שירות מדריכים עם OpenLDAP [7 וסופי?]: מנהל חשבונות Ldap

שלום חברים!. לא רצינו לפרסם מאמר זה מכיוון שהוא כלול במכלול בפורמט PDF אותו ביקשו קוראים רבים. כן, נכתוב סיכום עם תוספות מעניינות. ובתור תצוגה מקדימה למכלול זה אנו מתמללים את מבוא:

אנשים רבים שאחראים על השירותים ברשתות הארגוניות, כאשר הם לוקחים אחריות על רשת ששירותיה מבוססים על מוצרי מיקרוסופט, אם הם רוצים לעבור ללינוקס הם רואים את העברת בקרי הדומיין בין שירותים אחרים.

אם הם לא בוחרים במוצר של צד שלישי כגון ClearOS או Zentyal, או אם מסיבות אחרות הם רוצים להיות עצמאיים, הם מתחייבים במשימה הדקדקנית להפוך לבקר תחום משלהם, או מסמבה 4 - או אחר - מדריך הפעילות שלהם.

ואז הבעיות מתחילות ועוד כמה אכזבות. שגיאות הפעלה. הם לא מוצאים את מיקום הבעיות כדי להצליח לפתור אותן. ניסיונות התקנה חוזרים ונשנים. תפעול חלקי של השירותים. ורשימה ארוכה של בעיות.

אם אנו מסתכלים מקרוב, רוב האינטרנט אינו משתמש ברשתות מסוג מיקרוסופט. עם זאת, בסביבה העסקית שלנו אנו עושים הרבה.

במכלול זה אנו מנסים להראות שנוכל ליצור רשת עסקית ללא הפילוסופיה של מיקרוסופט. שירותים המבוססים על אימות משתמשים מול מדריך OpenLDAP כגון: דואר אלקטרוני, FTP, SFTP, ענן עסקי המבוסס על Owncloud וכו '.

אנו שואפים להציע גישה שונה המבוססת על תוכנה חופשית של 100%, ואין בה שימוש או חיקוי - אשר למקרה זהה - הפילוסופיה של רשתות מיקרוסופט, בין אם באמצעות תוכנת מיקרוסופט, ובין אם OpenLDAP וסמבה הן העיקריות.

כל הפתרונות המשתמשים בתוכנה החינמית Openldap + Samba עוברים בהכרח את הידע הבסיסי של מהו שרת LDAP, כיצד הוא מותקן, כיצד הוא מוגדר ומנוהל וכו '. בהמשך הם משלבים את סמבה ואולי את קרברוס, ובסופו של דבר הם מציעים לנו "לחקות" בקר דומיין בסגנון NT 4 של מיקרוסופט, או Active Directory.

אכן משימה קשה כאשר אנו מיישמים ומגדירים אותה מחבילות המאגר. מי שלמד ויישם את תיעוד הסמבה הנרחב יודע היטב למה אנו מתכוונים. Samba 4 אפילו מציע את ניהול ה- Active Directory שלך באמצעות קונסולת הניהול הקלאסית שאנו מוצאים ב- Active Directory של Microsoft, בין אם זה 2003 או אחר מתקדם יותר.

קריאה מומלצת.

https://wiki.debian.org/LDAP
מדריך מנהל התוכנה OpenLDAP 2.4
אובונטו ServerGuide 12.04
תצורת שרת עם GNU / Linux.

מדריך מצוין ש- El Maestro, Joel Barrios Dueñas נותן לנו וזה משרת את שחקני דביאן טוב מאוד, אם כי הוא מכוון ל- CentOS ול- Red Hat.

אילו שירותים ותוכנות אנו מתכננים להתקין ולהגדיר?

• NTP, DNS ו- DHCP עצמאיים, כלומר שני האחרונים אינם משולבים בספריה
• שירות מדריכים או «שירות מדריכים»מבוסס על OpenLDAP
• דואר אלקטרוני, חבילת עבודה קבוצתית "Citadel", FTP ו- SFTP,
• ענן עסקים «OwnCloud«
• שרת קבצים עצמאי מבוסס סמבה.

בכל המקרים, תהליך אימות אישורי המשתמשים יתבצע מול המדריך ישירות, או באמצעותו libnss-ldap y PAM תלוי במאפייני התוכנה המדוברת.

וללא יותר מלה, בואו נעבור לעניינים.

מנהל חשבון Ldap

לפני שנמשיך, עלינו לקרוא:

• שירות מדריכים עם LDAP. מבוא
• שירות מדריכים עם LDAP [2]: NTP ו- dnsmasq
• שירות מדריכים עם LDAP [3]: Isc-DHCP-Server ו- Bind9
• שירות מדריכים עם LDAP [4]: ​​OpenLDAP (I)
• שירות מדריכים עם LDAP [5]: OpenLDAP (II)
• שירות מדריכים עם LDAP [6]: אישורים בדביאן 7 "Wheezy"

מי שעוקב אחר סדרת המאמרים הקודמים, הבחין שיש לנו כבר מדריך לנהל. אנו יכולים להשיג זאת בדרכים רבות, באמצעות כלי הקונסולה המקובצים בחבילה כתבי יד, ממשקי האינטרנט PhpLDAPadmin, מנהל חשבון Ldapוכו ', הנמצאים במאגר.

יש גם אפשרות לעשות זאת דרך ה- סטודיו Apache Directory, שעלינו להוריד מהאינטרנט. משקלו כ -142 מגה.

כדי לנהל את המדריך שלנו, אנו ממליצים בחום על השימוש ב- מנהל חשבון Ldap. והדבר הראשון שנגיד עליו הוא שלאחר התקנתו, אנו יכולים לגשת אליו תיעוד שנמצא בתיקיה / usr / share / doc / ldap-account-manager / docs.

דרך מנהל חשבון Ldapמכאן ואילך לאם, אנו יכולים לנהל חשבונות משתמשים וקבוצות המאוחסנים בספריה שלנו. ה- LAM פועל בכל שרת דף אינטרנט התומך ב- PHP5, ואנחנו יכולים להתחבר אליו דרך ערוץ לא מוצפן, או דרך StartTLS, שהיא הצורה בה נשתמש בדוגמה שלנו.

התקנה ותצורה ראשונית:

: ~ # aptitude התקן את ldap-account-manager

לאחר ההתקנה של Apache2 -apache2-mpm-prefork-, מ- PHP5 ותלות אחרות, ומהחבילה עצמה ldap-account-manager, הדבר הראשון שעלינו לעשות הוא ליצור קישור סמלי מתיקיית התיעוד LAM לתיקיית הבסיס של המסמכים בשרת האינטרנט שלנו. דוגמא:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

באופן זה אנו מבטיחים גישה למדריך LAM דרך דפדפן אינטרנט, אם אנו מצביעים על הכתובת http://mildap.amigos.cu/lam-docs.

לאחר מכן, נתחיל להגדיר את תצורת ה- LAM עצמה. בדפדפן אליו אנו מצביעים http://mildap.amigos.cu/lam.

• אנו לוחצים על הקישור "תצורת LAM".
• לחץ על הקישור "ערוך פרופילי שרת".
• אנו מקלידים את הסיסמה 'המ' בלי הצעות המחיר.

בדפי התצורה של LAM נוכל לשנות פרמטרים רבים בהתאם להעדפותינו ולצרכים שלנו. כפי שתמיד המלצתי לעבור מהפשוט למתחם, ולא להפך, ניגע רק במה שנחוץ בהחלט לשימוש בכלי החזק שהוא LAM. אם לאחר שנאמן את השימוש בו, אנו רוצים לשנות או להוסיף פונקציות, ברוך הבא.

• הפעל TLS: כן -מוּמלָץ-.
• סיומת עץ: dc = חברים, dc = cu
• שפת ברירת מחדל: ספרדית (ספרד)
• רשימת משתמשים חוקיים *: cn = admin, dc = חברים, dc = cu
• סיסמה חדשה: סיסמה שונה מ
  
• תכניס מחדש סיסמה: סיסמה שונה מ
  

הערה: ' * פירושו שמדובר בערך נדרש.

משמאל למטה נמצאים הכפתורים ^ שמור y ^ בטל. אם נשמור את השינויים כעת, זה יחזיר אותנו לדף הראשוני ונוכל לראות שהשפה כבר השתנתה וששם המשתמש כעת מנהל. לפני כן היה מנהל. עם זאת, בואו ונערוך מחדש את -עכשיו בספרדית- "הגדרה. של LAM ». לאחר שנחזור לדף התצורה, נבצע את הפעולות הבאות:

• אנו בוחרים את הכרטיסייה 'סוגי חשבונות'.
• בקטע 'סוגי חשבונות פעילים' -> 'משתמשים' -> 'סיומת LDAP', כתבנו: ou = אנשים, dc = חברים, dc = cu.
• בקטע 'סוגי חשבונות פעילים' -> 'קבוצות' -> 'סיומת LDAP', כתבנו: ou = קבוצות, dc = חברים, dc = cu.
• באמצעות הכפתורים שכותרתם '^ הסר סוג זה של חשבון', אנו מבטלים את אלה המתאימים ל- 'קבוצות' y 'תחומי סמבה', שלא נשתמש בהם.
• אנו בוחרים את הכרטיסייה 'מודולים'.
• En 'משתמשים', ברשימה 'מודולים נבחרים', אנחנו מעבירים את המודול 'סמבה 3 (sambaSamAccount)' לרשימת 'מודולים זמינים'.
• En 'קבוצות', ברשימה 'מודולים נבחרים', אנחנו מעבירים את המודול 'סמבה 3 (sambaGroupMapping)' לרשימת 'מודולים זמינים'.

לעת עתה, ועד שנכיר את תצורת ה- LAM, נעזוב את זה.

אנו שומרים את השינויים וחוזרים לדף הראשוני, שם עלינו להקליד את סיסמת המשתמש מנהל (cn = admin, dc = חברים, dc = cu), הוכרז במהלך התקנת ה- סלאפ. אם אתה מחזיר שגיאה, בדוק ש- /etc/ldap/ldap.conf הוא מוגדר כהלכה בשרת עצמו. ייתכן שיש לך את הנתיב הלא נכון לאישור TLS או לשגיאה אחרת. זכור שזה צריך להיראות כך:

BASE dc = חברים, dc = cu URI ldap: //mildap.amigos.cu # אישורי TLS (דרושים ל- GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

ברגע שנכנסנו ל- LAM, עלינו להקדיש זמן ללימודו לפני שינוי תצורה כלשהי. הממשק שלו מאוד אינטואיטיבי וקל לשימוש. השתמש בו ובדוק.

הערה: במסמך http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenariosנוכל לקרוא בסוף:

ספריית LDAP יחידה עם הרבה משתמשים (> 10 000)
LAM נבדק לעבוד עם 10 משתמשים. אם יש לך הרבה יותר משתמשים אז יש לך בעצם שתי אפשרויות.

• חלק את עץ ה- LDAP שלך ביחידות ארגוניות: זוהי בדרך כלל האפשרות הביצועית הטובה ביותר. שים את חשבונותיך בכמה יחידות ארגוניות והגדר את LAM כמו בתרחיש המתקדם לעיל.
• הגדל את מגבלת הזיכרון: הגדל את הפרמטר memory_limit ב- php.ini שלך. זה יאפשר ל- LAM לקרוא ערכים נוספים. אבל זה יאט את זמני התגובה של LAM.

בואו נהיה יצירתיים ומסודרים במינהל המדריך שלנו.

מדיניות אבטחת סיסמאות, והיבטים אחרים באמצעות LAM

• אנו לוחצים על הקישור «תצורת LAM».
• לחץ על הקישור "ערוך הגדרות כלליות".
• אנו מקלידים את הסיסמה 'המ' בלי הצעות המחיר.

ובעמוד זה אנו מוצאים את מדיניות הסיסמה, העדפות האבטחה, המארחים המותרים ואחרים.

הערה: תצורת ה- LAM נשמרת ב /usr/share/ldap-account-manager/config/lam.conf.

אנו מאפשרים ל- https להתחבר ל- LAM בבטחה:

: ~ # a2ensite ברירת מחדל-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 הפעלה מחדש

כאשר אנו מאפשרים https בדרך הקודמת, אנו עובדים עם האישורים שאפצ'י מייצר כברירת מחדל ומשקפים אותם בהגדרת המארח הווירטואלי שלו. ברירת מחדל-ssl. אם אנו רוצים להשתמש בתעודות אחרות שנוצרו על ידי עצמנו, אנא ותן לנו להתייעץ /usr/share/doc/apache2.2-common/README.Debian.gz. האישורים המדוברים נקראים "שמן נחשים" שמן נחש, והם נמצאים ב:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

בואו להפנות את הדפדפן אליו https://mildap.amigos.cu, ואנחנו מקבלים את האישור. ואז אנחנו מצביעים על https://mildap.amigos.cu/lam ואנחנו כבר יכולים לעבוד דרך https LAM.

חשוב: אם במהלך תהליך הפעלת השרת, אקסים לוקח הרבה זמן להתחיל, להתקין את התחליף הקל ssmtp.

: ~ # aptitude להתקין ssmtp
 החבילות החדשות הבאות יותקנו: ssmtp {b} 0 חבילות מעודכנות, אחת חדשה מותקנת, 1 להסרה ואחת לא מעודכנת. אני צריך להוריד 0 kB קבצים. לאחר פרוק 0 B ישמש. התלות של החבילות הבאות אינן מרוצות: exim52,7-config: התנגשויות: ssmtp אך 8192-4 יותקנו. exim2.64-daemon-light: סכסוכים: סוכן הובלת דואר שהיא חבילה וירטואלית. ssmtp: התנגשויות: סוכן דואר-תחבורה שהוא חבילה וירטואלית. הפעולות הבאות יפתרו תלות אלה הסר את החבילות הבאות: 4) exim4 1) exim4-base 2) exim4-config 3) exim4-daemon-light האם אתה מקבל פתרון זה? [Y / n / q /?] ו-

ואז אנו מבצעים:

: ~ # טיהור כושר ~ c: ~ # כושר נקי: ~ # כושר אוטומטי: ~ # אתחול מחדש

אם אתה עובד עם שרתים וירטואליים, זה יהיה זמן מצוין לעשות גיבוי טוב של השרת הראשי כולו ... לכל מקרה. 🙂

שכפול. שמור ושחזר את מסד הנתונים של Directory.

במדריך המצוין - שאנו ממליצים לכולם לקרוא וללמוד - «מדריך שרתים של אובונטו»מתוך שרת אובונטו 12.04« מדויק », יש הסבר מפורט על חלקי הקוד שכתבנו על OpenLDAP ועל יצירת אישורי TLS, ובנוסף, שכפול מדריך נדון בפירוט רב וכיצד לבצע את השמירה והשחזור ממאגרי המידע.

עם זאת, הנה נוהל לשחזור מסד הנתונים כולו במקרה של אסון.

חשוב מאוד:

עלינו תמיד לקבל את הקובץ המיוצא בהישג יד דרך מנהל החשבון Ldap כגיבוי לנתונים שלנו. כמובן שהקובץ cn = amigos.ldif חייב להתאים להתקנה שלנו. אנו יכולים להשיג זאת גם באמצעות פקודת slapcat כפי שנראה בהמשך.

1.- אנו מבטלים את ההתקנה הסטירה בלבד.

: ~ # כושר טיהור slpad

2.- אנו מנקים את מערכת החבילה

: ~ # aptitude install -f: ~ # טיהור aptitude ~ c: ~ # aptitude נקי: ~ # aptitude autoclean

3.- אנו מוחקים לחלוטין את מאגר הספריות

: ~ # rm -r / var / lib / ldap / *

4.- אנו מתקינים מחדש את הדמון slapd ואת התלות שלו

: ~ # aptitude להתקין slapd

5.- אנחנו בודקים

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = חברים, dc = cu dn

6.- הוסף את אותו קובץ אינדקס olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- אנו בודקים את המדדים שנוספו

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- אנו מוסיפים את אותה כלל בקרת גישה

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- אנו בודקים את כללי בקרת הגישה

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- אנו מוסיפים את אישורי TLS. אין צורך לבנות מחדש או לתקן הרשאות. הם כבר קיימים במערכת הקבצים, אך אינם מוכרזים במסד הנתונים.

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- אנו מוסיפים את התוכן על פי הגיבוי שלנו

: ~ # ldapadd -x -D cn = admin, dc = חברים, dc = cu -W -f dc = friends.ldif

אל תפעיל מחדש את ה- slapd מכיוון שהוא מוסיף אינדקס למסד הנתונים והוא עלול להיפגם !!! ערוך תמיד את קובץ הגיבוי שלך לפני הוספתו, כדי לא להזין ערכים קיימים.

אנו מצביעים בדפדפן על https://mildap.amigos.cu/lam ואנחנו בודקים.

הפקודה slapcat

הפקודה סלפטקט הוא משמש בעיקר להפקה בפורמט LDIF, את תוכן מסד הנתונים המטפל ב- סלאפ. הפקודה פותחת את מסד הנתונים שנקבע על פי מספרו או על ידי הסיומת, וכותבת את הקובץ המתאים בפורמט LDIF על המסך. מאגרי המידע המוגדרים ככפופים מוצגים גם, אלא אם כן אנו מציינים את האפשרות -g.

המגבלה החשובה ביותר בשימוש בפקודה זו היא שאין לבצע אותה כאשר ה- סלאפ, לפחות במצב כתיבה, כדי להבטיח עקביות בנתונים.

לדוגמא, אם אנו רוצים ליצור עותק גיבוי של מסד הנתונים Directory, לקובץ בשם backup-slapd.ldif, אנו מבצעים:

: ~ # שירות slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

תמונות LAM