Layanan Direktori dengan OpenLDAP [7 dan terakhir?]: Manajer Akun Ldap

Halo teman-teman!. Kami tidak ingin mempublikasikan artikel ini karena dimuat dalam ringkasan dalam format PDF yang diminta oleh banyak pembaca. Ya, kami akan menulis ringkasan dengan tambahan yang menarik. Dan sebagai pratinjau ringkasan ini, kami mentranskripsikannya Pengantar:

Banyak orang yang bertanggung jawab atas layanan di jaringan bisnis, ketika mereka mengambil alih jaringan yang layanannya didasarkan pada produk Microsoft, jika mereka ingin bermigrasi ke Linux, mereka mempertimbangkan migrasi Pengontrol Domain di antara layanan lainnya.

Jika mereka tidak memilih produk pihak ketiga seperti ClearOS atau Zentyal, atau jika karena alasan lain mereka ingin menjadi independen, maka mereka melakukan tugas yang melelahkan untuk menjadi Pengontrol Domain mereka sendiri, atau dari Samba 4 -atau yang lain- milik mereka sendiri Direktori Aktif.

Kemudian masalah dimulai dan beberapa kekecewaan lainnya. Kesalahan operasi. Mereka tidak menemukan lokasi masalah untuk dapat menyelesaikannya. Upaya penginstalan berulang. Operasi parsial layanan. Dan daftar panjang masalah.

Jika kita perhatikan lebih dekat, sebagian besar Internet tidak menggunakan jaringan jenis Microsoft. Namun, dalam lingkungan bisnis, kami melakukan banyak hal.

Dengan ringkasan ini kami mencoba menunjukkan bahwa kami dapat membuat jaringan bisnis tanpa filosofi Microsoft. Layanan berdasarkan otentikasi pengguna terhadap Direktori OpenLDAP seperti: E-Mail, FTP, SFTP, Business Cloud berdasarkan Owncloud, dll.

Kami bercita-cita untuk menawarkan pendekatan berbeda berdasarkan 100% Perangkat Lunak Gratis, dan itu tidak menggunakan atau meniru -yang untuk kasusnya sama- filosofi jaringan Microsoft, baik dengan Perangkat Lunak Microsoft, atau dengan OpenLDAP dan Samba sebagai yang utama.

Semua solusi yang menggunakan perangkat lunak gratis Openldap + Samba, harus melalui pengetahuan dasar tentang apa itu server LDAP, bagaimana cara menginstalnya, bagaimana cara mengkonfigurasi dan mengaturnya, dll. Kemudian mereka mengintegrasikan Samba dan mungkin Kerberos, dan pada akhirnya mereka menawarkan kita untuk "meniru" Pengontrol Domain dengan gaya Microsoft NT 4, atau Active Directory.

Tugas berat memang ketika kita mengimplementasikan dan mengkonfigurasinya dari paket repositori. Mereka yang telah mempelajari dan menerapkan dokumentasi Samba yang ekstensif tahu betul apa yang kami maksud. Samba 4 bahkan mengusulkan administrasi Active Directory Anda dengan menggunakan konsol administrasi klasik yang kami temukan di Microsoft Active Directory, baik itu 2003 atau yang lebih maju lainnya.

Bacaan yang direkomendasikan.

https://wiki.debian.org/LDAP
Panduan Administrator OpenLDAP Software 2.4
Panduan Server Ubuntu 12.04
Konfigurasi server dengan GNU / Linux.

Manual luar biasa yang, El Maestro, Joel Barrios Dueñas berikan kepada kami dan itu melayani pemain Debian dengan sangat baik, meskipun itu berorientasi pada CentOS dan Red Hat.

Layanan dan perangkat lunak apa yang kami rencanakan untuk dipasang dan dikonfigurasi?

• NTP independen, DNS dan DHCP, yaitu dua yang terakhir tidak diintegrasikan ke dalam Direktori
• Layanan Direktori atau «Layanan Direktori»Berdasarkan OpenLDAP
• E-Mail, Rangkaian Kerja Kelompok "Benteng", FTP dan SFTP,
• Cloud Bisnis «OwnCloud«
• File server independen berdasarkan Samba.

Dalam semua kasus, proses otentikasi kredensial pengguna akan dilakukan terhadap Direktori secara langsung, atau melalui libnss-ldap y PAM tergantung pada karakteristik perangkat lunak yang bersangkutan.

Dan tanpa basa-basi lagi, mari kita mulai bisnis.

Manajer Akun Ldap

Sebelum melanjutkan, kita harus membaca:

• Layanan Direktori dengan LDAP. pengantar
• Layanan Direktori dengan LDAP [2]: NTP dan dnsmasq
• Layanan Direktori dengan LDAP [3]: Isc-DHCP-Server dan Bind9
• Layanan Direktori dengan LDAP [4]: ​​OpenLDAP (I)
• Layanan Direktori dengan LDAP [5]: OpenLDAP (II)
• Layanan Direktori dengan LDAP [6]: Sertifikat di Debian 7 "Wheezy"

Mereka yang telah mengikuti rangkaian artikel sebelumnya akan mengetahui bahwa kami SUDAH memiliki Direktori untuk dikelola. Kami dapat mencapai ini dengan banyak cara, baik melalui utilitas konsol yang dikelompokkan dalam paket skrip ldap, antarmuka web PhpLDAPA admin, Manajer Akun Ldap, dll., yang ada di repositori.

Ada juga kemungkinan melakukannya melalui Studio Direktori Apache, yang harus kita unduh dari Internet. Beratnya sekitar 142 megabyte.

Untuk mengelola Direktori kami, kami sangat menyarankan penggunaan Manajer Akun Ldap. Dan hal pertama yang akan kami katakan tentang itu, adalah setelah penginstalannya, kami dapat mengaksesnya Dokumentasi yang terletak di folder / usr / share / doc / ldap-account-manager / docs.

Melalui Manajer Akun Ldap, untuk selanjutnya LAM, kami dapat mengelola akun pengguna dan grup yang disimpan di Direktori kami. LAM berjalan di server halaman web mana pun yang mendukung PHP5, dan kami dapat menghubungkannya melalui saluran yang tidak dienkripsi, atau melalui MulaiTLS, yang merupakan formulir yang akan kita gunakan dalam contoh kita.

Instalasi dan konfigurasi awal:

: ~ # aptitude install ldap-account-manager

Setelah penginstalan Apache2 -apache2-mpm-prefork-, dari PHP5 dan dependensi lainnya, dan dari paket itu sendiri ldap-akun-manajerHal pertama yang harus kita lakukan adalah membuat tautan simbolik dari folder dokumentasi LAM ke folder root dari dokumen di server web kita. Contoh:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Dengan cara ini kami menjamin akses ke manual LAM melalui browser web, jika kami menunjuk ke alamatnya http://mildap.amigos.cu/lam-docs.

Selanjutnya, mari kita mulai mengonfigurasi LAM itu sendiri. Di browser yang kami tunjuk http://mildap.amigos.cu/lam.

• Kami mengklik tautannya "Konfigurasi LAM".
• Klik pada link "Edit profil server".
• Kami mengetikkan kata sandi 'The m' tanpa tanda kutip.

Di halaman konfigurasi LAM, kita dapat mengubah banyak parameter sesuai dengan preferensi dan kebutuhan kita. Seperti yang selalu saya anjurkan untuk beralih dari yang Sederhana ke yang Kompleks, dan bukan sebaliknya, kita hanya akan menyentuh apa yang benar-benar diperlukan untuk menggunakan alat canggih yaitu LAM. Jika setelah kita Master dalam penggunaannya, kita ingin memodifikasi atau menambah fungsionalitas, maka dipersilahkan.

• Aktifkan TLS: iya nih -Disarankan-.
• Akhiran pohon: dc = teman, dc = cu
• Bahasa default: Español (Spanyol)
• Daftar pengguna yang valid *: cn = admin, dc = teman, dc = cu
• Kata sandi baru: kata sandi berbeda dari lam
  
• Masukkan Kembali password: kata sandi berbeda dari lam
  

Catatan: ' * 'berarti itu adalah entri yang diperlukan.

Kiri bawah adalah tombolnya ^ Simpan y ^ Batal. Jika kita menyimpan perubahan sekarang, itu akan mengembalikan kita ke halaman awal dan kita dapat melihat bahwa bahasanya telah berubah dan bahwa nama pengguna sekarang admin. Sebelumnya manajer. Namun, mari kita edit ulang -sekarang dalam bahasa Spanyol- "Pengaturan. dari LAM ». Setelah kita kembali ke halaman konfigurasi, kita akan melakukan hal berikut:

• Kami memilih tab 'Jenis akun'.
• Di bagian ini 'Jenis akun aktif' -> 'Pengguna' -> 'Akhiran LDAP', kami menulis: ou = Orang, dc = teman, dc = cu.
• Di bagian ini 'Jenis akun aktif' -> 'Grup' -> 'Akhiran LDAP', kami menulis: ou = Grup, dc = teman, dc = cu.
• Menggunakan tombol berjudul '^ Hapus jenis akun ini', kami menghilangkan yang sesuai dengan 'Tim' y 'Domain samba', yang tidak akan kami gunakan.
• Kami memilih tab 'Modul'.
• En 'Pengguna', di daftar 'Modul terpilih', kami memindahkan modul 'Samba 3 (akun sambaSam)' ke daftar 'Modul yang Tersedia'.
• En 'Grup', di daftar 'Modul terpilih', kami memindahkan modul 'Samba 3 (sambaGroupMapping)' ke daftar 'Modul yang Tersedia'.

Untuk saat ini, dan sampai kita terbiasa dengan konfigurasi LAM, kita akan berhenti di situ.

Kami menyimpan perubahan dan kembali ke halaman awal, di mana kami harus mengetikkan kata sandi pengguna admin (cn = admin, dc = teman, dc = cu), dideklarasikan selama penginstalan menampar. Jika Anda mengembalikan kesalahan apa pun, periksa bahwa /etc/ldap/ldap.conf itu dikonfigurasi dengan benar di server itu sendiri. Anda mungkin memiliki jalur yang salah ke sertifikat TLS atau kesalahan lainnya. Ingat itu akan terlihat seperti ini:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # sertifikat TLS (diperlukan untuk GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Begitu berada di dalam LAM, kita harus meluangkan waktu untuk mempelajarinya SEBELUM mengubah konfigurasi apa pun. Antarmukanya sangat intuitif dan mudah digunakan. Gunakan dan periksa.

Catatan: Dalam dokumen http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, kita bisa membaca di akhir:

Direktori LDAP tunggal dengan banyak pengguna (> 10)
LAM telah diuji untuk bekerja dengan 10 pengguna. Jika Anda memiliki lebih banyak pengguna, pada dasarnya Anda memiliki dua opsi.

• Bagilah pohon LDAP Anda di unit organisasi: Ini biasanya merupakan opsi yang berkinerja terbaik. Letakkan akun Anda di beberapa unit organisasi dan siapkan LAM seperti dalam skenario lanjutan di atas.
• Tingkatkan batas memori: Tingkatkan parameter memory_limit di php.ini Anda. Ini akan memungkinkan LAM untuk membaca lebih banyak entri. Tetapi ini akan memperlambat waktu respons LAM.

Mari menjadi Kreatif dan Tertib dalam Administrasi Direktori kita.

Kebijakan keamanan kata sandi, dan aspek lainnya melalui LAM

• Kami mengklik tautannya «Konfigurasi LAM».
• Klik pada link "Edit pengaturan umum".
• Kami mengetikkan kata sandi 'The m' tanpa tanda kutip.

Dan di halaman itu kami menemukan Kebijakan Kata Sandi, Preferensi Keamanan, Host yang Diizinkan, dan lainnya.

Catatan: Konfigurasi LAM disimpan di /usr/share/ldap-account-manager/config/lam.conf.

Kami mengaktifkan https untuk terhubung ke LAM dengan aman:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 restart

Saat kami mengaktifkan https dengan cara sebelumnya, kami bekerja dengan sertifikat yang dihasilkan Apache secara default, dan mencerminkannya dalam definisi host virtualnya. default-ssl. Jika kami ingin menggunakan sertifikat lain yang dihasilkan oleh kami sendiri, mohon dan biarkan kami berkonsultasi /usr/share/doc/Apache2.2-common/README.Debian.gz. Sertifikat yang dimaksud dipanggil "Minyak ular" o Minyak Ular, dan ditemukan di:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Mari arahkan browser ke https://mildap.amigos.cu, dan kami menerima sertifikat tersebut. Lalu kami tunjuk ke https://mildap.amigos.cu/lam dan kita sudah bisa bekerja melalui https LAM tersebut.

Penting: jika selama proses startup server, file Exim membutuhkan waktu lama untuk memulai, pasang pengganti yang ringan ssmtp.

: ~ # aptitude install ssmtp
 Paket BARU berikut akan diinstal: ssmtp {b} 0 paket yang diperbarui, 1 baru diinstal, 0 untuk dihapus dan 0 tidak diperbarui. Saya perlu mengunduh file 52,7 kB. Setelah pembongkaran 8192 B akan digunakan. Dependensi dari paket berikut tidak terpenuhi: exim4-config: Conflicts: ssmtp tetapi 2.64-4 akan diinstal. exim4-daemon-light: Konflik: mail-transport-agent yang merupakan paket virtual. ssmtp: Konflik: mail-transport-agent yang merupakan paket virtual. Tindakan berikut akan menyelesaikan ketergantungan ini Hapus paket berikut: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Apakah Anda menerima solusi ini? [Y / n / q /?] Dan

Kemudian kami mengeksekusi:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Jika Anda bekerja dengan server virtual, ini akan menjadi saat yang tepat untuk melakukan pencadangan yang baik dari seluruh server utama… untuk berjaga-jaga. 🙂

Replikasi. Simpan dan pulihkan database Direktori.

Dalam panduan yang sangat bagus - yang kami anjurkan kepada semua orang untuk membaca dan belajar- «Panduan Server Ubuntu»Dari Ubuntu Server 12.04« Tepat », terdapat penjelasan rinci tentang bagian-bagian kode yang telah kami tulis tentang OpenLDAP dan pembuatan sertifikat TLS, dan sebagai tambahan, Replikasi Direktori dibahas dengan sangat rinci, dan bagaimana melakukan Save dan Kembalikan database.

Namun, berikut adalah prosedur untuk memulihkan seluruh database jika terjadi bencana.

Sangat penting:

Kita harus SELALU memiliki file yang diekspor melalui Manajer Akun Ldap sebagai cadangan data kami. Tentu saja, file cn = amigos.ldif harus sesuai dengan instalasi kita sendiri. Kita juga bisa mendapatkannya melalui perintah slapcat seperti yang akan kita lihat nanti.

1.- Kami hanya menghilangkan instalasi slapd.

: ~ # bakat membersihkan slpad

2.- Kami membersihkan sistem paket

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Kami sepenuhnya menghapus database Direktori

: ~ # rm -r / var / lib / ldap / *

4.- Kami menginstal ulang daemon slapd dan dependensinya

: ~ # aptitude install slapd

5.- Kami memeriksa

: ~ # ldapsearch -Q -LLL -Y EKSTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = friends, dc = cu dn

6.- Tambahkan file indeks yang sama olcDbIndex.ldif

: ~ # ldapmodify -Y EKSTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Kami memeriksa indeks yang ditambahkan

: ~ # ldapsearch -Q -LLL -Y EKSTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Kami menambahkan Aturan Kontrol Akses yang sama

: ~ # ldapmodify -Y EKSTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- Kami memeriksa Aturan Kontrol Akses

: ~ # ldapsearch -Q -LLL -Y EKSTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Kami menambahkan Sertifikat TLS. Tidak perlu membangun kembali atau memperbaiki izin. Mereka sudah ada di sistem file, tetapi tidak dideklarasikan di database.

: ~ # ldapmodify -Y EKSTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Kami menambahkan konten sesuai dengan cadangan kami sendiri

: ~ # ldapadd -x -D cn = admin, dc = teman, dc = cu -W -f dc = friends.ldif

JANGAN restart slapd karena itu mengindeks database dan bisa rusak !!! SELALU edit file cadangan Anda SEBELUM menambahkannya, agar tidak memasukkan entri yang ada.

Kami menunjuk ke browser ke https://mildap.amigos.cu/lam dan kami periksa.

Perintah slapcat

Perintah tamparan Ini sebagian besar digunakan untuk menghasilkan dalam format LDIF, konten database yang menangani file menampar. Perintah membuka database yang ditentukan oleh nomornya atau sufiks, dan menulis file yang sesuai dalam format LDIF di layar. Basis data yang dikonfigurasi sebagai bawahan juga ditampilkan, kecuali kita menentukan opsi -g.

Batasan terpenting dari penggunaan perintah ini adalah bahwa perintah ini tidak boleh dijalankan saat menampar, setidaknya dalam mode tulis, untuk memastikan konsistensi data.

Misalnya, jika kita ingin membuat salinan cadangan database Direktori, ke file bernama cadangan-slapd.ldif, kami mengeksekusi:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

Gambar LAM