Usluga direktorija s OpenLDAP-om [7 i konačna?]: Ldap Account Manager

Pozdrav prijatelji!. Nismo željeli objaviti ovaj članak jer je sadržan u sažetku u PDF formatu koji su zatražili mnogi čitatelji. Da, napisat ćemo sažetak sa zanimljivim dodacima. I kao pregled ovog priručnika, prepisujemo I:

Mnogi ljudi zaduženi za usluge u poslovnim mrežama, kada preuzmu mrežu čije se usluge temelje na Microsoftovim proizvodima, ako žele migrirati na Linux, među ostalim uslugama uzimaju u obzir migraciju Upravljača domene.

Ako ne odaberu proizvod treće strane kao što je ClearOS ili Zentyal, ili ako se iz drugih razloga žele osamostaliti, poduzimaju mukotrpan zadatak da postanu vlastiti kontrolor domene ili Samba 4 ili drugi - vlastiti Active Directory.

Tada počinju problemi i neka druga razočaranja. Pogreške u radu. Ne nalaze mjesto problema da bi ih mogli riješiti. Ponovljeni pokušaji instalacije. Djelomično poslovanje službi. I dugačak popis problema.

Ako pažljivo pogledamo, većina Interneta ne koristi mreže tipa Microsoft. Međutim, u našem poslovnom okruženju radimo puno.

Ovim priručnikom pokušavamo pokazati da možemo stvoriti poslovnu mrežu bez Microsoftove filozofije. Usluge temeljene na provjeri autentičnosti korisnika prema OpenLDAP direktoriju kao što su: E-pošta, FTP, SFTP, Poslovni oblak temeljen na Owncloud-u itd.

Težimo ponuditi drugačiji pristup zasnovan na 100% besplatnom softveru, a koji ne koristi ili oponaša - što je u tom slučaju isto - filozofija Microsoftovih mreža, bilo s Microsoftovim softverom, bilo s OpenLDAP-om i Sambom kao glavnim.

Sva rješenja koja koriste besplatni softver Openldap + Samba, nužno prolaze kroz osnovno znanje o tome što je LDAP poslužitelj, kako se instalira, kako se konfigurira i administrira itd. Kasnije integriraju Sambu i eventualno Kerberos, a na kraju nam nude da "oponašamo" kontroler domene u stilu Microsoftova NT 4 ili Active Directory.

Doista težak zadatak kada ga implementiramo i konfiguriramo iz paketa spremišta. Oni koji su proučavali i primjenjivali opsežnu Sambinu dokumentaciju vrlo dobro znaju na što mislimo. Samba 4 čak predlaže administraciju vašeg Active Directory-a koristeći klasičnu administracijsku konzolu koju nalazimo u Microsoftovom Active Directory-u, bilo da je to 2003 ili neka druga naprednija.

Preporučena literatura.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorski vodič
Vodič za Ubuntu poslužitelj 12.04
Konfiguracija poslužitelja s GNU / Linuxom.

Izvrsni priručnik koji nam daju El Maestro, Joel Barrios Dueñas i koji vrlo dobro služi igračima Debiana, iako je orijentiran na CentOS i Red Hat.

Koje usluge i softver planiramo instalirati i konfigurirati?

• Nezavisni NTP, DNS i DHCP, odnosno zadnja dva nisu integrirana u Imenik
• Usluga imenika ili «Usluga direktorija»Na temelju OpenLDAP-a
• E-pošta, grupni radni paket "Citadel", FTP i SFTP,
• Poslovni oblak «OwnCloud«
• Nezavisni poslužitelj datoteka zasnovan na Sambi.

U svim slučajevima postupak autentifikacije vjerodajnica korisnika provest će se direktno ili putem Direktorijuma libnss-ldap y PAM ovisno o karakteristikama dotičnog softvera.

I bez daljnjega, prijeđimo na posao.

Ldap upravitelj računa

Prije nastavka moramo pročitati:

• Usluga direktorija s LDAP-om. Uvod
• Usluga direktorija s LDAP-om [2]: NTP i dnsmasq
• Usluga direktorija s LDAP-om [3]: Isc-DHCP-poslužitelj i Bind9
• Usluga direktorija s LDAP-om [4]: ​​OpenLDAP (I)
• Usluga direktorija s LDAP-om [5]: OpenLDAP (II)
• Usluga direktorija s LDAP-om [6]: Potvrde u Debianu 7 "Wheezy"

Oni koji su slijedili seriju prethodnih članaka primijetit će da VEĆ imamo Direktorij kojim ćemo upravljati. To možemo postići na mnogo načina, bilo putem uslužnih programa konzole grupiranih u paketu ldapscripts, web sučelja PhpLDAPadmin, Ldap upravitelj računaitd., koji se nalaze u spremištu.

Također postoji mogućnost da se to učini putem Apache Directory Studio, koju moramo preuzeti s Interneta. Teška je oko 142 megabajta.

Da bismo upravljali našim Imenikom, toplo preporučujemo upotrebu Ldap upravitelj računa. I prvo što ćemo reći o tome je da nakon njegove instalacije možemo pristupiti njegovom documentación koja se nalazi u mapi / usr / share / doc / ldap-account-manager / docs.

Putem Ldap upravitelj računa, od sada LAM, možemo upravljati korisničkim i grupnim računima pohranjenim u našem direktoriju. LAM radi na bilo kojem poslužitelju web stranica koji podržava PHP5, a mi se s njim možemo povezati putem nešifriranog kanala ili putem PokreniTLS, što je oblik koji ćemo koristiti u našem primjeru.

Početna instalacija i konfiguracija:

: ~ # aptitude instaliraj ldap-account-manager

Nakon instalacije Apache2 -apache2-mpm-prefork-, iz PHP5 i drugih ovisnosti, te iz samog paketa ldap-upravitelj računa, prvo što moramo učiniti je stvoriti simboličku vezu iz mape LAM dokumentacije do korijenske mape dokumenata na našem web poslužitelju. Primjer:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Na taj način jamčimo pristup priručniku LAM putem web preglednika, ako pokažemo na adresu http://mildap.amigos.cu/lam-docs.

Dalje, krenimo s konfiguriranjem samog LAM-a. U pregledniku na koji ukazujemo http://mildap.amigos.cu/lam.

• Kliknemo na poveznicu "LAM konfiguracija".
• Kliknite vezu "Uredi profile poslužitelja".
• Upisujemo lozinku "M" bez navodnika.

Na konfiguracijskim stranicama LAM-a možemo mijenjati mnoge parametre u skladu s našim željama i potrebama. Kao što sam uvijek preporučivao prelazak s Jednostavnog na Kompleks, a ne obrnuto, dodirnut ćemo samo ono što je nužno potrebno za upotrebu moćnog alata koji je LAM. Ako nakon što počnemo koristiti Master, želimo izmijeniti ili dodati funkcionalnosti, dobrodošli.

• Aktiviranje TLS-a: Da -Preporučuje se-.
• Sufiks stabla: dc = prijatelji, dc = cu
• Zadani jezik: Español (Španjolska)
• Popis važećih korisnika *: cn = admin, dc = prijatelji, dc = cu
• Nova lozinka: različita lozinka od lam
  
• Ponovo unesite lozinku: različita lozinka od lam
  

Napomena: On ' * 'znači da je to potreban unos.

Dolje lijevo su gumbi ^ Spremi y ^ Otkaži. Ako sada spremimo promjene, vratit će nas na početnu stranicu i možemo vidjeti da se jezik već promijenio i da je korisničko ime sada admin. Prije je bilo Voditelj. Međutim, vratimo se uređivanju -now na španjolskom- "Postavljanje. LAM-a ». Nakon što se vratimo na stranicu za konfiguraciju, učinit ćemo sljedeće:

• Odabiremo karticu 'Vrste računa'.
• U odjeljku 'Vrste aktivnih računa' -> 'Korisnici' -> 'LDAP sufiks', napisali smo: ou = Ljudi, dc = prijatelji, dc = cu.
• U odjeljku 'Vrste aktivnih računa' -> 'Grupe' -> 'LDAP sufiks', napisali smo: ou = Grupe, dc = prijatelji, dc = cu.
• Pomoću gumba s naslovom '^ Ukloni ovu vrstu računa', uklanjamo one koji odgovaraju 'Timovi' y 'Samba domene', koju nećemo koristiti.
• Odabiremo karticu 'Moduli'.
• En 'Korisnici', na listi 'Odabrani moduli', premještamo modul 'Samba 3 (sambaSamAccount)' na popis 'Dostupni moduli'.
• En 'Grupe', na listi 'Odabrani moduli', premještamo modul 'Samba 3 (sambaGroupMapping)' na popis 'Dostupni moduli'.

Za sada, i dok se ne upoznamo s LAM konfiguracijom, ostavit ćemo to na tome.

Spremamo promjene i vraćamo se na početnu stranicu, gdje moramo upisati korisničku lozinku admin (cn = admin, dc = prijatelji, dc = cu), deklarirano tijekom instalacije šamariti. Ako vratite pogrešku, provjerite je li /etc/ldap/ldap.conf ispravno je konfiguriran na samom poslužitelju. Možda imate pogrešan put do TLS certifikata ili drugu pogrešku. Zapamtite da bi to trebalo izgledati ovako:

BASE dc = prijatelji, dc = cu URI ldap: //mildap.amigos.cu # TLS certifikati (potrebni za GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Kad uđemo u LAM, moramo provesti neko vrijeme proučavajući ga PRIJE promjene bilo koje konfiguracije. Sučelje je vrlo intuitivno i jednostavno za upotrebu. Iskoristite ga i provjerite.

promatranje: U dokumentu http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, možemo pročitati na kraju:

Jedan LDAP direktorij s puno korisnika (> 10 000)
Testirano je da LAM radi s 10 korisnika. Ako imate puno više korisnika, u osnovi imate dvije mogućnosti.

• Podijelite svoje LDAP stablo u organizacijske jedinice: ovo je obično najbolja opcija. Stavite svoje račune u nekoliko organizacijskih jedinica i postavite LAM kao u naprednom scenariju gore.
• Povećajte ograničenje memorije: povećajte parametar memory_limit u svom php.ini. To će omogućiti LAM-u da pročita više unosa. Ali ovo će usporiti vrijeme odziva LAM-a.

Budimo kreativni i uredni u administraciji našeg imenika.

Politike zaštite lozinke i drugi aspekti putem LAM-a

• Kliknemo na poveznicu «LAM konfiguracija».
• Kliknite vezu "Uredi opće postavke".
• Upisujemo lozinku "M" bez navodnika.

I na toj stranici nalazimo Pravila za lozinke, Sigurnosne postavke, Dopušteni hostovi i drugi.

Napomena: Konfiguracija LAM spremljena je u /usr/share/ldap-account-manager/config/lam.conf.

Omogućujemo https-u da se sigurno poveže s LAM-om:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 ponovno pokrenite

Kada omogućimo https na prethodni način, radimo sa certifikatima koje Apache generira prema zadanim postavkama i odražava ih u definiciji virtualnog hosta Zadana SSL. Ako želimo koristiti druge certifikate koje smo generirali sami, molimo vas i dopustite nam da se posavjetujemo /usr/share/doc/apache2.2-common/README.Debian.gz. Pozivaju se predmetne potvrde "Zmijsko ulje" o zmijsko ulje, a nalaze se u:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Uperimo preglednik na https://mildap.amigos.cu, i prihvaćamo potvrdu. Tada ukazujemo na https://mildap.amigos.cu/lam i već možemo raditi putem https LAM-a.

Važno: ako tijekom postupka pokretanja poslužitelja, Exim treba puno vremena za pokretanje, ugradite laganu zamjenu ssmtp.

: ~ # aptitude instaliraj ssmtp
 Bit će instalirani sljedeći NOVI paketi: ssmtp {b} 0 ažuriranih paketa, 1 novi instalirani, 0 za uklanjanje i 0 neažurnih. Moram preuzeti 52,7 kB datoteka. Nakon raspakiranja upotrijebit će se 8192 B. Neovisnosti sljedećih paketa nisu zadovoljene: exim4-config: Sukobi: ssmtp, ali bit će instalirani 2.64-4. exim4-daemon-light: Sukobi: mail-transport-agent koji je virtualni paket. ssmtp: Sukobi: mail-transport-agent koji je virtualni paket. Sljedeće radnje riješit će ove ovisnosti Uklonite sljedeće pakete: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Prihvaćate li ovo rješenje? [Y / n / q /?] I

Zatim izvršavamo:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # ponovno pokretanje

Ako radite s virtualnim poslužiteljima, bilo bi sjajno vrijeme za napraviti sigurnosnu kopiju cijelog glavnog poslužitelja ... za svaki slučaj. 🙂

Replikacija. Spremite i vratite bazu podataka direktorija.

U izvrsnom vodiču - koji preporučujemo svima da pročitaju i prouče -Vodič za poslužitelj Ubuntua»Iz Ubuntu poslužitelja 12.04« Precizno »nalazi se detaljno objašnjenje dijelova koda koje smo napisali o OpenLDAP-u i generiranju TLS certifikata, a uz to se vrlo detaljno raspravlja o Replikaciji direktorija te o načinu spremanja i vraćanja baza podataka.

Međutim, ovdje je postupak za vraćanje cijele baze podataka u slučaju katastrofe.

Jako važno:

Izvezenu datoteku UVIJEK moramo imati pri ruci putem upravitelja računa Ldap kao sigurnosna kopija naših podataka. Naravno, datoteka cn = amigos.ldif mora odgovarati našoj vlastitoj instalaciji. Također ga možemo dobiti putem naredbe slapcat kao što ćemo vidjeti kasnije.

1.- Eliminiramo samo slapd instalaciju.

: ~ # sposobnost čišćenja slpad

2.- Čistimo sustav paketa

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- U potpunosti brišemo bazu podataka direktorija

: ~ # rm -r / var / lib / ldap / *

4. - Ponovno instaliramo slapd demon i njegove ovisnosti

: ~ # aptitude instalirati slapd

5.- Provjeravamo

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = prijatelji, dc = cu dn

6.- Dodajte istu indeksnu datoteku olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Provjeravamo dodane indekse

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8. - Dodamo isto pravilo kontrole pristupa

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- Provjeravamo pravila za kontrolu pristupa

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Dodamo TLS certifikate. Nema potrebe za obnovom ili popravljanjem dozvola. Oni već postoje u datotečnom sustavu, ali nisu deklarirani u bazi podataka.

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Sadržaj dodajemo prema vlastitoj sigurnosnoj kopiji

: ~ # ldapadd -x -D cn = admin, dc = prijatelji, dc = cu -W -f dc = prijatelji.ldif

NEMOJTE ponovo pokretati slapd jer indeksira bazu podataka i može biti oštećen !!! UVIJEK uredite svoju sigurnosnu kopiju PRIJE dodavanja kako biste izbjegli unos postojećih unosa.

Ukazujemo u pregledniku na https://mildap.amigos.cu/lam i provjeravamo.

Naredba slapcat

Naredba šamarčina Uglavnom se koristi za generiranje u LDIF formatu, sadržaju baze podataka koja obrađuje šamariti. Naredba otvara bazu podataka određenu brojem ili sufiksom i na ekran upisuje odgovarajuću datoteku u LDIF formatu. Prikazuju se i baze podataka konfigurirane kao podređene, osim ako ne odredimo opciju -g.

Najvažnije ograničenje upotrebe ove naredbe je da se ne smije izvršavati kada se šamariti, barem u načinu pisanja, kako bi se osigurala dosljednost podataka.

Na primjer, ako želimo napraviti sigurnosnu kopiju baze podataka direktorija, u datoteku s imenom sigurnosna kopija-slapd.ldif, izvršavamo:

: ~ # servis slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # servis slapd start

LAM slike