皆さん、こんにちは!。 多くの読者から要望のあったPDF形式の大要に含まれているため、この記事を公開したくありませんでした。 はい、興味深い追加を加えた要約を作成します。 そして、この大要のプレビューとして、私たちは はじめに:
ビジネスネットワークのサービスを担当する多くの人は、Microsoft製品をベースにしたサービスのネットワークを担当する場合、Linuxに移行する場合は、他のサービスの中でもドメインコントローラーの移行を検討します。
ClearOSやZentyalなどのサードパーティ製品を選択しない場合、または他の理由で独立したい場合は、独自のドメインコントローラーになるか、Samba4またはその他の独自のActiveDirectoryから取得するという骨の折れる作業を行います。
その後、問題が始まり、他のいくつかの失望。 動作エラー。 彼らはそれらを解決することができる問題の場所を見つけません。 繰り返しインストールを試みました。 サービスの部分的な運用。 そして問題の長いリスト。
よく見ると、ほとんどのインターネットはマイクロソフトタイプのネットワークを使用していません。 しかし、私たちのビジネス環境では、多くのことを行っています。
この大要では、マイクロソフトの哲学がなくてもビジネスネットワークを構築できることを示しています。 電子メール、FTP、SFTP、Owncloudに基づくBusinessCloudなどのOpenLDAPディレクトリに対するユーザーの認証に基づくサービス。
私たちは、100%無料のソフトウェアに基づいた別のアプローチを提供することを目指しています。これは、Microsoftソフトウェア、またはOpenLDAPとSambaを主なものとして、Microsoftネットワークの哲学を使用またはエミュレートしません。
無料のソフトウェアOpenldap + Sambaを使用するすべてのソリューションは、LDAPサーバーとは何か、どのようにインストールされるか、どのように構成および管理されるかなどの基本的な知識を必ず通過します。 その後、Sambaと場合によってはKerberosを統合し、最終的には、MicrosoftのNT4またはActiveDirectoryのスタイルでドメインコントローラーを「エミュレート」することを提案します。
リポジトリパッケージから実装および構成する場合、実際には難しい作業です。 緑豊かなSambaのドキュメントを研究して適用した人は、私たちの意味をよく知っています。 Samba 4は、2003年であれ他のより高度なものであれ、Microsoft ActiveDirectoryにある従来の管理コンソールを使用してActiveDirectoryの管理を提案します。
推奨読書.
https://wiki.debian.org/LDAP
OpenLDAPソフトウェア2.4管理者ガイド
Ubuntu サーバーガイド 12.04
GNU / Linuxを使用したサーバー構成。
El Maestro、JoelBarriosDueñasが私たちに提供し、CentOSとRed Hatを対象としていますが、Debianプレーヤーに非常に役立つ優れたマニュアル。
どのようなサービスとソフトウェアをインストールして構成する予定ですか?
- 独立したNTP、DNS、およびDHCP、つまり、最後のXNUMXつはディレクトリに統合されていません
- ディレクトリサービスまたは«ディレクトリサービス»OpenLDAPに基づく
- 電子メール、「シタデル」グループワークスイート、FTPおよびSFTP、
- ビジネスクラウド«OwnCloud«
- Sambaに基づく独立したファイルサーバー。
すべての場合において、ユーザー資格情報を認証するプロセスは、ディレクトリに対して直接、または libnss-ldap y PAM 問題のソフトウェアの特性に応じて。
そして、それ以上の苦労なしに、ビジネスに取り掛かりましょう。
Ldapアカウントマネージャー
続行する前に、以下を読む必要があります。
- LDAPを使用したディレクトリサービス。 前書き
- LDAPを使用したディレクトリサービス[2]:NTPおよびdnsmasq
- LDAPを使用したディレクトリサービス[3]:Isc-DHCP-ServerおよびBind9
- LDAPを使用したディレクトリサービス[4]:OpenLDAP(I)
- LDAPを使用したディレクトリサービス[5]:OpenLDAP(II)
- LDAPを使用したディレクトリサービス[6]:Debian7「Wheezy」の証明書
以前の一連の記事を読んだ人は、私たちがすでに管理するディレクトリを持っていることに気付くでしょう。 これは、パッケージにグループ化されたコンソールユーティリティを介して、さまざまな方法で実現できます。 ldapscript、Webインターフェイス PhpLDAP管理者, Ldapアカウントマネージャー、など、リポジトリにあります。
を通じてそれを行う可能性もあります アパッチディレクトリスタジオ、インターネットからダウンロードする必要があります。 重さは約142メガバイトです。
ディレクトリを管理するには、 Ldapアカウントマネージャー。 そして、私たちがそれについて最初に言うことは、そのインストール後、私たちはそのにアクセスできるということです ドキュメンテーション これはフォルダにあります / usr / share / doc / ldap-account-manager / docs.
を通して Ldapアカウントマネージャー、以降 LAM、ディレクトリに保存されているユーザーアカウントとグループアカウントを管理できます。 LAMは、PHP5をサポートする任意のWebページサーバーで実行され、暗号化されていないチャネルを介して、またはを介してLAMに接続できます。 StartTLS、これは、この例で使用する形式です。
初期インストールと構成:
:〜#aptitude install ldap-account-manager
インストール後 Apache2 –apache2-mpm-prefork-、PHP5およびその他の依存関係から、およびパッケージ自体から LDAP アカウント マネージャー、最初に行う必要があるのは、LAMドキュメントフォルダからWebサーバー上のドキュメントのルートフォルダへのシンボリックリンクを作成することです。 例:
:〜#ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs
このようにして、アドレスを指定すると、Webブラウザを介したLAMマニュアルへのアクセスが保証されます。 http://mildap.amigos.cu/lam-docs.
次に、LAM自体の構成を開始しましょう。 ブラウザでは、 http://mildap.amigos.cu/lam.
- リンクをクリックします 「LAM構成」.
- リンクをクリックしてください 「サーバープロファイルの編集」.
- パスワードを入力します 「m」 引用符なし。
LAM構成ページでは、好みやニーズに応じて多くのパラメーターを変更できます。 シンプルからコンプレックスへの移行を常に推奨しており、その逆ではないため、LAMという強力なツールを使用するために厳密に必要なものだけに触れます。 私たちがその使用のマスターになった後、機能を変更または追加したい場合は、歓迎します。
- TLSをアクティブにします。 はい -推奨-。
- ツリーサフィックス: dc =友達、dc = cu
- 既定の言語: スペイン語 (スペイン)
- 有効なユーザーのリスト*: cn =管理者、dc =友達、dc = cu
- 新しいパスワード: lamとは異なるパスワード
- パスワード再入力: lamとは異なるパスワード
注意: ' * 'は、必須のエントリであることを意味します。
左下はボタンです ^保存 y ^キャンセル。 ここで変更を保存すると、最初のページに戻り、言語がすでに変更されており、ユーザーの名前が変更されていることがわかります。 管理人。 以前は マネージャー。 ただし、-今はスペイン語で-を再編集しましょう 「設定。 LAMの»。 構成ページに戻ったら、次の操作を行います。
- タブを選択します 「アカウントの種類」.
- セクション内 'アクティブなアカウントタイプ'-> 'ユーザー'-> 'LDAPサフィックス'、 私たちは書いた: ou =人、dc =友達、dc = cu.
- セクション内 'アクティブなアカウントタイプ'-> 'グループ'-> 'LDAPサフィックス'、 私たちは書いた: ou =グループ、dc =友達、dc = cu.
- タイトルのボタンを使用する '^このタイプのアカウントを削除する'、に対応するものを削除します 「チーム」 y 「Sambaドメイン」、使用しません。
- タブを選択します 「モジュール」.
- En 「ユーザー」、リストに 「選択されたモジュール」、モジュールを移動します 「Samba3(sambaSamAccount)」 のリストに 「利用可能なモジュール」.
- En 「グループ」、リストに 「選択されたモジュール」、モジュールを移動します 「Samba3(sambaGroupMapping)」 のリストに 「利用可能なモジュール」.
今のところ、LAMの構成に慣れるまでは、そのままにしておきます。
変更を保存して最初のページに戻り、ユーザーのパスワードを入力する必要があります 管理人 (cn =管理者、dc =友達、dc = cu)、のインストール中に宣言された slapd。 エラーを返した場合は、 /etc/ldap/ldap.conf サーバー自体で正しく構成されています。 TLS証明書へのパスが間違っているか、別のエラーが発生している可能性があります。 次のようになることを忘れないでください。
BASE dc =フレンズ、dc = cu URI ldap://mildap.amigos.cu#TLS証明書(GnuTLSに必要)TLS_CACERT /etc/ssl/certs/cacert.pem
LAM内に入ると、構成を変更する前に、LAMの調査に時間を費やす必要があります。 そのインターフェースは非常に直感的で使いやすいです。 使用して確認してください。
観察: ドキュメント内 http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios、最後に読むことができます:
多くのユーザーがいる単一のLDAPディレクトリ(> 10 000)
LAMは、10人のユーザーで動作することがテストされました。 より多くのユーザーがいる場合は、基本的に000つのオプションがあります。
- LDAPツリーを組織単位に分割します。これは通常、最もパフォーマンスの高いオプションです。 アカウントを複数の組織単位に配置し、上記の高度なシナリオのようにLAMを設定します。
- メモリ制限を増やす:php.iniのmemory_limitパラメータを増やします。 これにより、LAMはより多くのエントリを読み取ることができます。 ただし、これによりLAMの応答時間が遅くなります。
私たちのディレクトリの管理で創造的かつ秩序になりましょう。
パスワードセキュリティポリシー、およびLAMを介したその他の側面
- リンクをクリックします «LAM構成».
- リンクをクリックしてください 「一般設定の編集」.
- パスワードを入力します 「m」 引用符なし。
そのページには、パスワードポリシー、セキュリティ設定、許可されたホストなどがあります。
注意: LAM構成はに保存されます /usr/share/ldap-account-manager/config/lam.conf.
httpsがLAMに安全に接続できるようにします。
:〜#a2ensite default-ssl :〜#a2enmod ssl :〜#/ etc / init.d / apache2再起動
前の方法でhttpsを有効にすると、Apacheがデフォルトで生成する証明書を使用し、それらを仮想ホストの定義に反映します。 default-ssl。 自分で作成した他の証明書を使用したい場合は、ご相談ください。 /usr/share/doc/apache2.2-common/README.Debian.gz。 問題の証明書は呼び出されます 「スネークオイル」 oスネークオイル、そしてそれらは次の場所にあります:
/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/private/ssl-cert-snakeoil.key
ブラウザをポイントしてみましょう https://mildap.amigos.cu、および証明書を受け入れます。 次に、 https://mildap.amigos.cu/lam そして、私たちはすでにhttpsLAMを介して作業することができます。
重要: サーバーの起動プロセス中に、 Exim 起動に時間がかかる、軽量代替品をインストールする ssmtp.
:〜#aptitude install ssmtp
次の新しいパッケージがインストールされます:ssmtp {b} 0個の更新されたパッケージ、1個の新しいインストール済み、0個の削除、0個の未更新。 52,7kBのファイルをダウンロードする必要があります。 開梱後、8192 Bが使用されます。次のパッケージの依存関係が満たされていません:exim4-config:競合:ssmtpが、2.64-4がインストールされます。 exim4-daemon-light:競合:仮想パッケージであるmail-transport-agent。 ssmtp:競合:仮想パッケージであるmail-transport-agent。 次のアクションにより、これらの依存関係が解決されます。次のパッケージを削除します。1)exim4 2)exim4-base 3)exim4-config 4)exim4-daemon-lightこのソリューションを受け入れますか? [Y / n / q /?]そして
次に、以下を実行します。
:〜#適性パージ〜c:〜#適性クリーン:〜#適性自動クリーン:〜#再起動
仮想サーバーを使用している場合は、万が一の場合に備えて、メインサーバー全体の適切なバックアップを作成する絶好の機会です。 🙂
レプリケーション。 ディレクトリデータベースを保存して復元します。
優れたガイドでは、誰もが読んで勉強することをお勧めします«Ubuntuサーバーガイド»UbuntuServer 12.04«Precise»から、OpenLDAPとTLS証明書の生成について記述したコードの一部の詳細な説明があります。さらに、ディレクトリレプリケーション、および保存と復元の方法について詳しく説明します。データベースの。
ただし、災害が発生した場合にデータベース全体を復元する手順は次のとおりです。
非常に重要:
Ldapアカウントマネージャーを介して、エクスポートされたファイルを常に手元に用意する必要があります データのバックアップとして。 もちろん、ファイルcn = amigos.ldifは私たち自身のインストールに対応している必要があります。 後で説明するように、slapcatコマンドを使用して取得することもできます。
1.-スラップインストールのみを排除します。
:〜#適性パージslpad
2.-パッケージシステムをクリーニングします
:〜#aptitude install -f:〜#aptitudeパージ〜c:〜#aptitude clean:〜#aptitude autoclean
3.-ディレクトリデータベースを完全に削除します
:〜#rm -r / var / lib / ldap / *
4.-slapdデーモンとその依存関係を再インストールします
:〜#aptitude install slapd
5.-チェックします
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn = config dn:〜#ldapsearch -x -LLL -H ldap:/// -b dc =フレンズ、dc = cu dn
6.-同じインデックスファイルolcDbIndex.ldifを追加します
:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcDbIndex.ldif
7.-追加されたインデックスを確認します
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex
8.-同じアクセス制御ルールを追加します
:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcAccess.ldif
9.-アクセス制御ルールを確認します
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix
10.-TLS証明書を追加します。 権限を再構築または修正する必要はありません。 それらはファイルシステムにすでに存在しますが、データベースでは宣言されていません。
:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif
11.-独自のバックアップに従ってコンテンツを追加します
:〜#ldapadd -x -D cn = admin、dc = friends、dc = cu -W -f dc = friends.ldif
slapdはデータベースのインデックスを作成しており、破損する可能性があるため、再起動しないでください。 既存のエントリを入力しないように、バックアップファイルを追加する前に必ず編集してください。
ブラウザでポイントします https://mildap.amigos.cu/lam 確認します。
slapcatコマンド
コマンド slapcat これは主に、LDIF形式で生成するために使用されます。これは、データベースのコンテンツを処理します。 slapd。 このコマンドは、番号またはサフィックスによって決定されるデータベースを開き、対応するファイルをLDIF形式で画面に書き込みます。 オプションを指定しない限り、従属として構成されたデータベースも表示されます -g.
このコマンドの使用に関する最も重要な制限は、次の場合に実行しないことです。 slapd、少なくとも書き込みモードでは、データの一貫性を確保します。
たとえば、Directoryデータベースのバックアップコピーを次の名前のファイルに作成する場合 バックアップ-slapd.ldif、実行します:
:〜#service slapd stop:〜#slapcat -l backup-slapd.ldif:〜#service slapd start
LAM画像
大きな貢献、私はそれを愛し、そしてまたお勧めの読書。
彼はあまり成功せずに同様の記事を探していました。
私はあなたに10を与えます😉
私の記事にコメントして評価してくれてありがとう!!!
面白い! もう一度、素晴らしい貢献、フィコ!
抱擁! ポール。
コメントと賞賛をありがとう、友人パブロ!!! それが必要な人に役立つことを願っています。
素晴らしいコンテンツです!共有していただきありがとうございます。
よろしく
コメントありがとうございます!!!
ホームランフィコ!! そして、いつ準備ができるかについての公式pdf?
こんにちはdhunter !!!。 これまでに公開された7つの投稿を含むことに加えて、CITADELに基づく基本的なメールサーバーを統合する方法を含めることを想像してみてください。 FTP、SFTPサービス; OwnCloudに基づくビジネスクラウド。 libnss-ldapやPAMなどを介してシステムユーザーがいるスタンドアロンのSambaサーバー。 独自の結論を導き出します。 🙂XNUMX月末かXNUMX月初めまでに思います。
こんにちはフェデリコ、貢献に感謝します、私たちはそれを楽しみにしています。 アップデートで..
今月末までに終わらせるように努力します。 数ページでも本を書くのは簡単ではありません。
このブログへの寄稿者の中で、あなたは私にとって最も興味深く、最もよく説明されており、すべてに最も近いように思えます。
よろしくお願いします。 私が書くすべての記事で、私は最善を尽くします。なぜなら、コメントしない人がたくさんいるにもかかわらず、あなたのような読者が常にいることを知っているからです。
Nexus6のご挨拶!!!
こんにちは、私がldapについてネットワークに相談するときはいつでも、私はあなたがあなたの意図を祝福する推薦をしているのを見つけます、今私はこれに不慣れで、みんなが学びたいと思っているようです
これが質問です
私の友人は、ネットワークが切断されると、すでにldapで認証されているオペレーティングシステムが私の言語を英語に変更し、ユーザーが再初期化されるのがスペイン語になるように、どのファイルをチェックする必要があるかを教えてくれると言っています助けてくれてありがとう事前にLDAPに追加
いつものようにフェデリコ優秀なポスト。 ビジネスネットワークで使用されているほとんどのテレマティックサービスの構成を含むPDFに関連する何かについてコメントしていると読んでいました。 去年の9090月末かXNUMX月初めまでに準備が整うとおっしゃいました。 私の質問は、その時点でそれを完了してアップロードすることができたかどうかです。 事前のおかげで、最終的にはOpenfireを試してみることになりますが、XNUMX用のWebインターフェイスも備えていることがわかります。
コメントありがとうございます、ペドロパブロ。 私はあなたに広範囲に答える代わりに、あなたが今日または明日読むであろう記事を書きました。 あなたのような感謝の読者は答えに値する。 再度、感謝します。