OpenLDAP [7 और अंतिम?]: Ldap खाता प्रबंधक के साथ निर्देशिका सेवा

हैलो मित्रों!। हम इस लेख को प्रकाशित नहीं करना चाहते थे क्योंकि यह पीडीएफ प्रारूप में संग्रह में निहित है जिसे कई पाठकों ने अनुरोध किया है। हां, हम दिलचस्प अतिरिक्त के साथ एक सारांश लिखेंगे। और उस संकलन के एक पूर्वावलोकन के रूप में, हम इसे स्थानांतरित करते हैं परिचय:

कई लोग एंटरप्राइज़ नेटवर्क में सेवाओं के प्रभारी होते हैं, जब वे एक ऐसे नेटवर्क का प्रभार लेते हैं, जिनकी सेवाएं Microsoft उत्पादों पर आधारित होती हैं, यदि वे लिनक्स पर माइग्रेट करना चाहते हैं, तो वे अन्य सेवाओं के बीच डोमेन नियंत्रक के प्रवास पर विचार करते हैं।

यदि वे क्लियरओएस या ज़ेंटाल जैसे किसी तीसरे पक्ष के उत्पाद का चयन नहीं करते हैं, या यदि अन्य कारणों से वे स्वतंत्र होने की इच्छा रखते हैं, तो वे अपने स्वयं के डोमेन नियंत्रक बनने का श्रमसाध्य कार्य करते हैं, या सांबा 4-अन्य से- सक्रिय निर्देशिका।

तब समस्याएं शुरू होती हैं और कुछ अन्य निराशाएँ होती हैं। ऑपरेटिंग त्रुटियों। वे समस्याओं का स्थान नहीं ढूंढते हैं जो उन्हें हल करने में सक्षम हो। बार-बार स्थापना के प्रयास। सेवाओं का आंशिक संचालन। और समस्याओं की एक लंबी सूची।

यदि हम बारीकी से देखें, तो अधिकांश इंटरनेट Microsoft-प्रकार के नेटवर्क का उपयोग नहीं करते हैं। हालांकि, हमारे कारोबारी माहौल में हम बहुत कुछ करते हैं।

इस संकलन के साथ हम यह दिखाने की कोशिश करते हैं कि हम Microsoft दर्शन के बिना एक व्यावसायिक नेटवर्क बना सकते हैं। एक OpenLDAP निर्देशिका के खिलाफ उपयोगकर्ताओं को प्रमाणित करने पर आधारित सेवाएं जैसे: ई-मेल, एफ़टीपी, एसएफटीपी, ओनलाइन के आधार पर बिजनेस क्लाउड आदि।

हम 100% फ्री सॉफ्टवेयर के आधार पर एक अलग दृष्टिकोण की पेशकश करने की इच्छा रखते हैं, और जो मामले के लिए उपयोग या अनुकरण नहीं करता है, वही है- Microsoft नेटवर्क का दर्शन, या तो Microsoft सॉफ़्टवेयर के साथ, या OpenLDAP और सांबा के साथ मुख्य रूप से।

सभी समाधान जो मुफ्त सॉफ्टवेयर का उपयोग करते हैं Openldap + सांबा, जरूरी बुनियादी ज्ञान के माध्यम से जाना जाता है कि एक LDAP सर्वर क्या है, यह कैसे स्थापित किया जाता है, यह कैसे कॉन्फ़िगर और प्रशासित है, आदि। बाद में वे सांबा और संभवतः केर्बोस को एकीकृत करते हैं, और अंत में वे हमें Microsoft के NT 4, या एक सक्रिय निर्देशिका की शैली में एक डोमेन नियंत्रक "अनुकरण" करने की पेशकश करते हैं।

वास्तव में कठिन कार्य जब हम रिपॉजिटरी पैकेज से इसे लागू करते हैं और इसे कॉन्फ़िगर करते हैं। जिन लोगों ने व्यापक सांबा प्रलेखन का अध्ययन और आवेदन किया है, वे अच्छी तरह जानते हैं कि हमारा क्या मतलब है। सांबा 4 क्लासिक प्रशासन कंसोल का उपयोग करके आपके सक्रिय निर्देशिका के प्रशासन का भी प्रस्ताव करता है जो हमें Microsoft सक्रिय निर्देशिका में मिलता है, यह 2003 या एक और अधिक उन्नत है।

अनुशंसित पाठ.

https://wiki.debian.org/LDAP
OpenLDAP सॉफ्टवेयर 2.4 प्रशासक गाइड
Ubuntu ServerGide 12.04
जीएनयू / लिनक्स के साथ सर्वर कॉन्फ़िगरेशन।

उत्कृष्ट मैनुअल है कि, एल मेस्त्रो, जोएल बैरियोस डेनानास हमें देता है और वह डेबियन खिलाड़ियों को बहुत अच्छी तरह से सेवा देता है, हालांकि यह सेंटोस और रेड हैट के लिए उन्मुख है।

हम किन सेवाओं और सॉफ़्टवेयर को स्थापित करने और कॉन्फ़िगर करने की योजना बनाते हैं?

• स्वतंत्र एनटीपी, डीएनएस और डीएचसीपी, अर्थात्, अंतिम दो निर्देशिका में एकीकृत नहीं हैं
• निर्देशिका सेवा या «निर्देशिका सेवा»OpenLDAP पर आधारित
• ई-मेल, "गढ़" ग्रुप वर्क सूट, एफ़टीपी और एसएफटीपी,
• व्यापार बादल «ownCloud«
• सांबा पर आधारित स्वतंत्र फ़ाइल सर्वर।

सभी मामलों में, उपयोगकर्ताओं की साख को प्रमाणित करने की प्रक्रिया को डायरेक्ट्री या सीधे के माध्यम से किया जाएगा libnss-ldap y PAM सवाल में सॉफ्टवेयर की विशेषताओं के आधार पर।

और आगे की हलचल के बिना, व्यापार के लिए नीचे उतरो।

Ldap खाता प्रबंधक

जारी रखने से पहले, हमें पढ़ना चाहिए:

• एलडीएपी के साथ निर्देशिका सेवा। परिचय
• LDAP [2] के साथ निर्देशिका सेवा: NTP और dnsmasq
• LDAP [3] के साथ निर्देशिका सेवा: Isc-DHCP-Server और Bind9
• LDAP [4] के साथ निर्देशिका सेवा: OpenLDAP (I)
• LDAP [5] के साथ निर्देशिका सेवा: OpenLDAP (II)
• LDAP [6] के साथ निर्देशिका सेवा: डेबियन 7 में प्रमाण पत्र "व्हीज़ी"

जिन लोगों ने पिछले लेखों की श्रृंखला का अनुसरण किया है, उन्होंने देखा होगा कि हमारे पास प्रबंधन करने के लिए एक निर्देशिका है। हम कई तरीकों से इसे प्राप्त कर सकते हैं, या तो पैकेज में समूहीकृत कंसोल उपयोगिताओं के माध्यम से ldapscript, वेब इंटरफेस PhpLDAPव्यवस्थापक, Ldap खाता प्रबंधक, आदि, जो भंडार में हैं।

के माध्यम से भी करने की संभावना है अपाचे डायरेक्टरी स्टूडियो, जो हमें इंटरनेट से डाउनलोड करना चाहिए। इसका वजन लगभग 142 मेगाबाइट है।

हमारी निर्देशिका का प्रशासन करने के लिए, हम दृढ़ता से इसके उपयोग की सलाह देते हैं Ldap खाता प्रबंधक। और इसके बारे में हम पहली बात कहेंगे, यह है कि इसकी स्थापना के बाद, हम इसे एक्सेस कर सकते हैं प्रलेखन जो फ़ोल्डर में स्थित है / usr / share / doc / ldap-account-manager / डॉक्स.

के माध्यम से Ldap खाता प्रबंधक, अब से लैम, हम अपनी निर्देशिका में संग्रहीत उपयोगकर्ता और समूह खातों का प्रबंधन कर सकते हैं। LAM PHP5 को सपोर्ट करने वाले किसी भी वेब पेज सर्वर पर चलता है, और हम इसे एक अनएन्क्रिप्टेड चैनल या इसके माध्यम से कनेक्ट कर सकते हैं स्टार्ट टीएलएस, जो हम अपने उदाहरण में उपयोग करेंगे।

प्रारंभिक स्थापना और कॉन्फ़िगरेशन:

: ~ # एप्टीट्यूड ldap-account-manager स्थापित करें

की स्थापना के बाद Apache2 -Apache2-एमपीएम-प्रीफोर्क-, PHP5 और अन्य निर्भरता से, और पैकेज से ही ldap-खाता-प्रबंधकपहली चीज जो हमें करनी चाहिए, वह है LAM प्रलेखन फ़ोल्डर से हमारे वेब सर्वर पर दस्तावेजों के रूट फ़ोल्डर में एक प्रतीकात्मक लिंक। उदाहरण:

: ~ # ln -s / usr / share / doc / ldap-account-manager / डॉक्स / मैनुअल / / var / www / लैम-डॉक्स

इस तरह हम एक वेब ब्राउज़र के माध्यम से एलएएम मैनुअल तक पहुंच की गारंटी देते हैं, अगर हम पते की ओर इशारा करते हैं http://mildap.amigos.cu/lam-docs.

इसके बाद, LAM को स्वयं कॉन्फ़िगर करना शुरू करें। एक ब्राउज़र में हम इंगित करते हैं http://mildap.amigos.cu/lam.

• हम लिंक पर क्लिक करते हैं "LAM कॉन्फ़िगरेशन".
• लिंक पर क्लिक करें "सर्वर प्रोफाइल संपादित करें".
• हम पासवर्ड टाइप करते हैं 'उन्हें' बिना उद्धरण।

LAM कॉन्फ़िगरेशन पृष्ठों में, हम अपनी प्राथमिकताओं और आवश्यकताओं के अनुसार कई मापदंडों को संशोधित कर सकते हैं। जैसा कि मैंने हमेशा सरल से कॉम्प्लेक्स जाने की सिफारिश की है, न कि दूसरे तरीके से, हम केवल यह स्पर्श करेंगे कि एलएएम के शक्तिशाली उपकरण का उपयोग करने के लिए कड़ाई से आवश्यक क्या है। यदि हम इसके उपयोग में परास्नातक हो जाने के बाद, हम कार्यात्मकताओं को संशोधित या जोड़ना चाहते हैं, तो स्वागत है।

• TLS सक्रिय करें: हाँ -सिफारिश की-।
• पेड़ प्रत्यय: dc = दोस्तों, dc = cu
• डिफ़ॉल्ट भाषा: Español (स्पेन)
• मान्य उपयोगकर्ताओं की सूची *: cn = admin, dc = friends, dc = cu
• नया पासवर्ड: लाम से अलग पासवर्ड
  
• पासवर्ड फिर से दर्ज करें: लाम से अलग पासवर्ड
  

ध्यान दें: ' * 'का अर्थ है कि यह एक आवश्यक प्रविष्टि है।

नीचे बाईं ओर बटन हैं ^ बचाओ y ^ रद्द करें। यदि हम अब परिवर्तन सहेजते हैं, तो यह हमें प्रारंभिक पृष्ठ पर लौटाएगा और हम देख सकते हैं कि भाषा पहले ही बदल चुकी है और उपयोगकर्ता का नाम अब है व्यवस्थापक। पहले था प्रबंधक। हालांकि, चलो वापस स्पेनिश में अनजाने संपादित करने के लिए- "स्थापना। लाम के »। कॉन्फ़िगरेशन पेज पर वापस आने के बाद, हम निम्न कार्य करेंगे:

• हम टैब का चयन करते हैं 'खातों के प्रकार'.
• अनुभाग में 'सक्रिय खाता प्रकार' -> 'उपयोगकर्ता' -> 'LDAP प्रत्यय', हमने लिखा: ou = लोग, डीसी = दोस्त, डीसी = क्यू.
• अनुभाग में 'सक्रिय खाता प्रकार' -> 'समूह' -> 'LDAP प्रत्यय', हमने लिखा: ou = समूह, डीसी = दोस्त, डीसी = सीयू.
• शीर्षक वाले बटन का उपयोग करना '^ इस प्रकार का खाता निकालें', हम उन लोगों को खत्म करते हैं 'टीमें' y 'सांबा डोमेन', जिसका हम उपयोग नहीं करेंगे।
• हम टैब का चयन करते हैं 'मॉड्यूल'.
• En 'उपयोगकर्ता', सूची में 'चयनित मॉड्यूल', हम मॉड्यूल को स्थानांतरित करते हैं 'सांबा 3 (सांबासामकाउंट)' की सूची के लिए 'उपलब्ध मॉड्यूल'.
• En '', सूची में 'चयनित मॉड्यूल', हम मॉड्यूल को स्थानांतरित करते हैं 'सांबा 3 (सांबग्रुपमैपिंग)' की सूची के लिए 'उपलब्ध मॉड्यूल'.

अभी के लिए, और जब तक हम LAM कॉन्फ़िगरेशन से परिचित नहीं हो जाते, हम इसे उसी पर छोड़ देंगे।

हम परिवर्तनों को सहेजते हैं और प्रारंभिक पृष्ठ पर लौटते हैं, जहाँ हमें उपयोगकर्ता का पासवर्ड टाइप करना चाहिए व्यवस्थापक (cn = admin, dc = मित्र, dc = cu)की स्थापना के दौरान घोषित किया गया थप्पड़। यदि आप एक त्रुटि लौटाते हैं, तो जांच लें कि /etc/ldap/ldap.conf यह सही ढंग से सर्वर पर ही कॉन्फ़िगर किया गया है। आपके पास TLS प्रमाणपत्र या किसी अन्य त्रुटि का गलत मार्ग हो सकता है। याद रखें कि यह इस तरह दिखना चाहिए:

BASE dc = दोस्तों, dc = cu URI ldap: //mildap.amigos.cu # TLS प्रमाणपत्र (GnuTLS के लिए आवश्यक) TLS_CACERT /etc/ssl/certs/cacert.pem

एक बार LAM के अंदर, हमें किसी भी कॉन्फ़िगरेशन को बदलने से पहले इसका अध्ययन करने में कुछ समय बिताना चाहिए। इसका इंटरफ़ेस बहुत सहज और उपयोग में आसान है। इसका उपयोग करें और जांच करें।

अवलोकन: दस्तावेज़ में http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, हम अंत में पढ़ सकते हैं:

बहुत सारे उपयोगकर्ताओं के साथ एकल LDAP निर्देशिका (> 10 000)
LAM को 10 उपयोगकर्ताओं के साथ काम करने के लिए परीक्षण किया गया था। यदि आपके पास बहुत अधिक उपयोगकर्ता हैं तो आपके पास मूल रूप से दो विकल्प हैं।

• संगठनात्मक इकाइयों में अपने LDAP पेड़ को विभाजित करें: यह आमतौर पर सबसे अच्छा प्रदर्शन विकल्प है। अपने खातों को कई संगठनात्मक इकाइयों में रखें और उपरोक्त उन्नत परिदृश्य में LAM सेटअप करें।
• मेमोरी सीमा बढ़ाएँ: अपने php.ini में memory_limit पैरामीटर बढ़ाएँ। यह LAM को अधिक प्रविष्टियों को पढ़ने की अनुमति देगा। लेकिन यह LAM के प्रतिक्रिया समय को धीमा कर देगा।

आइए हमारी निर्देशिका के प्रशासन में रचनात्मक और व्यवस्थित बनें।

पासवर्ड सुरक्षा नीतियों, और LAM के माध्यम से अन्य पहलुओं

• हम लिंक पर क्लिक करते हैं «LAM कॉन्फ़िगरेशन».
• लिंक पर क्लिक करें "सामान्य सेटिंग संपादित करें".
• हम पासवर्ड टाइप करते हैं 'उन्हें' बिना उद्धरण।

और उस पृष्ठ पर हमें पासवर्ड नीतियां, सुरक्षा प्राथमिकताएं, अनुमति प्राप्त होस्ट और अन्य मिलते हैं।

ध्यान दें: LAM कॉन्फ़िगरेशन में सहेजा गया है /usr/share/ldap-account-manager/config/lam.conf.

हम LAM को सुरक्षित रूप से कनेक्ट करने के लिए https को सक्षम करते हैं:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 पुनरारंभ

जब हम पिछले तरीके से https को सक्षम करते हैं, तो हम उन प्रमाणपत्रों के साथ काम कर रहे हैं, जो अपाचे डिफ़ॉल्ट रूप से उत्पन्न करते हैं, और उन्हें इसके होस्ट की परिभाषा में दर्शाते हैं डिफ़ॉल्ट-ssl। यदि हम स्वयं द्वारा निर्मित अन्य प्रमाणपत्रों का उपयोग करना चाहते हैं, तो कृपया हमसे परामर्श करें /usr/share/doc/apache2.2-common/README.Debian.gz। प्रश्न में प्रमाण पत्र कहा जाता है "सर्प तेल" साँप का तेल, और वे इसमें पाए जाते हैं:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/pStreet/ssl-cert-snakeoil.key

ब्राउज़र को इंगित करते हैं https://mildap.amigos.cu, और हम प्रमाण पत्र स्वीकार करते हैं। फिर हम इशारा करते हैं https://mildap.amigos.cu/lam और हम पहले से ही https द लैम के माध्यम से काम कर सकते हैं।

महत्वपूर्ण: अगर सर्वर स्टार्टअप प्रक्रिया के दौरान, एग्जिम शुरू करने के लिए एक लंबा समय लगता है, हल्के विकल्प स्थापित करें Ssmtp.

: ~ # एप्टीट्यूड ssmtp स्थापित करें
 निम्नलिखित नए पैकेज स्थापित किए जाएंगे: ssmtp {b} 0 अद्यतन पैकेज, 1 नया स्थापित, हटाने के लिए 0 और अद्यतन नहीं किया गया। मुझे 0 kB फाइल डाउनलोड करनी है। 52,7 बी को अनपैक करने के बाद उपयोग किया जाएगा। निम्नलिखित पैकेजों की निर्भरताएँ संतुष्ट नहीं हैं: exim8192-config: Conflicts: ssmtp लेकिन 4-2.64 स्थापित किया जाएगा। exim4-daemon-light: विरोध: मेल-ट्रांसपोर्ट-एजेंट जो एक आभासी पैकेज है। ssmtp: विरोध: मेल-ट्रांसपोर्ट-एजेंट जो एक वर्चुअल पैकेज है। निम्नलिखित क्रियाएं इन निर्भरताओं को हल करेंगी निम्नलिखित पैकेज निकालें: 4) exim1 4) exim2-base 4) exim3-config 4) exim4-daemon-light क्या आप इस समाधान को स्वीकार करते हैं? [Y / n / q /?] और

फिर हम निष्पादित करते हैं:

: ~ # एप्टीट्यूड पर्ज ~ c: ~ # एप्टीट्यूड क्लीन: ~ # एप्टीट्यूड आटोक्लेन: ~ # एप्टीट्यूड

यदि आप वर्चुअल सर्वर के साथ काम कर रहे हैं, तो पूरे मामले में… 🙂

प्रतिकृति। निर्देशिका डेटाबेस को सहेजें और पुनर्स्थापित करें।

उत्कृष्ट मार्गदर्शक में, हम सभी को पढ़ने और अध्ययन करने की सलाह देते हैं- «उबंटू सर्वर गाइड»Ubuntu सर्वर 12.04« सटीक »से, उस कोड के कुछ हिस्सों की विस्तृत व्याख्या है जो हमने OpenLDAP और टीएलएस प्रमाणपत्रों की पीढ़ी के बारे में लिखा है, और इसके अलावा, निर्देशिका प्रतिकृति पर बहुत विस्तार से चर्चा की गई है, और सहेजें कैसे करें और डेटाबेस को पुनर्स्थापित करें।

हालांकि, यहां एक आपदा की स्थिति में पूरे डेटाबेस को पुनर्स्थापित करने की एक प्रक्रिया है।

बहोत महत्वपूर्ण:

हमें हमेशा Ldap खाता प्रबंधक के माध्यम से निर्यात की गई फ़ाइल होनी चाहिए हमारे डेटा के बैकअप के रूप में। बेशक, फ़ाइल cn = amigos.ldif को हमारी स्वयं की स्थापना के अनुरूप होना चाहिए। हम इसे थप्पड़ कमांड के माध्यम से भी प्राप्त कर सकते हैं जैसा कि हम बाद में देखेंगे।

1.- हम केवल थप्पड़ स्थापना को खत्म करते हैं।

: ~ # एप्टीट्यूड पर्ज स्लपड

2.- हम पैकेज सिस्टम को साफ करते हैं

: ~ # एप्टीट्यूड इन्स्टॉल -f: ~ # एप्टीट्यूड पर्ज ~ c: ~ # एप्टीट्यूड क्लीन: ~ # एप्टीट्यूड ऑटोकलेन

3.- हम निर्देशिका डेटाबेस को पूरी तरह से हटा देते हैं

: ~ # rm -r / var / lib / ldap / *

4.- हम स्लैप डेमॉन और उसकी निर्भरता को पुनर्स्थापित करते हैं

: ~ # योग्यता थप्पड़ स्थापित करें

5.- हम जाँच करते हैं

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = दोस्तों, dc = cu dn

6.- एक ही इंडेक्स फाइल olcDbIndex.ldif जोड़ें

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f//olcDbIndex.ldif

7.- हम अतिरिक्त सूचकांकों की जाँच करते हैं

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- हम एक ही एक्सेस कंट्रोल रूल जोड़ते हैं

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f//olcAccess.ldif

9.- हम एक्सेस कंट्रोल रूल्स की जांच करते हैं

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- हम टीएलएस प्रमाणपत्र जोड़ते हैं। अनुमतियाँ पुनर्निर्माण या ठीक करने की आवश्यकता नहीं है। वे पहले से ही फाइलसिस्टम में मौजूद हैं, लेकिन डेटाबेस में घोषित नहीं हैं।

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- हम कंटेंट को अपने बैकअप के अनुसार जोड़ते हैं

: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif

डेटाबेस को अनुक्रमित करने के लिए थप्पड़ को पुनः आरंभ न करें क्योंकि यह दूषित हो सकता है !!! हमेशा अपनी बैकअप फ़ाइल को पहले से जोड़कर संपादित करें, ताकि मौजूदा प्रविष्टियों में प्रवेश न हो।

हम एक ब्राउज़र को इंगित करते हैं https://mildap.amigos.cu/lam और हम जाँच करते हैं।

थप्पड़ की आज्ञा

आज्ञा थप्पड़ यह ज्यादातर एलडीआईएफ प्रारूप में उत्पन्न करने के लिए उपयोग किया जाता है, डेटाबेस की सामग्री जो संभालती है थप्पड़। कमांड अपने नंबर या प्रत्यय द्वारा निर्धारित डेटाबेस को खोलता है, और स्क्रीन पर एलडीआईएफ प्रारूप में संबंधित फ़ाइल लिखता है। अधीनस्थ के रूप में कॉन्फ़िगर किए गए डेटाबेस भी दिखाए जाते हैं, जब तक कि हम विकल्प को निर्दिष्ट नहीं करते हैं -g.

इस कमांड के उपयोग की सबसे महत्वपूर्ण सीमा यह है कि इसे निष्पादित नहीं किया जाना चाहिए थप्पड़कम से कम लेखन मोड में, डेटा स्थिरता सुनिश्चित करने के लिए।

उदाहरण के लिए, यदि हम निर्देशिका डेटाबेस की बैकअप प्रतिलिपि बनाना चाहते हैं, जिसका नाम एक फाइल है बैकअप- slapd.ldif, हम निष्पादित करते हैं:

: ~ # सेवा थप्पड़ रोक: ~ # slapcat -l backup-slapd.ldif: ~ # सेवा थप्पड़ शुरू

LAM छवियां