Usługa katalogowa z OpenLDAP [7 i wersja ostateczna?]: Ldap Account Manager

Cześć przyjaciele!. Nie chcieliśmy publikować tego artykułu, ponieważ znajduje się on w kompendium w formacie PDF, o które prosiło wielu czytelników. Tak, napiszemy podsumowanie z ciekawymi dodatkami. Jako podgląd tego kompendium, dokonujemy transkrypcji Wprowadzenie:

Wiele osób odpowiedzialnych za usługi w sieciach korporacyjnych, gdy przejmują kontrolę nad siecią, której usługi są oparte na produktach Microsoft, jeśli chcą migrować do Linuksa, rozważają migrację kontrolerów domeny wśród innych usług.

Jeśli nie wybiorą produktu innej firmy, takiego jak ClearOS lub Zentyal, lub z innych powodów chcą się uniezależnić, podejmują żmudne zadanie stania się własnym kontrolerem domeny lub od Samby 4 - lub innym - własnym Active Directory.

Wtedy zaczynają się problemy i inne rozczarowania. Błędy obsługi. Nie znajdują lokalizacji problemów, aby móc je rozwiązać. Wielokrotne próby instalacji. Częściowe operacje usług. I długa lista problemów.

Jeśli przyjrzymy się bliżej, większość Internetu nie korzysta z sieci typu Microsoft. Jednak w naszym środowisku biznesowym robimy bardzo dużo.

Za pomocą tego kompendium staramy się pokazać, że możemy stworzyć biznesową sieć bez filozofii firmy Microsoft. Usługi oparte na uwierzytelnianiu użytkowników w katalogu OpenLDAP, takie jak: E-Mail, FTP, SFTP, Business Cloud w oparciu o Owncloud itp.

Dążymy do zaoferowania innego podejścia opartego w 100% na wolnym oprogramowaniu, które nie wykorzystuje ani nie naśladuje - co w tym przypadku jest takie samo - filozofii sieci Microsoft, czy to z oprogramowaniem firmy Microsoft, czy z OpenLDAP i Sambą jako głównymi.

Wszystkie rozwiązania korzystające z bezpłatnego oprogramowania Openldap + Samba muszą koniecznie przejść przez podstawową wiedzę o tym, czym jest serwer LDAP, jak jest instalowany, konfigurowany i administrowany itp. Później integrują Sambę i być może Kerberos i na koniec proponują nam „emulację” kontrolera domeny w stylu Microsoft NT 4 lub Active Directory.

Naprawdę trudne zadanie, gdy wdrażamy i konfigurujemy go z pakietów repozytorium. Ci, którzy przestudiowali i zastosowali obszerną dokumentację Samby, doskonale wiedzą, co mamy na myśli. Samba 4 proponuje nawet administrację Active Directory za pomocą klasycznej konsoli administracyjnej, którą można znaleźć w Microsoft Active Directory, czy to 2003, czy innej bardziej zaawansowanej.

Rekomendowane lektury.

https://wiki.debian.org/LDAP
Podręcznik administratora oprogramowania OpenLDAP 2.4
Ubuntu ServerGuide 12.04
Konfiguracja serwera z GNU / Linux.

Doskonały podręcznik, który daje nam El Maestro, Joel Barrios Dueñas i który bardzo dobrze służy graczom Debiana, chociaż jest zorientowany na CentOS i Red Hat.

Jakie usługi i oprogramowanie planujemy zainstalować i skonfigurować?

• Niezależne NTP, DNS i DHCP, czyli ostatnie dwa nie są zintegrowane z katalogiem
• Usługa katalogowa lub «Usługa katalogowa»Oparty na OpenLDAP
• E-mail, pakiet pracy grupowej „Citadel”, FTP i SFTP,
• Business Cloud «OwnCloud«
• Niezależny serwer plików oparty na Sambie.

We wszystkich przypadkach proces uwierzytelniania poświadczeń użytkowników będzie przeprowadzany bezpośrednio w katalogu lub za pośrednictwem libnss-ldap y WFP w zależności od właściwości danego oprogramowania.

I bez zbędnych ceregieli przejdźmy do rzeczy.

Menedżer konta Ldap

Zanim przejdziemy dalej, musimy przeczytać:

• Usługa katalogowa z LDAP. Wprowadzenie
• Usługa katalogowa z LDAP [2]: NTP i dnsmasq
• Usługa katalogowa z LDAP [3]: Isc-DHCP-Server i Bind9
• Usługa katalogowa z LDAP [4]: ​​OpenLDAP (I)
• Usługa katalogowa z LDAP [5]: OpenLDAP (II)
• Usługa katalogowa z LDAP [6]: certyfikaty w Debianie 7 „Wheezy”

Ci, którzy śledzili serię poprzednich artykułów, zauważyli, że JUŻ mamy katalog do zarządzania. Możemy to osiągnąć na wiele sposobów, czy to za pomocą narzędzi konsoli zgrupowanych w pakiecie ldapscripts, interfejsy internetowe PHPLDAPAdmin, Menedżer konta Ldapitp., które znajdują się w repozytorium.

Istnieje również możliwość zrobienia tego poprzez Studio katalogów Apache, które musimy pobrać z Internetu. Waży około 142 megabajtów.

Aby zarządzać naszym katalogiem, zdecydowanie zalecamy korzystanie z rozszerzenia Menedżer konta Ldap. Pierwszą rzeczą, którą o tym powiemy, jest to, że po jego zainstalowaniu mamy dostęp do jego pliku dokumentacji który znajduje się w folderze / usr / share / doc / ldap-account-manager / docs.

Poprzez Menedżer konta Ldap, odtąd CHŁOSTAĆ, możemy zarządzać kontami użytkowników i grup przechowywanymi w naszym katalogu. LAM działa na dowolnym serwerze WWW obsługującym PHP5 i możemy się z nim połączyć za pośrednictwem nieszyfrowanego kanału lub poprzez RozpocznijTLS, która jest formą, której użyjemy w naszym przykładzie.

Wstępna instalacja i konfiguracja:

: ~ # aptitude install ldap-account-manager

Po zainstalowaniu Apache2 -Apache2-mpm-prefork-, z PHP5 i innych zależności oraz z samego pakietu menedżer-konta-ldap, pierwszą rzeczą, którą musimy zrobić, jest utworzenie dowiązania symbolicznego z folderu dokumentacji LAM do głównego folderu dokumentów na naszym serwerze sieciowym. Przykład:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

W ten sposób gwarantujemy dostęp do instrukcji LAM przez przeglądarkę internetową, jeśli wskażemy na adres http://mildap.amigos.cu/lam-docs.

Następnie zacznijmy konfigurować samą LAM. W przeglądarce, na którą wskazujemy http://mildap.amigos.cu/lam.

• Klikamy w link „Konfiguracja LAM”.
• Kliknij w link „Edytuj profile serwerów”.
• Wpisujemy hasło 'Im' bez cudzysłowów.

Na stronach konfiguracyjnych LAM możemy modyfikować wiele parametrów zgodnie z naszymi preferencjami i potrzebami. Ponieważ zawsze zalecałem przejście od prostego do złożonego, a nie odwrotnie, dotkniemy tylko tego, co jest absolutnie konieczne, aby użyć potężnego narzędzia, jakim jest LAM. Jeśli po tym, jak zostaniemy Mistrzami w jego użytkowaniu, będziemy chcieli zmodyfikować lub dodać funkcjonalności, zapraszamy.

• Aktywuj TLS: tak -Zalecana-.
• Przyrostek drzewa: dc = przyjaciele, dc = cu
• Domyślny język: hiszpański (Hiszpania)
• Lista ważnych użytkowników *: cn = admin, dc = friends, dc = cu
• Nowe hasło: inne hasło od lam
  
• Wprowadź ponownie hasło: inne hasło od lam
  

Uwaga: „ * oznacza, że ​​jest to wpis wymagany.

Na dole po lewej są przyciski ^ Zapisz y ^ Anuluj. Jeśli teraz zapiszemy zmiany, spowoduje to powrót do strony początkowej i zobaczymy, że język już się zmienił i że nazwa użytkownika to teraz Admin. Wcześniej było Menedżer. Jednak zmieńmy ponownie -now w języku hiszpańskim- "Oprawa. LAM ». Po powrocie na stronę konfiguracyjną wykonamy następujące czynności:

• Wybieramy zakładkę „Rodzaje kont”.
• W dziale „Aktywne typy kont” -> „Użytkownicy” -> „Sufiks LDAP”, napisaliśmy: ou = ludzie, dc = przyjaciele, dc = cu.
• W dziale „Aktywne typy kont” -> „Grupy” -> „Sufiks LDAP”, napisaliśmy: ou = Grupy, dc = przyjaciele, dc = cu.
• Za pomocą przycisków zatytułowanych „^ Usuń ten typ konta”, usuwamy te odpowiadające 'Ekwipunek' y „Domeny Samby”, których nie będziemy używać.
• Wybieramy zakładkę „Moduły”.
• En „Użytkownicy”, na liście „Wybrane moduły”, przenosimy moduł „Samba 3 (sambaSamAccount)” do listy „Dostępne moduły”.
• En „Grupy”, na liście „Wybrane moduły”, przenosimy moduł „Samba 3 (sambaGroupMapping)” do listy „Dostępne moduły”.

Na razie i dopóki nie zaznajomimy się z konfiguracją LAM, zostawimy to na tym.

Zapisujemy zmiany i wracamy do strony początkowej, na której musimy wpisać hasło użytkownika Admin (cn = admin, dc = przyjaciele, dc = cu), zadeklarowane podczas instalacji klapsa. Jeśli zwrócisz błąd, sprawdź, czy plik /etc/ldap/ldap.conf jest poprawnie skonfigurowany na samym serwerze. Być może masz złą ścieżkę do certyfikatu TLS lub inny błąd. Pamiętaj, że powinno to wyglądać tak:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # certyfikaty TLS (wymagane dla GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Będąc w LAM, musimy poświęcić trochę czasu na studiowanie go PRZED zmianą jakiejkolwiek konfiguracji. Jego interfejs jest bardzo intuicyjny i łatwy w użyciu. Użyj go i sprawdź.

Uwaga: W dokumencie http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenariosna końcu możemy przeczytać:

Pojedynczy katalog LDAP z wieloma użytkownikami (> 10 000)
LAM został przetestowany pod kątem współpracy z 10 000 użytkowników. Jeśli masz dużo więcej użytkowników, masz zasadniczo dwie możliwości.

• Podziel drzewo LDAP na jednostki organizacyjne: jest to zazwyczaj najlepsza opcja. Umieść swoje konta w kilku jednostkach organizacyjnych i skonfiguruj LAM tak, jak w scenariuszu zaawansowanym powyżej.
• Zwiększ limit pamięci: Zwiększ parametr memory_limit w swoim php.ini. Umożliwi to LAM odczytywanie większej liczby wpisów. Ale to spowolni czas odpowiedzi LAM.

Bądźmy kreatywni i uporządkowani w administrowaniu naszym katalogiem.

Zasady bezpieczeństwa haseł i inne aspekty za pośrednictwem LAM

• Klikamy w link «Konfiguracja LAM».
• Kliknij w link „Edytuj ustawienia ogólne”.
• Wpisujemy hasło 'Im' bez cudzysłowów.

Na tej stronie znajdujemy Zasady dotyczące haseł, Preferencje bezpieczeństwa, Dozwolone hosty i inne.

Uwaga: Konfiguracja LAM jest zapisywana w /usr/share/ldap-account-manager/config/lam.conf.

Umożliwiamy bezpieczne połączenie https z LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 restart

Kiedy włączyliśmy https w poprzedni sposób, pracujemy z certyfikatami, które domyślnie generuje Apache i odzwierciedla je w definicji swojego wirtualnego hosta default-ssl. Jeśli chcemy skorzystać z innych wygenerowanych przez nas certyfikatów prosimy o konsultację /usr/share/doc/apache2.2-common/README.Debian.gz. Certyfikaty, o których mowa, są wywoływane „Olej z węża” o Olej z węża, a znajdują się w:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Wskażmy przeglądarkę https://mildap.amigos.cui akceptujemy certyfikat. Następnie wskazujemy https://mildap.amigos.cu/lam i możemy już pracować przez https LAM.

Ważne: jeśli podczas uruchamiania serwera plik Exim zajmuje dużo czasu, aby rozpocząć, zainstaluj lekki zamiennik ssmtp.

: ~ # aptitude install ssmtp
 Następujące NOWE pakiety zostaną zainstalowane: ssmtp {b} 0 zaktualizowanych pakietów, 1 nowy zainstalowany, 0 do usunięcia i 0 niezaktualizowany. Muszę pobrać 52,7 kB plików. Po rozpakowaniu zostanie użyte 8192 B. Zależności następujących pakietów nie są spełnione: exim4-config: Conflicts: ssmtp ale 2.64-4 zostanie zainstalowane. exim4-daemon-light: Conflicts: mail-transport-agent, który jest pakietem wirtualnym. ssmtp: Conflicts: mail-transport-agent, który jest pakietem wirtualnym. Poniższe działania rozwiążą te zależności Usuń następujące pakiety: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Czy akceptujesz to rozwiązanie? [T / n / q /?] I

Następnie wykonujemy:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Jeśli pracujesz z serwerami wirtualnymi, byłby to świetny czas na zrobienie dobrej kopii zapasowej całego serwera głównego… na wszelki wypadek. 🙂

Replikacja. Zapisz i przywróć bazę danych katalogu.

W doskonałym przewodniku - który zalecamy wszystkim do przeczytania i przestudiowania - «Przewodnik po serwerze Ubuntu»Z Ubuntu Server 12.04« Precyzyjne », znajduje się szczegółowe wyjaśnienie części kodu, które napisaliśmy o OpenLDAP i generowaniu certyfikatów TLS, a ponadto szczegółowo omówiono replikację katalogów oraz sposób zapisywania i Przywracanie baz danych.

Jednak tutaj jest procedura przywracania całej bazy danych w przypadku awarii.

Bardzo ważne:

ZAWSZE musimy mieć pod ręką wyeksportowany plik przez Ldap Account Manager jako kopia zapasowa naszych danych. Oczywiście plik cn = amigos.ldif musi odpowiadać naszej własnej instalacji. Możemy go również uzyskać za pomocą polecenia slapcat, jak zobaczymy później.

1.- Eliminujemy tylko instalację slapd.

: ~ # aptitude purge slpad

2.- Czyścimy system opakowań

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Całkowicie usuwamy bazę danych Directory

: ~ # rm -r / var / lib / ldap / *

4. - Ponownie instalujemy demona slapd i jego zależności

: ~ # aptitude install slapd

5.- Sprawdzamy

: ~ # ldapsearch -Q -LLL -Y ZEWNĘTRZNE -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = przyjaciele, dc = cu dn

6. - Dodaj ten sam plik indeksu olcDbIndex.ldif

: ~ # ldapmodify -Y ZEWNĘTRZNE -H ldapi: /// -f ./olcDbIndex.ldif

7.- Sprawdzamy dodane indeksy

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8. - Dodajemy tę samą regułę kontroli dostępu

: ~ # ldapmodify -Y ZEWNĘTRZNE -H ldapi: /// -f ./olcAccess.ldif

9.- Sprawdzamy zasady kontroli dostępu

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Dodajemy certyfikaty TLS. Nie ma potrzeby odbudowywania ani naprawiania uprawnień. Już istnieją w systemie plików, ale nie są zadeklarowane w bazie danych.

: ~ # ldapmodify -Y ZEWNĘTRZNE -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Dodajemy zawartość zgodnie z naszą własną kopią zapasową

: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif

NIE restartuj slapd, ponieważ indeksuje bazę danych i może być uszkodzony !!! ZAWSZE edytuj plik kopii zapasowej PRZED jej dodaniem, aby nie wprowadzać istniejących wpisów.

Wskazujemy w przeglądarce na https://mildap.amigos.cu/lam i sprawdzamy.

Polecenie slapcat

Polecenie slapcat Służy głównie do generowania w formacie LDIF zawartości bazy danych, która obsługuje pliki klapsa. Polecenie otwiera bazę danych określoną przez jej numer lub przyrostek i zapisuje odpowiedni plik w formacie LDIF na ekranie. Wyświetlane są również bazy danych skonfigurowane jako podrzędne, chyba że określimy opcję -g.

Najważniejszym ograniczeniem użycia tego polecenia jest to, że nie powinno ono być wykonywane, gdy plik klapsaprzynajmniej w trybie zapisu, aby zapewnić spójność danych.

Na przykład, jeśli chcemy wykonać kopię zapasową bazy danych Directory, do pliku o nazwie kopia zapasowa-slapd.ldifwykonujemy:

: ~ # usługa slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # usługa slapd start

Obrazy LAM