Dịch Vụ Thư Mục Với OpenLDAP [7 Và Cuối Cùng?]: Trình Quản Lý Tài ...

Có thể bạn quan tâm

Xin chào các bạn!. Chúng tôi không muốn xuất bản bài viết này vì nó nằm trong bản tóm tắt ở định dạng PDF mà nhiều độc giả đã yêu cầu. Vâng, chúng tôi sẽ viết một bản tóm tắt với những bổ sung thú vị. Và dưới dạng bản xem trước của tài liệu này, chúng tôi phiên âm Giới thiệu:

Nhiều người phụ trách các dịch vụ trong mạng doanh nghiệp, khi họ phụ trách một mạng có dịch vụ dựa trên các sản phẩm của Microsoft, nếu họ muốn chuyển sang Linux, họ sẽ cân nhắc việc di chuyển Bộ điều khiển miền giữa các dịch vụ khác.

Nếu họ không chọn sản phẩm của bên thứ ba, chẳng hạn như ClearOS hoặc Zentyal, hoặc nếu vì lý do khác mà họ muốn trở nên độc lập, thì họ sẽ thực hiện nhiệm vụ khó khăn là trở thành Bộ điều khiển miền của riêng họ hoặc từ Samba 4 -hoặc khác- của riêng họ Thư mục hoạt động.

Sau đó, các vấn đề bắt đầu và một số thất vọng khác. Lỗi vận hành. Họ không tìm thấy vị trí của các vấn đề để giải quyết chúng. Các lần cài đặt lặp lại. Hoạt động một phần của các dịch vụ. Và một danh sách dài các vấn đề.

Nếu chúng ta quan sát kỹ, hầu hết Internet không sử dụng mạng kiểu Microsoft. Tuy nhiên, trong môi trường kinh doanh của chúng tôi, chúng tôi làm, rất nhiều.

Với tài liệu này, chúng tôi cố gắng chứng tỏ rằng chúng tôi có thể tạo ra một mạng lưới kinh doanh mà không cần đến triết lý của Microsoft. Các dịch vụ dựa trên việc xác thực người dùng dựa trên Thư mục OpenLDAP như: E-Mail, FTP, SFTP, Business Cloud dựa trên Owncloud, v.v.

Chúng tôi mong muốn cung cấp một phương pháp tiếp cận khác dựa trên Phần mềm miễn phí 100% và không sử dụng hoặc mô phỏng - trong trường hợp nào cũng giống nhau - triết lý của các mạng Microsoft, với Phần mềm của Microsoft hoặc với OpenLDAP và Samba là những mạng chính.

Tất cả các giải pháp sử dụng phần mềm miễn phí Openldap + Samba, nhất thiết phải trải qua kiến thức cơ bản về máy chủ LDAP là gì, nó được cài đặt như thế nào, cấu hình và quản trị nó như thế nào, v.v. Sau đó, họ tích hợp Samba và có thể cả Kerberos, và cuối cùng, họ cung cấp cho chúng tôi "mô phỏng" Domain Controller theo phong cách của Microsoft NT 4 hoặc Active Directory.

Nhiệm vụ khó thực sự khi chúng ta triển khai và cấu hình nó từ các gói kho lưu trữ. Những ai đã nghiên cứu và áp dụng tài liệu Samba mở rộng đều biết rất rõ ý chúng tôi. Samba 4 thậm chí còn đề xuất việc quản lý Active Directory của bạn bằng cách sử dụng bảng điều khiển quản trị cổ điển mà chúng tôi tìm thấy trong Microsoft Active Directory, có thể là 2003 hoặc một bảng điều khiển khác nâng cao hơn.

Đề xuất đọc.

https://wiki.debian.org/LDAP Phần mềm OpenLDAP 2.4 Hướng dẫn dành cho quản trị viên Hướng dẫn Máy chủ Ubuntu 12.04 Cấu hình máy chủ với GNU / Linux.

Sách hướng dẫn tuyệt vời mà El Maestro, Joel Barrios Dueñas cung cấp cho chúng tôi và nó phục vụ rất tốt cho người chơi Debian, mặc dù nó được định hướng cho CentOS và Red Hat.

Những dịch vụ và phần mềm nào chúng tôi định cài đặt và cấu hình?

NTP, DNS và DHCP độc lập, tức là hai cái cuối cùng không được tích hợp vào Thư mục
Dịch vụ thư mục hoặc «Dịch vụ thư mục»Dựa trên OpenLDAP
E-Mail, Bộ công việc nhóm "Citadel", FTP và SFTP,
Đám mây doanh nghiệp «OwnCloud«
Máy chủ tệp độc lập dựa trên Samba.

Trong mọi trường hợp, quá trình xác thực thông tin đăng nhập của người dùng sẽ được thực hiện trực tiếp đối với Thư mục hoặc thông qua libnss-ldap y PAM tùy thuộc vào đặc điểm của phần mềm được đề cập.

Và không cần quảng cáo thêm, hãy bắt tay vào công việc.

Trình quản lý tài khoản Ldap

Trước khi tiếp tục, chúng ta phải đọc:

Dịch vụ thư mục với LDAP. Giới thiệu
Dịch vụ thư mục với LDAP [2]: NTP và dnsmasq
Dịch vụ thư mục với LDAP [3]: Isc-DHCP-Server và Bind9
Dịch vụ thư mục với LDAP [4]: OpenLDAP (I)
Dịch vụ thư mục với LDAP [5]: OpenLDAP (II)
Dịch vụ thư mục với LDAP [6]: Chứng chỉ trong Debian 7 "Wheezy"

Những ai đã theo dõi loạt bài viết trước sẽ nhận thấy rằng chúng tôi ĐÃ CÓ một Thư mục để quản lý. Chúng ta có thể đạt được điều này bằng nhiều cách, có thể là thông qua các tiện ích bảng điều khiển được nhóm trong gói ldapscript, giao diện web phpLDAPadmin, Trình quản lý tài khoản Ldap, v.v., trong kho lưu trữ.

Cũng có khả năng làm điều đó thông qua Xưởng thư mục Apache, mà chúng tôi phải tải xuống từ Internet. Nó nặng khoảng 142 megabyte.

Để quản lý Thư mục của chúng tôi, chúng tôi đặc biệt khuyên bạn nên sử dụng Trình quản lý tài khoản Ldap. Và điều đầu tiên chúng tôi sẽ nói về nó, là sau khi cài đặt, chúng tôi có thể truy cập tài liệu nằm trong thư mục / usr / share / doc / ldap-account-manager / docs.

Thông qua Trình quản lý tài khoản Ldap, từ đó đến nay LAM, chúng tôi có thể quản lý tài khoản người dùng và nhóm được lưu trữ trong Thư mục của chúng tôi. LAM chạy trên bất kỳ máy chủ trang web nào hỗ trợ PHP5 và chúng tôi có thể kết nối với nó thông qua một kênh không được mã hóa hoặc thông qua Bắt đầuTLS, đó là biểu mẫu mà chúng tôi sẽ sử dụng trong ví dụ của mình.

Cài đặt và cấu hình ban đầu:

: ~ # aptitude install ldap-account-manager

Sau khi cài đặt Apache2 –apache2-mpm-prefork-, từ PHP5 và các phụ thuộc khác, và từ chính gói ldap-quản lý tài khoản, điều đầu tiên chúng ta phải làm là tạo một liên kết tượng trưng từ thư mục tài liệu LAM đến thư mục gốc của tài liệu trên máy chủ web của chúng tôi. Thí dụ:

: ~ # ln -s / usr / share / doc / ldap-account-manager / docs / manual / / var / www / lam-docs

Bằng cách này, chúng tôi đảm bảo quyền truy cập vào sổ tay hướng dẫn sử dụng LAM thông qua trình duyệt web, nếu chúng tôi trỏ đến địa chỉ http://mildap.amigos.cu/lam-docs.

Tiếp theo, hãy bắt đầu cấu hình chính LAM. Trong một trình duyệt, chúng tôi trỏ đến http://mildap.amigos.cu/lam.

Chúng tôi nhấp vào liên kết "Cấu hình LAM".
Nhấp vào đường dẫn "Chỉnh sửa cấu hình máy chủ".
Chúng tôi gõ mật khẩu 'Cái m' mà không có dấu ngoặc kép.

Trong các trang cấu hình LAM, chúng ta có thể sửa đổi nhiều thông số theo sở thích và nhu cầu của mình. Như tôi đã luôn khuyến nghị đi từ Đơn giản đến Phức tạp, chứ không phải ngược lại, chúng ta sẽ chỉ chạm vào những gì thực sự cần thiết để sử dụng công cụ mạnh mẽ đó là LAM. Nếu sau khi chúng tôi trở thành Master trong việc sử dụng nó, chúng tôi muốn sửa đổi hoặc thêm các chức năng, thì xin chào mừng.

Kích hoạt TLS: Vâng -Khuyến nghị-.
Hậu tố cây: dc = bạn bè, dc = cu
Ngôn ngữ mặc định: Tiếng Tây Ban Nha (Tây Ban Nha)
Danh sách người dùng hợp lệ *: cn = admin, dc = friends, dc = cu
Mật khẩu mới: mật khẩu khác với lam
Nhập lại mật khẩu: mật khẩu khác với lam

Lưu ý: ' * 'nghĩa là nó là một mục bắt buộc.

Dưới cùng bên trái là các nút ^ Lưu y ^ Hủy bỏ. Nếu chúng tôi lưu các thay đổi ngay bây giờ, nó sẽ đưa chúng tôi trở lại trang ban đầu và chúng tôi có thể thấy rằng ngôn ngữ đã thay đổi và tên của người dùng bây giờ là quản trị viên. Trước đây là Quản Lý. Tuy nhiên, hãy quay lại để chỉnh sửa -now bằng tiếng Tây Ban Nha- "Cài đặt. của LAM ». Sau khi quay lại trang cấu hình, chúng tôi sẽ thực hiện như sau:

Chúng tôi chọn tab 'Các loại tài khoản'.
Trong phần 'Loại tài khoản đang hoạt động' -> 'Người dùng' -> 'Hậu tố LDAP', chúng tôi đã viết: ou = Mọi người, dc = bạn bè, dc = cu.
Trong phần 'Loại tài khoản đang hoạt động' -> 'Nhóm' -> 'Hậu tố LDAP', chúng tôi đã viết: ou = Nhóm, dc = bạn bè, dc = cu.
Sử dụng các nút có tiêu đề '^ Xóa loại tài khoản này', chúng tôi loại bỏ những người tương ứng với 'Đội' y 'Các miền Samba', mà chúng tôi sẽ không sử dụng.
Chúng tôi chọn tab 'Mô-đun'.
En 'Người dùng', trong danh sách 'Mô-đun đã chọn', chúng tôi di chuyển mô-đun 'Samba 3 (sambaSamAccount)' vào danh sách 'Mô-đun có sẵn'.
En 'Các nhóm', trong danh sách 'Mô-đun đã chọn', chúng tôi di chuyển mô-đun 'Samba 3 (sambaGroupMapping)' vào danh sách 'Mô-đun có sẵn'.

Hiện tại, và cho đến khi chúng ta làm quen với cấu hình LAM, chúng ta sẽ để nó ở đó.

Chúng tôi lưu các thay đổi và quay lại trang đầu tiên, nơi chúng tôi phải nhập mật khẩu của người dùng quản trị viên (cn = admin, dc = friends, dc = cu), được khai báo trong quá trình cài đặt tát. Nếu bạn trả về một lỗi, hãy kiểm tra xem /etc/ldap/ldap.conf nó được cấu hình chính xác trên chính máy chủ. Bạn có thể có đường dẫn sai đến chứng chỉ TLS hoặc một lỗi khác. Hãy nhớ rằng nó sẽ trông như thế này:

BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu # chứng chỉ TLS (cần cho GnuTLS) TLS_CACERT /etc/ssl/certs/cacert.pem

Khi đã vào bên trong LAM, chúng ta phải dành thời gian nghiên cứu nó TRƯỚC KHI thay đổi bất kỳ cấu hình nào. Giao diện của nó rất trực quan và dễ sử dụng. Sử dụng nó và kiểm tra.

Ghi chú: Trong tài liệu http://mildap.amigos.cu/lam-docs/ch02s02.html#confTypicalScenarios, chúng ta có thể đọc ở cuối:

Thư mục LDAP duy nhất với nhiều người dùng (> 10 000)LAM đã được thử nghiệm để hoạt động với 10 người dùng. Nếu bạn có nhiều người dùng hơn thì về cơ bản bạn có hai lựa chọn.

Chia cây LDAP của bạn theo các đơn vị tổ chức: Đây thường là tùy chọn hoạt động tốt nhất. Đặt các tài khoản của bạn vào một số đơn vị tổ chức và thiết lập LAM như trong kịch bản nâng cao ở trên.
Tăng giới hạn bộ nhớ: Tăng tham số memory_limit trong php.ini của bạn. Điều này sẽ cho phép LAM đọc nhiều mục hơn. Nhưng điều này sẽ làm chậm thời gian phản hồi của LAM.

Hãy Sáng tạo và Có trật tự trong Quản trị Thư mục của chúng ta.

Chính sách bảo mật mật khẩu và các khía cạnh khác thông qua LAM

Chúng tôi nhấp vào liên kết «Cấu hình LAM».
Nhấp vào đường dẫn "Chỉnh sửa cài đặt chung".
Chúng tôi gõ mật khẩu 'Cái m' mà không có dấu ngoặc kép.

Và trên trang đó, chúng tôi tìm thấy Chính sách mật khẩu, Tùy chọn bảo mật, Máy chủ được phép và những thứ khác.

Lưu ý: Cấu hình LAM được lưu trong /usr/share/ldap-account-manager/config/lam.conf.

Chúng tôi bật https để kết nối với LAM một cách an toàn:

: ~ # a2ensite default-ssl : ~ # a2enmod ssl : ~ # /etc/init.d/apache2 khởi động lại

Khi chúng tôi bật https theo cách trước đó, chúng tôi đang làm việc với các chứng chỉ mà Apache tạo theo mặc định và phản ánh chúng trong định nghĩa của máy chủ ảo của nó mặc định-ssl. Nếu chúng tôi muốn sử dụng các chứng chỉ khác do chính chúng tôi tạo, vui lòng cho chúng tôi tư vấn /usr/share/doc/apache2.2-common/README.Debian.gz. Các chứng chỉ được đề cập được gọi là "Dầu rắn" o Dầu rắn, và chúng được tìm thấy trong:

/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/private/ssl-cert-snakeoil.key

Hãy hướng trình duyệt đến https://mildap.amigos.cu, và chúng tôi chấp nhận chứng chỉ. Sau đó, chúng tôi chỉ đến https://mildap.amigos.cu/lam và chúng tôi đã có thể làm việc thông qua https the LAM.

Quan trọng: nếu trong quá trình khởi động máy chủ, miễn mất nhiều thời gian để bắt đầu, cài đặt thay thế nhẹ ssmtp.

: ~ # aptitude cài đặt ssmtp Các gói MỚI sau sẽ được cài đặt: ssmtp {b} 0 gói cập nhật, 1 gói mới được cài đặt, 0 để xóa và 0 chưa cập nhật. Tôi cần tải xuống 52,7 kB tệp. Sau khi giải nén 8192 B. Sẽ được sử dụng. Các gói phụ thuộc sau không được thỏa mãn: exim4-config: Xung đột: ssmtp nhưng 2.64-4 sẽ được cài đặt. exim4-daemon-light: Xung đột: mail-transport-agent là một gói ảo. ssmtp: Xung đột: mail-transport-agent là một gói ảo. Các hành động sau sẽ giải quyết các sự phụ thuộc này Loại bỏ các gói sau: 1) exim4 2) exim4-base 3) exim4-config 4) exim4-daemon-light Bạn có chấp nhận giải pháp này không? [Y / n / q /?] Và

Sau đó, chúng tôi thực hiện:

: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean: ~ # reboot

Nếu bạn đang làm việc với máy chủ ảo, đây sẽ là thời điểm tuyệt vời để tạo một bản sao lưu tốt cho toàn bộ máy chủ chính... đề phòng. 

Nhân rộng. Lưu và khôi phục cơ sở dữ liệu Thư mục.

Trong hướng dẫn tuyệt vời - mà chúng tôi khuyên mọi người nên đọc và nghiên cứu- «Hướng dẫn Máy chủ Ubuntu»Trong Ubuntu Server 12.04« Chính xác », có giải thích chi tiết về các phần mã mà chúng tôi đã viết về OpenLDAP và tạo chứng chỉ TLS, đồng thời nó cũng đề cập đến nhiều chi tiết với Directory Replication cũng như cách thực hiện Lưu và Khôi phục cơ sở dữ liệu.

Tuy nhiên, đây là một thủ tục để khôi phục toàn bộ cơ sở dữ liệu trong trường hợp xảy ra thảm họa.

Rất quan trọng:

Chúng tôi LUÔN phải có tệp đã xuất trong tay thông qua Trình quản lý tài khoản Ldap như một bản sao lưu dữ liệu của chúng tôi. Tất nhiên, tệp cn = amigos.ldif phải tương ứng với cài đặt của riêng chúng tôi. Chúng ta cũng có thể lấy nó thông qua lệnh Tátđa như chúng ta sẽ thấy ở phần sau.

1.- Chúng tôi chỉ loại bỏ cài đặt tát.

: ~ # aptitude purge slpad

2.- Chúng tôi làm sạch hệ thống gói

: ~ # aptitude install -f: ~ # aptitude purge ~ c: ~ # aptitude clean: ~ # aptitude autoclean

3.- Chúng tôi xóa hoàn toàn cơ sở dữ liệu Thư mục

: ~ # rm -r / var / lib / ldap / *

4.- Chúng tôi cài đặt lại daemon slutd và các phụ thuộc của nó

: ~ # aptitude install sld

5.- Chúng tôi kiểm tra

: ~ # ldapsearch -Q -LLL -Y NGOÀI -H ldapi: /// -b cn = config dn: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = friends, dc = cu dn

6.- Thêm cùng một tệp chỉ mục olcDbIndex.ldif

: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f ./olcDbIndex.ldif

7.- Chúng tôi kiểm tra các chỉ số được thêm vào

: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// \ -b cn = config '(olcDatabase = {1} hdb)' olcDbIndex

8.- Chúng tôi thêm cùng một Quy tắc kiểm soát truy cập

: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f ./olcAccess.ldif

9.- Chúng tôi kiểm tra Quy tắc kiểm soát truy cập

: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// \ -b cn = config '(olcAccess = *)' olcAccess olcSuffix

10.- Chúng tôi thêm Chứng chỉ TLS. Không cần phải xây dựng lại hoặc sửa chữa các quyền. Chúng đã tồn tại trong hệ thống tệp, nhưng không được khai báo trong cơ sở dữ liệu.

: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f /etc/ssl/certinfo.ldif

11.- Chúng tôi thêm nội dung theo bản sao lưu của riêng chúng tôi

: ~ # ldapadd -x -D cn = admin, dc = friends, dc = cu -W -f dc = friends.ldif

KHÔNG khởi động lại tát vì nó đang lập chỉ mục cơ sở dữ liệu và nó có thể bị hỏng !!! LUÔN LUÔN chỉnh sửa tệp sao lưu của bạn TRƯỚC khi thêm nó, để tránh nhập các mục hiện có.

Chúng tôi trỏ một trình duyệt tới https://mildap.amigos.cu/lam và chúng tôi kiểm tra.

Lệnh slatcat

Lệnh con mèo Nó chủ yếu được sử dụng để tạo ở định dạng LDIF, nội dung của cơ sở dữ liệu xử lý tát. Lệnh mở cơ sở dữ liệu được xác định bằng số của nó hoặc bằng hậu tố và ghi tệp tương ứng ở định dạng LDIF trên màn hình. Các cơ sở dữ liệu được định cấu hình là cấp dưới cũng được hiển thị, trừ khi chúng tôi chỉ định tùy chọn -g.

Hạn chế quan trọng nhất của việc sử dụng lệnh này là nó không được thực thi khi tát, ít nhất là ở chế độ ghi, để đảm bảo tính nhất quán của dữ liệu.

Ví dụ: nếu chúng ta muốn tạo một bản sao lưu của cơ sở dữ liệu Thư mục, vào một tệp có tên backup-tátd.ldif, chúng tôi thực hiện:

: ~ # điểm dừng dịch vụ: ~ # Tátlạch -l sao lưu-tátd.ldif: ~ # bắt đầu dịch vụ hỗ trợ