Служба каталогів з OpenLDAP [7 і остання?]: Ldap Account Manager

Привіт, друзі!. Ми не хотіли публікувати цю статтю, оскільки вона міститься у збірнику у форматі PDF, який вимагали багато читачів. Так, ми напишемо короткий зміст із цікавими доповненнями. І як попередній перегляд цього збірника ми транскрибуємо Введення:

Багато людей, які відповідають за послуги в бізнес-мережах, коли вони беруть на себе відповідальність за мережу, послуги якої базуються на продуктах Microsoft, якщо вони хочуть перейти на Linux, вони розглядають міграцію контролерів домену серед інших служб.

Якщо вони не вибирають сторонній продукт, такий як ClearOS або Zentyal, або якщо з інших причин вони хочуть стати незалежними, тоді вони беруться за копітке завдання стати власним контролером домену або від Samba 4 - або іншим - своїм Активна Директорія.

Потім починаються проблеми і деякі інші розчарування. Помилки в роботі. Вони не знаходять місця проблем, щоб мати можливість їх вирішити. Неодноразові спроби встановлення. Часткові операції служб. І довгий перелік проблем.

Якщо придивитися, то більшість Інтернету не використовують мережі типу Microsoft. Однак у нашому діловому середовищі ми робимо багато.

Цим збірником ми намагаємося показати, що ми можемо створити ділову мережу без філософії Microsoft. Послуги на основі автентифікації користувачів за каталогом OpenLDAP, такі як: E-Mail, FTP, SFTP, Business Cloud на основі Owncloud тощо.

Ми прагнемо запропонувати інший підхід, заснований на 100% вільному програмному забезпеченні, і який не використовує та не емулює - що в цьому відношенні однаково - філософія мереж Microsoft, або з Microsoft Software, або з OpenLDAP та Samba як основними .

Усі рішення, які використовують безкоштовне програмне забезпечення Openldap + Samba, обов'язково проходять базові знання про те, що таке LDAP-сервер, як він встановлюється, як налаштовується та адмініструється тощо? Згодом вони інтегрують Samba та, можливо, Kerberos, і врешті-решт пропонують нам «емулювати» Контролер домену у стилі Microsoft NT 4 або Active Directory.

Насправді важке завдання, коли ми реалізуємо та налаштовуємо його з пакетів сховищ. Ті, хто вивчав та застосовував листкову документацію Samba, дуже добре знають, що ми маємо на увазі. Samba 4 навіть пропонує адміністрування вашого Active Directory за допомогою класичної консолі адміністрування, яку ми знаходимо в Microsoft Active Directory, будь то 2003 року чи інша більш досконала.

Рекомендована література.

https://wiki.debian.org/LDAP
Посібник адміністратора для програмного забезпечення OpenLDAP 2.4
Посібник із сервера Ubuntu 12.04
Конфігурація сервера з GNU / Linux.

Чудовий посібник, який нам дають El Maestro, Joel Barrios Dueñas, і який дуже добре обслуговує гравців Debian, хоча орієнтований на CentOS та Red Hat.

Які послуги та програмне забезпечення ми плануємо встановити та налаштувати?

• Незалежні NTP, DNS і DHCP, тобто два останні не інтегровані в Каталог
• Служба довідників або «Служба каталогів»На основі OpenLDAP
• Електронна пошта, груповий робочий набір "Цитадель", FTP та SFTP,
• Бізнес-хмара «OwnCloud«
• Незалежний файловий сервер на базі Samba.

У всіх випадках процес автентифікації облікових даних користувача здійснюватиметься безпосередньо проти Каталогу або через libnss-ldap y PAM залежно від характеристик відповідного програмного забезпечення.

І без зайвих сумнівів приступимо до справи.

Менеджер облікових записів Ldap

Перш ніж продовжувати, ми повинні прочитати:

• Служба каталогів з LDAP. Вступ
• Служба каталогів з LDAP [2]: NTP та dnsmasq
• Служба каталогів з LDAP [3]: Isc-DHCP-сервер і Bind9
• Служба каталогів з LDAP [4]: ​​OpenLDAP (I)
• Служба каталогів з LDAP [5]: OpenLDAP (II)
• Служба каталогів з LDAP [6]: Сертифікати в Debian 7 "Wheezy"

Ті, хто читав низку попередніх статей, помітили, що ВЖЕ ми маємо Каталог для управління. Ми можемо досягти цього різними способами, або через консольні утиліти, згруповані в пакеті ldapscripts, веб-інтерфейси phpLDAPadmin, Менеджер облікових записів Ldapтощо, які знаходяться у сховищі.

Існує також можливість зробити це через Студія каталогів Apache, яку ми повинні завантажити з Інтернету. Важить близько 142 мегабайт.

Для адміністрування нашого довідника ми настійно рекомендуємо використовувати Менеджер облікових записів Ldap. І перше, що ми скажемо про це, це те, що після його встановлення ми можемо отримати доступ до нього документація який знаходиться в папці / usr / share / doc / ldap-account-manager / docs.

Через Менеджер облікових записів Ldap, відтепер LAM, ми можемо керувати обліковими записами користувачів та груп, що зберігаються в нашому довіднику. LAM працює на будь-якому сервері веб-сторінок, що підтримує PHP5, і ми можемо підключитися до нього через незашифрований канал або через StartTLS, яку будемо використовувати в нашому прикладі.

Початкове встановлення та конфігурація:

: ~ # aptitude встановити ldap-account-manager

Після встановлення Apache2 -apache2-mpm-prefork-, від PHP5 та інших залежностей, а також від самого пакета ldap-обліковий запис-менеджерПерше, що ми повинні зробити, це створити символічне посилання з папки документації LAM на кореневу папку документів на нашому веб-сервері. Приклад:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Таким чином ми гарантуємо доступ до посібника LAM через веб-браузер, якщо ми вказуємо на адресу http://mildap.amigos.cu/lam-docs.

Далі почнемо налаштовувати саму LAM. У браузері, на який ми вказуємо http://mildap.amigos.cu/lam.

• Клацаємо на посилання "Конфігурація LAM".
• Клацніть на посилання "Редагувати профілі сервера".
• Вводимо пароль "М" без лапок.

На сторінках конфігурації LAM ми можемо змінювати багато параметрів відповідно до своїх уподобань та потреб. Оскільки я завжди рекомендував переходити від простого до складного, а не навпаки, ми торкнемося лише того, що суворо необхідно для використання потужного інструменту, який є LAM. Якщо після того, як ми стаємо майстрами у його використанні, ми хочемо змінити або додати функції, тоді ласкаво просимо.

• Активуйте TLS: так -Рекомендується-.
• Суфікс дерева: dc = друзі, dc = cu
• Мова за замовчуванням: Español (Іспанія)
• Список дійсних користувачів *: cn = адміністратор, dc = друзі, dc = cu
• Новий пароль: інший пароль від lam
  
• Повторно введіть пароль: інший пароль від lam
  

Примітка: Він ' * 'означає, що це обов’язковий запис.

Внизу ліворуч розташовані кнопки ^ Зберегти y ^ Скасувати. Якщо ми збережемо зміни зараз, це поверне нас на початкову сторінку, і ми побачимо, що мова вже змінилася і що ім’я користувача тепер адмін. Раніше було менеджер. Однак давайте повторно відредагуємо -now іспанською мовою- "Установка. LAM ». Повернувшись на сторінку конфігурації, ми зробимо наступне:

• Вибираємо вкладку 'Типи рахунків'.
• У розділі 'Активні типи облікових записів' -> 'Користувачі' -> 'Суфікс LDAP', ми писали: ou = Люди, dc = друзі, dc = cu.
• У розділі 'Активні типи облікових записів' -> 'Групи' -> 'Суфікс LDAP', ми писали: ou = Групи, dc = друзі, dc = cu.
• За допомогою кнопок із заголовком '^ Видалити цей тип рахунку', ми усуваємо ті, що відповідають 'Обладнання' y 'Домени Samba', який ми не використовуватимемо.
• Вибираємо вкладку 'Модулі'.
• En "Користувачі", у списку 'Вибрані модулі', переносимо модуль 'Samba 3 (sambaSamAccount)' до списку 'Доступні модулі'.
• En 'Групи', у списку 'Вибрані модулі', переносимо модуль 'Samba 3 (sambaGroupMapping)' до списку 'Доступні модулі'.

Наразі і поки ми не ознайомимося з конфігурацією LAM, ми залишаємо це на цьому.

Ми зберігаємо зміни і повертаємось на початкову сторінку, де ми повинні ввести пароль користувача адмін (cn = адміністратор, dc = друзі, dc = cu), заявлене під час встановлення ляпас. Якщо ви виявите помилки, переконайтесь, що /etc/ldap/ldap.conf він правильно налаштований на самому сервері. Можливо, у вас неправильний шлях до сертифіката TLS або інша помилка. Пам'ятайте, це повинно виглядати так:

BASE dc = друзі, dc = cu URI ldap: //mildap.amigos.cu # Сертифікати TLS (потрібні для GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Потрапивши в LAM, ми повинні витратити деякий час на його вивчення ДО зміни будь-якої конфігурації. Його інтерфейс дуже інтуїтивно зрозумілий і простий у використанні. Скористайтеся ним і перевірте.

Зауваження: У документі http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, ми можемо прочитати в кінці:

Один каталог LDAP з великою кількістю користувачів (> 10 000)
LAM було протестовано для роботи з 10 000 користувачів. Якщо у вас набагато більше користувачів, то у вас є в основному два варіанти.

• Розділіть дерево LDAP на організаційні підрозділи: це, як правило, найкращий варіант. Розмістіть свої рахунки в декількох організаційних підрозділах і налаштуйте LAM, як у розширеному сценарії вище.
• Збільшити ліміт пам'яті: Збільште параметр memory_limit у вашому php.ini. Це дозволить LAM читати більше записів. Але це уповільнить час відгуку LAM.

Будьмо креативними та упорядкованими в адміністрації нашого довідника.

Політика безпеки паролів та інші аспекти через LAM

• Клацаємо на посилання «Конфігурація LAM».
• Клацніть на посилання "Редагувати загальні налаштування".
• Вводимо пароль "М" без лапок.

І на цій сторінці ми знаходимо правила щодо паролів, налаштування безпеки, дозволені хости та інші.

Примітка: Конфігурація LAM зберігається в /usr/share/ldap-account-manager/config/lam.conf.

Ми дозволяємо https безпечно підключатися до LAM:

: ~ # a2ensite default-ssl
: ~ # a2enmod ssl
: ~ # /etc/init.d/apache2 перезапустити

Коли ми вмикаємо https попереднім способом, ми працюємо з сертифікатами, які Apache генерує за замовчуванням, і відображає їх у визначенні свого віртуального хосту default-ssl. Якщо ми хочемо використовувати інші сертифікати, створені нами самими, будь ласка, проконсультуйтесь /usr/share/doc/apache2.2-common/README.Debian.gz. Викликаються відповідні сертифікати "Зміїна олія" o зміїна олія, і вони містяться в:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key

Давайте вкажемо на браузер https://mildap.amigos.cu, і ми приймаємо сертифікат. Тоді ми вказуємо на https://mildap.amigos.cu/lam і ми вже можемо працювати через https LAM.

Важливо: якщо під час процесу запуску сервера, Exim триває довгий час, щоб встановити легкий замінник ssmtp.

: ~ # aptitude встановити ssmtp
 Будуть встановлені такі НОВІ пакети: ssmtp {b} 0 оновлених пакетів, 1 новий встановлений, 0 для видалення та 0 не оновлених. Мені потрібно завантажити 52,7 кБ файлів. Після розпакування буде використано 8192 B. Залежності наступних пакетів не виконуються: exim4-config: Конфлікти: ssmtp, але буде встановлено 2.64-4. exim4-daemon-light: Конфлікти: поштовий транспортний агент, який є віртуальним пакетом. ssmtp: Конфлікти: поштовий транспортний агент, який є віртуальним пакетом. Наступні дії вирішать ці залежності Видаліть такі пакети: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Чи приймаєте ви це рішення? [Y / n / q /?] І

Потім ми виконуємо:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Якщо ви працюєте з віртуальними серверами, це був би чудовий час, щоб зробити хорошу резервну копію всього основного сервера ... про всяк випадок. 🙂

Реплікація. Збережіть і відновіть базу даних каталогу.

У чудовому посібнику - який ми рекомендуємо всім читати та вивчати - «Керівництво по серверу Ubuntu»У Ubuntu Server 12.04« Precise »є детальне пояснення частин коду, які ми писали про OpenLDAP та генерацію сертифікатів TLS, а крім того, реплікація каталогів обговорюється дуже докладно, і як зробити Зберегти та відновлення баз даних.

Однак ось процедура відновлення всієї бази даних у разі катастрофи.

Дуже важливо:

Ми повинні ЗАВЖДИ мати під рукою експортований файл через Ldap Account Manager як резервну копію наших даних. Звичайно, файл cn = amigos.ldif повинен відповідати нашому власному встановленню. Ми також можемо отримати його за допомогою команди slapcat, як ми побачимо пізніше.

1. - Ми ліквідуємо лише установку slapd.

: ~ # aptitude purge slpad

2. - Ми очищаємо пакувальну систему

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3. - Ми повністю видаляємо базу даних каталогу

: ~ # rm -r / var / lib / ldap / *

4. - Ми перевстановлюємо демон slapd та його залежності

: ~ # aptitude встановити slapd

5.- Ми перевіряємо

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = друзі, dc = cu dn

6. - Додайте той самий індексний файл olcDbIndex.ldif

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

7. - Перевіряємо додані індекси

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8. - Ми додаємо те саме правило контролю доступу

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

9. - Ми перевіряємо Правила контролю доступу

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10. - Ми додаємо сертифікати TLS. Не потрібно перебудовувати або виправляти дозволи. Вони вже існують у файловій системі, але не оголошуються в базі даних.

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

11. - Ми додаємо вміст відповідно до власного резервного копіювання

: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif

НЕ перезапускайте slapd, оскільки він індексує базу даних і може бути пошкоджений !!! ЗАВЖДИ редагуйте файл резервної копії ПЕРЕД додаванням, щоб уникнути введення існуючих записів.

Ми вказуємо в браузері на https://mildap.amigos.cu/lam і ми перевіряємо.

Команда slapcat

Команда ляпас В основному він використовується для формування у форматі LDIF, вмісту бази даних, яка обробляє ляпас. Команда відкриває базу даних, визначену за її номером або суфіксом, і записує на екран відповідний файл у форматі LDIF. Бази даних, налаштовані як підлеглі, також відображаються, якщо ми не вказуємо опцію -g.

Найважливішим обмеженням використання цієї команди є те, що вона не повинна виконуватися, коли ляпас, принаймні в режимі запису, щоб забезпечити узгодженість даних.

Наприклад, якщо ми хочемо зробити резервну копію бази даних Directory, у файл із іменем backup-slapd.ldif, виконуємо:

: ~ # зупинка служби slapd: ~ # slapcat -l backup-slapd.ldif: ~ # початок служби slapd

Зображення LAM