Helo kawan !. Kami tidak mahu menerbitkan artikel ini kerana terdapat dalam ringkasan dalam format PDF yang diminta oleh banyak pembaca. Ya, kami akan menulis ringkasan dengan penambahan yang menarik. Dan sebagai pratonton ringkasan ini, kami menyalin pengenalan:
Banyak orang yang bertanggungjawab terhadap perkhidmatan dalam rangkaian perniagaan, ketika mereka mengambil alih rangkaian yang perkhidmatannya berdasarkan produk Microsoft, jika mereka ingin bermigrasi ke Linux, mereka menganggap migrasi Pengawal Domain di antara perkhidmatan lain.
Sekiranya mereka tidak memilih produk pihak ketiga seperti ClearOS atau Zentyal, atau jika atas sebab lain mereka ingin berdikari, maka mereka melakukan tugas yang sukar untuk menjadi Pengawal Domain mereka sendiri, atau dari Samba 4 -atau yang lain- mereka sendiri Direktori Aktif.
Kemudian masalah bermula dan beberapa kekecewaan lain. Kesalahan operasi. Mereka tidak menemui lokasi masalah untuk menyelesaikannya. Percubaan pemasangan berulang. Sebahagian operasi perkhidmatan. Dan senarai masalah yang panjang.
Sekiranya kita melihat dengan teliti, sebahagian besar Internet tidak menggunakan rangkaian jenis Microsoft. Walau bagaimanapun, dalam persekitaran perniagaan kita banyak.
Dengan ringkasan ini, kami cuba menunjukkan bahawa kami dapat membuat rangkaian perniagaan tanpa falsafah Microsoft. Perkhidmatan berdasarkan pengesahan pengguna terhadap Direktori OpenLDAP seperti: E-Mail, FTP, SFTP, Business Cloud berdasarkan Owncloud, dll.
Kami bercita-cita untuk menawarkan pendekatan yang berbeza berdasarkan 100% Perisian Percuma, dan itu tidak menggunakan atau meniru -yang untuk kes ini sama- falsafah rangkaian Microsoft, baik dengan Perisian Microsoft, atau dengan OpenLDAP dan Samba sebagai yang utama.
Semua penyelesaian yang menggunakan perisian percuma Openldap + Samba semestinya melalui pengetahuan asas tentang apa itu pelayan LDAP, bagaimana ia dipasang, bagaimana ia dikonfigurasi dan diuruskan, dll.? Kemudian mereka mengintegrasikan Samba dan mungkin Kerberos, dan pada akhirnya mereka menawarkan kami untuk "mencontohi" Domain Controller dalam gaya Microsoft NT 4, atau Active Directory.
Tugas sukar memang ketika kita melaksanakan dan mengkonfigurasinya dari pakej repositori. Mereka yang telah mempelajari dan menggunakan dokumentasi Samba yang luas tahu betul maksud kami. Samba 4 malah mencadangkan pentadbiran Direktori Aktif anda dengan menggunakan konsol pentadbiran klasik yang kami dapati dalam Microsoft Active Directory, sama ada tahun 2003 atau yang lain yang lebih maju.
Bacaan yang disyorkan.
Manual yang sangat baik, El Maestro, Joel Barrios Dueñas memberi kami dan yang melayani pemain Debian dengan sangat baik, walaupun berorientasi pada CentOS dan Red Hat.
Perkhidmatan dan perisian apa yang akan kami pasang dan konfigurasikan?
- NTP, DNS dan DHCP bebas, iaitu dua yang terakhir tidak disatukan ke dalam Direktori
- Perkhidmatan Direktori atau «Perkhidmatan Direktori»Berdasarkan OpenLDAP
- E-Mail, "Citadel" Kumpulan Kerja Kumpulan, FTP dan SFTP,
- Awan Perniagaan «OwnCloud«
- Pelayan fail bebas berdasarkan Samba.
Dalam semua kes, proses pengesahan bukti pengguna akan dilakukan terhadap Direktori secara langsung, atau melalui libnss-ldap y PAM bergantung pada ciri perisian yang dimaksudkan.
Dan tanpa basa-basi lagi, mari kita mula berniaga.
Pengurus Akaun Ldap
Sebelum meneruskan, kita mesti membaca:
- Perkhidmatan Direktori dengan LDAP. Pengenalan
- Perkhidmatan Direktori dengan LDAP [2]: NTP dan dnsmasq
- Perkhidmatan Direktori dengan LDAP [3]: Isc-DHCP-Server dan Bind9
- Perkhidmatan Direktori dengan LDAP [4]: OpenLDAP (I)
- Perkhidmatan Direktori dengan LDAP [5]: OpenLDAP (II)
- Perkhidmatan Direktori dengan LDAP [6]: Sijil dalam Debian 7 "Wheezy"
Mereka yang telah mengikuti siri artikel sebelumnya akan menyedari bahawa kita SUDAH mempunyai Direktori untuk diuruskan. Kami dapat mencapainya dengan banyak cara, baik melalui utiliti konsol yang dikelompokkan dalam pakej ldapskrip, antara muka web phpLDAPadmin, Pengurus Akaun Ldap, dll., yang ada di repositori.
Terdapat juga kemungkinan melakukannya melalui Studio Direktori Apache, yang mesti kita muat turun dari Internet. Beratnya sekitar 142 megabait.
Untuk mentadbir Direktori kami, kami sangat mengesyorkan penggunaan Pengurus Akaun Ldap. Dan perkara pertama yang akan kami sampaikan ialah, selepas pemasangannya, kami dapat mengaksesnya dokumentasi yang terletak di folder / usr / share / doc / ldap-account-manager / docs.
Melalui Pengurus Akaun Ldap, mulai sekarang LAM, kami dapat menguruskan akaun pengguna dan kumpulan yang disimpan di Direktori kami. LAM berjalan di mana-mana pelayan laman web yang menyokong PHP5, dan kami dapat menyambung ke sana melalui saluran yang tidak disulitkan, atau melalui PermulaanTLS, yang merupakan bentuk yang akan kita gunakan dalam contoh kita.
Pemasangan dan konfigurasi awal:
: ~ # aptitude install ldap-account-manager
Selepas pemasangan Apache2 -apache2-mpm-prefork-, dari PHP5 dan pergantungan lain, dan dari pakej itu sendiri ldap-akaun-pengurusPerkara pertama yang mesti kita lakukan ialah membuat pautan simbolik dari folder dokumentasi LAM ke folder root dokumen di pelayan web kita. Contoh:
: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs
Dengan cara ini kami menjamin akses ke manual LAM melalui penyemak imbas web, jika kami menunjukkan alamatnya http://mildap.amigos.cu/lam-docs.
Seterusnya, mari mulakan konfigurasi LAM itu sendiri. Dalam penyemak imbas kita menunjukkan http://mildap.amigos.cu/lam.
- Kami mengklik pada pautan "Konfigurasi LAM".
- Klik pada pautan "Edit profil pelayan".
- Kami menaip kata laluan 'Mereka' tanpa petikan.
Di halaman konfigurasi LAM, kita dapat mengubah banyak parameter sesuai dengan pilihan dan keperluan kita. Oleh kerana saya selalu mengesyorkan untuk pergi dari Kompleks Sederhana ke Kompleks, dan bukan sebaliknya, kita hanya akan menyentuh perkara yang sangat diperlukan untuk menggunakan alat yang kuat iaitu LAM. Sekiranya setelah kami menjadi Master dalam penggunaannya, kami ingin mengubah atau menambah fungsi, maka selamat datang.
- Aktifkan TLS: yes -Disarankan-
- Akhiran pokok: dc = kawan, dc = cu
- Bahasa lalai: Español (Sepanyol)
- Senarai pengguna yang sah *: cn = admin, dc = kawan, dc = cu
- Kata laluan baharu: kata laluan yang berbeza dari lam
- Masukkan semula kata laluan: kata laluan yang berbeza dari lam
Nota: The ' * 'bermaksud ini adalah entri yang diperlukan.
Bahagian kiri bawah adalah butang Simpan y ^ Batal. Sekiranya kita menyimpan perubahan sekarang, ia akan mengembalikan kita ke halaman awal dan kita dapat melihat bahawa bahasa telah berubah dan bahawa nama pengguna sekarang admin. Sebelum itu Pengurus. Walau bagaimanapun, mari kita kembali mengedit -sekarang dalam bahasa Sepanyol- "Menetapkan. LAM ». Setelah kami kembali ke halaman konfigurasi, kami akan melakukan perkara berikut:
- Kami memilih tab 'Jenis akaun'.
- Dalam bahagian ini 'Jenis akaun aktif' -> 'Pengguna' -> 'Akhiran LDAP', kami menulis: ou = Orang, dc = kawan, dc = cu.
- Dalam bahagian ini 'Jenis akaun aktif' -> 'Kumpulan' -> 'Akhiran LDAP', kami menulis: ou = Kumpulan, dc = rakan, dc = cu.
- Menggunakan butang bertajuk '^ Keluarkan jenis akaun ini', kami menghapuskan yang sesuai dengan 'Pasukan' y 'Domain Samba', yang tidak akan kita gunakan.
- Kami memilih tab 'Modul'.
- En 'Pengguna', dalam senarai 'Modul terpilih', kami memindahkan modul 'Samba 3 (sambaSamAccount)' ke senarai 'Modul yang Ada'.
- En 'Kumpulan', dalam senarai 'Modul terpilih', kami memindahkan modul 'Samba 3 (sambaGroupMapping)' ke senarai 'Modul yang Ada'.
Buat masa ini, dan sehingga kita menjadi biasa dengan konfigurasi LAM, kita akan membiarkannya.
Kami menyimpan perubahan dan kembali ke halaman awal, di mana kita mesti menaip kata laluan pengguna admin (cn = admin, dc = kawan, dc = cu), diisytiharkan semasa pemasangan tamparan. Sekiranya anda mengembalikan kesilapan, periksa bahawa /etc/ldap/ldap.conf ia dikonfigurasikan dengan betul pada pelayan itu sendiri. Anda mungkin mempunyai jalan yang salah ke sijil TLS atau kesalahan lain. Ingatlah ia kelihatan seperti ini:
ASAS dc = kawan, dc = cu URI ldap: //mildap.amigos.cu # sijil TLS (diperlukan untuk GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem
Setelah masuk ke dalam LAM, kita mesti meluangkan masa untuk mempelajarinya SEBELUM mengubah konfigurasi. Antaramuka sangat intuitif dan mudah digunakan. Gunakan dan periksa.
Pemerhatian: Dalam dokumen itu http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, kita boleh membaca di akhir:
Direktori LDAP tunggal dengan banyak pengguna (> 10 000)
LAM diuji untuk bekerjasama dengan 10 pengguna. Sekiranya anda mempunyai lebih banyak pengguna maka pada dasarnya anda mempunyai dua pilihan.
- Bahagikan pokok LDAP anda dalam unit organisasi: Ini biasanya merupakan pilihan terbaik. Masukkan akaun anda di beberapa unit organisasi dan siapkan LAM seperti dalam senario lanjutan di atas.
- Tingkatkan had memori: Tingkatkan parameter memory_limit di php.ini anda. Ini akan membolehkan LAM membaca lebih banyak entri. Tetapi ini akan melambatkan masa tindak balas LAM.
Mari Kreatif dan Teratur dalam Pentadbiran Direktori kami.
Dasar keselamatan kata laluan, dan aspek lain melalui LAM
- Kami mengklik pada pautan «Konfigurasi LAM».
- Klik pada pautan "Edit tetapan umum".
- Kami menaip kata laluan 'Mereka' tanpa petikan.
Dan di halaman itu kita dapati Dasar Kata Laluan, Keutamaan Keselamatan, Host yang Dibolehkan, dan lain-lain.
Nota: Konfigurasi LAM disimpan di /usr/share/ldap-account-manager/config/lam.conf.
Kami membolehkan https untuk menyambung ke LAM dengan selamat:
: ~ # a2ensite lalai-ssl : ~ # a2enmod ssl : ~ # /etc/init.d/apache2 mulakan semula
Apabila kami mengaktifkan https dengan cara sebelumnya, kami bekerja dengan sijil yang dihasilkan Apache secara lalai, dan mencerminkannya dalam definisi hos maya default-ssl. Sekiranya kami ingin menggunakan sijil lain yang dihasilkan oleh kami, sila dan beritahu kami /usr/share/doc/apache2.2-common/README.Debian.gz. Sijil yang dimaksudkan dipanggil "Minyak ular" o Minyak Ular, dan terdapat di:
/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/private/ssl-cert-snakeoil.key
Mari arahkan penyemak imbas ke https://mildap.amigos.cu, dan kami menerima sijil. Kemudian kita menunjukkan https://mildap.amigos.cu/lam dan kita sudah boleh bekerja melalui https LAM.
Penting: jika semasa proses permulaan pelayan, Exim memerlukan masa yang lama untuk memulakan, pasang pengganti ringan smtp.
: ~ # aptitude install ssmtp
Pakej BARU berikut akan dipasang: ssmtp {b} 0 pakej dikemas kini, 1 pakej baru dipasang, 0 untuk dikeluarkan dan 0 tidak dikemas kini. Saya perlu memuat turun fail 52,7 kB. Selepas membongkar 8192 B akan digunakan. Ketergantungan pakej berikut tidak berpuas hati: exim4-config: Conflicts: ssmtp tetapi 2.64-4 akan dipasang. exim4-daemon-light: Konflik: e-mail-transport-agent yang merupakan pakej maya. ssmtp: Konflik: e-mail-transport-agent yang merupakan pakej maya. Tindakan berikut akan menyelesaikan kebergantungan ini Buang pakej berikut: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Adakah anda menerima penyelesaian ini? [Y / n / q /?] Dan
Kemudian kami melaksanakan:
: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot
Sekiranya anda bekerja dengan pelayan maya, ini adalah masa yang tepat untuk membuat sandaran yang baik dari keseluruhan pelayan utama ... sekiranya berlaku. 🙂
Replikasi. Simpan dan pulihkan pangkalan data Direktori.
Dalam panduan yang sangat baik-yang kami sarankan semua orang untuk membaca dan belajar- «Panduan Pelayan Ubuntu»Dari Ubuntu Server 12.04« Tepat », terdapat penjelasan terperinci mengenai bahagian-bahagian kod yang telah kami tulis mengenai OpenLDAP dan penghasilan sijil TLS, dan sebagai tambahan, Replikasi Direktori dibincangkan dengan terperinci, dan bagaimana melakukan Save dan Pulihkan pangkalan data.
Walau bagaimanapun, berikut adalah prosedur untuk memulihkan keseluruhan pangkalan data sekiranya berlaku bencana.
Sangat penting:
Kita mesti SELALU mempunyai fail yang dieksport melalui Pengurus Akaun Ldap sebagai sandaran data kami. Sudah tentu, fail cn = amigos.ldif mesti sesuai dengan pemasangan kita sendiri. Kita juga boleh mendapatkannya melalui perintah slapcat seperti yang akan kita lihat kemudian.
1.- Kami menghapuskan pemasangan slapd sahaja.
: ~ # aptitude purge slpad
2.- Kami membersihkan sistem pakej
: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean
3.- Kami memadamkan pangkalan data Direktori sepenuhnya
: ~ # rm -r / var / lib / ldap / *
4.- Kami memasang semula daemon slapd dan kebergantungannya
: ~ # aptitude install slapd
5.- Kami periksa
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = kawan, dc = cu dn
6.- Kami menambah fail indeks olcDbIndex.ldif yang sama
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif
7.- Kami memeriksa indeks tambahan
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex
8.- Kami menambah Peraturan Kawalan Akses yang sama
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif
9.- Kami memeriksa Peraturan Kawalan Akses
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix
10.- Kami menambah Sijil TLS. Tidak perlu membina semula atau memperbaiki kebenaran. Mereka sudah ada dalam sistem fail, tetapi tidak dinyatakan dalam pangkalan data.
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif
11.- Kami menambahkan kandungan mengikut cadangan kami sendiri
: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif
JANGAN mulakan semula slapd kerana mengindeks pangkalan data dan ia boleh rosak !!! SELALU mengedit fail sandaran anda SEBELUM menambahkannya, agar tidak memasukkan entri yang ada.
Kami menunjukkan penyemak imbas ke https://mildap.amigos.cu/lam dan kami periksa.
Perintah slapcat
Perintah itu penampar Ini kebanyakan digunakan untuk menghasilkan dalam format LDIF, kandungan pangkalan data yang menangani tamparan. Perintah membuka pangkalan data ditentukan oleh nombor atau akhiran, dan menulis fail yang sesuai dalam format LDIF di layar. Pangkalan data yang dikonfigurasi sebagai bawahan juga ditunjukkan, kecuali kami menentukan pilihannya -g.
Batasan yang paling penting dalam penggunaan perintah ini adalah tidak boleh dilaksanakan ketika tamparan, sekurang-kurangnya dalam mod penulisan, untuk memastikan ketekalan data.
Sebagai contoh, jika kita ingin membuat salinan sandaran pangkalan data Direktori, ke fail bernama sandaran-slapd.ldif, kami melaksanakan:
: ~ # perkhidmatan slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start
Gambar LAM
Sumbangan hebat, saya menyukainya, dan juga bacaan yang disyorkan.
Dia telah mencari artikel serupa tanpa banyak kejayaan.
Saya beri anda 10 😉
Terima kasih kerana mengulas dan menilai artikel saya !!!
Menarik! Sekali lagi, sumbangan yang sangat baik, Fico!
Peluk! Paul.
Terima kasih banyak atas komen dan pujian anda, kawan Pablo !!! Saya harap ia berguna untuk mereka yang memerlukannya.
Kandungan yang sangat baik! Terima kasih sekali lagi kerana berkongsi.
salam
Terima kasih atas komen !!!
Homerun Fico !! Dan pdf rasmi bilakah ia akan siap?
Salam dhunter !!!. Bayangkan bahawa selain mengandungi 7 catatan yang diterbitkan setakat ini, saya akan menyertakan cara mengintegrasikan pelayan mel asas berdasarkan CITADEL; Perkhidmatan FTP, SFTP; Awan Perniagaan berdasarkan OwnCloud; pelayan Samba Berdiri dengan pengguna sistem melalui libnss-ldap dan PAM, dan sebagainya. Buat kesimpulan anda sendiri. Think Saya fikir pada akhir bulan Mac atau awal April.
Halo Federico, terima kasih atas sumbangannya, kami akan menantikannya. dengan kemas kini ..
Saya akan berusaha untuk menyelesaikannya pada akhir bulan ini. Sama sekali tidak mudah untuk menulis buku walaupun hanya beberapa halaman.
Saya hanya dapat mengatakan bahawa daripada penyumbang blog ini, anda nampaknya menjadi yang paling menarik, paling baik dijelaskan dan paling jauh dari SEMUA.
Terima kasih banyak atas ulasan anda. Dalam setiap artikel yang saya tulis, saya melakukan yang terbaik, kerana saya tahu bahawa selalu ada pembaca seperti anda, walaupun ramai yang tidak memberikan komen.
Salam Nexus6 !!!
Selamat petang, setiap kali saya berunding dengan rangkaian mengenai ldap, saya dapati anda memberi cadangan, yang saya ucapkan tahniah atas niat anda, sekarang saya baru dalam hal ini dan seperti semua orang yang berminat untuk belajar
Inilah persoalannya
Rakan-rakan saya memberitahu saya bahawa apabila rangkaian terputus, sistem operasi yang telah disahkan dengan ldap mengubah bahasa saya menjadi bahasa Inggeris sehingga anda dapat memberitahu saya di mana saya harus memeriksa fail mana yang hendak diperiksa sehingga dalam bahasa Sepanyol pengguna saya diinisialisasi semula sudah ditambahkan dalam LDAP terlebih dahulu terima kasih kerana membantu
Posisi terbaik Federico seperti biasa. Saya membaca bahawa anda mengomentari sesuatu yang berkaitan dengan PDF dengan konfigurasi kebanyakan perkhidmatan telematik yang digunakan dalam rangkaian perniagaan. Anda mengatakan bahawa pada akhir bulan Mac atau awal April tahun lalu ia akan siap. Soalan saya ialah adakah pada masa itu anda berjaya menyelesaikannya dan memuat naiknya? Terima kasih sebelumnya, pada akhirnya saya akan menguji Openfire, saya melihat bahawa ia bahkan mempunyai antara muka web untuk 9090.
Terima kasih atas komen anda, Pedro Pablo. Daripada menjawab anda secara meluas, saya menulis artikel yang akan anda baca hari ini atau esok. Pembaca yang berterima kasih seperti anda layak mendapat jawapan. Terima kasih sekali lagi.