~ # nano /etc/ssl/ca.info cn = Kuuba sõbrad ca cert_signing_key

4.- Loome klientidele CA enda allkirjastatud või ise allkirjastatud sertifikaadi
: ~ # certtool --generate-self-parakstatud \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Me genereerime serveri jaoks privaatvõtme
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Pange tähele: Asenda "kergelt"ülaltoodud faili nimes teie enda serveri nimi. Sertifikaadi ja võtme nimetamine nii serveri kui ka seda kasutava teenuse jaoks aitab meil asju selgeks hoida.

6.- Loome järgmise sisuga faili /etc/ssl/mildap.info:
: ~ # nano /etc/ssl/mildap.info organization = Kuuba sõbrad cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiration_days = 3650

Pange tähele: Eelmises sisus kinnitame, et sertifikaat kehtib 10 aastat. Parameeter tuleb kohandada vastavalt meie mugavusele.

7.- Loome serverisertifikaadi
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Siiani oleme vajalikud failid loonud, peame kataloogi lisama ainult ise allkirjastatud sertifikaadi asukoha cacert.pem; serverisertifikaadi oma mildap-cert.pem; ja serveri privaatne võti mildap-key.pem. Samuti peame reguleerima loodud failide õigusi ja omanikku.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - lisage: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.peter / private: private: jne /mildap-key.pem

8.- Lisame: ~ # ldapmodify -Y VÄLIS -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Kohandame omanikku ja õigusi
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod või /etc/ssl/private/mildap-key.pem

Tunnistus cacert.pem See on see, mille peame igasse klienti kopeerima. Selle sertifikaadi kasutamiseks serveris endas peame selle failis deklareerima /etc/ldap/ldap.conf. Selleks muudame faili ja jätame selle järgmise sisuga:

: ~ # nano /etc/ldap/ldap.conf
PÕHJUS dc = sõbrad, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Lõpuks ja ka kontrollina taaskäivitame teenuse laks ja kontrollime syslog serverist, et näha, kas teenus on äsja deklareeritud sertifikaadi abil õigesti taaskäivitatud.

: ~ # teenuse slapd taaskäivitamine
: ~ # tail / var / log / syslog

Kui teenust ei taaskäivitata õigesti või kui täheldame teenuses tõsist viga syslog, ärgem laske end sellest heidutada. Võime proovida kahjustusi parandada või otsast alustada. Kui otsustame alustada nullist installimist, laks, pole meie serverit vaja vormindada.

Et kustutada kõik, mida oleme ühel või teisel põhjusel seni teinud, peame paketi desinstallima laksja seejärel kustutage kaust / var / lib / ldap. Samuti peame jätma faili selle algsesse versiooni /etc/ldap/ldap.conf.

Harva juhtub, et kõik töötab esimesel katsel õigesti. 🙂

Pidage meeles, et järgmises osas näeme:

• Kohaliku kasutaja autentimine
• Andmebaasi täitmine
• Andmebaasi haldamine konsooli utiliitide abil
• Senine kokkuvõte ...

Näeme varsti sõpru !.