Katalogų tarnyba su „OpenLDAP“ [7 ir galutinis?]: „Ldap“ paskyros valdytojas

Sveiki, draugai!. Nenorėjome skelbti šio straipsnio, nes jis yra daugelio skaitytojų paprašyto rinkinio PDF formatu. Taip, parašysime santrauką su įdomiais papildymais. Kaip šio kompendiumo peržiūrą, mes perrašome Įvadas:

Daugelis žmonių, atsakingų už paslaugas įmonės tinkluose, kai jie perima tinklą, kurio paslaugos yra pagrįstos „Microsoft“ produktais, jei nori pereiti prie „Linux“, mano, kad domenų valdikliai yra perkelti į kitas paslaugas.

Jei jie nesirenka trečiosios šalies produkto, pvz., „ClearOS“ ar „Zentyal“, arba jei dėl kitų priežasčių nori tapti nepriklausomi, jie imasi kruopščios užduoties tapti savo domeno valdytoju arba „Samba 4“ ar kitu - savo „Active Directory“.

Tada prasideda problemos ir kai kurie kiti nusivylimai. Veikimo klaidos. Jie neranda problemų vietos, kad galėtų jas išspręsti. Pakartotiniai bandymai įdiegti. Dalinė paslaugų veikla. Ir ilgas problemų sąrašas.

Jei gerai pažvelgsime, didžioji dalis interneto nenaudoja „Microsoft“ tipo tinklų. Tačiau savo verslo aplinkoje tai darome daug.

Šiuo rinkiniu bandome parodyti, kad galime sukurti verslo tinklą be „Microsoft“ filosofijos. Paslaugos, pagrįstos vartotojų autentifikavimu naudojant „OpenLDAP“ katalogą, pvz .: el. Paštas, FTP, SFTP, „Business Cloud“, pagrįstas „Owncloud“, ir kt.

Mes siekiame pasiūlyti kitokį požiūrį, pagrįstą 100% nemokama programine įranga, o tai nenaudoja ir nemėgdžioja - kuris šiuo atveju yra tas pats - „Microsoft“ tinklų filosofija arba su „Microsoft Software“, arba su „OpenLDAP“ ir „Samba“ kaip pagrindiniais.

Visi sprendimai, kuriuose naudojama nemokama „Openldap + Samba“ programinė įranga, būtinai turi žinoti pagrindines žinias apie tai, kas yra LDAP serveris, kaip jis įdiegtas, kaip jis sukonfigūruotas ir administruojamas ir pan. Vėliau jie integruoja „Samba“ ir galbūt „Kerberos“ ir galiausiai siūlo mums „mėgdžioti“ domeno valdiklį pagal „Microsoft“ NT 4 arba „Active Directory“ stilių.

Iš tiesų sunki užduotis, kai ją įgyvendiname ir sukonfigūruojame iš saugyklos paketų. Tie, kurie studijavo ir pritaikė išsamią „Samba“ dokumentaciją, puikiai žino, ką turime omenyje. „Samba 4“ netgi siūlo administruoti „Active Directory“ naudojant klasikinę administravimo konsolę, kurią randame „Microsoft Active Directory“, nesvarbu, ar tai būtų 2003, ar kita pažangesnė.

Rekomenduojamas skaitymas.

https://wiki.debian.org/LDAP
„OpenLDAP Software 2.4“ administratoriaus vadovas
„Ubuntu ServerGuide“ 12.04
Serverio konfigūracija naudojant GNU / Linux.

Puikus vadovas, kurį mums duoda „El Maestro“, Joelis Barriosas Dueñasas ir kuris labai gerai tarnauja „Debian“ žaidėjams, nors jis orientuotas į „CentOS“ ir „Red Hat“.

Kokias paslaugas ir programinę įrangą planuojame įdiegti ir konfigūruoti?

• Nepriklausomi NTP, DNS ir DHCP, tai yra, du paskutiniai nėra integruoti į katalogą
• Katalogų tarnyba arba «Katalogų tarnyba»Remiantis„ OpenLDAP “
• El. Paštas, „Citadel“ grupės darbo rinkinys, FTP ir SFTP,
• Verslo debesis «OwnCloud«
• Nepriklausomas failų serveris, pagrįstas „Samba“.

Visais atvejais naudotojų duomenų autentifikavimo procesas bus atliekamas tiesiogiai arba per katalogą libnss-ldap y PAM atsižvelgiant į nagrinėjamos programinės įrangos ypatybes.

Ir be ilgesnio svarstymo leiskimės į reikalus.

„Ldap“ paskyros valdytojas

Prieš tęsdami, turime perskaityti:

• Katalogų tarnyba su LDAP. Įvadas
• Katalogų tarnyba su LDAP [2]: NTP ir dnsmasq
• Katalogų tarnyba su LDAP [3]: „Isc-DHCP-Server“ ir „Bind9“
• Katalogų tarnyba su LDAP [4]: ​​„OpenLDAP“ (I)
• Katalogų tarnyba su LDAP [5]: „OpenLDAP“ (II)
• Katalogų tarnyba su LDAP [6]: Debian 7 „Wheezy“ sertifikatai

Tie, kurie stebėjo ankstesnių straipsnių seriją, pastebėjo, kad JAU turime katalogą, kurį galite tvarkyti. Tai galime pasiekti daugeliu būdų, naudodami konsolės komunalines paslaugas, sugrupuotas pakete užrašai, žiniatinklio sąsajos „PhpLDAPAdmin“, „Ldap“ paskyros valdytojasir kt., kurie yra saugykloje.

Taip pat yra galimybė tai padaryti per „Apache“ katalogo studija, kurią turime atsisiųsti iš interneto. Jis sveria apie 142 megabaitus.

Norėdami administruoti mūsų katalogą, primygtinai rekomenduojame naudoti „Ldap“ paskyros valdytojas. Pirmas dalykas, kurį pasakysime apie tai, yra tai, kad po jo įdiegimo mes galime prieiti prie jo Dokumentacija kuris yra aplanke / usr / share / doc / ldap-account-manager / docs.

Per „Ldap“ paskyros valdytojas, nuo šiol SAM, galime tvarkyti vartotojų ir grupių paskyras, saugomas mūsų kataloge. LAM veikia bet kuriame tinklalapio serveryje, palaikančiame PHP5, ir mes galime prie jo prisijungti per nešifruotą kanalą arba per „StartTLS“, kurią formą naudosime savo pavyzdyje.

Pradinis diegimas ir konfigūravimas:

: ~ # aptitude install ldap-account-manager

Įdiegus Apache2 -apache2-mpm-prefork-, iš PHP5 ir kitų priklausomybių bei iš paties paketo „ldap“ paskyros valdytojasPirmas dalykas, kurį turime padaryti, yra sukurti simbolinę nuorodą iš LAM dokumentacijos aplanko į pagrindinį dokumentų aplanką mūsų žiniatinklio serveryje. Pavyzdys:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Tokiu būdu mes garantuojame prieigą prie LAM vadovo per interneto naršyklę, jei nurodome adresą http://mildap.amigos.cu/lam-docs.

Tada pradėkime konfigūruoti patį LAM. Naršyklėje mes nurodome http://mildap.amigos.cu/lam.

• Spustelėkite nuorodą „LAM konfigūracija“.
• Spustelėkite nuorodą „Redaguoti serverio profilius“.
• Įvedame slaptažodį 'Juos' be kabučių.

LAM konfigūracijos puslapiuose galime modifikuoti daug parametrų pagal savo pageidavimus ir poreikius. Kadangi aš visada rekomendavau pereiti nuo paprasto prie komplekso, o ne atvirkščiai, paliesime tik tai, kas būtina norint naudoti galingą įrankį, kuris yra LAM. Jei po to, kai esame jo naudojimo meistrai, norime modifikuoti ar pridėti funkcijų, tada sveikiname.

• Suaktyvinti TLS: taip -Rekomenduojamas-.
• Medžio priesaga: dc = draugai, dc = cu
• Numatytoji kalba: ispanų (Ispanija)
• Galiojančių vartotojų sąrašas *: cn = administratorius, dc = draugai, dc = cu
• Naujas Slaptažodis: kitoks slaptažodis nei lam
  
• Pakartokite slaptažodį: kitoks slaptažodis nei lam
  

dėmesį: Jis ' * reiškia, kad tai yra būtinas įrašas.

Apačioje kairėje yra mygtukai ^ Išsaugoti y ^ Atšaukti. Jei išsaugosime pakeitimus dabar, tai grįš į pradinį puslapį ir matysime, kad kalba jau pasikeitė ir kad vartotojo vardas dabar yra VYTEGA. Prieš buvo Vadovas. Tačiau grįžkime redaguoti -dabar ispanų kalba- "Nustatymas. LAM ». Grįžę į konfigūracijos puslapį, atliksime šiuos veiksmus:

• Mes pasirenkame skirtuką „Sąskaitų tipai“.
• Skyriuje „Aktyvūs paskyros tipai“ -> „Vartotojai“ -> „LDAP priesaga“, mes parašėme: ou = Žmonės, dc = draugai, dc = cu.
• Skyriuje „Aktyvūs sąskaitų tipai“ -> „Grupės“ -> „LDAP priesaga“, mes parašėme: ou = grupės, dc = draugai, dc = cu.
• Naudojant mygtukus, pavadintus „^ Pašalinti šio tipo paskyrą“, mes pašaliname tuos, kurie atitinka „Komandos“ y „Samba domenai“, kurios mes nenaudosime.
• Mes pasirenkame skirtuką „Moduliai“.
• En „Vartotojai“, sąraše „Pasirinkti moduliai“, mes perkeliame modulį „Samba 3 (sambaSamAccount)“ į sąrašą „Galimi moduliai“.
• En „Grupės“, sąraše „Pasirinkti moduliai“, mes perkeliame modulį „Samba 3 (sambaGroupMapping)“ į sąrašą „Galimi moduliai“.

Kol kas ir kol nesusipažinsime su LAM konfigūracija, paliksime tai.

Išsaugome pakeitimus ir grįžtame į pradinį puslapį, kur turime įvesti vartotojo slaptažodį VYTEGA (cn = administratorius, dc = draugai, dc = cu), deklaruota įrengiant pliaukštelėjo. Jei pateikiate klaidą, patikrinkite, ar /etc/ldap/ldap.conf jis teisingai sukonfigūruotas pačiame serveryje. Jums gali būti neteisingas kelias į TLS sertifikatą arba kita klaida. Atminkite, kad tai turėtų atrodyti taip:

PAGRINDAS dc = draugai, dc = cu URI ldap: //mildap.amigos.cu # TLS sertifikatai (reikalingi GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Patekę į LAM, turime praleisti šiek tiek laiko jį studijuodami PRIEŠ keisdami bet kokią konfigūraciją. Jo sąsaja yra labai intuityvi ir lengvai naudojama. Panaudok ir patikrink.

Stebėjimas: Dokumente http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, mes galime perskaityti pabaigoje:

Vienas LDAP katalogas su daugybe vartotojų (> 10 000)
LAM buvo išbandytas dirbti su 10 000 vartotojų. Jei turite daug daugiau vartotojų, iš esmės turite dvi galimybes.

• Suskirstykite savo LDAP medį į organizacinius vienetus: paprastai tai yra geriausiai veikianti parinktis. Sudėkite savo sąskaitas į kelis organizacinius vienetus ir nustatykite LAM, kaip nurodyta aukščiau pateiktame išplėstiniame scenarijuje.
• Padidinkite atminties limitą: padidinkite parametrą memory_limit jūsų php.ini. Tai leis LAM perskaityti daugiau įrašų. Bet tai sulėtins LAM atsako laiką.

Būkime kūrybingi ir tvarkingi savo katalogo administracijoje.

Slaptažodžių saugumo politika ir kiti aspektai per LAM

• Spustelėkite nuorodą «LAM konfigūracija».
• Spustelėkite nuorodą „Redaguoti bendruosius nustatymus“.
• Įvedame slaptažodį 'Juos' be kabučių.

Tame puslapyje randame slaptažodžių politiką, saugos nuostatas, leidžiamus šeimininkus ir kt.

dėmesį: LAM konfigūracija išsaugota /usr/share/ldap-account-manager/config/lam.conf.

Įgaliname „https“ saugiai prisijungti prie LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 paleiskite iš naujo

Kai įgaliname „https“ ankstesniu būdu, dirbame su sertifikatais, kuriuos „Apache“ sukuria pagal numatytuosius nustatymus, ir juos atspindi apibrėždami savo virtualųjį pagrindinį kompiuterį numatytasis-ssl. Jei norime naudoti kitus pačių sugeneruotus sertifikatus, prašome ir pasitarkite /usr/share/doc/apache2.2-common/README.Debian.gz. Atitinkami pažymėjimai yra vadinami „Gyvačių aliejus“ o gyvačių aliejus ir jų yra:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Nurodykime naršyklę https://mildap.amigos.cu, ir mes priimame sertifikatą. Tada mes nurodome https://mildap.amigos.cu/lam ir mes jau galime dirbti per https LAM.

Svarbu: jei per serverio paleidimo procesą, atleistas užtrunka ilgai, įdiekite lengvą pakaitalą ssmtp.

: ~ # aptitude install ssmtp
 Bus įdiegti šie NAUJI paketai: ssmtp {b} 0 atnaujintų paketų, 1 naujas įdiegtas, 0 pašalinti ir 0 neatnaujintas. Turiu atsisiųsti 52,7 kB failus. Išpakavus bus naudojamas 8192 B. Šių paketų priklausomybės netenkinamos: exim4-config: Konfliktai: ssmtp, bet bus įdiegta 2.64-4. exim4-daemon-light: Konfliktai: pašto transportavimo agentas, kuris yra virtualus paketas. ssmtp: Konfliktai: pašto transportavimo agentas, kuris yra virtualus paketas. Šie veiksmai padės išspręsti šias priklausomybes Pašalinkite šiuos paketus: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Ar sutinkate su šiuo sprendimu? [Taip / N / Q /?] Ir

Tada mes vykdome:

: ~ # tinkamumo valymas ~ c: ~ # tinkamumas švarus: ~ # tinkamumo automatinis valymas: ~ # perkrauti

Jei dirbate su virtualiais serveriais, tai būtų puikus laikas padaryti gerą pagrindinio serverio atsarginę kopiją ... tik tuo atveju. 🙂

Replikacija. Išsaugokite ir atkurkite katalogo duomenų bazę.

Puikiame vadove - kurį rekomenduojame visiems perskaityti ir mokytis - «„Ubuntu Server“ vadovas»Iš„ Ubuntu Server 12.04 “„ Precise “yra išsamus kodo dalių, kurias parašėme apie„ OpenLDAP “ir TLS sertifikatų generavimą, paaiškinimas, be to, labai išsamiai aptariamas katalogų replikavimas ir kaip tai padaryti. ir duomenų bazių atkūrimas.

Tačiau čia yra visos duomenų bazės atkūrimo nelaimės atveju procedūra.

Labai svarbus:

Mes visada turime turėti eksportuotą failą ranka per „Ldap“ paskyros valdytoją kaip mūsų duomenų atsarginę kopiją. Žinoma, failas cn = amigos.ldif turi atitikti mūsų pačių diegimą. Mes taip pat galime jį gauti naudodamiesi slapcat komanda, kaip pamatysime vėliau.

1.- Mes pašaliname tik slaptą diegimą.

: ~ # tinkamumo valymo slpad

2. - Mes išvalome pakuočių sistemą

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Mes visiškai ištriname „Directory“ duomenų bazę

: ~ # rm -r / var / lib / ldap / *

4.- Mes iš naujo įdiegiame slapd demoną ir jo priklausomybes

: ~ # aptitude install slapd

5.- Mes patikriname

: ~ # ldapsearch -Q -LLL -Y IŠORĖ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = draugai, dc = cu dn

6.- Pridėkite tą patį indekso failą olcDbIndex.ldif

: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f ./olcDbIndex.ldif

7.- Mes patikriname pridėtus indeksus

: ~ # ldapsearch -Q -LLL -Y IŠORINIS -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Pridedame tą pačią prieigos kontrolės taisyklę

: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f ./olcAccess.ldif

9.- Mes patikriname Prieigos kontrolės taisykles

: ~ # ldapsearch -Q -LLL -Y IŠORINIS -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Pridedame TLS sertifikatus. Nereikia atstatyti ar taisyti leidimų. Jie jau egzistuoja failų sistemoje, tačiau nėra deklaruojami duomenų bazėje.

: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Turinį pridedame pagal savo atsarginę kopiją

: ~ # ldapadd -x -D cn = administratorius, dc = draugai, dc = cu -W -f dc = draugai.ldif

NENAUDOKITE iš naujo paleisti slapd, nes jis indeksuoja duomenų bazę ir gali būti sugadintas !!! VISADA redaguokite atsarginės kopijos failą PRIEŠ pridėdami, kad neįvestumėte esamų įrašų.

Naršyklėje nurodome https://mildap.amigos.cu/lam ir mes patikriname.

Slapcat komanda

Įsakymas slapccat Dažniausiai jis naudojamas generuoti LDIF formatu - duomenų bazės, tvarkančios pliaukštelėjo. Komanda atidaro duomenų bazę, nustatytą pagal jos numerį ar priesagą, ir ekrane užrašo atitinkamą failą LDIF formatu. Taip pat rodomos duomenų bazės, sukonfigūruotos kaip pavaldžios, nebent nurodytume parinktį -g.

Svarbiausias šios komandos naudojimo apribojimas yra tai, kad ji neturėtų būti vykdoma, kai pliaukštelėjo, bent jau rašymo režimu, siekiant užtikrinti duomenų nuoseklumą.

Pavyzdžiui, jei norime padaryti atsarginę katalogo duomenų bazės kopiją, į failą, pavadintą atsarginė-slapd.ldif, vykdome:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM vaizdai