Service d'annuaire avec OpenLDAP [7 et final?]: Ldap Account Manager

Salut les amis!. Nous n'avons pas souhaité publier cet article car il est contenu dans le recueil au format PDF que de nombreux lecteurs ont demandé. Oui, nous rédigerons un résumé avec des ajouts intéressants. Et comme un aperçu de ce recueil, nous transcrivons le Introduction:

De nombreux responsables des services dans les réseaux d'entreprise, lorsqu'ils prennent en charge un réseau dont les services sont basés sur des produits Microsoft, s'ils veulent migrer vers Linux, envisagent la migration des contrôleurs de domaine parmi d'autres services.

S'ils ne choisissent pas un produit tiers tel que ClearOS ou Zentyal, ou si pour d'autres raisons ils souhaitent devenir indépendants, ils entreprennent la tâche ardue de devenir leur propre contrôleur de domaine, ou de Samba 4 - ou autre - leur propre Active Directory.

Puis les problèmes commencent et d'autres déceptions. Erreurs de fonctionnement. Ils ne trouvent pas l'emplacement des problèmes pour pouvoir les résoudre. Tentatives d'installation répétées. Opérations partielles des services. Et une longue liste de problèmes.

Si nous y regardons de plus près, la plupart d'Internet n'utilise pas de réseaux de type Microsoft. Cependant, dans notre environnement commercial, nous le faisons beaucoup.

Avec ce recueil, nous essayons de montrer que nous pouvons créer un réseau d'entreprise sans la philosophie de Microsoft. Services basés sur l'authentification des utilisateurs par rapport à un annuaire OpenLDAP tels que: E-Mail, FTP, SFTP, Business Cloud basé sur Owncloud, etc.

Nous aspirons à proposer une approche différente basée sur des logiciels 100% libres, et qui n'utilise ni n'émule - ce qui est le même d'ailleurs - de la philosophie des réseaux Microsoft, soit avec Microsoft Software, soit avec OpenLDAP et Samba comme principaux.

Toutes les solutions qui utilisent le logiciel libre Openldap + Samba, passent nécessairement par les connaissances de base de ce qu'est un serveur LDAP, comment est-il installé, comment est-il configuré et administré, etc. Plus tard, ils intègrent Samba et éventuellement Kerberos, et au final ils nous proposent d '«émuler» un contrôleur de domaine dans le style du NT 4 de Microsoft, ou un Active Directory.

Tâche difficile en effet lorsque nous l'implémentons et le configurons à partir des packages du référentiel. Ceux qui ont étudié et appliqué la vaste documentation de Samba savent très bien ce que nous voulons dire. Samba 4 propose même l'administration de votre Active Directory en utilisant la console d'administration classique que l'on retrouve dans un Microsoft Active Directory, que ce soit 2003 ou un autre plus avancé.

Lecture recommandée.

https://wiki.debian.org/LDAP
Guide de l'administrateur du logiciel OpenLDAP 2.4
Guide du serveur Ubuntu 12.04
Configuration du serveur avec GNU / Linux.

Excellent manuel que nous donne El Maestro, Joel Barrios Dueñas et qui sert très bien les joueurs Debian, bien qu'il soit orienté vers CentOS et Red Hat.

Quels services et logiciels prévoyons-nous d'installer et de configurer?

• NTP, DNS et DHCP indépendants, c'est-à-dire que les deux derniers ne sont pas intégrés dans l'annuaire
• Service d'annuaire ou «Service d'annuaire»Basé sur OpenLDAP
• E-mail, Suite de travail de groupe «Citadel», FTP et SFTP,
• Business Cloud «OwnCloud«
• Serveur de fichiers indépendant basé sur Samba.

Dans tous les cas, le processus d'authentification des informations d'identification des utilisateurs sera effectué directement contre l'annuaire, ou via libnss-ldap y PAM et Bastion en fonction des caractéristiques du logiciel en question.

Et sans plus tarder, passons aux choses sérieuses.

Gestionnaire de compte LDAP

Avant de continuer, il faut lire:

• Service d'annuaire avec LDAP. introduction
• Service d'annuaire avec LDAP [2]: NTP et dnsmasq
• Service d'annuaire avec LDAP [3]: Isc-DHCP-Server et Bind9
• Service d'annuaire avec LDAP [4]: ​​OpenLDAP (I)
• Service d'annuaire avec LDAP [5]: OpenLDAP (II)
• Service d'annuaire avec LDAP [6]: certificats dans Debian 7 "Wheezy"

Ceux qui ont suivi la série d'articles précédents auront remarqué que nous avons DÉJÀ un annuaire à gérer. Nous pouvons y parvenir de plusieurs manières, soit via les utilitaires de console regroupés dans le package ldapscripts, les interfaces web phpLDAPadmin, Gestionnaire de compte LDAP, etc., qui se trouvent dans le référentiel.

Il y a aussi la possibilité de le faire via le Studio d'annuaire Apache, que nous devons télécharger sur Internet. Il pèse environ 142 mégaoctets.

Pour administrer notre annuaire, nous vous recommandons vivement d'utiliser le Gestionnaire de compte LDAP. Et la première chose que nous allons en dire, c'est qu'après son installation, on peut accéder à son documentation qui se trouve dans le dossier / usr / share / doc / ldap-account-manager / docs.

par Gestionnaire de compte LDAP, désormais LAM, nous pouvons gérer les comptes d'utilisateurs et de groupes stockés dans notre annuaire. Le LAM fonctionne sur n'importe quel serveur de pages Web prenant en charge PHP5, et nous pouvons nous y connecter via un canal non chiffré ou via DémarrerTLS, qui est la forme que nous utiliserons dans notre exemple.

Installation initiale et configuration:

: ~ # aptitude install ldap-account-manager

Après l'installation du Apache2 -apache2-mpm-préfork-, de PHP5 et d'autres dépendances, et du package lui-même gestionnaire de compte ldap, la première chose à faire est de créer un lien symbolique depuis le dossier de documentation LAM vers le dossier racine des documents sur notre serveur Web. Exemple:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

De cette façon, nous garantissons l'accès au manuel LAM via un navigateur Web, si nous indiquons l'adresse http://mildap.amigos.cu/lam-docs.

Ensuite, commençons à configurer le LAM lui-même. Dans un navigateur, nous désignons http://mildap.amigos.cu/lam.

• On clique sur le lien "Configuration LAM".
• Clique sur le lien "Modifier les profils de serveur".
• Nous tapons le mot de passe 'Leur' sans les guillemets.

Dans les pages de configuration LAM, nous pouvons modifier de nombreux paramètres en fonction de nos préférences et besoins. Comme j'ai toujours recommandé de passer du simple au complexe, et non l'inverse, nous ne toucherons que ce qui est strictement nécessaire pour utiliser le puissant outil qu'est LAM. Si après être devenu maître dans son utilisation, nous voulons modifier ou ajouter des fonctionnalités, alors bienvenue.

• Activez TLS: Oui -Conseillé-.
• Suffixe d'arbre: dc = amis, dc = cu
• Langage par défaut: Espagnol (Espagne)
• Liste des utilisateurs valides *: cn = admin, dc = amis, dc = cu
• Nouveau mot de passe: mot de passe différent de lam
  
• Retaper le mot de passe: mot de passe différent de lam
  

Observation: Le ' * 'signifie qu'il s'agit d'une entrée obligatoire.

En bas à gauche se trouvent les boutons ^ Enregistrer y ^ Annuler. Si nous sauvegardons les modifications maintenant, cela nous ramènera à la page initiale et nous pouvons voir que la langue a déjà changé et que le nom de l'utilisateur est maintenant admin. Avant était Gérante. Cependant, revenons en arrière pour éditer le -maintenant en espagnol- "Réglage. du LAM ». Une fois de retour sur la page de configuration, nous ferons ce qui suit:

• Nous sélectionnons l'onglet «Types de comptes».
• Dans la section "Types de comptes actifs" -> "Utilisateurs" -> "Suffixe LDAP", on a écrit: ou = Personnes, dc = amis, dc = cu.
• Dans la section "Types de comptes actifs" -> "Groupes" -> "Suffixe LDAP", on a écrit: ou = Groupes, dc = amis, dc = cu.
• Utilisation des boutons intitulés «^ Supprimer ce type de compte», on élimine ceux correspondant à "Équipes" y 'Domaines Samba', que nous n'utiliserons pas.
• Nous sélectionnons l'onglet 'Modules'.
• En 'Utilisateurs', sur la liste 'Modules sélectionnés', on déplace le module 'Samba 3 (sambaSamAccount)' à la liste de 'Modules disponibles'.
• En 'Groupes', sur la liste 'Modules sélectionnés', on déplace le module 'Samba 3 (sambaGroupMapping)' à la liste de 'Modules disponibles'.

Pour l'instant, et jusqu'à ce que nous nous familiarisions avec la configuration LAM, nous en resterons là.

Nous enregistrons les modifications et revenons à la page initiale, où nous devons taper le mot de passe de l'utilisateur admin (cn = admin, dc = amis, dc = cu), déclaré lors de l'installation du giflé. Si vous renvoyez une erreur, vérifiez que le /etc/ldap/ldap.conf il est correctement configuré sur le serveur lui-même. Vous pouvez avoir le mauvais chemin vers le certificat TLS ou une autre erreur. N'oubliez pas que cela devrait ressembler à ceci:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # Certificats TLS (nécessaires pour GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Une fois à l'intérieur du LAM, nous devons passer du temps à l'étudier AVANT de modifier une configuration. Son interface est très intuitive et facile à utiliser. Utilisez-le et vérifiez.

Remarque: Dans le document http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, on peut lire à la fin:

Annuaire LDAP unique avec de nombreux utilisateurs (> 10 000)
LAM a été testé pour fonctionner avec 10 000 utilisateurs. Si vous avez beaucoup plus d'utilisateurs, vous avez essentiellement deux options.

• Divisez votre arborescence LDAP en unités organisationnelles: il s'agit généralement de l'option la plus performante. Placez vos comptes dans plusieurs unités organisationnelles et configurez LAM comme dans le scénario avancé ci-dessus.
• Augmenter la limite de mémoire: augmentez le paramètre memory_limit dans votre php.ini. Cela permettra à LAM de lire plus d'entrées. Mais cela ralentira les temps de réponse de LAM.

Soyons créatifs et ordonnés dans l'administration de notre annuaire.

Politiques de sécurité des mots de passe et autres aspects via LAM

• On clique sur le lien «Configuration LAM».
• Clique sur le lien "Modifier les paramètres généraux".
• Nous tapons le mot de passe 'Leur' sans les guillemets.

Et sur cette page, nous trouvons les politiques de mot de passe, les préférences de sécurité, les hôtes autorisés et autres.

Observation: La configuration LAM est enregistrée dans /usr/share/ldap-account-manager/config/lam.conf.

Nous permettons à https de se connecter au LAM en toute sécurité:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 redémarrer

Lorsque nous activons https de la manière précédente, nous travaillons avec les certificats qu'Apache génère par défaut, et les reflétons dans la définition de son hôte virtuel default-ssl. Si nous voulons utiliser d'autres certificats générés par nous-mêmes, merci de nous consulter /usr/share/doc/apache2.2-common/README.Debian.gz. Les certificats en question sont appelés "L'huile de serpent" o Huile de serpent, et on les trouve dans:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Dirigeons le navigateur vers https://mildap.amigos.cu, et nous acceptons le certificat. Ensuite, nous signalons https://mildap.amigos.cu/lam et nous pouvons déjà travailler via https le LAM.

Important: si pendant le processus de démarrage du serveur, le Exim prend beaucoup de temps à démarrer, installez le substitut léger ssmtp.

: ~ # aptitude installer ssmtp
 Les NOUVEAUX packages suivants seront installés: ssmtp {b} 0 packages mis à jour, 1 nouveau installé, 0 à supprimer et 0 non mis à jour. J'ai besoin de télécharger 52,7 Ko de fichiers. Après le déballage, 8192 B sera utilisé. Les dépendances des packages suivants ne sont pas satisfaites: exim4-config: Conflits: ssmtp mais 2.64-4 sera installé. exim4-daemon-light: Conflits: mail-transport-agent qui est un paquet virtuel. ssmtp: Conflits: mail-transport-agent qui est un package virtuel. Les actions suivantes résoudront ces dépendances. Supprimez les paquets suivants: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Acceptez-vous cette solution? [O / n / q /?] Et

Ensuite, nous exécutons:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Si vous travaillez avec des serveurs virtuels, ce serait le moment idéal pour faire une bonne sauvegarde de l'ensemble du serveur principal… au cas où. 🙂

Réplication. Enregistrez et restaurez la base de données du répertoire.

Dans l'excellent guide -que nous recommandons à tout le monde de lire et d'étudier- «Guide du serveur Ubuntu»De Ubuntu Server 12.04« Precise », vient une explication détaillée des parties du code que nous avons écrit sur OpenLDAP et la génération de certificats TLS, et il traite également en détail de la réplication de répertoire, et comment faire la sauvegarde et la restauration des bases de données.

Cependant, voici une procédure de restauration de l'ensemble de la base de données en cas de sinistre.

Très important:

Nous devons TOUJOURS avoir le fichier exporté à portée de main via le gestionnaire de compte Ldap comme sauvegarde de nos données. Bien entendu, le fichier cn = amigos.ldif doit correspondre à notre propre installation. Nous pouvons également l'obtenir via la commande slapcat comme nous le verrons plus tard.

1.- Nous éliminons uniquement l'installation slapd.

: ~ # aptitude purge slpad

2.- Nous nettoyons le système d'emballage

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Nous supprimons complètement la base de données du répertoire

: ~ # rm -r / var / lib / ldap / *

4.- Nous réinstallons le démon slapd et ses dépendances

: ~ # aptitude installer slapd

5.- Nous vérifions

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = amis, dc = cu dn

6.- Ajoutez le même fichier d'index olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Nous vérifions les indices ajoutés

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Nous ajoutons la même règle de contrôle d'accès

: ~ # ldapmodify -Y EXTERNE -H ldapi: /// -f ./olcAccess.ldif

9.- Nous vérifions les règles de contrôle d'accès

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Nous ajoutons les certificats TLS. Pas besoin de reconstruire ou de corriger les autorisations. Ils existent déjà dans le système de fichiers, mais ne sont pas déclarés dans la base de données.

: ~ # ldapmodify -Y EXTERNE -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Nous ajoutons le contenu selon notre propre sauvegarde

: ~ # ldapadd -x -D cn = admin, dc = amis, dc = cu -W -f dc = friends.ldif

NE redémarrez PAS le slapd car il indexe la base de données et il peut être corrompu !!! Modifiez TOUJOURS votre fichier de sauvegarde AVANT de l'ajouter, pour éviter d'entrer des entrées existantes.

Nous pointons dans un navigateur vers https://mildap.amigos.cu/lam et nous vérifions.

La commande slapcat

La commande slapcat Il est principalement utilisé pour générer au format LDIF, le contenu de la base de données qui gère le giflé. La commande ouvre la base de données déterminée par son numéro ou par le suffixe, et écrit le fichier correspondant au format LDIF à l'écran. Les bases de données configurées comme subordonnées sont également affichées, sauf si nous spécifions l'option -g.

La limitation la plus importante de l'utilisation de cette commande est qu'elle ne doit pas être exécutée lorsque le giflé, au moins en mode écriture, pour assurer la cohérence des données.

Par exemple, si nous voulons faire une copie de sauvegarde de la base de données du répertoire, dans un fichier nommé sauvegarde-slapd.ldif, nous exécutons:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

Images LAM