Sveiki, draugai!. Nenorėjome skelbti šio straipsnio, nes jis yra daugelio skaitytojų paprašyto rinkinio PDF formatu. Taip, parašysime santrauką su įdomiais papildymais. Kaip šio kompendiumo peržiūrą, mes perrašome Įvadas:
Daugelis žmonių, atsakingų už paslaugas įmonės tinkluose, kai jie perima tinklą, kurio paslaugos yra pagrįstos „Microsoft“ produktais, jei nori pereiti prie „Linux“, mano, kad domenų valdikliai yra perkelti į kitas paslaugas.
Jei jie nesirenka trečiosios šalies produkto, pvz., „ClearOS“ ar „Zentyal“, arba jei dėl kitų priežasčių nori tapti nepriklausomi, jie imasi kruopščios užduoties tapti savo domeno valdytoju arba „Samba 4“ ar kitu - savo „Active Directory“.
Tada prasideda problemos ir kai kurie kiti nusivylimai. Veikimo klaidos. Jie neranda problemų vietos, kad galėtų jas išspręsti. Pakartotiniai bandymai įdiegti. Dalinė paslaugų veikla. Ir ilgas problemų sąrašas.
Jei gerai pažvelgsime, didžioji dalis interneto nenaudoja „Microsoft“ tipo tinklų. Tačiau savo verslo aplinkoje tai darome daug.
Šiuo rinkiniu bandome parodyti, kad galime sukurti verslo tinklą be „Microsoft“ filosofijos. Paslaugos, pagrįstos vartotojų autentifikavimu naudojant „OpenLDAP“ katalogą, pvz .: el. Paštas, FTP, SFTP, „Business Cloud“, pagrįstas „Owncloud“, ir kt.
Mes siekiame pasiūlyti kitokį požiūrį, pagrįstą 100% nemokama programine įranga, o tai nenaudoja ir nemėgdžioja - kuris šiuo atveju yra tas pats - „Microsoft“ tinklų filosofija arba su „Microsoft Software“, arba su „OpenLDAP“ ir „Samba“ kaip pagrindiniais.
Visi sprendimai, kuriuose naudojama nemokama „Openldap + Samba“ programinė įranga, būtinai turi žinoti pagrindines žinias apie tai, kas yra LDAP serveris, kaip jis įdiegtas, kaip jis sukonfigūruotas ir administruojamas ir pan. Vėliau jie integruoja „Samba“ ir galbūt „Kerberos“ ir galiausiai siūlo mums „mėgdžioti“ domeno valdiklį pagal „Microsoft“ NT 4 arba „Active Directory“ stilių.
Iš tiesų sunki užduotis, kai ją įgyvendiname ir sukonfigūruojame iš saugyklos paketų. Tie, kurie studijavo ir pritaikė išsamią „Samba“ dokumentaciją, puikiai žino, ką turime omenyje. „Samba 4“ netgi siūlo administruoti „Active Directory“ naudojant klasikinę administravimo konsolę, kurią randame „Microsoft Active Directory“, nesvarbu, ar tai būtų 2003, ar kita pažangesnė.
Rekomenduojamas skaitymas.
Puikus vadovas, kurį mums duoda „El Maestro“, Joelis Barriosas Dueñasas ir kuris labai gerai tarnauja „Debian“ žaidėjams, nors jis orientuotas į „CentOS“ ir „Red Hat“.
Kokias paslaugas ir programinę įrangą planuojame įdiegti ir konfigūruoti?
- Nepriklausomi NTP, DNS ir DHCP, tai yra, du paskutiniai nėra integruoti į katalogą
- Katalogų tarnyba arba «Katalogų tarnyba»Remiantis„ OpenLDAP “
- El. Paštas, „Citadel“ grupės darbo rinkinys, FTP ir SFTP,
- Verslo debesis «OwnCloud«
- Nepriklausomas failų serveris, pagrįstas „Samba“.
Visais atvejais naudotojų duomenų autentifikavimo procesas bus atliekamas tiesiogiai arba per katalogą libnss-ldap y PAM atsižvelgiant į nagrinėjamos programinės įrangos ypatybes.
Ir be ilgesnio svarstymo leiskimės į reikalus.
„Ldap“ paskyros valdytojas
Prieš tęsdami, turime perskaityti:
- Katalogų tarnyba su LDAP. Įvadas
- Katalogų tarnyba su LDAP [2]: NTP ir dnsmasq
- Katalogų tarnyba su LDAP [3]: „Isc-DHCP-Server“ ir „Bind9“
- Katalogų tarnyba su LDAP [4]: „OpenLDAP“ (I)
- Katalogų tarnyba su LDAP [5]: „OpenLDAP“ (II)
- Katalogų tarnyba su LDAP [6]: Debian 7 „Wheezy“ sertifikatai
Tie, kurie stebėjo ankstesnių straipsnių seriją, pastebėjo, kad JAU turime katalogą, kurį galite tvarkyti. Tai galime pasiekti daugeliu būdų, naudodami konsolės komunalines paslaugas, sugrupuotas pakete užrašai, žiniatinklio sąsajos „PhpLDAPAdmin“, „Ldap“ paskyros valdytojasir kt., kurie yra saugykloje.
Taip pat yra galimybė tai padaryti per „Apache“ katalogo studija, kurią turime atsisiųsti iš interneto. Jis sveria apie 142 megabaitus.
Norėdami administruoti mūsų katalogą, primygtinai rekomenduojame naudoti „Ldap“ paskyros valdytojas. Pirmas dalykas, kurį pasakysime apie tai, yra tai, kad po jo įdiegimo mes galime prieiti prie jo Dokumentacija kuris yra aplanke / usr / share / doc / ldap-account-manager / docs.
Per „Ldap“ paskyros valdytojas, nuo šiol SAM, galime tvarkyti vartotojų ir grupių paskyras, saugomas mūsų kataloge. LAM veikia bet kuriame tinklalapio serveryje, palaikančiame PHP5, ir mes galime prie jo prisijungti per nešifruotą kanalą arba per „StartTLS“, kurią formą naudosime savo pavyzdyje.
Pradinis diegimas ir konfigūravimas:
: ~ # aptitude install ldap-account-manager
Įdiegus Apache2 -apache2-mpm-prefork-, iš PHP5 ir kitų priklausomybių bei iš paties paketo „ldap“ paskyros valdytojasPirmas dalykas, kurį turime padaryti, yra sukurti simbolinę nuorodą iš LAM dokumentacijos aplanko į pagrindinį dokumentų aplanką mūsų žiniatinklio serveryje. Pavyzdys:
: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs
Tokiu būdu mes garantuojame prieigą prie LAM vadovo per interneto naršyklę, jei nurodome adresą http://mildap.amigos.cu/lam-docs.
Tada pradėkime konfigūruoti patį LAM. Naršyklėje mes nurodome http://mildap.amigos.cu/lam.
- Spustelėkite nuorodą „LAM konfigūracija“.
- Spustelėkite nuorodą „Redaguoti serverio profilius“.
- Įvedame slaptažodį 'Juos' be kabučių.
LAM konfigūracijos puslapiuose galime modifikuoti daug parametrų pagal savo pageidavimus ir poreikius. Kadangi aš visada rekomendavau pereiti nuo paprasto prie komplekso, o ne atvirkščiai, paliesime tik tai, kas būtina norint naudoti galingą įrankį, kuris yra LAM. Jei po to, kai esame jo naudojimo meistrai, norime modifikuoti ar pridėti funkcijų, tada sveikiname.
- Suaktyvinti TLS: taip -Rekomenduojamas-.
- Medžio priesaga: dc = draugai, dc = cu
- Numatytoji kalba: ispanų (Ispanija)
- Galiojančių vartotojų sąrašas *: cn = administratorius, dc = draugai, dc = cu
- Naujas Slaptažodis: kitoks slaptažodis nei lam
- Pakartokite slaptažodį: kitoks slaptažodis nei lam
dėmesį: Jis ' * reiškia, kad tai yra būtinas įrašas.
Apačioje kairėje yra mygtukai ^ Išsaugoti y ^ Atšaukti. Jei išsaugosime pakeitimus dabar, tai grįš į pradinį puslapį ir matysime, kad kalba jau pasikeitė ir kad vartotojo vardas dabar yra VYTEGA. Prieš buvo Vadovas. Tačiau grįžkime redaguoti -dabar ispanų kalba- "Nustatymas. LAM ». Grįžę į konfigūracijos puslapį, atliksime šiuos veiksmus:
- Mes pasirenkame skirtuką „Sąskaitų tipai“.
- Skyriuje „Aktyvūs paskyros tipai“ -> „Vartotojai“ -> „LDAP priesaga“, mes parašėme: ou = Žmonės, dc = draugai, dc = cu.
- Skyriuje „Aktyvūs sąskaitų tipai“ -> „Grupės“ -> „LDAP priesaga“, mes parašėme: ou = grupės, dc = draugai, dc = cu.
- Naudojant mygtukus, pavadintus „^ Pašalinti šio tipo paskyrą“, mes pašaliname tuos, kurie atitinka „Komandos“ y „Samba domenai“, kurios mes nenaudosime.
- Mes pasirenkame skirtuką „Moduliai“.
- En „Vartotojai“, sąraše „Pasirinkti moduliai“, mes perkeliame modulį „Samba 3 (sambaSamAccount)“ į sąrašą „Galimi moduliai“.
- En „Grupės“, sąraše „Pasirinkti moduliai“, mes perkeliame modulį „Samba 3 (sambaGroupMapping)“ į sąrašą „Galimi moduliai“.
Kol kas ir kol nesusipažinsime su LAM konfigūracija, paliksime tai.
Išsaugome pakeitimus ir grįžtame į pradinį puslapį, kur turime įvesti vartotojo slaptažodį VYTEGA (cn = administratorius, dc = draugai, dc = cu), deklaruota įrengiant pliaukštelėjo. Jei pateikiate klaidą, patikrinkite, ar /etc/ldap/ldap.conf jis teisingai sukonfigūruotas pačiame serveryje. Jums gali būti neteisingas kelias į TLS sertifikatą arba kita klaida. Atminkite, kad tai turėtų atrodyti taip:
PAGRINDAS dc = draugai, dc = cu URI ldap: //mildap.amigos.cu # TLS sertifikatai (reikalingi GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem
Patekę į LAM, turime praleisti šiek tiek laiko jį studijuodami PRIEŠ keisdami bet kokią konfigūraciją. Jo sąsaja yra labai intuityvi ir lengvai naudojama. Panaudok ir patikrink.
Stebėjimas: Dokumente http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, mes galime perskaityti pabaigoje:
Vienas LDAP katalogas su daugybe vartotojų (> 10 000)
LAM buvo išbandytas dirbti su 10 000 vartotojų. Jei turite daug daugiau vartotojų, iš esmės turite dvi galimybes.
- Suskirstykite savo LDAP medį į organizacinius vienetus: paprastai tai yra geriausiai veikianti parinktis. Sudėkite savo sąskaitas į kelis organizacinius vienetus ir nustatykite LAM, kaip nurodyta aukščiau pateiktame išplėstiniame scenarijuje.
- Padidinkite atminties limitą: padidinkite parametrą memory_limit jūsų php.ini. Tai leis LAM perskaityti daugiau įrašų. Bet tai sulėtins LAM atsako laiką.
Būkime kūrybingi ir tvarkingi savo katalogo administracijoje.
Slaptažodžių saugumo politika ir kiti aspektai per LAM
- Spustelėkite nuorodą «LAM konfigūracija».
- Spustelėkite nuorodą „Redaguoti bendruosius nustatymus“.
- Įvedame slaptažodį 'Juos' be kabučių.
Tame puslapyje randame slaptažodžių politiką, saugos nuostatas, leidžiamus šeimininkus ir kt.
dėmesį: LAM konfigūracija išsaugota /usr/share/ldap-account-manager/config/lam.conf.
Įgaliname „https“ saugiai prisijungti prie LAM:
: ~ # a2ensite default-ssl : ~ # a2enmod ssl : ~ # /etc/init.d/apache2 paleiskite iš naujo
Kai įgaliname „https“ ankstesniu būdu, dirbame su sertifikatais, kuriuos „Apache“ sukuria pagal numatytuosius nustatymus, ir juos atspindi apibrėždami savo virtualųjį pagrindinį kompiuterį numatytasis-ssl. Jei norime naudoti kitus pačių sugeneruotus sertifikatus, prašome ir pasitarkite /usr/share/doc/apache2.2-common/README.Debian.gz. Atitinkami pažymėjimai yra vadinami „Gyvačių aliejus“ o gyvačių aliejus ir jų yra:
/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/private/ssl-cert-snakeoil.key
Nurodykime naršyklę https://mildap.amigos.cu, ir mes priimame sertifikatą. Tada mes nurodome https://mildap.amigos.cu/lam ir mes jau galime dirbti per https LAM.
Svarbu: jei per serverio paleidimo procesą, atleistas užtrunka ilgai, įdiekite lengvą pakaitalą ssmtp.
: ~ # aptitude install ssmtp Bus įdiegti šie NAUJI paketai: ssmtp {b} 0 atnaujintų paketų, 1 naujas įdiegtas, 0 pašalinti ir 0 neatnaujintas. Turiu atsisiųsti 52,7 kB failus. Išpakavus bus naudojamas 8192 B. Šių paketų priklausomybės netenkinamos: exim4-config: Konfliktai: ssmtp, bet bus įdiegta 2.64-4. exim4-daemon-light: Konfliktai: pašto transportavimo agentas, kuris yra virtualus paketas. ssmtp: Konfliktai: pašto transportavimo agentas, kuris yra virtualus paketas. Šie veiksmai padės išspręsti šias priklausomybes Pašalinkite šiuos paketus: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Ar sutinkate su šiuo sprendimu? [Taip / N / Q /?] Ir
Tada mes vykdome:
: ~ # tinkamumo valymas ~ c: ~ # tinkamumas švarus: ~ # tinkamumo automatinis valymas: ~ # perkrauti
Jei dirbate su virtualiais serveriais, tai būtų puikus laikas padaryti gerą pagrindinio serverio atsarginę kopiją ... tik tuo atveju. 🙂
Replikacija. Išsaugokite ir atkurkite katalogo duomenų bazę.
Puikiame vadove - kurį rekomenduojame visiems perskaityti ir mokytis - «„Ubuntu Server“ vadovas»Iš„ Ubuntu Server 12.04 “„ Precise “yra išsamus kodo dalių, kurias parašėme apie„ OpenLDAP “ir TLS sertifikatų generavimą, paaiškinimas, be to, labai išsamiai aptariamas katalogų replikavimas ir kaip tai padaryti. ir duomenų bazių atkūrimas.
Tačiau čia yra visos duomenų bazės atkūrimo nelaimės atveju procedūra.
Labai svarbus:
Mes visada turime turėti eksportuotą failą ranka per „Ldap“ paskyros valdytoją kaip mūsų duomenų atsarginę kopiją. Žinoma, failas cn = amigos.ldif turi atitikti mūsų pačių diegimą. Mes taip pat galime jį gauti naudodamiesi slapcat komanda, kaip pamatysime vėliau.
1.- Mes pašaliname tik slaptą diegimą.
: ~ # tinkamumo valymo slpad
2. - Mes išvalome pakuočių sistemą
: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean
3.- Mes visiškai ištriname „Directory“ duomenų bazę
: ~ # rm -r / var / lib / ldap / *
4.- Mes iš naujo įdiegiame slapd demoną ir jo priklausomybes
: ~ # aptitude install slapd
5.- Mes patikriname
: ~ # ldapsearch -Q -LLL -Y IŠORĖ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = draugai, dc = cu dn
6.- Pridėkite tą patį indekso failą olcDbIndex.ldif
: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f ./olcDbIndex.ldif
7.- Mes patikriname pridėtus indeksus
: ~ # ldapsearch -Q -LLL -Y IŠORINIS -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex
8.- Pridedame tą pačią prieigos kontrolės taisyklę
: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f ./olcAccess.ldif
9.- Mes patikriname Prieigos kontrolės taisykles
: ~ # ldapsearch -Q -LLL -Y IŠORINIS -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix
10.- Pridedame TLS sertifikatus. Nereikia atstatyti ar taisyti leidimų. Jie jau egzistuoja failų sistemoje, tačiau nėra deklaruojami duomenų bazėje.
: ~ # ldapmodify -Y IŠORINIS -H ldapi: /// -f /etc/ssl/certinfo.ldif
11.- Turinį pridedame pagal savo atsarginę kopiją
: ~ # ldapadd -x -D cn = administratorius, dc = draugai, dc = cu -W -f dc = draugai.ldif
NENAUDOKITE iš naujo paleisti slapd, nes jis indeksuoja duomenų bazę ir gali būti sugadintas !!! VISADA redaguokite atsarginės kopijos failą PRIEŠ pridėdami, kad neįvestumėte esamų įrašų.
Naršyklėje nurodome https://mildap.amigos.cu/lam ir mes patikriname.
Slapcat komanda
Įsakymas slapccat Dažniausiai jis naudojamas generuoti LDIF formatu - duomenų bazės, tvarkančios pliaukštelėjo. Komanda atidaro duomenų bazę, nustatytą pagal jos numerį ar priesagą, ir ekrane užrašo atitinkamą failą LDIF formatu. Taip pat rodomos duomenų bazės, sukonfigūruotos kaip pavaldžios, nebent nurodytume parinktį -g.
Svarbiausias šios komandos naudojimo apribojimas yra tai, kad ji neturėtų būti vykdoma, kai pliaukštelėjo, bent jau rašymo režimu, siekiant užtikrinti duomenų nuoseklumą.
Pavyzdžiui, jei norime padaryti atsarginę katalogo duomenų bazės kopiją, į failą, pavadintą atsarginė-slapd.ldif, vykdome:
: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start
Puikus indėlis, man tai patiko, taip pat rekomenduojamas skaitymas.
Panašaus straipsnio jis ieškojo be didesnės sėkmės.
Aš tau duodu 10 😉
Ačiū, kad komentavote ir įvertinote mano straipsnius !!!
Įdomus! Dar kartą puikus indėlis, Fico!
Apkabink! Paulius.
Labai ačiū už jūsų komentarą ir pagyras, drauge Pablo !!! Tikiuosi, kad tai bus naudinga tiems, kuriems to reikia.
Puikus turinys! Dar kartą ačiū už bendrinimą.
saludos
Aciu uz komentara !!!
„Homerun Fico“ !! O kada bus paruoštas oficialus pdf?
Sveikinimai bauginantys !!!. Įsivaizduokite, kad be 7 iki šiol paskelbtų įrašų, aš apžvelgsiu, kaip integruoti pagrindinį pašto serverį, pagrįstą CITADEL; FTP, SFTP paslaugos; „Business Cloud“, pagrįstas „OwnCloud“; atskirą „Samba“ serverį su sistemos vartotojais per „libnss-ldap“ ir „PAM“ ir pan. Padarykite išvadas patys. 🙂 Manau, iki kovo pabaigos ar balandžio pradžios.
Sveiki, Federico, ačiū už indėlį, mes jo lauksime. su atnaujinimu ..
Pasistengsiu tai užbaigti iki šio mėnesio pabaigos. Rašyti knygą visai nėra lengva, net jei tai tik keli puslapiai.
Galiu pasakyti tik tiek, kad iš šio tinklaraščio autorių man atrodai įdomiausia, geriausiai paaiškinta ir artimiausia iš VISŲ.
Labai ačiū už jūsų apžvalgą. Kiekviename savo parašytame straipsnyje darau viską, nes žinau, kad visada yra tokių skaitytojų kaip jūs, nepaisant daugelio, kurie nekomentuoja.
Linkėjimai Nexus6 !!!
Laba diena, kai tik pasikonsultuoju su tinklu apie „ldap“, rasiu jums rekomendacijų, kurias sveikinu už jūsų ketinimus. Dabar man tai dar nėra gerai ir patinka visiems, norintiems išmokti
Tai klausimas
Mano draugai man sako, kad atjungus tinklą, operacinė sistema, jau patvirtinta naudojant „ldap“, pakeičia mano kalbą į anglų, kad galėtumėte man pasakyti, kur turėčiau patikrinti, kurį failą patikrinti, kad ispanų kalba būtų iš naujo inicijuojamas mano vartotojas iš anksto pridėta LDAP, ačiū už pagalbą
Federico puikus postas, kaip įprasta. Skaičiau, kad komentavote ką nors susijusio su PDF su daugumos verslo tinkle naudojamų telematikos paslaugų konfigūracija. Sakėte, kad iki praėjusių metų kovo pabaigos ar balandžio pradžios jis bus paruoštas. Mano klausimas, ar tuo metu jums pavyko jį užbaigti ir įkelti? Ačiū iš anksto, galų gale aš išbandysiu „Openfire“, matau, kad jis netgi turi 9090 interneto sąsają.
Ačiū už jūsų komentarus, Pedro Pablo. Užuot išsamiai jums atsakęs, parašiau straipsnį, kurį perskaitysite šiandien ar rytoj. Dėkingi skaitytojai kaip jūs nusipelno atsakymo. Ačiū dar kartą.