Phenquestions
Програмне забезпечення OpenLDAP можна завантажити зі сторінки завантаження проекту за адресою http: // www.openldap.org / програмне забезпечення / завантаження /. OpenLDAP дуже схожий на Active Directory у Microsoft.
OpenLDAP консолідує дані всієї організації в центральне сховище або каталог. Ці дані можна отримати з будь-якого місця в мережі. OpenLDAP забезпечує підтримку захисту транспортного рівня (TLS) та простий рівень автентифікації та рівня безпеки (SASL) для забезпечення захисту даних
Особливості сервера OpenLDAP
- Підтримує просту автентифікацію та рівень безпеки та захист транспортного рівня (потрібні бібліотеки OpenSSL)
- Підтримка служб автентифікації на основі Kerberos для клієнтів та серверів OpenLDAP.
- Підтримка Ipv6 Інтернет-протоколу
- Підтримка автономного демона
- Підтримка декількох баз даних, а саме. MDB, BDB, HDB.
- Підтримує файли LDIF (формат обміну даними LDAP)
- Підтримує LDAPv3
У цьому посібнику ми побачимо, як встановити та налаштувати сервер OpenLDAP в ОС Debian 10 (Buster).
Деякі термінології LDAP, використані у цьому посібнику:
- Вхід - Це одиниця в каталозі LDAP. Він ідентифікується за своєю унікальністю Відзнака (DN).
- LDIF ((Формат обміну даними LDAP)) - (LDIF) є текстовим поданням ASCII записів у LDAP. Файли, що містять дані для імпорту на сервери LDAP, мають бути у форматі LDIF.
- slapd - автономний демон сервера LDAP
- slurpd - демон, який використовується для синхронізації змін між одним сервером LDAP та іншими серверами LDAP у мережі. Він використовується, коли задіяно кілька серверів LDAP.
- slapcat - Ця команда використовується для витягування записів з каталогу LDAP та збереження їх у файлі LDIF.
Конфігурація нашої машини:
- Операційна система: Debian 10 (Buster)
- IP-адреса: 10.0.12.10
- Ім'я хосту: mydns.linuxhint.місцеві
Етапи встановлення сервера OpenLDAP на Debian 10 (Buster)
Перш ніж приступати до встановлення, спочатку оновіть сховище та встановлені пакети наступною командою:
$ sudo apt оновлення$ sudo apt upgrade -y
Крок 1. Встановіть пакет slapd (сервер OpenLDAP).
$ sudo apt-get install slapd ldap-utils -yвведіть пароль адміністратора при запиті
Крок 2. перевірте стан служби ляпасу за допомогою такої команди:
$ sudo systemctl статус slapd.обслуговуванняКрок 3. Тепер налаштуйте slapd командою, наведеною нижче:
$ sudo dpkg-переналаштувати slapdПісля запуску наведеної вище команди вам буде запропоновано кілька запитань:
- Опустити конфігурацію сервера OpenLDAP?
Тут потрібно натиснути "Ні".
- Ім'я домену DNS:
Введіть доменне ім’я DNS для побудови базового DN (відмінного імені) вашого каталогу LDAP. Ви можете ввести будь-яке ім’я, яке найбільше відповідає вашим вимогам. Ми беремо mydns.linuxhint.місцеві як наше доменне ім’я, яке ми вже встановили на нашому комп'ютері.
Порада: Пропонується використовувати .місцеві TLD для внутрішньої мережі організації. Це пояснюється тим, що це дозволяє уникнути конфліктів між внутрішньо використовуваними та зовнішніми доменами верхнього рівня .ком, .net тощо.
Примітка: Ми рекомендуємо записати ваше доменне ім’я DNS та адміністративний пароль на звичайному папері. Пізніше буде корисно, коли ми налаштуємо файл конфігурації LDAP.
- Назва організації:
Тут введіть назву організації, яку ви хочете використовувати, у базовому DN та натисніть клавішу Enter. Ми беремо linuxhint.
- Тепер вас попросять адміністративний пароль, який ви встановили раніше під час встановлення на першому кроці.
Коли ви натиснете клавішу Enter, він знову попросить вас підтвердити пароль. Просто введіть той самий пароль ще раз і введіть, щоб продовжити.
- Бекенд бази даних для використання:
Виберіть базу даних для бек-енду відповідно до ваших вимог. Ми обираємо MDB.
- Ви хочете видалити базу даних при очищенні slapd?
Введіть тут "Ні".
- Перемістити стару базу даних?
Введіть тут "Так".
Після виконання вищевказаних кроків у вікні терміналу ви побачите такий вивід:
Резервне копіювання / etc / ldap / slapd.d у / var / резервні копії / slapd-2.4.47 + dfsg-3 + deb10u4 ... виконано.Переміщення старого каталогу бази даних в / var / backups:
- каталог невідомий ... зроблено.
Створення початкової конфігурації ... виконано.
Створення каталогу LDAP ... виконано.
Щоб перевірити конфігурацію, виконайте таку команду:
$ sudo slapcatВін повинен вивести щось приблизно таке:
dn: dc = mydns, dc = linuxhint, dc = localobjectClass: top
objectClass: dcObject
objectClass: організація
o: linuxhint
dc: mydns
structObjectClass: організація
entryUUID: a1633568-d9ee-103a-8810-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = local
createTimestamp: 20201224044545Z
записCSN: 20201224044545.729495Z # 000000 # 000 # 000000
modifiersName: cn = admin, dc = mydns, dc = linuxhint, dc = local
modifyTimestamp: 20201224044545Z
dn: cn = admin, dc = mydns, dc = linuxhint, dc = local
objectClass: simpleSecurityObject
objectClass: organizationRole
cn: адміністратор
опис: адміністратор LDAP
userPassword :: e1NTSEF9aTdsd1h0bjgvNHZ1ZWxtVmF0a2RGbjZmcmF5RDdtL1c =
structObjectClass: organizationRole
entryUUID: a1635dd6-d9ee-103a-8811-53174b74f2ee
creatorsName: cn = admin, dc = mydns, dc = linuxhint, dc = local
createTimestamp: 20201224044545Z
записCSN: 20201224044545.730571Z # 000000 # 000 # 000000
modifiersName: cn = admin, dc = mydns, dc = linuxhint, dc = local
modifyTimestamp: 20201224044545Z
Тепер знову перевірте стан нашого сервера OpenLDAP, використовуючи команду нижче:
$ sudo systemctl статус slapdВін повинен відображати активний статус роботи. Якщо це так, то ви правильно
нарощування речей.
Крок 4. Відкрийте та відредагуйте файл / etc / ldap / ldap.conf для налаштування OpenLDAP. Введіть таку команду:
$ sudo nano / etc / ldap / ldap.конфВи також можете використовувати інший текстовий редактор, крім nano, залежно від того, який варіант доступний у вашому випадку.
Тепер розкоментуйте рядок, який починається з BASE та URI, видаливши “#” на початку рядка. Тепер додайте доменне ім’я, яке ви ввели під час налаштування конфігурації сервера OpenLDAP. У розділі URI додайте IP-адресу сервера з номером порту 389. Ось фрагмент нашого конфігураційного файлу після модифікацій:
## LDAP за замовчуванням
#
# Див. Ldap.conf (5) для деталей
# Цей файл повинен бути доступним для читання у всьому світі, але не для запису у світ.
BASE dc = mydns, dc = linuxhint, dc = local
URI ldap: // mydns.linuxhint.локальний ldap: // mydns.linuxhint.місцевий: 666
# РОЗМІР 12
# TIMELIMIT 15
#DEREF ніколи
# Сертифікати TLS (потрібні для GnuTLS)
TLS_CACERT / etc / ssl / certs / ca-сертифікати.crt
Крок 5: Тепер перевірте, чи працює сервер ldap за допомогою наступної команди:
$ ldapsearch -xВін повинен дати результат, подібний до наведеного нижче:
# розширений LDIF#
# LDAPv3
# база (за замовчуванням) із піддеревом області
# фільтр: (objectclass = *)
# запит: ВСЕ
# # mydns.linuxhint.місцеві
dn: dc = mydns, dc = linuxhint, dc = local
objectClass: top
objectClass: dcObject
objectClass: організація
o: linuxhint
dc: mydns
# адміністратор, mydns.linuxhint.місцеві
dn: cn = admin, dc = mydns, dc = linuxhint, dc = local
objectClass: simpleSecurityObject
objectClass: organizationRole
cn: адміністратор
опис: адміністратор LDAP
# результат пошуку
пошук: 2
результат: 0 Успіх
# numВідгуки: 3
# numEntries: 2
Якщо ви отримуєте повідомлення про успіх, як це було виділено у наведеному вище результаті, це означає, що ваш сервер LDAP правильно налаштований і працює належним чином.
На цьому все встановлено та налаштовано OpenLDAP на Debian 10 (Buster).
Потім можна:
- Створіть облікові записи користувачів OpenLDAP.
- Встановіть phpLDAPadmin для адміністрування вашого сервера OpenLDAP із інтерфейсної веб-програми.
- Спробуйте встановити сервер OpenLDAP на інші дистрибутиви на основі debian, такі як Ubuntu, Linux Mint, Parrot OS тощо.
Також не забудьте поділитися цим посібником з іншими.
