Könyvtárszolgáltatás az OpenLDAP segítségével [7 and final?]: Ldap Account Manager

Hello barátok!. Nem akartuk közzétenni ezt a cikket, mivel az PDF-formátumú összeállításban található, amelyet sok olvasó kért. Igen, összefoglalót írunk érdekes kiegészítésekkel. Ennek az összefoglalónak az előnézeteként átírjuk a Bevezetés:

Sokan, akik a vállalati hálózatok szolgáltatásaiért felelnek, amikor átveszik egy olyan hálózat irányítását, amelynek szolgáltatásai a Microsoft termékein alapulnak, ha Linuxra szeretnének áttérni, akkor fontolóra veszik a tartományvezérlők migrációját más szolgáltatások között.

Ha nem egy harmadik féltől származó terméket választanak, mint például a ClearOS vagy a Zentyal, vagy ha más okokból függetlenné akarnak válni, akkor gondot fordítanak arra, hogy saját tartományvezérlővé váljanak, vagy a Samba 4-től - vagy mástól - a saját Active Directory-jukat.

Ezután kezdődnek a problémák és néhány más csalódás. Működési hibák. Nem találják meg a problémák helyét, hogy képesek legyenek megoldani őket. Ismételt telepítési kísérletek. A szolgáltatások részleges működtetése. És a problémák hosszú listája.

Ha jól megnézzük, az internet nagy része nem használja a Microsoft típusú hálózatokat. Üzleti környezetünkben azonban nagyon sokat teszünk.

Ezzel az összefoglalóval megpróbáljuk megmutatni, hogy üzleti hálózatot tudunk létrehozni a Microsoft filozófiája nélkül. A felhasználók hitelesítésén alapuló szolgáltatások egy OpenLDAP Directory segítségével, például: E-mail, FTP, SFTP, Owncloudon alapuló Business Cloud stb.

Arra törekszünk, hogy egy másik megközelítést kínáljunk, amely a 100% -ban szabad szoftveren alapul, és amely nem használja vagy utánozza - ami esetünkben ugyanaz - a Microsoft hálózatok filozófiáját, akár a Microsoft szoftverrel, akár az OpenLDAP és a Samba mellett.

Minden olyan megoldás, amely az Openldap + Samba ingyenes szoftvert használja, feltétlenül átéli az alapvető ismereteket arról, hogy mi az LDAP szerver, hogyan telepítik, hogyan konfigurálják és adminisztrálják stb. Később integrálják a Samba-t és esetleg a Kerberost, és végül felajánlják nekünk, hogy "utánozzunk" egy tartományvezérlőt a Microsoft NT 4 vagy egy Active Directory stílusában.

Valóban nehéz feladat, amikor megvalósítjuk és konfiguráljuk a repository csomagokból. Akik tanulmányozták és alkalmazták a kiterjedt Samba-dokumentációt, nagyon jól tudják, mire gondolunk. A Samba 4 még az Active Directory adminisztrációját is javasolja a klasszikus adminisztrációs konzol használatával, amelyet egy Microsoft Active Directory-ban találunk, legyen az 2003-as vagy egy újabb fejlettebb.

Ajánlott olvasmány.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 rendszergazdai kézikönyv
Ubuntu Server Guide 12.04
Szerver konfiguráció GNU / Linux rendszerrel.

Kiváló kézikönyv, amit El Maestro, Joel Barrios Dueñas ad nekünk, és amely nagyon jól szolgálja a Debian játékosait, bár a CentOS-ra és a Red Hat-re irányul.

Milyen szolgáltatásokat és szoftvereket tervezünk telepíteni és konfigurálni?

  • Független NTP, DNS és DHCP, vagyis az utóbbi kettő nincs integrálva a Directory-ba
  • Directory Service vagy «Directory szolgáltatás»Az OpenLDAP alapján
  • E-mail, "Citadel" Group Work Suite, FTP és SFTP,
  • Üzleti felhő «OwnCloud«
  • Független fájlszerver a Samba alapján.

A felhasználók hitelesítő adatainak hitelesítési folyamata minden esetben közvetlenül vagy a Címtáron keresztül zajlik libnss-ldap y PAM a szóban forgó szoftver jellemzőitől függően.

És minden további nélkül folytassuk a dolgot.

Ldap számlavezető

Mielőtt folytatnánk, el kell olvasnunk:

Azok, akik követték az előző cikkek sorozatát, észreveszik, hogy MÁR van egy Directory, amelyet kezelnünk kell. Ezt sokféleképpen elérhetjük, akár a csomagban csoportosított konzol segédprogramokkal ldapriptek, a webes interfészek phpLDAPadmin, Ldap számlavezetőstb., amelyek a tárban vannak.

Lehetőség van a Apache Directory Studio, amelyet le kell töltenünk az internetről. Súlya körülbelül 142 megabájt.

Könyvtárunk adminisztrációja érdekében határozottan javasoljuk a Ldap számlavezető. Az első dolog, amit elmondunk róla, hogy a telepítés után hozzáférhetünk hozzá dokumentáció amely a mappában található / usr / share / doc / ldap-account-manager / docs.

Keresztül Ldap számlavezető, ezentúl LAM, kezelhetjük a címtárunkban tárolt felhasználói és csoportos fiókokat. A LAM bármely weblapkiszolgálón fut, amely támogatja a PHP5-öt, és titkosíthatatlan csatornán keresztül, vagy StartTLS, amelyet a példánkban használunk.

Első telepítés és konfigurálás:

: ~ # aptitude install ldap-account-manager

A. Telepítése után Apache2 -apache2-mpm-prefork-, a PHP5-ből és más függőségekből, valamint magából a csomagból ldap-fiókkezelő, az első dolog, amit meg kell tennünk, hogy létrehozzunk egy szimbolikus linket a LAM dokumentációs mappából a webkiszolgálón található dokumentumok gyökérmappájába. Példa:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Így garantáljuk a böngészőn keresztüli hozzáférést a LAM kézikönyvéhez, ha a címre mutatunk http://mildap.amigos.cu/lam-docs.

Ezután kezdjük el konfigurálni magát a LAM-ot. Egy böngészőben rámutatunk http://mildap.amigos.cu/lam.

  • Kattintson a linkre "LAM konfiguráció".
  • Kattints a linkre "Szerverprofilok szerkesztése".
  • Beírjuk a jelszót „Az m” idézetek nélkül.

A LAM konfigurációs oldalakon számos paramétert módosíthatunk preferenciáinknak és igényeinknek megfelelően. Mivel mindig is a Simple-től a Complex-ig haladtam, és nem fordítva, csak azt érintjük, ami feltétlenül szükséges a nagy teljesítményű eszköz, a LAM használatához. Ha mesterévé válunk annak használatában, módosítani vagy funkciókat akarunk hozzáadni, akkor üdvözöljük.

  • A TLS aktiválása: Igen -Ajánlott-.
  • Fa utótag: dc = barátok, dc = cu
  • Alapértelmezett nyelv: español (Spanyolország)
  • Érvényes felhasználók listája *: cn = admin, dc = barátok, dc = cu
  • Új jelszó: eltérő jelszó, mint a lam
  • Írja be a jelszót újra: eltérő jelszó, mint a lam

Megjegyzés: Ő ' * ”azt jelenti, hogy kötelező bejegyzés.

Bal alsó részen találhatók a gombok ^ Mentés y ^ Mégse. Ha most elmentjük a módosításokat, akkor az visszatér a kezdeti oldalra, és láthatjuk, hogy a nyelv már megváltozott, és hogy a felhasználó neve most admin. Azelőtt volt menedzser. Szerkesszük azonban újra a -now spanyol nyelvet- "Beállítás. a LAM ». Miután visszatértünk a konfigurációs oldalra, a következőket tesszük:

  • Kiválasztjuk a fület „Számlatípusok”.
  • A szakaszban 'Aktív fióktípusok' -> 'Felhasználók' -> 'LDAP utótag', írtunk: ou = emberek, dc = barátok, dc = cu.
  • A szakaszban 'Aktív fióktípusok' -> 'Csoportok' -> 'LDAP utótag', írtunk: ou = Csoportok, dc = barátok, dc = cu.
  • A gombok segítségével '^ Az ilyen típusú fiók eltávolítása', megszüntetjük azokat, amelyek megfelelnek „Csapatok” y 'Samba domains', amelyet nem fogunk használni.
  • Kiválasztjuk a fület „Modulok”.
  • En „Felhasználók”, a listán 'Kiválasztott modulok', mozgatjuk a modult „Samba 3 (sambaSamAccount)” listájára 'Elérhető modulok'.
  • En „Csoportok”, a listán 'Kiválasztott modulok', mozgatjuk a modult „Samba 3 (sambaGroupMapping)” listájára 'Elérhető modulok'.

Egyelőre, és amíg nem ismerkedünk meg a LAM konfigurációval, addig hagyjuk.

Mentjük a módosításokat, és visszatérünk a kezdeti oldalra, ahol be kell írnunk a felhasználó jelszavát admin (cn = admin, dc = barátok, dc = cu), a készülék telepítése során deklarált pofon. Ha hibát ad vissza, ellenőrizze, hogy a /etc/ldap/ldap.conf helyesen van konfigurálva magán a szerveren. Előfordulhat, hogy a TLS-tanúsítványhoz rossz elérési út vagy rossz hiba lépett fel. Ne feledje, hogy ennek így kell kinéznie:

BASE dc = barátok, dc = cu URI ldap: //mildap.amigos.cu # TLS tanúsítványok (szükségesek a GnuTLS-hez) TLS_CACERT /etc/ssl/certs/cacert.pem

Miután beléptünk a LAM-ba, el kell töltenünk egy kis időt annak tanulmányozásával, mielőtt bármilyen konfigurációt módosítanánk. A kezelőfelülete nagyon intuitív és könnyen használható. Használja és ellenőrizze.

megfigyelés: A dokumentumban http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, a végén olvashatjuk:

Egyetlen LDAP könyvtár sok felhasználóval (> 10 000)
A LAM-ot 10 000 felhasználóval tesztelték. Ha sokkal több felhasználója van, akkor alapvetően két lehetősége van.

  • Oszd meg LDAP fád szervezeti egységekben: Ez általában a legjobban teljesítő lehetőség. Helyezze fiókjait több szervezeti egységbe, és állítsa be a LAM-ot a fenti speciális forgatókönyv szerint.
  • Növelje a memória korlátját: Növelje a memory_limit paramétert a php.ini fájlban. Ez lehetővé teszi a LAM számára, hogy további bejegyzéseket olvashasson. De ez lelassítja a LAM válaszidejét.

Legyünk kreatívak és rendesek a Könyvtárunk adminisztrációjában.

Jelszóbiztonsági házirendek és egyéb szempontok a LAM segítségével

  • Kattintson a linkre «LAM konfiguráció».
  • Kattints a linkre "Általános beállítások szerkesztése".
  • Beírjuk a jelszót „Az m” idézetek nélkül.

Ezen az oldalon megtaláljuk a Jelszó irányelveket, a Biztonsági beállításokat, az Engedélyezett vendéglátókat és másokat.

Megjegyzés: A LAM konfiguráció mentve van /usr/share/ldap-account-manager/config/lam.conf.

Lehetővé tesszük a https számára, hogy biztonságosan csatlakozzon a LAM-hoz:

: ~ # a2ensite alapértelmezett-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 újraindítás

Amikor a https-t az előző módon engedélyezzük, akkor az Apache által alapértelmezés szerint létrehozott tanúsítványokkal dolgozunk, és azokat tükrözi a virtuális gazdagép definíciójában alapértelmezett-ssl. Ha más általunk létrehozott tanúsítványokat akarunk használni, kérjük, és konzultáljon velünk /usr/share/doc/apache2.2-common/README.Debian.gz. A kérdéses tanúsítványokat hívják "Kígyó olaj" o kígyóolaj, és ezek megtalálhatók:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Mutassunk rá a böngészőre https://mildap.amigos.cu, és elfogadjuk a tanúsítványt. Aztán rámutatunk https://mildap.amigos.cu/lam és már dolgozhatunk a https LAM-on keresztül.

Fontos: ha a szerver indításakor a mentes hosszú időbe telik az indítás, telepítse a könnyű helyettesítőt ssmtp.

: ~ # aptitude install ssmtp
 A következő ÚJ csomagok kerülnek telepítésre: ssmtp {b} 0 frissített csomag, 1 új telepített, 0 eltávolítandó és 0 nem frissített. Le kell töltenem 52,7 kB fájlokat. Kicsomagolás után a 8192 B lesz használatos. A következő csomagok függőségei nem teljesülnek: exim4-config: Konfliktusok: ssmtp, de a 2.64-4 telepítésre kerül. exim4-daemon-light: Konfliktusok: mail-transport-agent, amely egy virtuális csomag. ssmtp: Konfliktusok: mail-transport-agent, amely egy virtuális csomag. A következő műveletek megoldják ezeket a függőségeket Távolítsa el a következő csomagokat: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Elfogadja ezt a megoldást? [I / n / q /?] És

Ezután végrehajtjuk:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Ha virtuális kiszolgálókkal dolgozik, ez nagyszerű alkalom lenne a teljes fő szerver megfelelő mentésére ... minden esetre. 🙂

Replikáció. Mentse és állítsa vissza a Directory adatbázist.

A kiváló útmutatóban - amelyet mindenkinek ajánlunk olvasni és tanulni - «Ubuntu Server útmutató»Az Ubuntu Server 12.04« Precise »verziójáról részletes magyarázat található a kód azon részeiről, amelyeket az OpenLDAP-ról és a TLS-tanúsítványok létrehozásáról írtunk, és ezen túlmenően a Directory Replikációról is részletesen beszámolunk, valamint a Mentés és Visszaállítás módjáról. az adatbázisok közül.

Itt van azonban egy eljárás a teljes adatbázis helyreállítására katasztrófa esetén.

Nagyon fontos:

Az exportált fájlt MINDIG kéznél kell tartanunk az Ldap Account Manager segítségével adataink biztonsági másolataként. Természetesen a cn = amigos.ldif fájlnak meg kell felelnie a saját telepítésünknek. A slapcat paranccsal is megszerezhetjük, amint később látni fogjuk.

1.- Csak a slapd telepítést szüntetjük meg.

: ~ # aptitude purge slpad

2.- Tisztítjuk a csomagrendszert

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Teljesen töröljük a Directory adatbázist

: ~ # rm -r / var / lib / ldap / *

4.- Újratelepítjük a slapd démont és annak függőségeit

: ~ # aptitude install slapd

5.- Ellenőrizzük

: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = barátok, dc = cu dn

6.- Adja hozzá ugyanazt az olcDbIndex.ldif indexfájlt

: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcDbIndex.ldif

7.- Ellenőrizzük a hozzáadott indexeket

: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Ugyanazt a beléptető szabályt adjuk hozzá

: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcAccess.ldif

9.- Ellenőrizzük a beléptető szabályokat

: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Hozzáadjuk a TLS tanúsítványokat. Nem kell újjáépíteni vagy kijavítani az engedélyeket. Már léteznek a fájlrendszerben, de nincsenek deklarálva az adatbázisban.

: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- A tartalmat saját biztonsági mentésünk szerint adjuk hozzá

: ~ # ldapadd -x -D cn = admin, dc = barátok, dc = cu -W -f dc = friends.ldif

NE indítsa újra a slapd-et, mert indexeli az adatbázist, és megsérülhet !!! A meglévő bejegyzések beírása elkerülése érdekében MINDIG szerkessze a biztonsági mentési fájlt hozzáadása előtt.

Böngészőben mutatunk rá https://mildap.amigos.cu/lam és ellenőrizzük.

A pofon parancs

A parancs pofon Leginkább LDIF formátumban, az adatbázist kezelő adatbázis tartalmának előállítására használják pofon. A parancs megnyitja az adatbázist, amelyet a száma vagy az utótag határoz meg, és a megfelelő fájlt LDIF formátumban írja a képernyőre. Az alárendeltként konfigurált adatbázisok is megjelennek, hacsak nem adjuk meg az opciót -g.

A parancs használatának legfontosabb korlátozása az, hogy nem szabad végrehajtani, amikor a pofonlegalább írási módban az adatok konzisztenciájának biztosítása érdekében.

Például, ha biztonsági másolatot akarunk készíteni a Directory adatbázisról, egy megnevezett fájlra backup-slapd.ldif, végrehajtjuk:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM képek

lam-01

lam-02

lam-03

lam-04

lam-05

lam-06


15 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   Jose Antonio dijo

    Nagyszerű hozzájárulás, imádtam, és az ajánlott olvasmány is.
    Hasonló cikket keresett sok siker nélkül.

    Adok egy 10 😉-t

    1.    Federico dijo

      Köszönöm, hogy kommentáltad és értékelted a cikkeimet !!!

  2.   használjuk a linuxot dijo

    Érdekes! Még egyszer, kiváló közreműködés, Fico!
    Ölelés! Pál.

    1.    Federico dijo

      Nagyon köszönöm a megjegyzést és a dicséretet, Pablo barátom !!! Remélem, hasznos lesz azok számára, akiknek szüksége van rá.

  3.   vidagnu dijo

    Kiváló tartalom! Még egyszer köszönöm a megosztást.

    Üdvözlet

    1.    Federico dijo

      Köszönöm a megjegyzést !!!

  4.   vadász dijo

    Homerun Fico !! És a hivatalos pdf, hogy mikor lesz kész?

    1.    Federico dijo

      Üdvözlet dunter !!!. Képzelje el, hogy amellett, hogy tartalmazza az eddig közzétett 7 bejegyzést, kitérek arra is, hogy miként integrálhatok egy alapvető mail szervert a CITADEL alapján; FTP, SFTP szolgáltatások; OwnCloud-alapú üzleti felhő; egy önálló Samba szerver a rendszerhasználókkal a libnss-ldap és a PAM segítségével, és így tovább. Hozza le saját következtetéseit. 🙂 Szerintem március végéig vagy április elejéig.

      1.    guzmanweb dijo

        Helló Federico, köszönöm a hozzájárulást, várni fogjuk. a frissítéssel ..

        1.    Federico dijo

          Erőfeszítéseket teszek a befejezésére e hónap végéig. Egyáltalán nem könnyű könyvet írni, még akkor is, ha csak néhány oldalról van szó.

  5.   nexus6 dijo

    Csak azt mondhatom, hogy a blog közreműködői közül Ön számomra a legérdekesebbnek, a legjobban magyarázottnak és a legközelebbinek tűnik mind közül.

    1.    Federico dijo

      Nagyon köszönöm a véleményét. Minden cikkemben mindent megteszek, mert tudom, hogy mindig vannak olyan olvasók, mint te, annak ellenére, hogy sokan nem nyilatkoznak.
      Üdvözlet Nexus6 !!!

  6.   Edgar dijo

    Jó napot, valahányszor konzultálok a hálózattal az ldap kapcsán, ajánlásokat találok, amelyekhez gratulálok szándékához, most új vagyok, és szeretem, ha mindenki vágyik a tanulásra
    Ez itt a kérdés
    Barátaim azt mondják nekem, hogy amikor a hálózat nincs megszakítva, az ldap segítségével már hitelesített operációs rendszer angolra váltja a nyelvemet, hogy elmondhassa, hol kell ellenőriznem, hogy melyik fájlt kell ellenőriznem, hogy spanyol nyelven a felhasználó már inicializálva legyen előre hozzáadta az LDAP-hoz, köszönöm a segítséget

  7.   petrop dijo

    Federico kiváló poszt a szokásos módon. Azt olvastam, hogy egy üzleti hálózaton használt telematikai szolgáltatások nagy részének konfigurációjával kommentálsz valamit, ami egy PDF-hez kapcsolódik. Azt mondtad, hogy tavaly március végére vagy április elejére készen áll. A kérdésem az, hogy akkor sikerült-e befejezni és feltölteni? Előre is köszönöm, végül az Openfire-t fogom tesztelni, úgy látom, hogy még egy webes felülete is van a 9090-hez.

    1.    Federico A. Valdes Toujague dijo

      Köszönöm észrevételeit, Pedro Pablo. Ahelyett, hogy sokat válaszoltam volna, írtam egy cikket, amelyet ma vagy holnap el fog olvasni. A hozzád hasonló hálás olvasók választ érdemelnek. Köszönöm mégegyszer.