Служба каталогов с OpenLDAP [7 и финал?]: Менеджер учетных записей Ldap

Привет друзья!. Мы не хотели публиковать эту статью, поскольку она содержится в сборнике в формате PDF, который просили многие читатели. Да, напишем аннотацию с интересными дополнениями. И в качестве предварительного просмотра этого компендиума мы расшифровываем Введение:

Многие люди, отвечающие за службы в корпоративных сетях, когда они берут на себя ответственность за сеть, службы которой основаны на продуктах Microsoft, если они хотят перейти на Linux, они рассматривают возможность миграции контроллеров домена среди других служб.

Если они не выбирают сторонний продукт, такой как ClearOS или Zentyal, или если по другим причинам они хотят стать независимыми, то они берут на себя кропотливую задачу стать своим собственным Контроллером домена или из Samba 4 - или по другим - своим Active Directory.

Затем начинаются проблемы и некоторые другие разочарования. Ошибки при эксплуатации. Они не находят места проблем, чтобы иметь возможность их решить. Повторные попытки установки. Частичная работа сервисов. И длинный список проблем.

Если присмотреться, большая часть Интернета не использует сети типа Microsoft. Однако в нашей деловой среде мы делаем многое.

В этом сборнике мы пытаемся показать, что мы можем создать бизнес-сеть без философии Microsoft. Услуги, основанные на аутентификации пользователей по каталогу OpenLDAP, такие как: электронная почта, FTP, SFTP, Business Cloud на основе Owncloud и т. Д.

Мы стремимся предложить другой подход, основанный на 100% бесплатном программном обеспечении, который не использует и не эмулирует - что в данном случае является одинаковым - философию сетей Microsoft, будь то с программным обеспечением Microsoft или с OpenLDAP и Samba в качестве основных.

Все решения, использующие бесплатное программное обеспечение Openldap + Samba, обязательно проходят через базовые знания о том, что такое сервер LDAP, как он установлен, как он настраивается и администрируется и т. Д. Позже они интегрируют Samba и, возможно, Kerberos, и, в конце концов, предлагают нам «эмулировать» контроллер домена в стиле Microsoft NT 4 или Active Directory.

Действительно сложная задача, когда мы реализуем и настраиваем его из пакетов репозитория. Те, кто изучал и применял обширную документацию по Samba, очень хорошо понимают, что мы имеем в виду. Samba 4 даже предлагает администрирование вашей Active Directory с помощью классической административной консоли, которую мы находим в Microsoft Active Directory, будь то 2003 или другой более продвинутый.

Рекомендуемая литература.

https://wiki.debian.org/LDAP
Руководство администратора OpenLDAP 2.4
Руководство по серверу Ubuntu 12.04
Конфигурация сервера с GNU / Linux.

Отличное руководство, которое El Maestro, Joel Barrios Dueñas дает нам, очень хорошо обслуживает игроков Debian, хотя оно ориентировано на CentOS и Red Hat.

Какие сервисы и программное обеспечение мы планируем установить и настроить?

• Независимые NTP, DNS и DHCP, то есть два последних не интегрированы в Справочник
• Служба каталогов или «Служба каталогов»На основе OpenLDAP
• Электронная почта, Групповая рабочая программа "Цитадель", FTP и SFTP,
• Бизнес-облако «OwnCloud«
• Независимый файловый сервер на основе Samba.

Во всех случаях процесс аутентификации учетных данных пользователей будет выполняться непосредственно в Справочнике или через libnss-ldap y ВПП в зависимости от характеристик рассматриваемого программного обеспечения.

И без лишних слов перейдем к делу.

Менеджер по работе с клиентами Ldap

Прежде чем продолжить, мы должны прочитать:

• Служба каталогов с LDAP. Введение
• Служба каталогов с LDAP [2]: NTP и dnsmasq
• Служба каталогов с LDAP [3]: Isc-DHCP-сервер и Bind9
• Служба каталогов с LDAP [4]: ​​OpenLDAP (I)
• Служба каталогов с LDAP [5]: OpenLDAP (II)
• Служба каталогов с LDAP [6]: сертификаты в Debian 7 "Wheezy"

Те, кто следил за серией предыдущих статей, заметили, что у нас УЖЕ есть Справочник для администрирования. Мы можем добиться этого разными способами, либо с помощью консольных утилит, сгруппированных в пакете. ldapscripts, веб-интерфейсы PhpLDAPАдминистратор, Менеджер по работе с клиентами Ldapи др., находящиеся в репозитории.

Также есть возможность сделать это через Студия каталогов Apache, который мы должны загрузить из Интернета. Он весит около 142 мегабайт.

Для управления нашим каталогом мы настоятельно рекомендуем использовать Менеджер по работе с клиентами Ldap. И первое, что мы скажем о нем, это то, что после его установки мы можем получить доступ к его документация который находится в папке / usr / share / doc / ldap-account-manager / docs.

Через Менеджер по работе с клиентами Ldap, впредь LAM, мы можем управлять учетными записями пользователей и групп, хранящимися в нашем Каталоге. LAM работает на любом сервере веб-страниц, который поддерживает PHP5, и мы можем подключиться к нему через незашифрованный канал или через СтартTLS, который мы будем использовать в нашем примере.

Первоначальная установка и настройка:

: ~ # aptitude install ldap-account-manager

После установки Apache2 –apache2-mpm-префорк-, из PHP5 и других зависимостей, а также из самого пакета ldap-аккаунт-менеджер, первое, что мы должны сделать, это создать символическую ссылку из папки документации LAM в корневую папку документов на нашем веб-сервере. Пример:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Таким образом, мы гарантируем доступ к руководству LAM через веб-браузер, если мы укажем на адрес http://mildap.amigos.cu/lam-docs.

Далее приступим к настройке самого LAM. В браузере мы указываем на http://mildap.amigos.cu/lam.

• Щелкаем по ссылке «Конфигурация LAM».
• Щелкните ссылку «Редактировать профили серверов».
• Набираем пароль 'М' без кавычек.

На страницах конфигурации LAM мы можем изменять многие параметры в соответствии с нашими предпочтениями и потребностями. Поскольку я всегда рекомендовал перейти от простого к сложному, а не наоборот, мы коснемся только того, что строго необходимо для использования мощного инструмента, которым является LAM. Если после того, как мы станем Мастерами в его использовании, мы захотим изменить или добавить функциональные возможности, тогда добро пожаловать.

• Активировать TLS: Да -Рекомендуемые-.
• Суффикс дерева: dc = друзья, dc = cu
• Язык по умолчанию: Испанский (Испания)
• Список действующих пользователей *: cn = admin, dc = друзья, dc = cu
• Новый пароль: другой пароль от лам
  
• Повторно введите пароль: другой пароль от лам
  

Примечание: " * 'означает, что это обязательная запись.

Внизу слева кнопки ^ Сохранить y ^ Отменить. Если мы сохраним изменения сейчас, он вернет нас на начальную страницу, и мы увидим, что язык уже изменился, а имя пользователя теперь Администратор. Раньше было Менеджер. Однако вернемся к редактированию -now на испанском- "Постановка. ЛАМ ». Вернувшись на страницу конфигурации, мы сделаем следующее:

• Выбираем вкладку "Типы счетов".
• В разделе «Типы активных учетных записей» -> «Пользователи» -> «Суффикс LDAP», мы написали: ou = люди, dc = друзья, dc = cu.
• В разделе «Типы активных учетных записей» -> «Группы» -> «Суффикс LDAP», мы написали: ou = Группы, dc = друзья, dc = cu.
• Используя кнопки под названием '^ Удалить этот тип учетной записи', мы исключаем соответствующие 'Команды' y "Домены Samba", который мы не будем использовать.
• Выбираем вкладку 'Модули'.
• En 'Пользователи', в списке 'Избранные модули', перемещаем модуль 'Samba 3 (sambaSamAccount)' к списку 'Доступные модули'.
• En 'Группы', в списке 'Избранные модули', перемещаем модуль 'Samba 3 (sambaGroupMapping)' к списку 'Доступные модули'.

А пока, пока мы не познакомимся с конфигурацией LAM, мы на этом остановимся.

Сохраняем изменения и возвращаемся на начальную страницу, где должны ввести пароль пользователя Администратор (cn = админ, dc = друзья, dc = cu), заявленное при установке шлепок. Если вы вернете ошибку, убедитесь, что /etc/ldap/ldap.conf он правильно настроен на самом сервере. Возможно, у вас неправильный путь к сертификату TLS или другая ошибка. Помните, это должно выглядеть так:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # сертификаты TLS (необходимы для GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Оказавшись внутри LAM, мы должны потратить некоторое время на его изучение ПЕРЕД изменением любой конфигурации. Его интерфейс очень интуитивно понятен и прост в использовании. Воспользуйтесь им и проверьте.

наблюдение: В документе http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, мы можем прочитать в конце:

Единый каталог LDAP с большим количеством пользователей (> 10 000)
LAM был протестирован для работы с 10 000 пользователей. Если у вас намного больше пользователей, у вас есть два основных варианта.

• Разделите дерево LDAP на организационные единицы: обычно это наиболее эффективный вариант. Разместите свои учетные записи в нескольких организационных единицах и настройте LAM, как в расширенном сценарии выше.
• Увеличьте ограничение памяти: увеличьте параметр memory_limit в вашем php.ini. Это позволит LAM читать больше записей. Но это замедлит время отклика LAM.

Давайте будем творческими и аккуратными в управлении нашим каталогом.

Политики безопасности паролей и другие аспекты через LAM

• Щелкаем по ссылке «Конфигурация LAM».
• Щелкните ссылку «Изменить общие настройки».
• Набираем пароль 'М' без кавычек.

На этой странице мы находим политики паролей, настройки безопасности, разрешенные хосты и другие.

Примечание: Конфигурация LAM сохраняется в /usr/share/ldap-account-manager/config/lam.conf.

Мы включаем https для безопасного подключения к LAM:

: ~ # a2ensite по умолчанию-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 перезапуск

Когда мы включаем https предыдущим способом, мы работаем с сертификатами, которые Apache генерирует по умолчанию и отражает их в определении своего виртуального хоста. по умолчанию, SSL. Если мы хотим использовать другие сертификаты, созданные нами, пожалуйста, позвольте нам проконсультироваться /usr/share/doc/apache2.2-common/README.Debian.gz. Рассматриваемые сертификаты называются "Змеиное масло" o Змеиное масло, и они содержатся в:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Укажем в браузере https://mildap.amigos.cu, и мы принимаем сертификат. Затем мы указываем на https://mildap.amigos.cu/lam и мы уже можем работать через https LAM.

Внимание: если в процессе запуска сервера Exim долго запускается, установите легкий заменитель ссмтп.

: ~ # aptitude install ssmtp
 Будут установлены следующие НОВЫЕ пакеты: ssmtp {b} 0 обновленных пакетов, 1 новый установлен, 0 для удаления и 0 не обновлен. Мне нужно скачать 52,7 КБ файлов. После распаковки будет использоваться 8192 B. Зависимости следующих пакетов не удовлетворены: exim4-config: Conflicts: ssmtp, но будет установлен 2.64-4. exim4-daemon-light: Конфликты: агент транспорта почты, который является виртуальным пакетом. ssmtp: Conflicts: mail-transport-agent, который является виртуальным пакетом. Следующие действия разрешат эти зависимости. Удалите следующие пакеты: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Вы принимаете это решение? [Д / н / д /?] И

Затем выполняем:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # перезагрузка

Если вы работаете с виртуальными серверами, сейчас самое время сделать хорошую резервную копию всего главного сервера… на всякий случай. 🙂

Репликация. Сохраните и восстановите базу данных Справочника.

В отличном руководстве, которое мы рекомендуем всем прочитать и изучить - «Руководство по серверу Ubuntu»Ubuntu Server 12.04« Precise »включает подробное объяснение частей кода, которые мы написали об OpenLDAP и генерации сертификатов TLS, а также более подробно рассматривается репликация каталогов и способы сохранения и восстановления. баз данных.

Однако вот процедура восстановления всей базы данных в случае аварии.

Очень важно:

У нас ВСЕГДА должен быть экспортированный файл под рукой через Ldap Account Manager. в качестве резервной копии наших данных. Конечно, файл cn = amigos.ldif должен соответствовать нашей собственной установке. Мы также можем получить его с помощью команды slapcat, как мы увидим позже.

1.- Устраняем только установку slapd.

: ~ # slpad очистки aptitude

2.- Чистим систему пакетов

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Полностью удаляем базу каталогов

: ~ # rm -r / var / lib / ldap / *

4.- Переустанавливаем демон slapd и его зависимости

: ~ # aptitude install slapd

5.- Проверяем

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = friends, dc = cu dn

6.- Добавьте такой же индексный файл olcDbIndex.ldif

: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcDbIndex.ldif

7.- Проверяем добавленные индексы

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Добавляем такое же Правило контроля доступа

: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcAccess.ldif

9.- Проверяем Правила контроля доступа

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Добавляем сертификаты TLS. Нет необходимости восстанавливать или исправлять разрешения. Они уже существуют в файловой системе, но не объявлены в базе данных.

: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Добавляем контент по собственной резервной копии

: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif

НЕ перезапускайте slapd, потому что он индексирует базу данных и может быть поврежден !!! ВСЕГДА редактируйте файл резервной копии ПЕРЕД его добавлением, чтобы не вводить существующие записи.

Мы указываем в браузере на https://mildap.amigos.cu/lam и мы проверяем.

Команда slapcat

Команда бездельник Он в основном используется для генерации в формате LDIF содержимого базы данных, которая обрабатывает шлепок. Команда открывает базу данных, определяемую ее номером или суффиксом, и записывает соответствующий файл в формате LDIF на экран. Также отображаются базы данных, настроенные как подчиненные, если мы не укажем опцию -g.

Наиболее важным ограничением использования этой команды является то, что она не должна выполняться, когда шлепок, по крайней мере, в режиме записи, чтобы обеспечить согласованность данных.

Например, если мы хотим сделать резервную копию базы данных каталога, в файл с именем резервная копия slapd.ldif, выполняем:

: ~ # остановка slapd службы: ~ # slapcat -l backup-slapd.ldif: ~ # запуск slapd службы

LAM изображения