OpenLDAP-aloitusopas

OpenLDAP on ilmainen ja avoimen lähdekoodin LDAP-toteutus (Lkevyt Direktoria Access Protocol). Monet organisaatiot käyttävät LDAP-protokollaa keskitettyyn todennukseen ja hakemistopalveluihin verkon kautta. OpenLDAP on kehittänyt OpenLDAP-projekti ja sen järjestää OpenLDAP Foundation.

OpenLDAP-ohjelmisto voidaan ladata projektin lataussivulta osoitteesta http: // www.openldap.org / ohjelmisto / lataa /. OpenLDAP on hyvin samanlainen kuin Microsoftin Active Directory.

OpenLDAP yhdistää koko organisaation tiedot keskustietovarastoon tai hakemistoon. Nämä tiedot ovat käytettävissä mistä tahansa verkon sijainnista. OpenLDAP tarjoaa tuen Transport Layer Security (TLS) - ja Simple Authentication and Security Layer (SASL) -tietosuojauksille

OpenLDAP-palvelimen ominaisuudet

• Tukee yksinkertaista todennusta ja suojaustasoa sekä siirtotason suojausta (vaatii OpenSSL-kirjastoja)
• Tukee Kerberos-pohjaisia ​​todennuspalveluja OpenLDAP-asiakkaille ja -palvelimille.
• Internet-protokollan Ipv6-tuki
• Tuki erilliselle daemonille
• Useiden tietokantojen tuki eli. MDB, BDB, HDB.
• Tukee LDIF (LDAP Data Interchange Format) -tiedostoja
• Tukee LDAPv3: ta

Tässä oppaassa näemme, kuinka OpenLDAP-palvelin asennetaan ja määritetään Debian 10 (Buster) -käyttöjärjestelmään.

Joitakin tässä oppaassa käytettyjä LDAP-termejä:

1. Entry - Se on yksi yksikkö LDAP-hakemistossa. Se tunnistaa sen ainutlaatuisesta Erottuva nimi (DN).
2. LDIF ((LDAP Data Interchange Format)) - (LDIF) on ASCII-tekstiesitys LDAP-merkinnöistä. LDAP-palvelimille tuotavia tietoja sisältävien tiedostojen on oltava LDIF-muodossa.
3. slapd - itsenäinen LDAP-palvelindemon
4. slurpd - Daemon, jota käytetään synkronoimaan yhden LDAP-palvelimen ja verkon muiden LDAP-palvelinten väliset muutokset. Sitä käytetään, kun mukana on useita LDAP-palvelimia.
5. slapcat - Tätä komentoa käytetään vetämään merkinnät LDAP-hakemistosta ja tallentamaan ne LDIF-tiedostoon.

Koneemme kokoonpano:

• Käyttöjärjestelmä: Debian 10 (Buster)
• IP-osoite: 10.0.12.10
• Isäntänimi: mydns.linuxhint.paikallinen

Vaiheet OpenLDAP-palvelimen asentamiseen Debian 10: een (Buster)

Ennen kuin jatkat asennukseen, päivitä ensin arkisto ja asennetut paketit seuraavalla komennolla:

$ sudo apt -päivitys
$ sudo apt päivitys -y

Vaihe 1. Asenna slapd-paketti (OpenLDAP-palvelin).

$ sudo apt-get install slapd ldap-utils -y

kirjoita järjestelmänvalvojan salasana pyydettäessä

Vaihe 2. tarkista slap-palvelun tila seuraavalla komennolla:

$ sudo systemctl status slapd.palvelu

Vaihe 3. Määritä nyt slapd alla annetulla komennolla:

$ sudo dpkg-configure slapd

Kun olet suorittanut yllä olevan komennon, sinulta kysytään useita kysymyksiä:

1. Ohita OpenLDAP-palvelimen määritykset?

   Täällä sinun on napsautettava Ei.

2. DNS-verkkotunnuksen nimi:

   Syötä DNS-toimialueen nimi LDAP-hakemistosi DN: n (erotettu nimi) muodostamista varten. Voit kirjoittaa minkä tahansa nimen, joka parhaiten sopii vaatimuksiisi. Otamme mydns.linuxhint.paikallinen verkkotunnuksemme, jonka olemme jo määrittäneet koneellemme.

   Kärki: On suositeltavaa käyttää .paikallinen TLD organisaation sisäiselle verkolle. Tämä johtuu siitä, että se välttää sisäisesti käytettyjen ja ulkoisesti käytettyjen TLD: n kaltaiset ristiriidat .com, .verkko jne.

   merkintä: Suosittelemme muistiinpanemaan DNS-verkkotunnuksesi ja järjestelmänvalvojan salasanasi tavalliselle paperille. Siitä on hyötyä myöhemmin, kun määritämme LDAP-määritystiedoston.

3. Organisaation nimi:

   Kirjoita tähän organisaation nimi, jota haluat käyttää perus-DN: ssä, ja paina Enter. Otamme linuxhint.

4. Nyt sinulta kysytään järjestelmänvalvojan salasana, jonka asetit aiemmin asennuksen aikana ensimmäisessä vaiheessa.

   Kun painat Enter, se pyytää sinua uudelleen vahvistamaan salasanan. Anna vain sama salasana uudelleen ja jatka.

5. Käytettävä tietokannan taustajärjestelmä:

   Valitse tietokanta taustaa varten vaatimuksesi mukaan. Valitsemme MDB: n.

6. Haluatko poistaa tietokannan, kun slapd tyhjennetään?

   Kirjoita tähän Ei.

7. Siirrä vanha tietokanta?

   Kirjoita tähän Kyllä.

Edellä mainittujen vaiheiden suorittamisen jälkeen pääteikkunassa näkyy seuraava lähtö:

Varmuuskopiointi / etc / ldap / slapd.d hakemistossa / var / backups / slapd-2.4.47 + dfsg-3 + deb10u4… valmis.
Vanhan tietokantahakemiston siirtäminen hakemistoon / var / backups:
- hakemisto tuntematon ... valmis.
Alustavan määrityksen luominen… valmis.
LDAP-hakemiston luominen… valmis.

Tarkista kokoonpano suorittamalla seuraava komento:

$ sudo slapcat

Sen pitäisi tuottaa jotain alla olevaa:

dn: dc = mydns, dc = linuxhint, dc = paikallinen
objectClass: yläosa
objectClass: dcObject
objectClass: organisaatio
o: linuxhint
dc: mydns
StructuralObjectClass: organisaatio
entryUUID: a1633568-d9ee-103a-8810-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
createTimestamp: 20201224044545Z
merkintä CSN: 20201224044545.729495Z # 000000 # 000 # 000000
modifiersName: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
modifyTimestamp: 20201224044545Z
dn: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
objectClass: simpleSecurityObject
objectClass: organisatorinen rooli
cn: admin
kuvaus: LDAP-järjestelmänvalvoja
userPassword :: e1NTSEF9aTdsd1h0bjgvNHZ1ZWxtVmF0a2RGbjZmcmF5RDdtL1c =
StructuralObjectClass: organisatorinen rooli
entryUUID: a1635dd6-d9ee-103a-8811-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
createTimestamp: 20201224044545Z
merkintä CSN: 20201224044545.730571Z # 000000 # 000 # 000000
modifiersName: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
modifyTimestamp: 20201224044545Z

Tarkista nyt vielä kerran OpenLDAP-palvelimen tila alla olevan komennon avulla:

$ sudo systemctl status slapd

Sen pitäisi näyttää aktiivisen käynnin tila. Jos näin on, olet oikeassa
rakentaa asioita.

Vaihe 4. Avaa ja muokkaa tiedostoa / etc / ldap / ldap.conf määrittää OpenLDAP. Kirjoita seuraava komento:

$ sudo nano / etc / ldap / ldap.konf

Voit käyttää myös jotakin muuta tekstieditoria nanon lisäksi, kumpi on käytettävissäsi.

Poista nyt komento rivistä, joka alkaa BASE: lla ja URI: llä, poistamalla "#" rivin alusta. Lisää nyt antamasi verkkotunnus, kun määrität OpenLDAP-palvelimen määrityksiä. Lisää URI-osioon palvelimen, jonka porttinumero on 389, IP-osoite. Täällä on katkelma asetustiedostostamme muutosten jälkeen:

#
# LDAP-oletusasetukset
#
# Katso ldap.conf (5) lisätietoja
# Tämän tiedoston tulisi olla maailman luettavissa, mutta ei maailman kirjoitettavissa.
PERUS dc = mydns, dc = linuxhint, dc = paikallinen
URI ldap: // mydns.linuxhint.paikallinen ldap: // mydns.linuxhint.paikallinen: 666
#SISELIMIT 12
#TIMELIMIT 15
#DEREF ei koskaan
# TLS-sertifikaattia (tarvitaan GnuTLS: lle)
TLS_CACERT / etc / ssl / certs / ca-sertifikaatit.crt

Vaihe 5: Tarkista nyt, toimiiko ldap-palvelin seuraavalla komennolla:

$ ldapsearch -x

Sen pitäisi tuottaa samanlainen lähtö kuin alla:

# laajennettu LDIF
#
# LDAPv3
# base (oletus) laajuusalipuun kanssa
# suodatin: (objectclass = *)
# pyytää: KAIKKI
# # mydns.linuxhint.paikallinen
dn: dc = mydns, dc = linuxhint, dc = paikallinen
objectClass: yläosa
objectClass: dcObject
objectClass: organisaatio
o: linuxhint
dc: mydns
# admin, mydns.linuxhint.paikallinen
dn: cn = admin, dc = mydns, dc = linuxhint, dc = paikallinen
objectClass: simpleSecurityObject
objectClass: organisatorinen rooli
cn: admin
kuvaus: LDAP-järjestelmänvalvoja
# Hakutulos
haku: 2
tulos: 0 Menestys
# numResponses: 3
# numEntries: 2

Jos saat onnistumisviestin, kuten yllä olevassa tulostuksessa korostetaan, se tarkoittaa, että LDAP-palvelimesi on määritetty oikein ja toimii oikein.

Kaikki on tehty asentamalla ja määrittelemällä OpenLDAP Debian 10: ssä (Buster).

Seuraavaksi voit:

1. Luo OpenLDAP-käyttäjätilit.
2. Asenna phpLDAPadmin, jotta voit hallita OpenLDAP-palvelinta etupään verkkopohjaisesta sovelluksesta.
3. Yritä asentaa OpenLDAP-palvelin muihin debian-pohjaisiin distroihin, kuten Ubuntu, Linux Mint, Parrot OS jne.

Älä myöskään unohda jakaa tätä opasta muille.