Служба каталогів з LDAP [4]: ​​OpenLDAP (I)

Привіт, друзі!. Приступимо до справи, і, як ми завжди рекомендуємо, прочитайте попередні три статті з серії:

• Служба каталогів з LDAP. Вступ.
• Служба каталогів з LDAP [2]: NTP та dnsmasq.
• Служба каталогів з LDAP [3]: Isc-DHCP-сервер і Bind9.

DNS, DHCP та NTP - це мінімально необхідні послуги для нашого простого каталогу, заснованого на OpenLDAP рідна, працює належним чином на Debian 6.0 "Стиснення", або в Ubuntu 12.04 LTS «Точний панголін».

Приклад мережі:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

У першій частині ми побачимо:

• Встановлення OpenLDAP (slapd 2.4.23-7.3)
• Перевірки після установки
• Індекси, які слід враховувати
• Правила контролю доступу до даних
• Генерація сертифікатів TLS у стисканні

тоді як у другій частині ми продовжимо з:

• Локальна автентифікація користувача
• Заповнити базу даних
• Керуйте базою даних за допомогою консольних утиліт
• Резюме на сьогодні ...

Встановлення OpenLDAP (slapd 2.4.23-7.3)

Сервер OpenLDAP встановлюється за допомогою пакета ляпас. Ми також повинні встановити пакет ldap-utils, який надає нам деякі інструменти на стороні клієнта, а також власні утиліти OpenLDAP.

: ~ # aptitude встановити slapd ldap-utils

Під час процесу встановлення debconf Він запитає у нас пароль адміністратора або користувача «адмін«. Також встановлено ряд залежностей; користувач створений openldap; створюється початкова конфігурація сервера, а також каталог LDAP.

У попередніх версіях OpenLDAP конфігурація демона ляпас було зроблено повністю через файл /etc/ldap/slapd.conf. У версії, яку ми використовуємо, і пізніше, конфігурація виконується в тій же самій ляпас, і для цього a DIT «Дерево інформації каталогів»Або Інформаційне дерево каталогів, окремо.

Метод конфігурації, відомий як РТК «Конфігурація в реальному часі»Конфігурація в реальному часі, або як метод cn = конфігурація, дозволяє нам динамічно налаштовувати ляпас без необхідності перезапуску послуги.

База даних конфігурації складається з колекції текстових файлів у форматі LDIF «Формат обміну даними LDAP»Формат LDAP для обміну даними, розташований у папці /etc/ldap/slapd.d.

Щоб отримати уявлення про організацію папок slapd.d, давайте запустимо:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: всього 8 drwxr-x --- 3 openldap openldap 4096 16 лютого 11:08 cn = config -rw ------- 1 openldap openldap 407 16 лютого 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: всього 28 -rw ------- 1 openldap openldap 383 16 лютого 11:08 cn = модуль {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 лютого 11:08 cn = schema -rw ------- 1 openldap openldap 325 16 лютого 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 лютого 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 лютого 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 лютого 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 лютого 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: всього 40 -rw ------- 1 openldap openldap 15474 16 лютого 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 лютого 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 лютого 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 лютого 11:08 cn = {3} inetorgperson.ldif

Якщо ми трохи подивимося на попередній результат, то побачимо, що Backend у Squeeze використовується тип бази даних hdb, що є варіантом bdb "База даних Берклі", і що вона повністю ієрархічна та підтримує перейменування піддерев. Щоб дізнатись більше про можливе Бакенди що підтримує OpenLDAP, відвідайте http://es.wikipedia.org/wiki/OpenLDAP.

Ми також бачимо, що використовуються три окремі бази даних, тобто одна, присвячена конфігурації, інша - Frontend, і остання - база даних hdb як такі.

Крім того, ляпас встановлюється за замовчуванням зі схемами Core, косинус, ніша e Інеторгперсон.

Перевірки після установки

У терміналі ми спокійно виконуємо і читаємо виходи. Ми перевіримо, особливо за допомогою другої команди, конфігурацію, виведену зі списку папок slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | докладніше: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} косинус , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Пояснення кожного результату:

• cn = конфігурація: Глобальні параметри.
• cn = модуль {0}, cn = конфігурація: Динамічно завантажений модуль.
• cn = схема, cn = конфігурація: Містить твердо кодований на рівні системних схем.
• cn = {0} ядро, cn = схема, cn = конфігурація: The твердо кодований схеми ядра.
• cn = {1} косинус, cn = схема, cn = конфігурація: Схема Косинус.
• cn = {2} nis, cn = схема, cn = конфігурація: Схема Ніш.
• cn = {3} inetorgperson, cn = схема, cn = конфігурація: Схема Інеторгперсон.
• olcBackend = {0} hdb, cn = config: Backend тип зберігання даних hdb.
• olcDatabase = {- 1} інтерфейс, cn = конфігурація: Frontend бази даних та параметрів за замовчуванням для інших баз даних.
• olcDatabase = {0} config, cn = config: Конфігураційна база даних ляпас (cn = конфігурація).
• olcDatabase = {1} hdb, cn = config: Наш екземпляр бази даних (dc = друзі, dc = cu)

: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = приклад, dc = com dn
dn: dc = друзі, dc = cu dn: cn = адміністратор, dc = друзі, dc = cu

• dc = друзі, dc = cu: Інформаційне дерево базового каталогу DIT
• cn = адміністратор, dc = друзі, dc = cu: Адміністратор (rootDN) DIT, оголошений під час встановлення.

Увага: Основний суфікс dc = друзі, dc = cu, взяв це debconf під час встановлення з ІМЯ сервер mildap.amigos.cu.

Індекси, які слід враховувати

Індексація записів проводиться для покращення ефективності пошуку на DIT, з критеріями фільтру. Індекси, які ми розглянемо, є мінімально рекомендованими відповідно до атрибутів, оголошених у схемах за замовчуванням.

Для динамічної модифікації індексів у базі даних ми створюємо текстовий файл у форматі LDIF, а пізніше ми додаємо його до бази даних. Ми створюємо файл olcDbIndex.ldif і ми залишаємо його з таким змістом:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: змінити додати: olcDbIndex olcDbIndex: uidNumber eq - додати: olcDbIndex olcDbIndex: gidNumber eq - додати: olcDbIndex olcDbIdex: memberDbIndex: memberDbIndex: memberDbIndex: memberDbIndex: memberDbIndex: memberDbIndex: : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, ol, eDbDI: , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex olcDbIndex

Ми додаємо індекси до бази даних і перевіряємо модифікацію:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndeq, eq olq presb, eq presc, eq presc, eq presc, eq presc, eq presc, eq pres pres, eq pres pres olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: за замовчуванням sub olcDbIndex: eq eq, субінітальний olcDbIndex: dc eq

Правила контролю доступу до даних

Правила, встановлені для того, щоб користувачі могли читати, змінювати, додавати та видаляти дані в базі даних Каталогу, називаються Контролем доступу, тоді як ми будемо називати Списки контролю доступу або «Список контролю доступу ACL»До політик, які налаштовують правила.

Щоб знати, який ACL були оголошені за замовчуванням у процесі встановлення ляпас, виконуємо:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Кожна з попередніх команд покаже нам ACL що до цього часу ми заявляли в нашому довіднику. Зокрема, остання команда показує їх усі, тоді як перші три дають нам правила контролю доступу для всіх трьох. DIT бере участь у нашому ляпас.

На тему ACL а щоб не робити значно довшу статтю, рекомендуємо прочитати сторінки посібника людина slapd.access.

Для гарантування доступу користувачів та адміністраторів до оновлення своїх записів loginShell y Гекони, ми додамо наступний ACL:

## Ми створюємо файл olcAccess.ldif і залишаємо його таким вмістом: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" писати самостійно * читати

## Додаємо ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Ми перевіряємо зміни
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Генерація сертифікатів TLS в Стиснути

Щоб мати безпечну автентифікацію на сервері OpenLDAP, ми повинні зробити це через зашифрований сеанс, який ми можемо досягти, використовуючи TLS «Безпека транспортного рівня» o Захищений транспортний рівень.

Сервер OpenLDAP та його клієнти можуть використовувати рамки TLS для забезпечення захисту щодо цілісності та конфіденційності, а також для підтримки захищеної автентифікації LDAP через механізм SASL «Простий рівень аутентифікації та безпеки« Зовнішні.

Сучасні сервери OpenLDAP сприяють використанню */ StartTLS /* o Запустіть захищений транспортний рівень до /LDAPS: ///, яка застаріла. Якщо у вас виникли запитання, відвідайте * Почати TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Просто залиште файл, встановлений за замовчуванням / etc / default / slapd із заявою SLAPD_SERVICES = »ldap: /// ldapi: ///», з метою використання зашифрованого каналу між клієнтом та сервером та самими допоміжними програмами для адміністрування OpenLDAP, що встановлюються локально.

Метод, описаний тут, на основі пакетів горіхи-смітник y ssl-сертифікат він діє для Debian 6 "Squeeze", а також для Ubuntu Server 12.04. Для Debian 7 "Wheezy" інший метод, заснований на OpenSSL.

Генерація сертифікатів у Squeeze здійснюється наступним чином:

1. - Встановлюємо необхідні пакети
: ~ # aptitude встановити gnutls-bin ssl-cert

2. - Ми створюємо первинний ключ для центру сертифікації
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3. - Створюємо шаблон для визначення ЦС (Центр сертифікації)
: ~ # nano /etc/ssl/ca.info cn = Кубинські друзі ca cert_signing_key

4. - Ми створюємо власний підпис або самопідписний сертифікат CA для клієнтів
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5. - Ми генеруємо приватний ключ для сервера
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Увага: Замінити "мілідап"у назві файлу вище на ім'я вашого власного сервера. Присвоєння імені сертифіката та ключа, як для сервера, так і для служби, яка його використовує, допомагає нам тримати все зрозуміло.

6. - Ми створюємо файл /etc/ssl/mildap.info такого змісту:
: ~ # nano /etc/ssl/mildap.info organization = Кубинські друзі cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_days = 3650

Увага: У наведеному вище змісті ми заявляємо, що сертифікат дійсний протягом 10 років. Параметр повинен бути скоригований відповідно до нашої зручності.

7. - Ми створюємо Сертифікат сервера
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Наразі ми створили необхідні файли, нам залишається лише додати до каталогу розташування самопідписаного сертифіката cacert.pem; сертифіката сервера mildap-cert.pem; та приватний ключ сервера mildap-key.pem. Ми також повинні налаштувати дозволи та власника сформованих файлів.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TCP / skript / olcTec / TCP / skript / olcTec / TCP / SCP -key.pem

8. - Додаємо: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9. - Ми налаштовуємо власника та дозволи
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod або /etc/ssl/private/mildap-key.pem

Сертифікат cacert.pem Це той, який ми повинні копіювати в кожному клієнті. Щоб цей сертифікат використовувався на самому сервері, ми повинні оголосити його у файлі /etc/ldap/ldap.conf. Для цього ми модифікуємо файл і залишаємо його таким вмістом:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = друзі, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Нарешті, а також як перевірка, ми перезапускаємо послугу ляпас і ми перевіряємо результат системний журнал з сервера, щоб з’ясувати, чи правильно перезапущено службу за допомогою нещодавно оголошеного сертифіката.

: ~ # перезапуск служби slapd
: ~ # tail / var / log / syslog

Якщо послуга не перезавантажується належним чином або ми спостерігаємо серйозну помилку в системний журнал, давайте не будемо падати духом. Ми можемо спробувати усунути пошкодження або почати спочатку. Якщо ми вирішимо почати з нуля, установку ляпас, не потрібно форматувати наш сервер.

Щоб стерти все, що ми зробили дотепер з тієї чи іншої причини, ми повинні видалити пакет ляпас, а потім видаліть папку / var / lib / ldap. Ми також повинні залишити файл в оригінальній версії /etc/ldap/ldap.conf.

Рідко з першої спроби все працює правильно. 🙂

Пам'ятайте, що в наступному внеску ми побачимо:

• Локальна автентифікація користувача
• Заповнити базу даних
• Керуйте базою даних за допомогою консольних утиліт
• Резюме на сьогодні ...

До швидкої зустрічі, друзі !.