Průvodce pro začátečníky OpenLDAP

OpenLDAP je bezplatná a open-source implementace LDAP (Llehká váha Dkazatelna Apřístup Protocol). Mnoho organizací používá protokol LDAP pro centralizované ověřování a přístup k adresářovým službám v síti. OpenLDAP je vyvíjen projektem OpenLDAP a organizován nadací OpenLDAP.

Software OpenLDAP lze stáhnout ze stránky ke stažení projektu na adrese http: // www.openldap.org / software / stáhnout /. OpenLDAP je velmi podobný službě Active Directory v Microsoftu.

OpenLDAP konsoliduje data celé organizace do centrálního úložiště nebo adresáře. K těmto datům lze přistupovat z libovolného místa v síti. OpenLDAP poskytuje podporu pro Transport Layer Security (TLS) a Simple Authentication and Security Layer (SASL) pro zajištění ochrany dat

Vlastnosti serveru OpenLDAP

• Podporuje jednoduché ověřování a zabezpečení vrstvy a zabezpečení transportní vrstvy (vyžaduje knihovny OpenSSL)
• Podpora ověřovacích služeb založených na protokolu Kerberos pro klienty a servery OpenLDAP.
• Podpora Ipv6 internetového protokolu
• Podpora samostatného démona
• Podpora více databází viz. MDB, BDB, HDB.
• Podporuje soubory LDIF (LDAP Data Interchange Format)
• Podporuje LDAPv3

V této příručce uvidíme, jak nainstalovat a nakonfigurovat server OpenLDAP v operačním systému Debian 10 (Buster).

Některé terminologie LDAP použité v této příručce:

1. Vstup - Je to jedna jednotka v adresáři LDAP. Je identifikován svým jedinečným Rozlišující název (DN).
2. LDIF ((LDAP Data Interchange Format)) - (LDIF) je ASCII textová reprezentace záznamů v LDAP. Soubory obsahující data, která mají být importována na servery LDAP, musí být ve formátu LDIF.
3. slapd - samostatný démon serveru LDAP
4. slurpd - Démon, který se používá k synchronizaci změn mezi jedním serverem LDAP a ostatními servery LDAP v síti. Používá se, když je zapojeno více serverů LDAP.
5. slapcat - Tento příkaz se používá k vytažení položek z adresáře LDAP a jejich uložení do souboru LDIF.

Konfigurace našeho stroje:

• Operační systém: Debian 10 (Buster)
• IP adresa: 10.0.12.10
• Název hostitele: mydns.linuxhint.místní

Kroky pro instalaci serveru OpenLDAP na Debian 10 (Buster)

Před pokračováním v instalaci nejprve aktualizujte úložiště a nainstalované balíčky pomocí následujícího příkazu:

$ sudo apt aktualizace
$ sudo apt upgrade -y

Krok 1. Nainstalujte balíček slapd (server OpenLDAP).

$ sudo apt-get install slapd ldap-utils -y

po zobrazení výzvy zadejte heslo správce

Krok 2. zkontrolujte stav služby slap pomocí následujícího příkazu:

$ sudo systemctl status slapd.servis

Krok 3. Nyní nakonfigurujte slapd pomocí níže uvedeného příkazu:

$ sudo dpkg-reconfigure slapd

Po spuštění výše uvedeného příkazu budete vyzváni k zadání několika otázek:

1. Vynechat konfiguraci serveru OpenLDAP?

   Zde musíte kliknout na „Ne“.

2. Název domény DNS:

   Zadejte název domény DNS pro konstrukci základního DN (rozlišující název) vašeho adresáře LDAP. Můžete zadat jakékoli jméno, které nejlépe vyhovuje vašim požadavkům. Bereme mydns.linuxhint.místní jako naše doménové jméno, které jsme již na našem stroji nastavili.

   Spropitné: Doporučuje se použít .místní TLD pro interní síť organizace. Je tomu tak proto, že se vyhýbá konfliktům mezi interně používanými a externě používanými TLD .com, .síť atd.

   Poznámka: Doporučujeme poznamenat si název domény DNS a heslo správce na obyčejný papír. Bude to užitečné později, když nakonfigurujeme konfigurační soubor LDAP.

3. Název organizace:

   Zde zadejte název organizace, kterou chcete použít v základním DN, a stiskněte klávesu Enter. Bereme linuxhint.

4. Nyní budete požádáni o heslo pro správu, které jste nastavili dříve při instalaci v prvním kroku.

   Když stisknete klávesu Enter, znovu vás požádá o potvrzení hesla. Jednoduše zadejte stejné heslo a pokračujte zadáním.

5. Backend databáze k použití:

   Vyberte databázi pro back-end podle vašich požadavků. Vybíráme MDB.

6. Chcete, aby byla databáze odstraněna při proplachování slapd?

   Sem zadejte „Ne“.

7. Přesuňte starou databázi?

   Sem zadejte „Ano“.

Po dokončení výše uvedených kroků uvidíte v okně terminálu následující výstup:

Zálohování / etc / ldap / slapd.d v / var / backups / slapd-2.4.47 + dfsg-3 + deb10u4… hotovo.
Přesunutí starého adresáře databáze do / var / backups:
- adresář neznámý… hotovo.
Vytváření počáteční konfigurace… hotovo.
Vytváření adresáře LDAP… hotovo.

Chcete-li ověřit konfiguraci, spusťte následující příkaz:

$ sudo slapcat

To by mělo produkovat výstup něco jako níže:

dn: dc = mydns, dc = linuxhint, dc = místní
objectClass: top
objectClass: dcObject
objectClass: organizace
o: linuxhint
dc: mydns
structureObjectClass: organizace
entryUUID: a1633568-d9ee-103a-8810-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = local
createTimestamp: 20201224044545Z
entryCSN: 20201224044545.729495Z # 000000 # 000 # 000000
název modifikátoru: cn = admin, dc = mydns, dc = linuxhint, dc = local
upravit Časové razítko: 20201224044545Z
dn: cn = admin, dc = mydns, dc = linuxhint, dc = místní
objectClass: simpleSecurityObject
objectClass: organizationRole
cn: admin
description: správce LDAP
userPassword :: e1NTSEF9aTdsd1h0bjgvNHZ1ZWxtVmF0a2RGbjZmcmF5RDdtL1c =
strukturníObjektClass: organizačníRole
entryUUID: a1635dd6-d9ee-103a-8811-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = local
createTimestamp: 20201224044545Z
entryCSN: 20201224044545.730571Z # 000000 # 000 # 000000
název modifikátoru: cn = admin, dc = mydns, dc = linuxhint, dc = local
upravit Časové razítko: 20201224044545Z

Nyní znovu zkontrolujte stav našeho serveru OpenLDAP pomocí následujícího příkazu:

$ sudo systemctl status slapd

Mělo by se zobrazit aktivní spuštěný stav. Pokud je to váš případ, máte pravdu
budování věcí.

Krok 4. Otevřete a upravte soubor / etc / ldap / ldap.conf pro konfiguraci OpenLDAP. Zadejte následující příkaz:

$ sudo nano / etc / ldap / ldap.konf

Kromě nano můžete použít i jiný textový editor, podle toho, co je ve vašem případě k dispozici.

Nyní odkomentujte řádek, který začíná BASE a URI, odstraněním „#“ na začátku řádku. Nyní přidejte název domény, který jste zadali při nastavování konfigurace serveru OpenLDAP. V části URI přidejte IP adresu serveru s číslem portu 389. Tady je fragment našeho konfiguračního souboru po úpravách:

#
# Výchozí nastavení LDAP
#
# Viz ldap.conf (5) pro podrobnosti
# Tento soubor by měl být čitelný do světa, ale nikoli do světa zapisovatelný.
ZÁKLAD dc = mydns, dc = linuxhint, dc = místní
URI ldap: // mydns.linuxhint.místní ldap: // mydns.linuxhint.místní: 666
#SIZELIMIT 12
#TIMELIMIT 15
# DEREF nikdy
# Certifikáty TLS (potřebné pro GnuTLS)
TLS_CACERT / etc / ssl / certs / ca-certificates.crt

Krok 5: Nyní pomocí následujícího příkazu zkontrolujte, zda server ldap funguje:

$ ldapsearch -x

Měl by produkovat výstup podobný tomuto níže:

# rozšířený LDIF
#
# LDAPv3
# základna (výchozí) s podstromem oboru
# filtr: (objectclass = *)
# požadující: VŠECHNY
# # mydns.linuxhint.místní
dn: dc = mydns, dc = linuxhint, dc = místní
objectClass: top
objectClass: dcObject
objectClass: organizace
o: linuxhint
dc: mydns
# admin, mydns.linuxhint.místní
dn: cn = admin, dc = mydns, dc = linuxhint, dc = místní
objectClass: simpleSecurityObject
objectClass: organizationRole
cn: admin
description: správce LDAP
# výsledek vyhledávání
hledání: 2
výsledek: 0 Úspěch
# numResponses: 3
# numEntries: 2

Pokud se zobrazí zpráva o úspěchu, jak je zdůrazněno ve výše uvedeném výstupu, znamená to, že váš server LDAP je správně nakonfigurován a funguje správně.

To je vše hotové, instalace a konfigurace OpenLDAP na Debian 10 (Buster).

Další možností je:

1. Vytvořte uživatelské účty OpenLDAP.
2. Nainstalujte si phpLDAPadmin ke správě serveru OpenLDAP z front-end webové aplikace.
3. Zkuste nainstalovat server OpenLDAP na jiné distribuce založené na Debianu, jako jsou Ubuntu, Linux Mint, Parrot OS atd.

Nezapomeňte také sdílet tuto příručku s ostatními.