OpenLDAP [7 ve final?] İle Dizin Hizmeti: Ldap Hesap Yöneticisi

Merhaba arkadaşlar!. Pek çok okuyucunun talep ettiği bu makaleyi PDF formatında özet halinde içerdiği için yayınlamak istemedik. Evet, ilginç eklemeler içeren bir özet yazacağız. Ve bu derlemenin bir önizlemesi olarak, Giriş:

Kurumsal ağlardaki hizmetlerden sorumlu birçok kişi, hizmetleri Microsoft ürünlerine dayalı bir ağın sorumluluğunu üstlenirken, Linux'a geçmek isterlerse Etki Alanı Denetleyicilerinin diğer hizmetler arasında geçişini düşünürler.

ClearOS veya Zentyal gibi üçüncü taraf bir ürün seçmezlerse veya başka nedenlerle bağımsız olmak isterlerse, kendi Etki Alanı Denetleyicisi veya Samba 4'ten veya diğerlerinden kendi Active Directory'den zahmetli bir görevi üstlenirler.

Sonra sorunlar başlar ve diğer bazı hayal kırıklıkları. İşletim hataları. Çözebilecekleri sorunların yerini bulamazlar. Tekrarlanan kurulum denemeleri. Hizmetlerin kısmi işlemleri. Ve uzun bir sorun listesi.

Yakından bakarsak, İnternet'in çoğu Microsoft tipi ağları kullanmaz. Ancak, iş ortamımızda çok şey yapıyoruz.

Bu özetle, Microsoft felsefesi olmadan bir iş ağı kurabileceğimizi göstermeye çalışıyoruz. E-Posta, FTP, SFTP, Owncloud'a dayalı Business Cloud vb. Gibi bir OpenLDAP Dizininde kullanıcıların kimlik doğrulamasına dayalı hizmetler.

% 100 Özgür Yazılıma dayalı farklı bir yaklaşım sunmayı hedefliyoruz ve bu yaklaşım - ki durum aynıdır - Microsoft ağlarının felsefesini, Microsoft Yazılımıyla veya OpenLDAP ve Samba ile ana olanlar olarak kullanmaz veya taklit etmez.

Ücretsiz Openldap + Samba yazılımını kullanan tüm çözümler, LDAP sunucusunun ne olduğu, nasıl kurulduğu, nasıl yapılandırıldığı ve yönetildiği vb. Gibi temel bilgilerden geçmektedir. Daha sonra Samba'yı ve muhtemelen Kerberos'u entegre ederler ve sonunda bize Microsoft NT 4 veya Active Directory tarzında bir Etki Alanı Denetleyicisini "taklit etmemizi" teklif ederler.

Depo paketlerinden uyguladığımızda ve yapılandırdığımızda gerçekten zor görev. Kapsamlı Samba belgelerini okuyup uygulayanlar ne demek istediğimizi çok iyi biliyorlar. Samba 4, 2003 veya daha gelişmiş bir Microsoft Active Directory'de bulduğumuz klasik yönetim konsolunu kullanarak Active Directory'nizin yönetimini bile önerir.

Önerilen Kaynaklar.

https://wiki.debian.org/LDAP
OpenLDAP Yazılımı 2.4 Yönetici Kılavuzu
Ubuntu Sunucu Kılavuzu 12.04
GNU / Linux ile sunucu yapılandırması.

El Maestro, Joel Barrios Dueñas'ın bize verdiği ve Debian oyuncularına çok iyi hizmet eden, CentOS ve Red Hat'e yönelik olmasına rağmen mükemmel bir el kitabı.

Hangi hizmetleri ve yazılımı kurmayı ve yapılandırmayı planlıyoruz?

• Bağımsız NTP, DNS ve DHCP, yani son ikisi Dizine entegre edilmemiştir
• Dizin Hizmeti veya «Dizin hizmeti»OpenLDAP'ye göre
• E-Posta, "Citadel" Grup Çalışma Paketi, FTP ve SFTP,
• İş Bulutu «owncloud«
• Samba tabanlı bağımsız dosya sunucusu.

Her durumda, kullanıcı kimlik bilgilerinin doğrulanması işlemi doğrudan Dizine karşı veya libnss-ldap y PAM söz konusu yazılımın özelliklerine bağlı olarak.

Ve daha fazla uzatmadan, işe koyulalım.

Ldap Hesap Yöneticisi

Devam etmeden önce şunu okumalıyız:

• LDAP ile Dizin Hizmeti. Giriş
• LDAP [2] ile Dizin Hizmeti: NTP ve dnsmasq
• LDAP ile Dizin Hizmeti [3]: Isc-DHCP-Sunucusu ve Bind9
• LDAP [4] ile Dizin Hizmeti: OpenLDAP (I)
• LDAP [5] ile Dizin Hizmeti: OpenLDAP (II)
• LDAP [6] ile Dizin Hizmeti: Debian 7 "Wheezy" Sertifikaları

Önceki yazı dizisini takip edenler, Zaten yönetmemiz gereken bir Rehberimiz olduğunu fark edecekler. Bunu, pakette gruplandırılmış konsol yardımcı programları aracılığıyla birçok şekilde başarabiliriz. ldapscript'lerweb arayüzleri phpLDAPadmin, Ldap Hesap Yöneticisidepodaki vb.

Ayrıca bunu yapma olasılığı da var. Apache Dizin Stüdyosuİnternetten indirmemiz gereken. Yaklaşık 142 megabayt ağırlığındadır.

Dizinimizi yönetmek için, Ldap Hesap Yöneticisi. Ve bunun hakkında söyleyeceğimiz ilk şey, kurulumundan sonra, belgeleme klasörde bulunan / usr / share / doc / ldap-account-manager / docs.

tarafından Ldap Hesap Yöneticisibundan böyle LAMDizinimizde depolanan kullanıcı ve grup hesaplarını yönetebiliriz. LAM, PHP5'i destekleyen herhangi bir web sayfası sunucusunda çalışır ve ona şifrelenmemiş bir kanal veya aracılığıyla bağlanabiliriz. BaşlangıçTLSÖrneğimizde kullanacağımız form budur.

İlk kurulum ve yapılandırma:

: ~ # aptitude install ldap-hesap-yöneticisi

Kurulumdan sonra Apache2 -apache2-mpm-ön çatal-, PHP5 ve diğer bağımlılıklardan ve paketin kendisinden ldap-hesap-yöneticisi, yapmamız gereken ilk şey, LAM dokümantasyon klasöründen web sunucumuzdaki dokümanların kök klasörüne sembolik bir bağlantı oluşturmaktır. Misal:

: ~ # ln -s / usr / share / doc / ldap-hesap yöneticisi / docs / manual / / var / www / lam-docs

Bu şekilde, LAM kılavuzuna bir web tarayıcısı üzerinden erişimi garanti ediyoruz, eğer adresi gösterirsek http://mildap.amigos.cu/lam-docs.

Sonra, LAM'ın kendisini yapılandırmaya başlayalım. Bir tarayıcıda işaret ediyoruz http://mildap.amigos.cu/lam.

• Linke tıklıyoruz "LAM yapılandırması".
• Linki tıkla "Sunucu profillerini düzenle".
• Şifreyi yazıyoruz 'M' tırnak işaretleri olmadan.

LAM konfigürasyon sayfalarında birçok parametreyi tercihlerimize ve ihtiyaçlarımıza göre değiştirebiliriz. Her zaman Basitten Karmaşığa gitmeyi tavsiye ettiğim gibi, tersi değil, sadece LAM olan güçlü aracı kullanmak için kesinlikle gerekli olana değineceğiz. Kullanımında Usta olduktan sonra, işlevleri değiştirmek veya eklemek istiyorsak, hoş geldiniz.

• TLS'yi etkinleştirin: Evet -Önerilen-.
• Ağaç son eki: dc = arkadaşlar, dc = cu
• Varsayılan dil: İspanyolca (İspanya)
• Geçerli kullanıcıların listesi *: cn = admin, dc = arkadaşlar, dc = cu
• Yeni Şifre: lam'dan farklı şifre
  
• Şifreyi yeniden gir: lam'dan farklı şifre
  

Not: ' * 'gerekli bir giriş olduğu anlamına gelir.

Sol alttaki düğmeler ^ Kaydet y ^ İptal. Değişiklikleri şimdi kaydedersek, bizi ilk sayfaya geri döndürür ve dilin çoktan değiştiğini ve kullanıcının adının şimdi olduğunu görebiliriz. Gizem. Önceden müdür. Ancak, İspanyolca'da-now- düzenlemesine geri dönelim. "Ayar. LAM'ın ». Yapılandırma sayfasına geri döndükten sonra, aşağıdakileri yapacağız:

• Sekmeyi seçiyoruz 'Hesap türleri'.
• Bölümünde "Etkin hesap türleri" -> "Kullanıcılar" -> "LDAP son eki", Biz yazdık: ou = İnsanlar, dc = arkadaşlar, dc = cu.
• Bölümünde 'Etkin hesap türleri' -> 'Gruplar' -> 'LDAP son eki', Biz yazdık: ou = Gruplar, dc = arkadaşlar, dc = cu.
• Başlıklı düğmeleri kullanma '^ Bu tür hesabı kaldır', karşılık gelenleri ortadan kaldırıyoruz 'Takımlar' y "Samba alanları"kullanmayacağımız.
• Sekmeyi seçiyoruz 'Modüller'.
• En 'Kullanıcılar', listede 'Seçili modüller', modülü hareket ettiriyoruz 'Samba 3 (sambaSamAccount)' listesine 'Mevcut Modüller'.
• En 'Gruplar', listede 'Seçili modüller', modülü hareket ettiriyoruz 'Samba 3 (sambaGroupMapping)' listesine 'Mevcut Modüller'.

Şimdilik, LAM konfigürasyonuna aşina olana kadar, onu burada bırakacağız.

Değişiklikleri kaydediyoruz ve kullanıcının şifresini yazmamız gereken ilk sayfaya dönüyoruz Gizem (cn = admin, dc = arkadaşlar, dc = cu)kurulum sırasında beyan edildi şaplak. Bir hata verirseniz, kontrol edin /etc/ldap/ldap.conf sunucunun kendisinde doğru şekilde yapılandırılmıştır. TLS sertifikasına giden yanlış yola veya başka bir hataya sahip olabilirsiniz. Bunun gibi görünmesi gerektiğini unutmayın:

BASE dc = arkadaşlar, dc = cu URI ldap: //mildap.amigos.cu # TLS sertifikaları (GnuTLS için gereklidir) TLS_CACERT /etc/ssl/certs/cacert.pem

LAM'a girdikten sonra, herhangi bir konfigürasyonu değiştirmeden ÖNCE onu çalışmak için biraz zaman harcamalıyız. Arayüzü çok sezgiseldir ve kullanımı kolaydır. Kullan ve kontrol et.

Yorum: Belgede http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, sonunda okuyabiliriz:

Çok sayıda kullanıcıya sahip tek bir LDAP dizini (> 10)
LAM, 10 kullanıcıyla çalışacak şekilde test edilmiştir. Çok daha fazla kullanıcınız varsa, temelde iki seçeneğiniz vardır.

• LDAP ağacınızı kuruluş birimlerine bölün: Bu genellikle en iyi performans gösteren seçenektir. Hesaplarınızı çeşitli kuruluş birimlerine yerleştirin ve yukarıdaki gelişmiş senaryoda olduğu gibi LAM'yi kurun.
• Bellek sınırını artırın: php.ini'nizdeki memory_limit parametresini artırın. Bu, LAM'ın daha fazla girişi okumasına izin verecektir. Ancak bu, LAM'ın yanıt sürelerini yavaşlatacaktır.

Rehberimizin Yönetiminde Yaratıcı ve Düzenli Olalım.

LAM aracılığıyla parola güvenlik politikaları ve diğer hususlar

• Linke tıklıyoruz «LAM yapılandırması».
• Linki tıkla "Genel ayarları düzenle".
• Şifreyi yazıyoruz 'M' tırnak işaretleri olmadan.

Ve bu sayfada Parola Politikalarını, Güvenlik Tercihlerini, İzin Verilen Ana Bilgisayarları ve diğerlerini buluyoruz.

Not: LAM yapılandırması şuraya kaydedilir: /usr/share/ldap-account-manager/config/lam.conf.

Https'nin LAM'a güvenli bir şekilde bağlanmasını sağlıyoruz:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 yeniden başlat

Https'yi önceki şekilde etkinleştirdiğimizde, Apache'nin varsayılan olarak oluşturduğu sertifikalarla çalışıyoruz ve bunları sanal konağın tanımına yansıtıyoruz. varsayılan-ssl. Kendimiz tarafından oluşturulan diğer sertifikaları kullanmak istiyorsak lütfen ve danışın /usr/share/doc/apache2.2-common/README.Debian.gz. Söz konusu sertifikalar aranır "Yılan Yağı" o Yılan Yağı ve şuralarda bulunur:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Tarayıcıyı işaret edelim https://mildap.amigos.cuve sertifikayı kabul ediyoruz. Sonra işaret ederiz https://mildap.amigos.cu/lam ve zaten LAM https üzerinden çalışabiliriz.

Önemli: sunucu başlatma işlemi sırasında, Exim başlaması uzun zaman alır, hafif ikameyi takın ssmtp.

: ~ # aptitude ssmtp yükle
 Aşağıdaki YENİ paketler yüklenecek: ssmtp {b} 0 güncellenmiş paket, 1 yeni yüklenen, 0 kaldırılacak ve 0 güncellenmeyecek. 52,7 kB dosya indirmem gerekiyor. Ambalajı açtıktan sonra 8192 B kullanılacaktır.Aşağıdaki paketlerin bağımlılıkları karşılanmaz: exim4-config: Çakışmalar: ssmtp ancak 2.64-4 kurulacaktır. exim4-daemon-light: Conflicts: sanal bir paket olan posta taşıma aracısı. ssmtp: Çakışmalar: sanal bir paket olan posta taşıma aracısı. Aşağıdaki eylemler bu bağımlılıkları çözecektir Aşağıdaki paketleri kaldırın: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Bu çözümü kabul ediyor musunuz? [E / n / q /?] Ve

Sonra yürütürüz:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Sanal sunucularla çalışıyorsanız, bu, her ihtimale karşı ana sunucunun tamamının iyi bir yedeklemesini yapmak için harika bir zaman olacaktır. 🙂

Çoğaltma. Dizin veritabanını kaydedin ve geri yükleyin.

Herkese okumasını ve çalışmasını tavsiye ettiğimiz mükemmel rehberde «Ubuntu Sunucu Kılavuzu»Ubuntu Sunucusundan 12.04« Kesin », OpenLDAP ve TLS sertifikalarının üretimi hakkında yazmış olduğumuz kodun bölümlerinin ayrıntılı bir açıklaması vardır ve ayrıca, Dizin Çoğaltma ve Kaydetme ve Geri Yükleme işleminin nasıl yapılacağı ayrıntılı olarak tartışılmıştır. veritabanlarının.

Ancak, bir felaket durumunda tüm veritabanını geri yüklemek için bir prosedür burada.

Çok önemli:

Dışa aktarılan dosyayı DAİMA Ldap Hesap Yöneticisi aracılığıyla elimizde bulundurmalıyız verilerimizin yedeği olarak. Tabii ki, cn = amigos.ldif dosyası kendi kurulumumuza karşılık gelmelidir. Daha sonra göreceğimiz gibi slapcat komutuyla da elde edebiliriz.

1.- Sadece slapd kurulumunu ortadan kaldırıyoruz.

: ~ # aptitude purge slpad

2.- Paket sistemi temizliyoruz

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Dizin veritabanını tamamen siliyoruz

: ~ # rm -r / var / lib / ldap / *

4.- Slapd arka plan programını ve bağımlılıklarını yeniden yüklüyoruz

: ~ # aptitude slapd yükleme

5.- Kontrol ediyoruz

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = arkadaşlar, dc = cu dn

6.- Aynı dizin dosyasını olcDbIndex.ldif ekleyin

: ~ # ldapmodify -Y HARİCİ -H ldapi: /// -f ./olcDbIndex.ldif

7.- Eklenen endeksleri kontrol ediyoruz

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Aynı Erişim Kontrol Kuralını ekliyoruz

: ~ # ldapmodify -Y HARİCİ -H ldapi: /// -f ./olcAccess.ldif

9.- Erişim Kontrol Kurallarını kontrol ediyoruz

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- TLS Sertifikalarını ekliyoruz. İzinleri yeniden oluşturmaya veya düzeltmeye gerek yok. Dosya sisteminde zaten varlar, ancak veritabanında bildirilmemişler.

: ~ # ldapmodify -Y HARİCİ -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- İçeriği kendi yedeğimize göre ekliyoruz

: ~ # ldapadd -x -D cn = admin, dc = arkadaşlar, dc = cu -W -f dc = arkadaşlar.ldif

Slapd'yi yeniden BAŞLATMAYIN çünkü veritabanını indeksliyor ve bozulabilir !!! Mevcut girişleri girmekten kaçınmak için, HER ZAMAN yedek dosyanızı eklemeden ÖNCE düzenleyin.

Bir tarayıcıda şunu işaret ediyoruz: https://mildap.amigos.cu/lam ve kontrol ederiz.

Slapcat komutu

Komut şapşal kedi Esas olarak LDIF formatında oluşturmak için kullanılır, veritabanının içeriğini işleyen şaplak. Komut, numarasına veya son ekine göre belirlenen veritabanını açar ve ilgili dosyayı ekrana LDIF formatında yazar. Seçeneği belirtmediğimiz sürece, bağımlı olarak yapılandırılan veritabanları da gösterilir. -g.

Bu komutun kullanımındaki en önemli sınırlama, komut verildiğinde çalıştırılmaması gerektiğidir. şaplak, veri tutarlılığını sağlamak için en azından yazma modunda.

Örneğin, Dizin veritabanının bir yedek kopyasını adlı bir dosyaya yapmak istiyorsak backup-slapd.ldif, yürütürüz:

: ~ # service slapd stop: ~ # slapcat -l backup-slapd.ldif: ~ # service slapd start

LAM görüntüleri