Услуга директоријума са ОпенЛДАП [7 и коначна?]: Лдап Аццоунт Манагер

Здраво пријатељи! Нисмо желели да објавимо овај чланак јер је садржан у сажетку у ПДФ формату који су захтевали многи читаоци. Да, написаћемо резиме са занимљивим додацима. И као преглед овог сажетка, преписујемо Увод:

Многи људи задужени за услуге у пословним мрежама, када преузму контролу над мрежом чије су услуге засноване на Мицрософтовим производима, ако желе да мигрирају на Линук, разматрају миграцију Домаин Цонтролерс међу осталим услугама.

Ако не одаберу независни производ као што је ЦлеарОС или Зентиал, или ако из других разлога желе да се осамостале, преузимају мукотрпан задатак да постану свој властити контролор домене или Самба 4 или други - свој Ацтиве Дирецтори.

Тада почињу проблеми и нека друга разочарања. Оперативне грешке. Они не проналазе место проблема да би их могли решити. Поновљени покушаји инсталације. Делимично пословање служби. И дуга листа проблема.

Ако добро погледамо, већина Интернета не користи мреже типа Мицрософт. Међутим, у нашем пословном окружењу радимо много.

Овим приручником покушавамо да покажемо да можемо да направимо пословну мрежу без Мицрософтове филозофије. Услуге засноване на аутентификацији корисника према ОпенЛДАП директоријуму као што су: Е-пошта, ФТП, СФТП, Пословни облак заснован на Овнцлоуд, итд.

Тежимо да понудимо другачији приступ заснован на 100% бесплатном софтверу, а који не користи или опонаша - што је у том случају исто - филозофија Мицрософт мрежа, било са Мицрософт софтвером, било са ОпенЛДАП-ом и Самбом као главним.

Сва решења која користе бесплатни софтвер Опенлдап + Самба, нужно пролазе кроз основно знање о томе шта је ЛДАП сервер, како се инсталира, како се конфигурише и администрира итд. Касније интегришу Самбу и, можда, Керберос, и на крају нам нуде да "опонашамо" контролер домена у стилу Мицрософтовог НТ 4 или Ацтиве Дирецтори.

Заиста тежак задатак када га имплементирамо и конфигуришемо из пакета спремишта. Они који су проучавали и примењивали лиснату Самба документацију врло добро знају на шта мислимо. Самба 4 чак предлаже администрацију вашег Ацтиве Дирецтори-а користећи класичну административну конзолу коју налазимо у Мицрософт Ацтиве Дирецтори-у, било да је то 2003 или нека друга напреднија.

Препоручено читање.

https://wiki.debian.org/LDAP
ОпенЛДАП Софтваре 2.4 Администраторски водич
Убунту СерверГуиде 12.04
Конфигурација сервера са ГНУ / Линук.

Одличан приручник који нам дају Ел Маестро, Јоел Барриос Дуенас и који одлично служи Дебиан играчима, иако је оријентисан на ЦентОС и Ред Хат.

Које услуге и софтвер планирамо да инсталирамо и конфигуришемо?

• Независни НТП, ДНС и ДХЦП, односно последња два нису интегрисана у директоријум
• Услуга директорија или «Услуга директорија»На основу ОпенЛДАП
• Е-пошта, "Цитадел" групни радни пакет, ФТП и СФТП,
• Бусинесс Цлоуд «ОвнЦлоуд«
• Независни сервер датотека заснован на Самби.

У свим случајевима, поступак аутентификације корисничких података извршиће се директно према Директоријуму или путем њега либнсс-лдап y Пам у зависности од карактеристика дотичног софтвера.

И без даљег хватања, пређимо на посао.

Лдап Аццоунт Манагер

Пре него што наставимо, морамо прочитати:

• Услуга директорија са ЛДАП-ом. Увод
• Услуга директорија са ЛДАП-ом [2]: НТП и днсмаск
• Услуга директорија са ЛДАП-ом [3]: Исц-ДХЦП-сервер и Бинд9
• Услуга директорија са ЛДАП-ом [4]: ​​ОпенЛДАП (И)
• Услуга директорија са ЛДАП-ом [5]: ОпенЛДАП (ИИ)
• Услуга директорија са ЛДАП-ом [6]: Сертификати у Дебиану 7 "Вхеези"

Они који су пратили серију претходних чланака приметиће да ВЕЋ имамо Директоријум којим можемо управљати. То можемо постићи на много начина, било путем услужних програма конзоле груписаних у пакету лдапсцриптс, веб интерфејси ПхпЛДАПАдмин, Лдап Аццоунт Манагеритд., који се налазе у спремишту.

Такође постоји могућност да се то уради путем Апацхе Дирецтори Студио, коју морамо преузети са Интернета. Тешка је око 142 мегабајта.

Да бисмо управљали нашим директоријумом, топло препоручујемо употребу Лдап Аццоунт Манагер. И прво што ћемо рећи о томе је да након његове инсталације можемо приступити његовом документација која се налази у фасцикли / уср / схаре / доц / лдап-аццоунт-манагер / доцс.

Кроз Лдап Аццоунт Манагер, од сада ЛАМ, можемо управљати корисничким и групним рачунима који су сачувани у нашем директоријуму. ЛАМ ради на било ком серверу веб страница који подржава ПХП5 и на њега се можемо повезати преко нешифрованог канала или путем СтартТЛС, што је облик који ћемо користити у нашем примеру.

Почетна инсталација и конфигурација:

: ~ # аптитуде инсталл лдап-аццоунт-манагер

Након инсталације АпацхеКСНУМКС -апацхе2-мпм-префорк-, из ПХП5 и других зависности, као и из самог пакета лдап-аццоунт-манагер, прва ствар коју морамо да урадимо је да створимо симболичку везу из фасцикле ЛАМ документације до коренске фасцикле докумената на нашем веб серверу. Пример:

: ~ # лн -с / уср / схаре / доц / лдап-аццоунт-манагер / доцс / мануал / / вар / ввв / лам-доцс

На овај начин гарантујемо приступ упутству за ЛАМ путем веб прегледача, ако покажемо на адресу http://mildap.amigos.cu/lam-docs.

Даље, кренимо са конфигурисањем самог ЛАМ-а. У прегледачу на који указујемо http://mildap.amigos.cu/lam.

• Кликнемо на везу „ЛАМ конфигурација“.
• Кликните на везу „Уреди профиле сервера“.
• Укуцавамо лозинку 'Њих' без наводника.

На конфигурационим страницама ЛАМ-а можемо модификовати многе параметре у складу са својим жељама и потребама. Као што сам увек препоручивао да се иде од Једноставног ка Комплексном, а не обрнуто, додирнућемо само оно што је неопходно за употребу моћног алата који је ЛАМ. Ако након што постанемо Мастери у његовој употреби, желимо да изменимо или додамо функционалности, добродошли.

• Активирај ТЛС: да -Препоручује се-.
• Суфикс стабла: дц = пријатељи, дц = цу
• Подразумевани језик: шпански (Шпанија)
• Списак важећих корисника *: цн = админ, дц = пријатељи, дц = цу
• Нова лозинка: различита лозинка од лам
  
• Поново унеси лозинку: различита лозинка од лам
  

Напомена: Тхе ' * 'значи да је то обавезан унос.

Доље лево су дугмад ^ Саве y ^ Откажи. Ако сада сачувамо промене, вратиће нас на почетну страницу и можемо видети да се језик већ променио и да је име корисника сада Администратор. Пре је било менаџер. Међутим, поново изменимо -нов на шпанском- "Подешавање. ЛАМ-а ». Након што се вратимо на страницу за конфигурацију, урадићемо следеће:

• Бирамо картицу 'Врсте рачуна'.
• У одељку 'Типови активних налога' -> 'Корисници' -> 'ЛДАП суфикс', ми смо писали: оу = људи, дц = пријатељи, дц = цу.
• У одељку 'Типови активних налога' -> 'Групе' -> 'ЛДАП суфикс', ми смо писали: оу = Групе, дц = пријатељи, дц = цу.
• Коришћење тастера са насловом '^ Уклони овај тип налога', уклањамо оне који одговарају 'Тимови' y 'Самба домени', коју нећемо користити.
• Бирамо картицу 'Модули'.
• En „Корисници“, на списку 'Одабрани модули', премештамо модул „Самба 3 (самбаСамАццоунт)“ на листу 'Доступни модули'.
• En 'Групе', на списку 'Одабрани модули', премештамо модул 'Самба 3 (самбаГроупМаппинг)' на листу 'Доступни модули'.

За сада, и док се не упознамо са ЛАМ конфигурацијом, остављамо је на томе.

Сачувамо промене и враћамо се на почетну страницу, где морамо да укуцамо корисничку лозинку Администратор (цн = админ, дц = пријатељи, дц = цу), објављено током инсталације слапд. Ако вратите грешку, проверите да ли је /етц/лдап/лдап.цонф правилно је конфигурисан на самом серверу. Можда имате погрешан пут до ТЛС сертификата или другу грешку. Запамтите да би требало да изгледа овако:

БАСЕ дц = пријатељи, дц = цу УРИ лдап: //милдап.амигос.цу # ТЛС сертификати (потребни за ГнуТЛС) ТЛС_ЦАЦЕРТ /етц/ссл/цертс/цацерт.пем

Кад уђемо у ЛАМ, морамо провести неко време проучавајући га ПРЕ него што променимо било коју конфигурацију. Његов интерфејс је врло интуитиван и лак за употребу. Користите га и проверите.

Напомена: У документу http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, можемо прочитати на крају:

Појединачни ЛДАП директоријум са пуно корисника (> 10 000)
Тестирано је да ЛАМ ради са 10 корисника. Ако имате много више корисника, у основи имате две могућности.

• Подијелите ЛДАП стабло у организационе јединице: Ово је обично најбоља опција. Ставите своје рачуне у неколико организационих јединица и подесите ЛАМ као у напредном сценарију горе.
• Повећајте ограничење меморије: Повећајте параметар мемори_лимит у свом пхп.ини. Ово ће омогућити ЛАМ-у да прочита више уноса. Али ово ће успорити време одзива ЛАМ-а.

Будимо креативни и уредни у администрацији нашег именика.

Политике заштите лозинке и други аспекти путем ЛАМ-а

• Кликнемо на везу «ЛАМ конфигурација».
• Кликните на везу „Измени општа подешавања“.
• Укуцавамо лозинку 'Њих' без наводника.

И на тој страници налазимо смернице за лозинку, сигурносне поставке, дозвољене хостове и друге.

Напомена: ЛАМ конфигурација је сачувана у /уср/схаре/лдап-аццоунт-манагер/цонфиг/лам.цонф.

Омогућавамо хттпс-у да се безбедно повеже са ЛАМ-ом:

: ~ # а2енсите дефаулт-ссл
: ~ # а2енмод ссл
: ~ # /етц/инит.д/апацхе2 рестарт

Када хттпс омогућимо на претходни начин, радимо са сертификатима које Апацхе генерише по дефаулту и одражава их у дефиницији свог виртуелног хоста дефаулт-ссл. Ако желимо да користимо друге сертификате које смо сами генерисали, дозволите нам да се консултујемо /уср/схаре/доц/апацхе2.2-цоммон/РЕАДМЕ.Дебиан.гз. Дотични сертификати се позивају "Уље од змије" о змијско уље и налазе се у:

/етц/ссл/цертс/ссл-церт-снакеоил.пем
/етц/ссл/привате/ссл-церт-снакеоил.кеи

Уперимо претраживач на https://mildap.amigos.cu, и прихватамо потврду. Затим указујемо на https://mildap.amigos.cu/lam и већ можемо да радимо преко хттпс ЛАМ-а.

Важно: ако током процеса покретања сервера, Еким треба дуго времена да се покрене, инсталирајте лагану замену ссмтп.

: ~ # аптитуде инсталл ссмтп
 Биће инсталирани следећи НОВИ пакети: ссмтп {б} 0 ажурираних пакета, 1 нови инсталирани, 0 за уклањање и 0 неажурних. Морам да преузмем 52,7 кБ датотека. Након распакирања користиће се 8192 Б. Зависности следећих пакета нису задовољене: еким4-цонфиг: Цонфлицтс: ссмтп али 2.64-4 ће бити инсталирани. еким4-даемон-лигхт: Сукоби: маил-транспорт-агент који је виртуелни пакет. ссмтп: Сукоби: маил-транспорт-агент који је виртуелни пакет. Следеће акције ће решити ове зависности Уклоните следеће пакете: 1) еким4 2) еким4-басе 3) еким4-цонфиг 4) еким4-даемон-лигхт Да ли прихватате ово решење? [Д / н / к /?] И

Затим извршавамо:

: ~ # аптитуде пурге ~ ц: ~ # аптитуде цлеан: ~ # аптитуде аутоцлеан: ~ # ребоот

Ако радите са виртуелним серверима, било би сјајно време да направите добру резервну копију целог главног сервера ... за сваки случај. 🙂

Репликација. Сачувајте и вратите базу података директоријума.

У изврсном водичу - који препоручујемо свима да читају и уче- «Водич за Убунту сервер»У Убунту серверу 12.04« Прецизно »долази детаљно објашњење делова кода које смо написали о ОпенЛДАП-у и генерисању ТЛС сертификата, а такође се детаљно бави Репликацијом директоријума и начином спремања и враћања базе података.

Међутим, овде је поступак за враћање целокупне базе података у случају катастрофе.

Врло важно:

Извезену датотеку УВЕК морамо имати при руци преко Лдап налога менаџера као резервна копија наших података. Наравно, датотека цн = амигос.лдиф мора одговарати нашој сопственој инсталацији. Такође га можемо добити путем команде слапцат као што ћемо видети касније.

1.- Елиминишемо само инсталацију слапд-а.

: ~ # аптитуде пурге слпад

2.- Чистимо систем пакета

: ~ # аптитуде инсталл -ф: ~ # аптитуде пурге ~ ц: ~ # аптитуде цлеан: ~ # аптитуде аутоцлеан

3.- У потпуности бришемо базу података директоријума

: ~ # рм -р / вар / либ / лдап / *

4. - Поново инсталирамо демон слапд и његове зависности

: ~ # аптитуде инсталирати слапд

5.- Проверавамо

: ~ # лдапсеарцх -К -ЛЛЛ -И ЕКСТЕРНАЛ -Х лдапи: /// -б цн = цонфиг дн: ~ # лдапсеарцх -к -ЛЛЛ -Х лдап: /// -б дц = пријатељи, дц = цу дн

6.- Додајте исту датотеку индекса олцДбИндек.лдиф

: ~ # лдапмодифи -И ЕКСТЕРНАЛ -Х лдапи: /// -ф ./олцДбИндек.лдиф

7.- Проверавамо додате индексе

: ~ # лдапсеарцх -К -ЛЛЛ -И ЕКСТЕРНАЛ -Х лдапи: /// \ -б цн = цонфиг '(олцДатабасе = {1} хдб)' олцДбИндек

8.- Додајемо исто правило контроле приступа

: ~ # лдапмодифи -И ЕКСТЕРНАЛ -Х лдапи: /// -ф ./олцАццесс.лдиф

9.- Проверавамо правила за контролу приступа

: ~ # лдапсеарцх -К -ЛЛЛ -И ЕКСТЕРНАЛ -Х лдапи: /// \ -б цн = цонфиг '(олцАццесс = *)' олцАццесс олцСуффик

10.- Додамо ТЛС сертификате. Нема потребе за поновном изградњом или поправљањем дозвола. Они већ постоје у систему датотека, али нису декларисани у бази података.

: ~ # лдапмодифи -И ЕКСТЕРНАЛ -Х лдапи: /// -ф /етц/ссл/цертинфо.лдиф

11.- Садржај додајемо према сопственој резервној копији

: ~ # лдападд -к -Д цн = админ, дц = пријатељи, дц = цу -В -ф дц = фриендс.лдиф

НЕМОЈТЕ поново покретати слапд јер индексира базу података и може бити оштећен !!! УВЕК уредите своју резервну датотеку ПРЕ него што је додате, како бисте избегли унос постојећих уноса.

Указујемо у прегледачу на https://mildap.amigos.cu/lam и ми проверавамо.

Команда слапцат

Команда слапцат Углавном се користи за генерисање у ЛДИФ формату, садржају базе података која обрађује слапд. Команда отвара базу података одређену бројем или суфиксом и на екран уписује одговарајућу датотеку у ЛДИФ формату. Такође се приказују базе података конфигурисане као подређене, осим ако не наведемо опцију -g.

Најважније ограничење употребе ове наредбе је да се не би требало извршавати када се слапд, барем у режиму писања, како би се осигурала доследност података.

На пример, ако желимо да направимо резервну копију базе података директоријума, у датотеку са именом бацкуп-слапд.лдиф, извршавамо:

: ~ # сервис слапд стоп: ~ # слапцат -л бацкуп-слапд.лдиф: ~ # сервис слапд старт

ЛАМ слике