Serbisyo sa Direktoryo na may OpenLDAP [7 at pangwakas?]: Ldap Account Manager

Kumusta Mga Kaibigan!. Hindi namin nais na mai-publish ang artikulong ito dahil nilalaman ito sa compendium sa format na PDF na hiniling ng maraming mambabasa. Oo, magsusulat kami ng isang buod na may mga kagiliw-giliw na karagdagan. At bilang isang preview ng compendium na iyon, isinasalin namin ang Pagpapakilala:

Maraming mga tao na namamahala sa mga serbisyo sa mga network ng negosyo, kapag sila ang namamahala sa isang network na ang mga serbisyo ay batay sa mga produkto ng Microsoft, kung nais nilang lumipat sa Linux isinasaalang-alang nila ang paglipat ng mga Domain Controllers bukod sa iba pang mga serbisyo.

Kung hindi sila pipili ng isang produkto ng third-party tulad ng ClearOS o Zentyal, o kung para sa iba pang mga kadahilanan na nais nilang maging malaya, isinasagawa nila ang masusing gawain na maging kanilang sariling Domain Controller, o mula sa Samba 4 -o iba pa- kanilang sarili Aktibong Direktoryo.

Pagkatapos ay nagsisimula ang mga problema at ilang iba pang mga pagkabigo. Mga error sa pagpapatakbo. Hindi nila mahanap ang lokasyon ng mga problema upang malutas ang mga ito. Paulit-ulit na mga pagtatangka sa pag-install. Bahagyang pagpapatakbo ng mga serbisyo. At isang mahabang listahan ng mga problema.

Kung titingnan namin nang mabuti, ang karamihan sa Internet ay hindi gumagamit ng mga network na uri ng Microsoft. Gayunpaman, sa aming kapaligiran sa negosyo na ginagawa natin, marami.

Sa kompendyum na ito sinubukan naming ipakita na maaari kaming gumawa ng isang network ng negosyo nang walang pilosopiya ng Microsoft. Ang mga serbisyong batay sa pagpapatotoo ng mga gumagamit laban sa isang OpenLDAP Directory tulad ng: E-Mail, FTP, SFTP, Business Cloud batay sa Owncloud, atbp.

Hangad namin na mag-alok ng ibang diskarte batay sa 100% Libreng Software, at hindi iyon ginagamit o tularan -ang para sa kaso ay pareho- ang pilosopiya ng mga network ng Microsoft, alinman sa Microsoft Software, o sa OpenLDAP at Samba bilang pangunahing mga diskarte.

Ang lahat ng mga solusyon na gumagamit ng libreng software Openldap + Samba, kinakailangang dumaan sa pangunahing kaalaman sa kung ano ang isang LDAP server, paano ito nai-install, paano ito nai-configure at pinangangasiwaan, atbp. Nang maglaon isinasama nila ang Samba at posibleng Kerberos, at sa huli ay inaalok nila kami na "tularan" ang isang Domain Controller sa istilo ng NT 4 ng Microsoft, o isang Active Directory.

Tunay na mahirap na gawain kapag ipinatupad at na-configure namin ito mula sa mga package ng repository. Ang mga nag-aral at naglapat ng malawak na dokumentasyong Samba ay alam na alam kung ano ang ibig sabihin. Iminungkahi pa ng Samba 4 ang pangangasiwa ng iyong Aktibong Direktoryo sa pamamagitan ng paggamit ng klasikong console ng pangangasiwa na nakita namin sa isang Microsoft Active Directory, maging 2003 o iba pang mas advanced na isa.

Inirekumenda na pagbabasa.

https://wiki.debian.org/LDAP
OpenLDAP Software 2.4 Gabay ng Administrator
Gabay sa Ubuntu Server 12.04
Ang pagsasaayos ng server sa GNU / Linux.

Mahusay na manwal na, ibinibigay sa amin ni El Maestro, Joel Barrios Dahilñas at mahusay na naglilingkod sa mga manlalaro ng Debian, kahit na nakatuon ito sa CentOS at Red Hat.

Anong mga serbisyo at software ang pinaplano naming mai-install at i-configure?

• Independent NTP, DNS at DHCP, iyon ay, ang huling dalawa ay hindi isinasama sa Directory
• Serbisyo sa Direktoryo o «Serbisyo ng Direktoryo»Batay sa OpenLDAP
• E-Mail, "Citadel" Group Work Suite, FTP at SFTP,
• Business Cloud «OwnCloud«
• Malayang file server batay sa Samba.

Sa lahat ng mga kaso, ang proseso ng pagpapatotoo ng mga kredensyal ng mga gumagamit ay isasagawa laban sa Direktoryo nang direkta, o sa pamamagitan ng libnss-ldap y WFP nakasalalay sa mga katangian ng software na pinag-uusapan.

At nang walang karagdagang pagtatalo, magsimula tayo sa negosyo.

Ldap Account Manager

Bago magpatuloy, dapat nating basahin ang:

• Serbisyo sa Direktoryo kasama ang LDAP. Panimula
• Serbisyo sa Direktoryo na may LDAP [2]: NTP at dnsmasq
• Serbisyo sa Direktoryo na may LDAP [3]: Isc-DHCP-Server at Bind9
• Serbisyo sa Direktoryo na may LDAP [4]: ​​OpenLDAP (I)
• Serbisyo sa Direktoryo na may LDAP [5]: OpenLDAP (II)
• Serbisyo sa Direktoryo na may LDAP [6]: Mga sertipiko sa Debian 7 "Wheezy"

Ang mga sumunod sa serye ng mga nakaraang artikulo ay mapapansin na mayroon na kaming Directory upang pangasiwaan. Maaari nating makamit ito sa maraming paraan, alinman sa pamamagitan ng mga kagamitan ng console na naka-grupo sa package ldapscripts, ang mga web interface phpLDAPadmin, Ldap Account Manager, atbp, na nasa imbakan.

Mayroon ding posibilidad na gawin ito sa pamamagitan ng Studio ng Direktoryo ng Apache, na dapat nating i-download mula sa Internet. Ang bigat nito ay tungkol sa 142 megabytes.

Upang pamahalaan ang aming Direktoryo, masidhi naming inirerekumenda ang paggamit ng Ldap Account Manager. At ang unang bagay na sasabihin namin tungkol dito, ay pagkatapos ng pag-install nito, ma-access natin ito documentación na matatagpuan sa folder / usr / share / doc / ldap-account-manager / docs.

sa pamamagitan ng Ldap Account Manager, mula ngayon LAM, maaari naming pamahalaan ang mga account ng gumagamit at pangkat na nakaimbak sa aming Direktoryo. Tumatakbo ang LAM sa anumang web page server na sumusuporta sa PHP5, at maaari kaming kumonekta dito sa pamamagitan ng isang hindi naka-encrypt na channel, o sa pamamagitan ng StartTLS, na form na gagamitin namin sa aming halimbawa.

Paunang pag-install at pagsasaayos:

: ~ # aptitude install ldap-account-manager

Matapos ang pag-install ng Apache2 -apache2-mpm-prefork-, mula sa PHP5 at iba pang mga dependency, at mula sa package mismo ldap-account-manager, ang unang bagay na dapat nating gawin ay lumikha ng isang simbolikong link mula sa folder ng dokumentasyon ng LAM hanggang sa root folder ng mga dokumento sa aming web server. Halimbawa:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Sa ganitong paraan ginagarantiyahan namin ang pag-access sa manwal ng LAM sa pamamagitan ng isang web browser, kung tinuro namin ang address http://mildap.amigos.cu/lam-docs.

Susunod, simulan natin ang pag-configure mismo ng LAM. Sa isang browser na tinuturo namin http://mildap.amigos.cu/lam.

• Nag-click kami sa link "LAM configure".
• Pindutin ang link "I-edit ang mga profile ng server".
• Nagta-type kami ng password 'Sila' nang walang mga quote.

Sa mga pahina ng pagsasaayos ng LAM, maaari nating baguhin ang maraming mga parameter alinsunod sa aming mga kagustuhan at pangangailangan. Tulad ng lagi kong inirerekumenda na pagpunta mula sa Simple patungo sa Kompleks, at hindi sa ibang paraan, mahahawakan lamang namin ang mahigpit na kinakailangan upang magamit ang malakas na tool na LAM. Kung pagkatapos naming Maging sa paggamit nito, nais naming baguhin o magdagdag ng mga pagpapaandar, pagkatapos ay maligayang pagdating.

• Isaaktibo ang TLS: oo -Nagrekomenda-.
• Huling puno: dc = mga kaibigan, dc = cu
• Default na wika: Espanyol (Espanya)
• Listahan ng mga wastong gumagamit *: cn = admin, dc = mga kaibigan, dc = cu
• Bagong password: iba't ibang password mula sa lam
  
• Ipasok muli ang password: iba't ibang password mula sa lam
  

Tandaan: Ang ' * 'nangangahulugan na ito ay isang kinakailangang pagpasok.

Ibabang kaliwa ang mga pindutan ^ Makatipid y ^ Kanselahin. Kung nai-save namin ang mga pagbabago ngayon, ibabalik ito sa amin sa paunang pahina at maaari naming makita na ang wika ay nagbago na at ang pangalan ng gumagamit ay ngayon admin. Dati ay Tagapamahala. Gayunpaman, bumalik tayo upang i-edit ang -ngayon sa Espanyol- "Pagtatakda. ng LAM ». Pagkatapos na bumalik kami sa pahina ng pagsasaayos, gagawin namin ang mga sumusunod:

• Pinipili namin ang tab 'Mga uri ng account'.
• Sa seksyon 'Mga aktibong uri ng account' -> 'Mga Gumagamit' -> 'suffix ng LDAP', nagsulat kami: ou = Tao, dc = kaibigan, dc = cu.
• Sa seksyon 'Mga aktibong uri ng account' -> 'Mga Pangkat' -> 'suffix ng LDAP', nagsulat kami: ou = Mga Grupo, dc = mga kaibigan, dc = cu.
• Gamit ang mga pindutan na may pamagat '^ Alisin ang uri ng account na ito', tinatanggal namin ang mga kaukulang 'Mga Koponan' y 'Samba domains', na hindi namin gagamitin.
• Pinipili namin ang tab 'Mga Modyul'.
• En 'Mga Gumagamit', sa listahan 'Mga napiling module', ilipat namin ang module 'Samba 3 (sambaSamAccount)' sa listahan ng 'Magagamit na Mga Modyul'.
• En 'Mga Grupo', sa listahan 'Mga napiling module', ilipat namin ang module 'Samba 3 (sambaGroupMapping)' sa listahan ng 'Magagamit na Mga Modyul'.

Sa ngayon, at hanggang sa maging pamilyar tayo sa pagsasaayos ng LAM, iiwan namin ito.

Nai-save namin ang mga pagbabago at bumalik sa paunang pahina, kung saan dapat naming i-type ang password ng gumagamit admin (cn = admin, dc = mga kaibigan, dc = cu), idineklara sa panahon ng pag-install ng sampal. Kung nagbalik ka ng isang error, suriin na ang /etc/ldap/ldap.conf tama itong na-configure sa server mismo. Maaari kang magkaroon ng maling landas patungo sa sertipiko ng TLS o ibang error. Tandaan na dapat ganito ang hitsura:

BASE dc = mga kaibigan, dc = cu URI ldap: //mildap.amigos.cu # TLS na mga sertipiko (kinakailangan para sa GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Kapag nasa loob na ng LAM, kailangan nating gumugol ng ilang oras sa pag-aaral nito BAGO baguhin ang anumang pagsasaayos. Ang interface nito ay napaka-intuitive at madaling gamitin. Gamitin ito at suriin.

Pansin: Sa dokumento http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, mababasa natin sa huli:

Single na direktoryo ng LDAP na may maraming mga gumagamit (> 10 000)
Ang LAM ay sinubukan upang gumana sa 10 mga gumagamit. Kung mayroon kang maraming higit pang mga gumagamit pagkatapos ay mayroon kang karaniwang dalawang mga pagpipilian.

• Hatiin ang iyong puno ng LDAP sa mga yunit ng organisasyon: Karaniwan itong ang pinakamahusay na pagpipilian sa pagganap. Ilagay ang iyong mga account sa maraming mga yunit ng organisasyon at i-setup ang LAM tulad ng sa advanced na sitwasyon sa itaas.
• Taasan ang limitasyon sa memorya: Palakihin ang parameter ng memory_limit sa iyong php.ini. Papayagan nitong magbasa ang LAM ng maraming mga entry. Ngunit babagal nito ang mga oras ng pagtugon ng LAM.

Maging Malikhain at Maayos sa Pamamahala ng aming Direktoryo.

Mga patakaran sa seguridad ng password, at iba pang mga aspeto sa pamamagitan ng LAM

• Nag-click kami sa link «Pagsasaayos ng LAM».
• Pindutin ang link "I-edit ang mga pangkalahatang setting".
• Nagta-type kami ng password 'Sila' nang walang mga quote.

At sa pahinang iyon makikita namin ang Mga Patakaran sa Password, Mga Kagustuhan sa Seguridad, Pinapayagan na Mga Host, at iba pa.

Tandaan: Ang pagsasaayos ng LAM ay nai-save sa /usr/share/ldap-account-manager/config/lam.conf.

Pinapagana namin ang https upang kumonekta sa LAM nang ligtas:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 restart

Kapag pinagana namin ang https sa nakaraang paraan, nakikipagtulungan kami sa mga sertipiko na binubuo ng Apache bilang default, at ipinapakita ang mga ito sa kahulugan ng virtual host nito default-ssl. Kung nais naming gumamit ng iba pang mga sertipiko na nabuo ng aming mga sarili, mangyaring at ipaalam sa amin kumunsulta /usr/share/doc/apache2.2-common/README.Debian.gz. Tinawag ang mga sertipiko na pinag-uusapan "Oil ng ahas" o Langis ng Langis, at matatagpuan ang mga ito sa:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Ituro natin ang browser https://mildap.amigos.cu, at tinatanggap namin ang sertipiko. Pagkatapos ay tinuturo namin https://mildap.amigos.cu/lam at maaari na tayong magtrabaho sa pamamagitan ng https the LAM.

Mahalaga: kung sa panahon ng proseso ng pagsisimula ng server, ang Exim tumatagal ng isang mahabang oras upang simulan, i-install ang magaan na kapalit ssmtp.

: ~ # aptitude install ssmtp
 Ang mga sumusunod na BAGONG pakete ay mai-install: ssmtp {b} 0 na-update na mga package, 1 bagong naka-install, 0 upang alisin at 0 hindi na-update. Kailangan kong mag-download ng 52,7 kB ng mga file. Pagkatapos i-unpack ang 8192 B. Gagamitin ang mga dependency ng mga sumusunod na package: exim4-config: Mga salungatan: ssmtp ngunit 2.64-4 ang mai-install. exim4-daemon-light: Mga salungatan: mail-transport-agent na isang virtual na pakete. ssmtp: Mga Salungatan: mail-transport-agent na isang virtual na pakete. Ang mga sumusunod na pagkilos ay malulutas ang mga dependency na Alisin ang mga sumusunod na package: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Tinatanggap mo ba ang solusyon na ito? [Y / n / q /?] At

Pagkatapos ay isinasagawa namin:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # apocitude autoclean: ~ # reboot

Kung nagtatrabaho ka sa mga virtual server, ito ay magiging isang mahusay na oras upang gumawa ng isang mahusay na backup ng buong pangunahing server ... kung sakali. 🙂

Pagkopya. I-save at ibalik ang database ng Directory.

Sa mahusay na gabay - na inirerekumenda namin ang lahat na basahin at pag-aralan- «Gabay ng Server ng Ubuntu»Mula sa Ubuntu Server 12.04« Tiyak », mayroong isang detalyadong paliwanag ng mga bahagi ng code na isinulat namin tungkol sa OpenLDAP at ang pagbuo ng mga sertipiko ng TLS, at nakikipag-usap din ito nang detalyado sa Replika ng Directory, at kung paano gawin ang I-save at Ibalik ang mga database.

Gayunpaman, narito ang isang pamamaraan para sa pagpapanumbalik ng buong database sakaling magkaroon ng isang sakuna.

Sobrang importante:

Dapat palaging magkaroon kami ng na-export na file sa pamamagitan ng Ldap Account Manager bilang isang backup ng aming data. Siyempre, ang file cn = amigos.ldif ay dapat na tumutugma sa aming sariling pag-install. Maaari rin nating makuha ito sa pamamagitan ng slapcat command tulad ng makikita natin sa paglaon.

1.- Tinatanggal lamang namin ang pag-install ng sampal.

: ~ # aptitude purge slpad

2.- Nililinis namin ang system ng package

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Ganap naming tinanggal ang database ng Directory

: ~ # rm -r / var / lib / ldap / *

4.- I-install ulit namin ang slapd daemon at ang mga dependency nito

: ~ # aptitude install slapd

5.- Sinusuri namin

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = friends, dc = cu dn

6.- Idagdag ang parehong index file olcDbIndex.ldif

: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f ./olcDbIndex.ldif

7.- Sinusuri namin ang mga idinagdag na indeks

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Nagdagdag kami ng parehong Access Control Rule

: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f ./olcAccess.ldif

9.- Sinusuri namin ang Mga Panuntunan sa Pag-kontrol sa Access

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Nagdagdag kami ng Mga TLS Certificate. Hindi na kailangang muling itayo o ayusin ang mga pahintulot. Umiiral na ang mga ito sa filesystem, ngunit hindi idineklara sa database.

: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Nagdagdag kami ng nilalaman ayon sa aming sariling pag-backup

: ~ # ldapadd -x -D cn = admin, dc = mga kaibigan, dc = cu -W -f dc = friends.ldif

HUWAG i-restart ang slapd dahil ito ay ang pag-index ng database at maaari itong masira !!! ALWAYS i-edit ang iyong backup file BAGO idagdag ito, upang maiwasan ang pagpasok ng mga mayroon nang mga entry.

Tinuturo namin ang isang browser sa https://mildap.amigos.cu/lam at sinusuri namin.

Ang utos ng slapcat

Ang utos sampal Karamihan ito ay ginagamit upang makabuo sa format na LDIF, ang nilalaman ng database na humahawak sa sampal. Ang utos ay magbubukas ng database na tinutukoy ng bilang nito o ng panlapi, at isusulat ang kaukulang file sa format na LDIF sa screen. Ang mga database na na-configure bilang subordinate ay ipinapakita din, maliban kung tinukoy namin ang pagpipilian -g.

Ang pinakamahalagang limitasyon ng paggamit ng utos na ito ay hindi ito dapat na naisakatuparan kapag ang sampal, hindi bababa sa mode ng pagsulat, upang matiyak ang pagkakapare-pareho ng data.

Halimbawa, kung nais naming gumawa ng isang backup na kopya ng database ng Directory, sa isang file na pinangalanan backup-slapd.ldif, isinasagawa namin:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

Mga imahe ng LAM