Hello barátok!. Nem akartuk közzétenni ezt a cikket, mivel az PDF-formátumú összeállításban található, amelyet sok olvasó kért. Igen, összefoglalót írunk érdekes kiegészítésekkel. Ennek az összefoglalónak az előnézeteként átírjuk a Bevezetés:
Sokan, akik a vállalati hálózatok szolgáltatásaiért felelnek, amikor átveszik egy olyan hálózat irányítását, amelynek szolgáltatásai a Microsoft termékein alapulnak, ha Linuxra szeretnének áttérni, akkor fontolóra veszik a tartományvezérlők migrációját más szolgáltatások között.
Ha nem egy harmadik féltől származó terméket választanak, mint például a ClearOS vagy a Zentyal, vagy ha más okokból függetlenné akarnak válni, akkor gondot fordítanak arra, hogy saját tartományvezérlővé váljanak, vagy a Samba 4-től - vagy mástól - a saját Active Directory-jukat.
Ezután kezdődnek a problémák és néhány más csalódás. Működési hibák. Nem találják meg a problémák helyét, hogy képesek legyenek megoldani őket. Ismételt telepítési kísérletek. A szolgáltatások részleges működtetése. És a problémák hosszú listája.
Ha jól megnézzük, az internet nagy része nem használja a Microsoft típusú hálózatokat. Üzleti környezetünkben azonban nagyon sokat teszünk.
Ezzel az összefoglalóval megpróbáljuk megmutatni, hogy üzleti hálózatot tudunk létrehozni a Microsoft filozófiája nélkül. A felhasználók hitelesítésén alapuló szolgáltatások egy OpenLDAP Directory segítségével, például: E-mail, FTP, SFTP, Owncloudon alapuló Business Cloud stb.
Arra törekszünk, hogy egy másik megközelítést kínáljunk, amely a 100% -ban szabad szoftveren alapul, és amely nem használja vagy utánozza - ami esetünkben ugyanaz - a Microsoft hálózatok filozófiáját, akár a Microsoft szoftverrel, akár az OpenLDAP és a Samba mellett.
Minden olyan megoldás, amely az Openldap + Samba ingyenes szoftvert használja, feltétlenül átéli az alapvető ismereteket arról, hogy mi az LDAP szerver, hogyan telepítik, hogyan konfigurálják és adminisztrálják stb. Később integrálják a Samba-t és esetleg a Kerberost, és végül felajánlják nekünk, hogy "utánozzunk" egy tartományvezérlőt a Microsoft NT 4 vagy egy Active Directory stílusában.
Valóban nehéz feladat, amikor megvalósítjuk és konfiguráljuk a repository csomagokból. Akik tanulmányozták és alkalmazták a kiterjedt Samba-dokumentációt, nagyon jól tudják, mire gondolunk. A Samba 4 még az Active Directory adminisztrációját is javasolja a klasszikus adminisztrációs konzol használatával, amelyet egy Microsoft Active Directory-ban találunk, legyen az 2003-as vagy egy újabb fejlettebb.
Ajánlott olvasmány.
Kiváló kézikönyv, amit El Maestro, Joel Barrios Dueñas ad nekünk, és amely nagyon jól szolgálja a Debian játékosait, bár a CentOS-ra és a Red Hat-re irányul.
Milyen szolgáltatásokat és szoftvereket tervezünk telepíteni és konfigurálni?
- Független NTP, DNS és DHCP, vagyis az utóbbi kettő nincs integrálva a Directory-ba
- Directory Service vagy «Directory szolgáltatás»Az OpenLDAP alapján
- E-mail, "Citadel" Group Work Suite, FTP és SFTP,
- Üzleti felhő «OwnCloud«
- Független fájlszerver a Samba alapján.
A felhasználók hitelesítő adatainak hitelesítési folyamata minden esetben közvetlenül vagy a Címtáron keresztül zajlik libnss-ldap y PAM a szóban forgó szoftver jellemzőitől függően.
És minden további nélkül folytassuk a dolgot.
Ldap számlavezető
Mielőtt folytatnánk, el kell olvasnunk:
- Könyvtárszolgáltatás LDAP-val. Bevezetés
- Könyvtárszolgáltatás LDAP-val [2]: NTP és dnsmasq
- Könyvtárszolgáltatás LDAP-val [3]: Isc-DHCP-Server és Bind9
- Könyvtárszolgáltatás LDAP-val [4]: OpenLDAP (I)
- Könyvtárszolgáltatás LDAP-val [5]: OpenLDAP (II)
- Directory Service LDAP-val [6]: Tanúsítványok a Debian 7 "Wheezy" -ben
Azok, akik követték az előző cikkek sorozatát, észreveszik, hogy MÁR van egy Directory, amelyet kezelnünk kell. Ezt sokféleképpen elérhetjük, akár a csomagban csoportosított konzol segédprogramokkal ldapriptek, a webes interfészek phpLDAPadmin, Ldap számlavezetőstb., amelyek a tárban vannak.
Lehetőség van a Apache Directory Studio, amelyet le kell töltenünk az internetről. Súlya körülbelül 142 megabájt.
Könyvtárunk adminisztrációja érdekében határozottan javasoljuk a Ldap számlavezető. Az első dolog, amit elmondunk róla, hogy a telepítés után hozzáférhetünk hozzá dokumentáció amely a mappában található / usr / share / doc / ldap-account-manager / docs.
Keresztül Ldap számlavezető, ezentúl LAM, kezelhetjük a címtárunkban tárolt felhasználói és csoportos fiókokat. A LAM bármely weblapkiszolgálón fut, amely támogatja a PHP5-öt, és titkosíthatatlan csatornán keresztül, vagy StartTLS, amelyet a példánkban használunk.
Első telepítés és konfigurálás:
: ~ # aptitude install ldap-account-manager
A. Telepítése után Apache2 -apache2-mpm-prefork-, a PHP5-ből és más függőségekből, valamint magából a csomagból ldap-fiókkezelő, az első dolog, amit meg kell tennünk, hogy létrehozzunk egy szimbolikus linket a LAM dokumentációs mappából a webkiszolgálón található dokumentumok gyökérmappájába. Példa:
: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs
Így garantáljuk a böngészőn keresztüli hozzáférést a LAM kézikönyvéhez, ha a címre mutatunk http://mildap.amigos.cu/lam-docs.
Ezután kezdjük el konfigurálni magát a LAM-ot. Egy böngészőben rámutatunk http://mildap.amigos.cu/lam.
- Kattintson a linkre "LAM konfiguráció".
- Kattints a linkre "Szerverprofilok szerkesztése".
- Beírjuk a jelszót „Az m” idézetek nélkül.
A LAM konfigurációs oldalakon számos paramétert módosíthatunk preferenciáinknak és igényeinknek megfelelően. Mivel mindig is a Simple-től a Complex-ig haladtam, és nem fordítva, csak azt érintjük, ami feltétlenül szükséges a nagy teljesítményű eszköz, a LAM használatához. Ha mesterévé válunk annak használatában, módosítani vagy funkciókat akarunk hozzáadni, akkor üdvözöljük.
- A TLS aktiválása: Igen -Ajánlott-.
- Fa utótag: dc = barátok, dc = cu
- Alapértelmezett nyelv: español (Spanyolország)
- Érvényes felhasználók listája *: cn = admin, dc = barátok, dc = cu
- Új jelszó: eltérő jelszó, mint a lam
- Írja be a jelszót újra: eltérő jelszó, mint a lam
Megjegyzés: Ő ' * ”azt jelenti, hogy kötelező bejegyzés.
Bal alsó részen találhatók a gombok ^ Mentés y ^ Mégse. Ha most elmentjük a módosításokat, akkor az visszatér a kezdeti oldalra, és láthatjuk, hogy a nyelv már megváltozott, és hogy a felhasználó neve most admin. Azelőtt volt menedzser. Szerkesszük azonban újra a -now spanyol nyelvet- "Beállítás. a LAM ». Miután visszatértünk a konfigurációs oldalra, a következőket tesszük:
- Kiválasztjuk a fület „Számlatípusok”.
- A szakaszban 'Aktív fióktípusok' -> 'Felhasználók' -> 'LDAP utótag', írtunk: ou = emberek, dc = barátok, dc = cu.
- A szakaszban 'Aktív fióktípusok' -> 'Csoportok' -> 'LDAP utótag', írtunk: ou = Csoportok, dc = barátok, dc = cu.
- A gombok segítségével '^ Az ilyen típusú fiók eltávolítása', megszüntetjük azokat, amelyek megfelelnek „Csapatok” y 'Samba domains', amelyet nem fogunk használni.
- Kiválasztjuk a fület „Modulok”.
- En „Felhasználók”, a listán 'Kiválasztott modulok', mozgatjuk a modult „Samba 3 (sambaSamAccount)” listájára 'Elérhető modulok'.
- En „Csoportok”, a listán 'Kiválasztott modulok', mozgatjuk a modult „Samba 3 (sambaGroupMapping)” listájára 'Elérhető modulok'.
Egyelőre, és amíg nem ismerkedünk meg a LAM konfigurációval, addig hagyjuk.
Mentjük a módosításokat, és visszatérünk a kezdeti oldalra, ahol be kell írnunk a felhasználó jelszavát admin (cn = admin, dc = barátok, dc = cu), a készülék telepítése során deklarált pofon. Ha hibát ad vissza, ellenőrizze, hogy a /etc/ldap/ldap.conf helyesen van konfigurálva magán a szerveren. Előfordulhat, hogy a TLS-tanúsítványhoz rossz elérési út vagy rossz hiba lépett fel. Ne feledje, hogy ennek így kell kinéznie:
BASE dc = barátok, dc = cu URI ldap: //mildap.amigos.cu # TLS tanúsítványok (szükségesek a GnuTLS-hez) TLS_CACERT /etc/ssl/certs/cacert.pem
Miután beléptünk a LAM-ba, el kell töltenünk egy kis időt annak tanulmányozásával, mielőtt bármilyen konfigurációt módosítanánk. A kezelőfelülete nagyon intuitív és könnyen használható. Használja és ellenőrizze.
megfigyelés: A dokumentumban http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, a végén olvashatjuk:
Egyetlen LDAP könyvtár sok felhasználóval (> 10 000)
A LAM-ot 10 000 felhasználóval tesztelték. Ha sokkal több felhasználója van, akkor alapvetően két lehetősége van.
- Oszd meg LDAP fád szervezeti egységekben: Ez általában a legjobban teljesítő lehetőség. Helyezze fiókjait több szervezeti egységbe, és állítsa be a LAM-ot a fenti speciális forgatókönyv szerint.
- Növelje a memória korlátját: Növelje a memory_limit paramétert a php.ini fájlban. Ez lehetővé teszi a LAM számára, hogy további bejegyzéseket olvashasson. De ez lelassítja a LAM válaszidejét.
Legyünk kreatívak és rendesek a Könyvtárunk adminisztrációjában.
Jelszóbiztonsági házirendek és egyéb szempontok a LAM segítségével
- Kattintson a linkre «LAM konfiguráció».
- Kattints a linkre "Általános beállítások szerkesztése".
- Beírjuk a jelszót „Az m” idézetek nélkül.
Ezen az oldalon megtaláljuk a Jelszó irányelveket, a Biztonsági beállításokat, az Engedélyezett vendéglátókat és másokat.
Megjegyzés: A LAM konfiguráció mentve van /usr/share/ldap-account-manager/config/lam.conf.
Lehetővé tesszük a https számára, hogy biztonságosan csatlakozzon a LAM-hoz:
: ~ # a2ensite alapértelmezett-ssl : ~ # a2enmod ssl : ~ # /etc/init.d/apache2 újraindítás
Amikor a https-t az előző módon engedélyezzük, akkor az Apache által alapértelmezés szerint létrehozott tanúsítványokkal dolgozunk, és azokat tükrözi a virtuális gazdagép definíciójában alapértelmezett-ssl. Ha más általunk létrehozott tanúsítványokat akarunk használni, kérjük, és konzultáljon velünk /usr/share/doc/apache2.2-common/README.Debian.gz. A kérdéses tanúsítványokat hívják "Kígyó olaj" o kígyóolaj, és ezek megtalálhatók:
/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/private/ssl-cert-snakeoil.key
Mutassunk rá a böngészőre https://mildap.amigos.cu, és elfogadjuk a tanúsítványt. Aztán rámutatunk https://mildap.amigos.cu/lam és már dolgozhatunk a https LAM-on keresztül.
Fontos: ha a szerver indításakor a mentes hosszú időbe telik az indítás, telepítse a könnyű helyettesítőt ssmtp.
: ~ # aptitude install ssmtp A következő ÚJ csomagok kerülnek telepítésre: ssmtp {b} 0 frissített csomag, 1 új telepített, 0 eltávolítandó és 0 nem frissített. Le kell töltenem 52,7 kB fájlokat. Kicsomagolás után a 8192 B lesz használatos. A következő csomagok függőségei nem teljesülnek: exim4-config: Konfliktusok: ssmtp, de a 2.64-4 telepítésre kerül. exim4-daemon-light: Konfliktusok: mail-transport-agent, amely egy virtuális csomag. ssmtp: Konfliktusok: mail-transport-agent, amely egy virtuális csomag. A következő műveletek megoldják ezeket a függőségeket Távolítsa el a következő csomagokat: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Elfogadja ezt a megoldást? [I / n / q /?] És
Ezután végrehajtjuk:
: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot
Ha virtuális kiszolgálókkal dolgozik, ez nagyszerű alkalom lenne a teljes fő szerver megfelelő mentésére ... minden esetre. 🙂
Replikáció. Mentse és állítsa vissza a Directory adatbázist.
A kiváló útmutatóban - amelyet mindenkinek ajánlunk olvasni és tanulni - «Ubuntu Server útmutató»Az Ubuntu Server 12.04« Precise »verziójáról részletes magyarázat található a kód azon részeiről, amelyeket az OpenLDAP-ról és a TLS-tanúsítványok létrehozásáról írtunk, és ezen túlmenően a Directory Replikációról is részletesen beszámolunk, valamint a Mentés és Visszaállítás módjáról. az adatbázisok közül.
Itt van azonban egy eljárás a teljes adatbázis helyreállítására katasztrófa esetén.
Nagyon fontos:
Az exportált fájlt MINDIG kéznél kell tartanunk az Ldap Account Manager segítségével adataink biztonsági másolataként. Természetesen a cn = amigos.ldif fájlnak meg kell felelnie a saját telepítésünknek. A slapcat paranccsal is megszerezhetjük, amint később látni fogjuk.
1.- Csak a slapd telepítést szüntetjük meg.
: ~ # aptitude purge slpad
2.- Tisztítjuk a csomagrendszert
: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean
3.- Teljesen töröljük a Directory adatbázist
: ~ # rm -r / var / lib / ldap / *
4.- Újratelepítjük a slapd démont és annak függőségeit
: ~ # aptitude install slapd
5.- Ellenőrizzük
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = barátok, dc = cu dn
6.- Adja hozzá ugyanazt az olcDbIndex.ldif indexfájlt
: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcDbIndex.ldif
7.- Ellenőrizzük a hozzáadott indexeket
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex
8.- Ugyanazt a beléptető szabályt adjuk hozzá
: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcAccess.ldif
9.- Ellenőrizzük a beléptető szabályokat
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix
10.- Hozzáadjuk a TLS tanúsítványokat. Nem kell újjáépíteni vagy kijavítani az engedélyeket. Már léteznek a fájlrendszerben, de nincsenek deklarálva az adatbázisban.
: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f /etc/ssl/certinfo.ldif
11.- A tartalmat saját biztonsági mentésünk szerint adjuk hozzá
: ~ # ldapadd -x -D cn = admin, dc = barátok, dc = cu -W -f dc = friends.ldif
NE indítsa újra a slapd-et, mert indexeli az adatbázist, és megsérülhet !!! A meglévő bejegyzések beírása elkerülése érdekében MINDIG szerkessze a biztonsági mentési fájlt hozzáadása előtt.
Böngészőben mutatunk rá https://mildap.amigos.cu/lam és ellenőrizzük.
A pofon parancs
A parancs pofon Leginkább LDIF formátumban, az adatbázist kezelő adatbázis tartalmának előállítására használják pofon. A parancs megnyitja az adatbázist, amelyet a száma vagy az utótag határoz meg, és a megfelelő fájlt LDIF formátumban írja a képernyőre. Az alárendeltként konfigurált adatbázisok is megjelennek, hacsak nem adjuk meg az opciót -g.
A parancs használatának legfontosabb korlátozása az, hogy nem szabad végrehajtani, amikor a pofonlegalább írási módban az adatok konzisztenciájának biztosítása érdekében.
Például, ha biztonsági másolatot akarunk készíteni a Directory adatbázisról, egy megnevezett fájlra backup-slapd.ldif, végrehajtjuk:
: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start
Nagyszerű hozzájárulás, imádtam, és az ajánlott olvasmány is.
Hasonló cikket keresett sok siker nélkül.
Adok egy 10 😉-t
Köszönöm, hogy kommentáltad és értékelted a cikkeimet !!!
Érdekes! Még egyszer, kiváló közreműködés, Fico!
Ölelés! Pál.
Nagyon köszönöm a megjegyzést és a dicséretet, Pablo barátom !!! Remélem, hasznos lesz azok számára, akiknek szüksége van rá.
Kiváló tartalom! Még egyszer köszönöm a megosztást.
Üdvözlet
Köszönöm a megjegyzést !!!
Homerun Fico !! És a hivatalos pdf, hogy mikor lesz kész?
Üdvözlet dunter !!!. Képzelje el, hogy amellett, hogy tartalmazza az eddig közzétett 7 bejegyzést, kitérek arra is, hogy miként integrálhatok egy alapvető mail szervert a CITADEL alapján; FTP, SFTP szolgáltatások; OwnCloud-alapú üzleti felhő; egy önálló Samba szerver a rendszerhasználókkal a libnss-ldap és a PAM segítségével, és így tovább. Hozza le saját következtetéseit. 🙂 Szerintem március végéig vagy április elejéig.
Helló Federico, köszönöm a hozzájárulást, várni fogjuk. a frissítéssel ..
Erőfeszítéseket teszek a befejezésére e hónap végéig. Egyáltalán nem könnyű könyvet írni, még akkor is, ha csak néhány oldalról van szó.
Csak azt mondhatom, hogy a blog közreműködői közül Ön számomra a legérdekesebbnek, a legjobban magyarázottnak és a legközelebbinek tűnik mind közül.
Nagyon köszönöm a véleményét. Minden cikkemben mindent megteszek, mert tudom, hogy mindig vannak olyan olvasók, mint te, annak ellenére, hogy sokan nem nyilatkoznak.
Üdvözlet Nexus6 !!!
Jó napot, valahányszor konzultálok a hálózattal az ldap kapcsán, ajánlásokat találok, amelyekhez gratulálok szándékához, most új vagyok, és szeretem, ha mindenki vágyik a tanulásra
Ez itt a kérdés
Barátaim azt mondják nekem, hogy amikor a hálózat nincs megszakítva, az ldap segítségével már hitelesített operációs rendszer angolra váltja a nyelvemet, hogy elmondhassa, hol kell ellenőriznem, hogy melyik fájlt kell ellenőriznem, hogy spanyol nyelven a felhasználó már inicializálva legyen előre hozzáadta az LDAP-hoz, köszönöm a segítséget
Federico kiváló poszt a szokásos módon. Azt olvastam, hogy egy üzleti hálózaton használt telematikai szolgáltatások nagy részének konfigurációjával kommentálsz valamit, ami egy PDF-hez kapcsolódik. Azt mondtad, hogy tavaly március végére vagy április elejére készen áll. A kérdésem az, hogy akkor sikerült-e befejezni és feltölteni? Előre is köszönöm, végül az Openfire-t fogom tesztelni, úgy látom, hogy még egy webes felülete is van a 9090-hez.
Köszönöm észrevételeit, Pedro Pablo. Ahelyett, hogy sokat válaszoltam volna, írtam egy cikket, amelyet ma vagy holnap el fog olvasni. A hozzád hasonló hálás olvasók választ érdemelnek. Köszönöm mégegyszer.