Direktoriju pakalpojums ar OpenLDAP [7 un galīgais?]: Ldap kontu pārvaldnieks

Sveiki draugi!. Mēs nevēlējāmies publicēt šo rakstu, jo tas ir apkopojumā PDF formātā, kuru ir pieprasījuši daudzi lasītāji. Jā, mēs uzrakstīsim kopsavilkumu ar interesantiem papildinājumiem. Un kā šī apkopojuma priekšskatījumu mēs pārrakstām Ievads:

Daudzi cilvēki, kas atbild par pakalpojumiem biznesa tīklos, pārņemot tīklu, kura pakalpojumi ir balstīti uz Microsoft produktiem, ja viņi vēlas pāriet uz Linux, viņi domā par domēnu kontrolleru migrēšanu starp citiem pakalpojumiem.

Ja viņi neizvēlas trešās puses produktu, piemēram, ClearOS vai Zentyal, vai ja citu iemeslu dēļ viņi vēlas kļūt neatkarīgi, viņi uzņemas rūpīgu uzdevumu kļūt par savu domēna kontrolieri vai no Samba 4 vai no cita sava Active Directory.

Tad sākas problēmas un vēl dažas vilšanās. Darbības kļūdas. Viņi neatrod problēmu lokalizāciju, lai varētu tās atrisināt. Atkārtoti instalēšanas mēģinājumi. Daļēja pakalpojumu darbība. Un garš problēmu saraksts.

Ja paskatāmies uzmanīgi, lielākā daļa interneta neizmanto Microsoft tipa tīklus. Tomēr mūsu biznesa vidē mēs to darām ļoti daudz.

Ar šo apkopojumu mēs cenšamies parādīt, ka mēs varam izveidot biznesa tīklu bez Microsoft filozofijas. Pakalpojumi, kuru pamatā ir lietotāju autentificēšana, izmantojot OpenLDAP direktoriju, piemēram: e-pasts, FTP, SFTP, Business Cloud, kas balstīts uz Owncloud utt.

Mēs tiecamies piedāvāt atšķirīgu pieeju, kuras pamatā ir 100% brīva programmatūra, un kas neizmanto un neatdarina - kas šajā gadījumā ir vienāda - Microsoft tīklu filozofiju vai nu ar Microsoft programmatūru, vai ar OpenLDAP un Samba kā galvenajiem.

Visi risinājumi, kas izmanto bezmaksas programmatūru Openldap + Samba, obligāti iziet pamatzināšanas par to, kas ir LDAP serveris, kā tas ir instalēts, kā tas konfigurēts un administrēts utt. Vēlāk viņi integrē Samba un, iespējams, Kerberos, un galu galā viņi mums piedāvā "atdarināt" domēna kontrolleri Microsoft NT 4 vai Active Directory stilā.

Patiešām grūts uzdevums, kad mēs to ieviešam un konfigurējam no repozitorija pakotnēm. Tie, kas ir izpētījuši un izmantojuši plašo Samba dokumentāciju, ļoti labi zina, ko mēs domājam. Samba 4 pat ierosina administrēt jūsu Active Directory, izmantojot klasisko administrēšanas konsoli, kuru atrodam Microsoft Active Directory, vai tas būtu 2003. vai cits uzlabotākais.

Ieteicamā literatūra.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratora rokasgrāmata
Ubuntu servera rokasgrāmata 12.04
Servera konfigurācija ar GNU / Linux.

Izcila rokasgrāmata, ko mums sniedz El Maestro, Džoels Barioss Dueņass un kas ļoti labi kalpo Debian spēlētājiem, lai gan tas ir orientēts uz CentOS un Red Hat.

Kādus pakalpojumus un programmatūru plānojam instalēt un konfigurēt?

• Neatkarīgais NTP, DNS un DHCP, tas ir, pēdējie divi nav integrēti direktorijā
• Direktoriju pakalpojums vai «Direktoriju pakalpojums»Pamatojoties uz OpenLDAP
• E-pasts, "Citadel" grupas darba komplekts, FTP un SFTP,
• Biznesa mākonis «OwnCloud«
• Neatkarīgs failu serveris, kura pamatā ir Samba.

Visos gadījumos lietotāju akreditācijas datu autentificēšanas process tiks veikts tieši vai caur direktoriju libnss-ldap y PAM atkarībā no attiecīgās programmatūras īpašībām.

Un bez liekas aizķeršanās ķeramies pie lietas.

Ldap kontu menedžeris

Pirms turpināt, mums jāizlasa:

• Direktoriju pakalpojums ar LDAP. Ievads
• Direktoriju pakalpojums ar LDAP [2]: NTP un dnsmasq
• Direktoriju pakalpojums ar LDAP [3]: Isc-DHCP-Server un Bind9
• Direktoriju pakalpojums ar LDAP [4]: ​​OpenLDAP (I)
• Direktoriju pakalpojums ar LDAP [5]: OpenLDAP (II)
• Direktoriju pakalpojums ar LDAP [6]: Debian 7 "Wheezy" sertifikāti

Tie, kas ir sekojuši iepriekšējo rakstu sērijai, būs pamanījuši, ka mums JAU ir direktorijs, kuru pārvaldīt. Mēs to varam sasniegt daudzos veidos, vai nu izmantojot konsoles utilītus, kas sagrupēti paketē apraksti, tīmekļa saskarnes PhpLDAPadmin, Ldap kontu menedžerisutt., kas atrodas krātuvē.

Ir arī iespēja to izdarīt, izmantojot Apache direktoriju studija, kas mums jāielādē no interneta. Tas sver apmēram 142 megabaitus.

Lai pārvaldītu mūsu direktoriju, iesakām izmantot Ldap kontu menedžeris. Pirmais, ko mēs par to teiksim, ir tas, ka pēc tā instalēšanas mēs varam tam piekļūt Dokumentācija kas atrodas mapē / usr / share / doc / ldap-account-manager / docs.

Caur Ldap kontu menedžeris, turpmāk LAM, mēs varam pārvaldīt lietotāju un grupu kontus, kas saglabāti mūsu direktorijā. LAM darbojas jebkurā tīmekļa lapu serverī, kas atbalsta PHP5, un mēs varam izveidot savienojumu ar to caur nešifrētu kanālu vai caur StartTLS, kuru formu izmantosim savā piemērā.

Sākotnējā instalēšana un konfigurēšana:

: ~ # aptitude install ldap-account-manager

Pēc instalēšanas Apache2 -apache2-mpm-prefork-, no PHP5 un citām atkarībām, kā arī no pašas pakotnes ldap-konta pārvaldnieks, pirmā lieta, kas mums jādara, ir izveidot simbolisku saiti no LAM dokumentācijas mapes uz mūsu tīmekļa servera dokumentu saknes mapi. Piemērs:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Tādā veidā mēs garantējam piekļuvi LAM rokasgrāmatai, izmantojot tīmekļa pārlūkprogrammu, ja norādām uz adresi http://mildap.amigos.cu/lam-docs.

Tālāk sāksim konfigurēt pašu LAM. Pārlūkprogrammā mēs norādām http://mildap.amigos.cu/lam.

• Mēs noklikšķinām uz saites "LAM konfigurācija".
• Noklikšķiniet uz saites "Rediģēt servera profilus".
• Mēs ievadām paroli "The m" bez pēdiņām.

LAM konfigurācijas lapās mēs varam modificēt daudzus parametrus atbilstoši savām vēlmēm un vajadzībām. Tā kā es vienmēr esmu ieteicis pāriet no vienkāršā uz sarežģīto, nevis otrādi, mēs pieskaramies tikai tam, kas ir absolūti nepieciešams, lai izmantotu spēcīgo rīku, kas ir LAM. Ja pēc tam, kad esam tās meistari, mēs vēlamies modificēt vai pievienot funkcijas, tad laipni lūdzam.

• Aktivizēt TLS: jā -Ieteicams-.
• Koka sufikss: dc = draugi, dc = cu
• Noklusējuma valoda: spāņu (Spānija)
• Derīgu lietotāju saraksts *: cn = administrators, dc = draugi, dc = cu
• Jauna parole: atšķirīga parole no lam
  
• Ievadiet paroli vēlreiz: atšķirīga parole no lam
  

Piezīme: The * nozīmē, ka tas ir obligāts ieraksts.

Apakšā pa kreisi ir pogas ^ Saglabāt y ^ Atcelt. Ja izmaiņas saglabāsim tūlīt, tā atgriezīsies sākotnējā lapā un varēsim redzēt, ka valoda jau ir mainīta un lietotāja vārds tagad ir admin. Pirms bija Vadītājs. Tomēr atgriezīsimies, lai rediģētu tagad-spāņu valodā "Iestatījums. LAM ». Pēc atgriešanās konfigurācijas lapā mēs rīkosimies šādi:

• Mēs izvēlamies cilni “Kontu veidi”.
• Sadaļā 'Aktīvie kontu veidi' -> 'Lietotāji' -> 'LDAP sufikss', mēs rakstījām: ou = Cilvēki, dc = draugi, dc = cu.
• Sadaļā 'Aktīvie kontu veidi' -> 'Grupas' -> 'LDAP sufikss', mēs rakstījām: ou = grupas, dc = draugi, dc = cu.
• Izmantojot pogas ar nosaukumu '^ Noņemt šo konta veidu', mēs izslēdzam tos, kas atbilst "Komandas" y 'Samba domēni', kuru mēs neizmantosim.
• Mēs izvēlamies cilni "Moduļi".
• En Lietotāji, sarakstā 'Atlasītie moduļi', mēs pārvietojam moduli “Samba 3 (sambaSamAccount)” uz sarakstu 'Pieejamie moduļi'.
• En 'Grupas', sarakstā 'Atlasītie moduļi', mēs pārvietojam moduli “Samba 3 (sambaGroupMapping)” uz sarakstu 'Pieejamie moduļi'.

Pagaidām un līdz brīdim, kad būsim iepazinušies ar LAM konfigurāciju, mēs to atstāsim.

Mēs saglabājam izmaiņas un atgriežamies sākotnējā lapā, kur mums jāievada lietotāja parole admin (cn = administrators, dc = draugi, dc = cu), kas deklarēts instalēšanas laikā iepļaukāt. Ja atgriežat kļūdu, pārbaudiet, vai /etc/ldap/ldap.conf tas ir pareizi konfigurēts pašā serverī. Jums var būt nepareizs ceļš uz TLS sertifikātu vai cita kļūda. Atcerieties, ka tam vajadzētu izskatīties šādi:

PAMATOT dc = draugi, dc = cu URI ldap: //mildap.amigos.cu # TLS sertifikāti (nepieciešami GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Kad esam iekļuvuši LAM, mums jāpavada laiks, pirms to mainīt, pirms maināt konfigurāciju. Tās interfeiss ir ļoti intuitīvs un viegli lietojams. Izmantojiet to un pārbaudiet.

Novērojums: Dokumentā http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, mēs varam izlasīt beigās:

Vienots LDAP direktorijs ar daudziem lietotājiem (> 10 000)
LAM tika pārbaudīts darbam ar 10 000 lietotājiem. Ja jums ir daudz vairāk lietotāju, jums pamatā ir divas iespējas.

• Sadaliet savu LDAP koku organizatoriskajās vienībās: parasti šī opcija ir vislabākā. Ievietojiet kontus vairākās organizatoriskajās vienībās un iestatiet LAM, kā aprakstīts iepriekš.
• Palieliniet atmiņas ierobežojumu: palieliniet parametru memory_limit savā php.ini. Tas ļaus LAM lasīt vairāk ierakstu. Bet tas palēninās LAM reakcijas laiku.

Būsim radoši un kārtīgi sava direktorija administrācijā.

Paroļu drošības politika un citi aspekti, izmantojot LAM

• Mēs noklikšķinām uz saites «LAM konfigurācija».
• Noklikšķiniet uz saites "Rediģēt vispārīgos iestatījumus".
• Mēs ievadām paroli "The m" bez pēdiņām.

Šajā lapā mēs atrodam paroļu politikas, drošības preferences, atļautos saimniekus un citus.

Piezīme: LAM konfigurācija ir saglabāta mapē /usr/share/ldap-account-manager/config/lam.conf.

Mēs iespējojam https, lai droši izveidotu savienojumu ar LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 restartēt

Iespējojot https iepriekšējā veidā, mēs strādājam ar sertifikātiem, kurus Apache ģenerē pēc noklusējuma, un tos atspoguļo tā virtuālā resursdatora definīcijā default-ssl. Ja mēs vēlamies izmantot citus pašu ģenerētus sertifikātus, lūdzu, sazinieties ar mums /usr/share/doc/apache2.2-common/README.Debian.gz. Attiecīgie sertifikāti tiek saukti "Čūsku eļļa" o čūsku eļļa, un tās atrodamas:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Norādīsim uz pārlūkprogrammu https://mildap.amigos.cu, un mēs pieņemam sertifikātu. Tad mēs norādām uz https://mildap.amigos.cu/lam un mēs jau varam strādāt caur https LAM.

Svarīgi: ja servera palaišanas laikā Exim nepieciešams ilgs laiks, lai sāktu, uzstādiet vieglo aizstājēju ssmtp.

: ~ # aptitude instalēt ssmtp
 Tiks instalētas šādas JAUNAS pakotnes: ssmtp {b} 0 atjauninātas pakotnes, 1 jaunas instalētas, 0 noņemamas un 0 nav atjauninātas. Man ir jāielādē 52,7 kB faili. Pēc izpakošanas tiks izmantots 8192 B. Šādu pakotņu atkarības nav apmierinātas: exim4-config: Conflict: ssmtp, bet tiks instalēti 2.64-4. exim4-daemon-light: Konflikti: mail-transport-agent, kas ir virtuāla pakete. ssmtp: Konflikti: mail-transport-agent, kas ir virtuāla pakete. Šīs darbības novērsīs šīs atkarības. Noņemiet šādus pakotnes: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Vai jūs piekrītat šim risinājumam? [Jā / n / q /?] Un

Tad mēs izpildām:

: ~ # spēju tīrīšana ~ c: ~ # spēja tīra: ~ # spēju automātiska tīrīšana: ~ # pārstartēšana

Ja jūs strādājat ar virtuālajiem serveriem, tas būtu lielisks laiks, lai veiktu labu galvenā servera dublējumu ... katram gadījumam. 🙂

Replikācija. Saglabājiet un atjaunojiet direktoriju datu bāzi.

Izcilajā ceļvedī - kuru iesakām visiem lasīt un mācīties - «Ubuntu servera rokasgrāmata»No Ubuntu Server 12.04« Precise »ir detalizēts skaidrojums par koda daļām, ko esam uzrakstījuši par OpenLDAP un TLS sertifikātu ģenerēšanu, turklāt ļoti detalizēti tiek apspriesta direktoriju replikācija un kā veikt saglabāšanu un atjaunošanu. datu bāzēm.

Tomēr šeit ir norādīta visa datu bāzes atjaunošanas procedūra katastrofas gadījumā.

Ļoti svarīgs:

Mums vienmēr ir jābūt eksportētam failam pa rokai, izmantojot Ldap kontu pārvaldnieku kā mūsu datu dublējumu. Protams, failam cn = amigos.ldif jāatbilst mūsu pašu instalācijai. Mēs to varam iegūt arī, izmantojot komandu slapcat, kā redzēsim vēlāk.

1.- Mēs novēršam tikai slapd instalāciju.

: ~ # spēju tīrīšanas slpad

2.- Notīrām paku sistēmu

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Mēs pilnībā izdzēšam Directory datu bāzi

: ~ # rm -r / var / lib / ldap / *

4.- Mēs atkārtoti instalējam slapd dēmonu un tā atkarības

: ~ # aptitude instalēt slapd

5.- Mēs pārbaudām

: ~ # ldapsearch -Q -LLL -Y ĀRĒJĀ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = draugi, dc = cu dn

6.- Pievienojiet to pašu indeksa failu olcDbIndex.ldif

: ~ # ldapmodify -Y ĀRĒJĀ -H ldapi: /// -f ./olcDbIndex.ldif

7.- Mēs pārbaudām pievienotos indeksus

: ~ # ldapsearch -Q -LLL -Y ĀRĒJS -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Pievienojam to pašu piekļuves kontroles kārtulu

: ~ # ldapmodify -Y ĀRĒJĀ -H ldapi: /// -f ./olcAccess.ldif

9.- Mēs pārbaudām piekļuves kontroles noteikumus

: ~ # ldapsearch -Q -LLL -Y ĀRĒJS -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Pievienojam TLS sertifikātus. Nav nepieciešams atjaunot vai labot atļaujas. Tie jau pastāv failu sistēmā, bet nav deklarēti datu bāzē.

: ~ # ldapmodify -Y ĀRĒJĀ -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Mēs pievienojam saturu atbilstoši mūsu pašu dublējumam

: ~ # ldapadd -x -D cn = administrators, dc = draugi, dc = cu -W -f dc = draugi.ldif

NELIETOJIET restartēt slapd, jo tas indeksē datu bāzi un to var sabojāt !!! VIENMĒR rediģējiet dublējuma failu PIRMS tā pievienošanas, lai izvairītos no esošo ierakstu ievadīšanas.

Mēs pārlūkprogrammā norādām uz https://mildap.amigos.cu/lam un mēs pārbaudām.

Slapcat komanda

Komanda slapcat To galvenokārt izmanto, lai ģenerētu LDIF formātā - tās datu bāzes saturu, kas apstrādā iepļaukāt. Komanda atver datu bāzi, ko nosaka tās numurs vai sufikss, un ekrānā uzraksta atbilstošo failu LDIF formātā. Tiek rādītas arī datu bāzes, kas konfigurētas kā pakārtotas, ja vien mēs nenorādām opciju -g.

Vissvarīgākais šīs komandas izmantošanas ierobežojums ir tāds, ka to nevajadzētu izpildīt, kad iepļaukāt, vismaz rakstīšanas režīmā, lai nodrošinātu datu konsekvenci.

Piemēram, ja mēs vēlamies izveidot direktorijas datu bāzes rezerves kopiju failā ar nosaukumu backup-slapd.ldif, mēs izpildām:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM attēli