Usługa katalogowa z LDAP [4]: ​​OpenLDAP (I)

Cześć przyjaciele!. Przejdźmy do sprawy i jak zawsze zalecamy zapoznanie się z trzema poprzednimi artykułami z serii:

• Usługa katalogowa z LDAP. Wprowadzenie.
• Usługa katalogowa z LDAP [2]: NTP i dnsmasq.
• Usługa katalogowa z LDAP [3]: Isc-DHCP-Server i Bind9.

DNS, DHCP i NTP to minimalne niezbędne usługi dla naszego prostego katalogu opartego na OpenLDAP natywny, działa poprawnie na Debian 6.0 „Squeeze”lub w Ubuntu 12.04 LTS „Precise Pangolin”.

Przykładowa sieć:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

W części pierwszej zobaczymy:

• Instalacja OpenLDAP (klaps 2.4.23-7.3)
• Kontrole po instalacji
• Wskaźniki do wzięcia pod uwagę
• Zasady kontroli dostępu do danych
• Generowanie certyfikatów TLS w Squeeze

natomiast w drugiej części będziemy kontynuować:

• Uwierzytelnianie użytkownika lokalnego
• Wypełnij bazę danych
• Zarządzaj bazą danych za pomocą narzędzi konsoli
• Dotychczasowe podsumowanie ...

Instalacja OpenLDAP (klaps 2.4.23-7.3)

Serwer OpenLDAP jest instalowany przy użyciu pakietu klapsa. Musimy również zainstalować pakiet narzędzia ldap, który zapewnia nam narzędzia po stronie klienta, a także własne narzędzia OpenLDAP.

: ~ # aptitude install slapd ldap-utils

Podczas procesu instalacji debconf Poprosi nas o hasło administratora lub użytkownika «Admin«. Zainstalowanych jest również kilka zależności; użytkownik został utworzony otwórzldap; tworzona jest początkowa konfiguracja serwera oraz katalog LDAP.

We wcześniejszych wersjach OpenLDAP konfiguracja demona klapsa zostało wykonane w całości za pośrednictwem pliku /etc/ldap/slapd.conf. W wersji, której używamy i późniejszej, konfiguracja odbywa się w ten sam sposób klapsaiw tym celu a DIT «Drzewo informacji katalogu»Lub drzewo informacyjne katalogu, osobno.

Metoda konfiguracji znana jako RTC «Konfiguracja w czasie rzeczywistym»Konfiguracja w czasie rzeczywistym lub jako metoda cn = config, pozwala nam dynamicznie konfigurować klapsa bez konieczności ponownego uruchamiania usługi.

Baza danych konfiguracji składa się ze zbioru plików tekstowych w formacie LDIF «Format wymiany danych LDAP»Format LDAP do wymiany danych, znajdujący się w folderze /etc/ldap/slapd.d.

Zrozumieć organizację folderów slapd.d, Biegnijmy:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: łącznie 8 drwxr-x --- 3 openldap openldap 4096 16 lutego 11:08 cn = config -rw ------- 1 openldap openldap 407 16 lutego 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 16 lutego 11:08 cn = moduł {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 lutego 11:08 cn = schemat -rw ------- 1 openldap openldap 325 16 lutego 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 lutego 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 lutego 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 lutego 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 lutego 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 lutego 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 lutego 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 lutego 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 lutego 11:08 cn = {3} inetorgperson.ldif

Jeśli spojrzymy trochę na poprzednie wyjście, zobaczymy, że Backend używany w Squeeze to typ bazy danych hDB, który jest wariantem bdb „Berkeley Database” oraz że jest w pełni hierarchiczna i obsługuje zmianę nazw drzew podrzędnych. Aby dowiedzieć się więcej o możliwych Backendy obsługujący OpenLDAP, odwiedź http://es.wikipedia.org/wiki/OpenLDAP.

Widzimy również, że używane są trzy oddzielne bazy danych, to znaczy jedna przeznaczona do konfiguracji, druga do frontendi ostatnią, która jest bazą danych hDB jako taki.

Ponadto klapsa jest instalowany domyślnie ze schematami rdzeń, cosinus, Nis e Inetorgosoba.

Kontrole po instalacji

W terminalu spokojnie wykonujemy i odczytujemy wyjścia. Sprawdzimy, zwłaszcza za pomocą drugiego polecenia, konfigurację wywnioskowaną z wyświetlenia folderu slapd.d.

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b cn = config | więcej: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Wyjaśnienie każdego wyjścia:

• cn = config: Parametry globalne.
• cn = moduł {0}, cn = config: Moduł ładowany dynamicznie.
• cn = schemat, cn = config: Zawiera mocno zakodowane na poziomie schematów systemu.
• cn = {0} core, cn = schema, cn = config: The mocno zakodowane schematu jądra.
• cn = {1} cosinus, cn = schemat, cn = config: Schemat Cosinus.
• cn = {2} nis, cn = schemat, cn = config: Schemat Nisz.
• cn = {3} inetorgperson, cn = schema, cn = config: Schemat Inetorgosoba.
• olcBackend = {0} hdb, cn = config: Backend rodzaj przechowywania danych hDB.
• olcDatabase = {- 1} nakładka, cn = config: frontend bazy danych i domyślne parametry dla innych baz danych.
• olcDatabase = {0} config, cn = config: Baza danych konfiguracji klapsa (cn = config).
• olcDatabase = {1} hdb, cn = config: Nasza instancja bazy danych (dc = przyjaciele, dc = cu)

: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = przykład, dc = com dn
dn: dc = przyjaciele, dc = cu dn: cn = admin, dc = przyjaciele, dc = cu

• dc = przyjaciele, dc = cu: Drzewo informacji katalogu podstawowego DIT
• cn = admin, dc = friends, dc = cu: Administrator (rootDN) DIT zadeklarowany podczas instalacji.

uwaga: Podstawowy przyrostek dc = przyjaciele, dc = cu, on wziął to debconf podczas instalacji z Nazwa FQDN serwer milap.amigos.cu.

Wskaźniki do wzięcia pod uwagę

Indeksowanie wpisów ma na celu poprawę wydajności wyszukiwania w DIT, z kryteriami filtru. Indeksy, które będziemy rozważać, to minimum zalecane zgodnie z atrybutami zadeklarowanymi w domyślnych schematach.

Aby dynamicznie modyfikować indeksy w bazie danych, tworzymy plik tekstowy w formacie LDIF, a później dodajemy go do bazy danych. Tworzymy plik olcDbIndex.ldif i zostawiamy to z następującą treścią:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modyfikuj dodaj: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUid eqShell, eqShell, olcDhell: - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex ou dano: - dodaj: olcDbIndex olcDbIndex: displayName pres, sub, eq - dodaj: olcDbIndex olcDbIndex: default sub - dodaj: olcDbIndex olcDbIndex: mail eq, subinitial - dodaj: olcDbIndex olcDbIndex: dc eq

Dodajemy indeksy do bazy danych i sprawdzamy modyfikację:

: ~ # ldapmodify -Y ZEWNĘTRZNE -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presc, sub, eq presnc olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Zasady kontroli dostępu do danych

Kontrola dostępu nazywana jest regułami, które są ustanawiane, aby użytkownicy mogli czytać, modyfikować, dodawać i usuwać dane w bazie danych katalogu, podczas gdy będziemy wywoływać listy kontroli dostępu lub «Lista kontroli dostępu ACL»Do polityk, które konfigurują reguły.

Wiedzieć, które ACL zostały zadeklarowane domyślnie podczas procesu instalacji klapsawykonujemy:

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Każde z poprzednich poleceń pokaże nam plik ACL że do tej pory zadeklarowaliśmy w naszym katalogu. W szczególności ostatnie polecenie pokazuje je wszystkie, podczas gdy pierwsze trzy dają nam zasady kontroli dostępu dla wszystkich trzech. DIT zaangażowany w nasz klapsa.

Na temat ACL aby nie tworzyć dłuższego artykułu, zalecamy przeczytanie stron podręcznika człowiek slapd.access.

Aby zagwarantować użytkownikom i administratorom dostęp do aktualizacji ich wpisów logowanieShell y Gekony, dodamy następującą listę ACL:

## Tworzymy plik olcAccess.ldif i zostawiamy go z następującą zawartością: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modyfikuj dodaj: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = znajomi, dc = cu" napisz samodzielnie przez * przeczytaj

## Dodajemy ACL
: ~ # ldapmodify -Y ZEWNĘTRZNE -H ldapi: /// -f ./olcAccess.ldif

# Sprawdzamy zmiany
ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Generowanie certyfikatów TLS w Squeeze

Aby mieć bezpieczne uwierzytelnienie na serwerze OpenLDAP, musimy to zrobić poprzez zaszyfrowaną sesję, którą możemy osiągnąć przy użyciu TLS „Transport Layer Security” o Bezpieczna warstwa transportowa.

Serwer OpenLDAP i jego klienci mogą używać rozszerzenia Ramy TLS zapewniający ochronę integralności i poufności, a także obsługę bezpiecznego uwierzytelniania LDAP poprzez mechanizm SASL «Prosta warstwa uwierzytelniania i zabezpieczeń« Zewnętrzny.

Nowoczesne serwery OpenLDAP sprzyjają używaniu */ StartTLS /* o Uruchom bezpieczną warstwę transportową do /LDAPS: ///, który jest przestarzały. Wszelkie pytania można znaleźć na stronie * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Po prostu pozostaw plik jako zainstalowany domyślnie / etc / default / slapd z oświadczeniem SLAPD_SERVICES = »ldap: /// ldapi: ///», w celu wykorzystania zaszyfrowanego kanału między klientem a serwerem oraz samych aplikacji pomocniczych do zarządzania zainstalowanym lokalnie OpenLDAP.

Opisana tutaj metoda oparta na pakietach gnutls-bin y certyfikat SSL dotyczy Debiana 6 „Squeeze”, a także Ubuntu Server 12.04. Dla Debiana 7 "Wheezy" inna metoda oparta na OpenSSL.

Generowanie certyfikatów w Squeeze odbywa się w następujący sposób:

1.- Instalujemy niezbędne pakiety
: ~ # aptitude install gnutls-bin ssl-cert

2.- Tworzymy klucz podstawowy dla urzędu certyfikacji
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3. - Tworzymy szablon do zdefiniowania CA (Centrum Certyfikacji)
: ~ # nano /etc/ssl/ca.info cn = Kubańscy przyjaciele ca cert_signing_key

4.- Tworzymy certyfikat CA Self-Signed lub Self-Signed dla klientów
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Generujemy klucz prywatny dla serwera
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

uwaga: Zastąpić "łagodna”w powyższej nazwie pliku dla własnego serwera. Nazwanie certyfikatu i klucza, zarówno dla serwera, jak i usługi, która ich używa, pomaga nam zachować jasność.

6. - Tworzymy plik /etc/ssl/mildap.info z następującą zawartością:
: ~ # nano /etc/ssl/mildap.info organization = Kubańscy przyjaciele cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiration_days = 3650

uwaga: W poprzedniej treści oświadczamy, że certyfikat jest ważny przez okres 10 lat. Parametr musi być dostosowany do naszej wygody.

7.- Tworzymy certyfikat serwera
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Do tej pory wygenerowaliśmy niezbędne pliki, musimy tylko dodać do katalogu lokalizację samopodpisanego certyfikatu cacert.pem; certyfikat serwera milap-cert.pem; i klucz prywatny serwera milap-key.pem. Musimy również dostosować uprawnienia i właściciela generowanych plików.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config dodaj: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - dodaj: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - dodaj: olcTLSCertificate / etc. /mildap-key.pem

8.- Dodajemy: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Dostosowujemy właściciela i uprawnienia
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod lub /etc/ssl/private/mildap-key.pem

Certyfikat cacert.pem To ten, który musimy skopiować w każdym kliencie. Aby ten certyfikat mógł być używany na samym serwerze, musimy zadeklarować go w pliku /etc/ldap/ldap.conf. Aby to zrobić, modyfikujemy plik i zostawiamy go z następującą treścią:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Na koniec, jako czek, ponownie uruchamiamy usługę klapsa i sprawdzamy dane wyjściowe syslog z serwera, aby sprawdzić, czy usługa została poprawnie zrestartowana przy użyciu nowo zadeklarowanego certyfikatu.

: ~ # usługa slapd restart
: ~ # tail / var / log / syslog

Jeśli usługa nie uruchomi się poprawnie lub zaobserwujemy poważny błąd w pliku syslog, nie zniechęcajmy się. Możemy spróbować naprawić uszkodzenie lub zacząć od nowa. Jeśli zdecydujemy się rozpocząć od zera, instalację klapsa, nie ma potrzeby formatowania naszego serwera.

Aby usunąć wszystko, co do tej pory zrobiliśmy z tego czy innego powodu, musimy odinstalować pakiet klapsa, a następnie usuń folder / var / lib / ldap. Musimy również pozostawić plik w oryginalnej wersji /etc/ldap/ldap.conf.

Rzadko się zdarza, że ​​wszystko działa poprawnie za pierwszym podejściem. 🙂

Pamiętaj, że w kolejnej odsłonie zobaczymy:

• Uwierzytelnianie użytkownika lokalnego
• Wypełnij bazę danych
• Zarządzaj bazą danych za pomocą narzędzi konsoli
• Dotychczasowe podsumowanie ...

Do zobaczenia wkrótce przyjaciele !.