Katalogtjeneste med OpenLDAP [7 og siste?]: Ldap Account Manager

Hei venner!. Vi ønsket ikke å publisere denne artikkelen, da den er inneholdt i kompendiet i PDF-format som mange lesere har bedt om. Ja, vi vil skrive et sammendrag med interessante tillegg. Og som en forhåndsvisning av kompendiet, transkriberer vi Innledning:

Mange som har ansvaret for tjenestene i bedriftsnettverkene, når de tar ansvar for et nettverk hvis tjenester er basert på Microsoft-produkter. Hvis de ønsker å migrere til Linux, vurderer de migrering av domenekontrollere blant andre tjenester.

Hvis de ikke velger et tredjepartsprodukt som ClearOS eller Zentyal, eller hvis de av andre grunner ønsker å bli uavhengige, påtar de seg den møysommelige oppgaven å bli sin egen Domain Controller, eller fra Samba 4 - eller andre - sin egen Active Directory.

Så begynner problemene og noen andre skuffelser. Driftsfeil. De finner ikke plasseringen av problemene for å kunne løse dem. Gjentatte installasjonsforsøk. Delvis drift av tjenestene. Og en lang liste med problemer.

Hvis vi ser nøye på, bruker det meste av Internett ikke nettverk av Microsoft-typen. Imidlertid gjør vi mye i vårt forretningsmiljø.

Med dette kompendiet prøver vi å vise at vi kan lage et forretningsnettverk uten Microsoft-filosofien. Tjenester basert på autentisering av brukere mot en OpenLDAP Directory som: E-post, FTP, SFTP, Business Cloud basert på Owncloud, etc.

Vi ønsker å tilby en annen tilnærming basert på 100% gratis programvare, og som ikke bruker eller etterligner - som for saken er den samme - filosofien til Microsoft-nettverk, verken med Microsoft-programvare, eller med OpenLDAP og Samba som de viktigste.

Alle løsninger som bruker den gratis programvaren Openldap + Samba, går nødvendigvis gjennom den grunnleggende kunnskapen om hva som er en LDAP-server, hvordan er den installert, hvordan konfigureres og administreres osv. Senere integrerer de Samba og muligens Kerberos, og til slutt tilbyr de oss å "etterligne" en Domain Controller i stil med Microsofts NT 4, eller en Active Directory.

Vanskelig vanskelig oppgave når vi implementerer og konfigurerer den fra depotpakker. De som har studert og brukt den omfattende Samba-dokumentasjonen vet veldig godt hva vi mener. Samba 4 foreslår til og med administrasjonen av Active Directory ved å bruke den klassiske administrasjonskonsollen som vi finner i en Microsoft Active Directory, det være seg 2003 eller en annen mer avansert.

Anbefalt lesing.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Administratorhåndbok
Ubuntu Server Guide 12.04
Serverkonfigurasjon med GNU / Linux.

Utmerket manual som El Maestro, Joel Barrios Dueñas gir oss og som serverer Debian-spillere veldig bra, selv om den er orientert mot CentOS og Red Hat.

Hvilke tjenester og programvare planlegger vi å installere og konfigurere?

• Uavhengig NTP, DNS og DHCP, det vil si at de to siste ikke er integrert i katalogen
• Katalogtjeneste eller «Katalogtjeneste»Basert på OpenLDAP
• E-post, "Citadel" Group Work Suite, FTP og SFTP,
• Business Cloud «ownCloud«
• Uavhengig filserver basert på Samba.

I alle tilfeller vil prosessen med å autentisere legitimasjonen til brukerne utføres mot katalogen direkte, eller gjennom libnss-ldap y PAM avhengig av egenskapene til den aktuelle programvaren.

Og uten videre, la oss komme i gang.

Ldap Account Manager

Før vi fortsetter, må vi lese:

• Katalogtjeneste med LDAP. Introduksjon
• Katalogtjeneste med LDAP [2]: NTP og dnsmasq
• Katalogtjeneste med LDAP [3]: Isc-DHCP-server og Bind9
• Katalogtjeneste med LDAP [4]: ​​OpenLDAP (I)
• Katalogtjeneste med LDAP [5]: OpenLDAP (II)
• Katalogtjeneste med LDAP [6]: Sertifikater i Debian 7 "Wheezy"

De som har fulgt serien med tidligere artikler vil ha lagt merke til at vi allerede har en katalog å administrere. Vi kan oppnå dette på mange måter, enten gjennom konsollverktøyene gruppert i pakken lscripts, nettgrensesnittene PhpLDAPadmin, Ldap Account Manager, etc., som er i depotet.

Det er også muligheten for å gjøre det gjennom Apache Directory Studio, som vi må laste ned fra Internett. Den veier omtrent 142 megabyte.

For å administrere katalogen vår, anbefaler vi sterkt bruk av Ldap Account Manager. Og det første vi vil si om det, er at etter installasjonen kan vi få tilgang til det dokumentasjon som ligger i mappen / usr / share / doc / ldap-account-manager / docs.

Gjennom Ldap Account Manager, fremover LAM, kan vi administrere bruker- og gruppekontoer som er lagret i katalogen vår. LAM kjører på en hvilken som helst nettsideserver som støtter PHP5, og vi kan koble til den via en ukryptert kanal, eller gjennom StartTLS, som er skjemaet vi vil bruke i vårt eksempel.

Første installasjon og konfigurasjon:

: ~ # aptitude install ldap-account-manager

Etter installasjonen av Apache2 -apache2-mpm-pregaffel-, fra PHP5 og andre avhengigheter, og fra selve pakken ldap-kontoadministrator, det første vi må gjøre er å opprette en symbolsk lenke fra LAM-dokumentasjonsmappen til rotmappen til dokumentene på webserveren vår. Eksempel:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

På denne måten garanterer vi tilgang til LAM-håndboken gjennom en nettleser, hvis vi peker på adressen http://mildap.amigos.cu/lam-docs.

Deretter, la oss begynne å konfigurere selve LAM. I en nettleser vi peker på http://mildap.amigos.cu/lam.

• Vi klikker på lenken "LAM-konfigurasjon".
• Klikk på lenken "Rediger serverprofiler".
• Vi skriver inn passordet 'The m' uten sitatene.

I LAM-konfigurasjonssidene kan vi endre mange parametere i henhold til våre preferanser og behov. Som jeg alltid har anbefalt å gå fra det enkle til det komplekse, og ikke omvendt, vil vi bare berøre det som er strengt nødvendig for å bruke det kraftige verktøyet som er LAM. Hvis vi etter å ha blitt mestere i bruken, vil endre eller legge til funksjoner, så velkommen.

• Aktiver TLS: ja -Anbefales-.
• Tresuffiks: dc = venner, dc = cu
• Standard språk: español (Spania)
• Liste over gyldige brukere *: cn = admin, dc = venner, dc = cu
• Nytt passord: annet passord enn lam
  
• Skriv inn passord på nytt: annet passord enn lam
  

Merk: ' * 'betyr at det er en obligatorisk oppføring.

Nederst til venstre er knappene ^ Lagre y ^ Avbryt. Hvis vi lagrer endringene nå, vil det returnere oss til den første siden, og vi kan se at språket allerede har endret seg og at brukerens navn er nå admin. Før var Leder. La oss imidlertid gå tilbake for å redigere -now på spansk- "Omgivelser. av LAM ». Når vi er tilbake på konfigurasjonssiden, vil vi gjøre følgende:

• Vi velger fanen 'Typer kontoer'.
• I seksjonen 'Aktive kontotype' -> 'Brukere' -> 'LDAP-suffiks', vi skrev: ou = People, dc = venner, dc = cu.
• I seksjonen 'Aktive kontotyper' -> 'Grupper' -> 'LDAP-suffiks', vi skrev: ou = Grupper, dc = venner, dc = cu.
• Bruk knappene med tittelen '^ Fjern denne kontotypen', eliminerer vi de som tilsvarer 'Lag' y 'Samba-domener', som vi ikke vil bruke.
• Vi velger fanen 'Moduler'.
• En 'Brukere', på listen 'Valgte moduler', vi flytter modulen 'Samba 3 (sambaSamAccount)' til listen over 'Tilgjengelige moduler'.
• En 'Grupper', på listen 'Valgte moduler', vi flytter modulen 'Samba 3 (sambaGroupMapping)' til listen over 'Tilgjengelige moduler'.

For nå, og til vi blir kjent med LAM-konfigurasjonen, vil vi la det være.

Vi lagrer endringene og går tilbake til den første siden, der vi må skrive inn brukerens passord admin (cn = admin, dc = venner, dc = cu), erklært under installasjonen av dask. Hvis du returnerer en feil, må du kontrollere at /etc/ldap/ldap.conf den er riktig konfigurert på selve serveren. Du kan ha feil bane til TLS-sertifikatet eller en annen feil. Husk at det skal se slik ut:

BASE dc = venner, dc = cu URI ldap: //mildap.amigos.cu # TLS-sertifikater (nødvendig for GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Når vi er inne i LAM, må vi bruke litt tid på å studere den FØR vi endrer konfigurasjonen. Grensesnittet er veldig intuitivt og enkelt å bruke. Bruk den og sjekk.

observasjon: I dokumentet http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, kan vi lese på slutten:

Enkel LDAP-katalog med mange brukere (> 10)
LAM ble testet for å jobbe med 10 000 brukere. Hvis du har mange flere brukere, har du i utgangspunktet to alternativer.

• Del LDAP-treet ditt i organisasjonsenheter: Dette er vanligvis det beste alternativet. Sett kontoene dine i flere organisasjonsenheter og sett opp LAM som i det avanserte scenariet ovenfor.
• Øk minnegrense: Øk parameteren memory_limit i php.ini. Dette vil gjøre at LAM kan lese flere oppføringer. Men dette vil redusere responstidene til LAM.

La oss være kreative og ryddig i administrasjonen av katalogen vår.

Retningslinjer for passordsikkerhet og andre aspekter gjennom LAM

• Vi klikker på lenken «LAM-konfigurasjon».
• Klikk på lenken "Rediger generelle innstillinger".
• Vi skriver inn passordet 'The m' uten sitatene.

Og på den siden finner vi passordpolicyer, sikkerhetsinnstillinger, tillatte verter og andre.

Merk: LAM-konfigurasjonen er lagret i /usr/share/ldap-account-manager/config/lam.conf.

Vi lar https trygt koble til LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 omstart

Når vi aktiverer https på forrige måte, jobber vi med sertifikatene som Apache genererer som standard, og gjenspeiler dem i definisjonen av den virtuelle verten standard-ssl. Hvis vi ønsker å bruke andre sertifikater generert av oss selv, kan du la oss konsultere /usr/share/doc/apache2.2-common/README.Debian.gz. Sertifikatene det gjelder kalles "Slange olje" o Slangeolje, og de finnes i:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

La oss peke nettleseren på https://mildap.amigos.cu, og vi godtar sertifikatet. Så peker vi på https://mildap.amigos.cu/lam og vi kan allerede jobbe gjennom https the LAM.

Viktig: hvis under serveroppstartsprosessen, Eksamen tar lang tid å starte, installer den lette vikaren ssmtp.

: ~ # aptitude install ssmtp
 Følgende NYE pakker vil bli installert: ssmtp {b} 0 oppdaterte pakker, 1 ny installert, 0 å fjerne og 0 ikke oppdatert. Jeg må laste ned 52,7 kB filer. Etter utpakking vil 8192 B brukes. Avhengighet av følgende pakker er ikke oppfylt: exim4-config: Konflikter: ssmtp men 2.64-4 vil bli installert. exim4-daemon-light: Konflikter: mail-transport-agent som er en virtuell pakke. ssmtp: Konflikter: mail-transport-agent som er en virtuell pakke. Følgende handlinger vil løse disse avhengighetene Fjern følgende pakker: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Godtar du denne løsningen? [Y / n / q /?] Og

Så utfører vi:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Hvis du jobber med virtuelle servere, vil dette være en flott tid å ta en god sikkerhetskopi av hele hovedserveren ... bare i tilfelle. 🙂

Replikering. Lagre og gjenopprett katalogdatabasen.

I den utmerkede guiden - som vi anbefaler alle å lese og studere - «Ubuntu serverveiledning»Av Ubuntu Server 12.04« Precise », kommer en detaljert forklaring av deler av koden som vi har skrevet om OpenLDAP og generering av TLS-sertifikater, og den handler også mye om Directory Replication, og hvordan du lagrer og gjenoppretter databasene.

Her er imidlertid en prosedyre for å gjenopprette hele databasen i tilfelle en katastrofe.

Veldig viktig:

Vi må ALLTID ha den eksporterte filen tilgjengelig gjennom Ldap Account Manager som en sikkerhetskopi av dataene våre. Selvfølgelig må filen cn = amigos.ldif samsvare med vår egen installasjon. Vi kan også få det gjennom slapcat-kommandoen, som vi vil se senere.

1.- Vi eliminerer bare slapd-installasjonen.

: ~ # aptitude purge slpad

2.- Vi rengjør pakkesystemet

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Vi sletter katalogdatabasen fullstendig

: ~ # rm -r / var / lib / ldap / *

4.- Vi installerer slapd-demonen og dens avhengigheter på nytt

: ~ # aptitude installer slapd

5.- Vi sjekker

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = venner, dc = cu dn

6.- Legg til den samme indeksfilen olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Vi sjekker de tilføyde indeksene

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Vi legger til den samme tilgangskontrollregelen

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9.- Vi sjekker tilgangskontrollreglene

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Vi legger til TLS-sertifikatene. Du trenger ikke å bygge om eller fikse tillatelser. De finnes allerede i filsystemet, men deklareres ikke i databasen.

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Vi legger til innholdet i henhold til vår egen sikkerhetskopi

: ~ # ldapadd -x -D cn = admin, dc = venner, dc = cu -W -f dc = friends.ldif

IKKE start slapd på nytt fordi den indekserer databasen og den kan bli ødelagt !!! Rediger ALLTID sikkerhetskopifilen FØR du legger den til, for å unngå å legge inn eksisterende oppføringer.

Vi peker i en nettleser mot https://mildap.amigos.cu/lam og vi sjekker.

Slapcat-kommandoen

Kommandoen slapcat Det brukes mest til å generere i LDIF-format, innholdet i databasen som håndterer dask. Kommandoen åpner databasen bestemt av nummeret eller av suffikset, og skriver den tilsvarende filen i LDIF-format på skjermen. Databasene konfigurert som underordnet vises også, med mindre vi spesifiserer alternativet -g.

Den viktigste begrensningen for bruken av denne kommandoen er at den ikke skal utføres når dask, i det minste i skrivemodus, for å sikre datakonsistens.

Hvis vi for eksempel vil lage en sikkerhetskopi av katalogdatabasen, til en fil som heter backup-slapd.ldif, vi utfører:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM bilder