Openldap centos 8 настройка
Развертывание LDAP в CentOS в качестве агента сервера каталогов, агента системы каталогов или DSA (все эти сокращения одинаковы) аналогично более ранним установкам Novell Netware с использованием структуры дерева каталогов с NDS.
Краткая история LDAP
LDAP был в основном создан как эффективный способ доступа к каталогам X.500 с помощью корпоративных ресурсов. И X.500, и LDAP имеют одинаковые характеристики и настолько похожи, что клиенты LDAP могут обращаться к каталогам X.500 с некоторыми помощниками. Хотя LDAP также имеет свой собственный сервер каталогов под названием slapd . Основное различие между LDAP и DAP состоит в том, что облегченная версия предназначена для работы через TCP.
В то время как DAP использует полную модель OSI. С появлением Интернета, TCP / IP и Ethernet в современных сетях редко можно встретить имплантацию служб каталогов, использующую как DAP, так и собственные корпоративные каталоги X.500, выходящие за рамки конкретных моделей устаревших вычислений.
Основные компоненты, используемые с openldap для CentOS Linux:
| OpenLDAP | Библиотеки поддержки LDAP |
|---|---|
| OpenLDAP-сервер | Сервер LDAP |
| OpenLDAP-клиенты | Клиентские возможности LDAP |
| OpenLDAP-разви | Библиотеки разработки для OpenLDAP |
| Компай-OpenLDAP | Общие библиотеки OpenLDAP |
| Slapd | Сервер каталогов демон OpenLDAP |
| Slurpd | Используется для репликации LDAP через домен предприятия |
Установите Open LDAP на CentOS
Установите openldap, openldap-серверы, openldap-клиенты и миграционные инструменты из YUM .
Теперь давайте убедимся, что у нас есть структура openldap в / etc / openldap .
Затем убедитесь, что наш сервис slapd запущен.
Далее, давайте настроим нашу установку Open LDAP .
Убедитесь, что наш системный пользователь ldap создан.
Создайте наши учетные данные LDAP.
Нам нужно сохранить вывод из slappasswd.
Настроить Open LDAP
Во-первых, мы хотим настроить нашу среду openLDAP. Ниже приведен шаблон для использования с командой ldapmodify .
Установите OpenLDAP на CentOS 8
В этом руководстве мы создадим последнюю версию исходного кода OpenLDAP вместо использования доступной версии, предоставляемой PowerTools.
Выполните следующие действия, чтобы настроить сервер OpenLDAP на CentOS 8.
Система обновлений
Запустите обновления системы и обновите пакеты.
Установите необходимые программные пакеты
Установите необходимые пакеты, которые позволят вам успешно собрать OpenLDAP.
Создать системную учетную запись LDAP
Нам нужно создать непривилегированного системного пользователя для OpenLDAP..
На момент написания этого руководства последней версией OpenLDAP была 2.4.57.
Объявите версию своей оболочке:
Загрузите последнюю версию с этой страницы .
Распакуйте загруженный файл:
Установить OpenLDAP
Переместите извлеченные файлы в / opt /, затем скомпилируйте исходные файлы.
Скомпилируйте исходные файлы:
После успешной компиляции вы должны увидеть вывод, который гласит: “Please run “make depend” to build dependencies”
Запустите make зависимый, чтобы построить зависимости OpenLDAP.
При успешной установке файлы конфигурации создаются по адресу /etc/openldap . После установки доступны следующие файлы:
Настройка OpenLDAP
Приступим к настройке OpenLDAP.
Во-первых, нам нужно создать каталоги базы данных OpenLDAP .
Установите правильные разрешения для каталогов OpenLDAP:
Создать схему OpenLDAP SUDO
Проверьте, поддерживает ли ваша версия sudo LDAP.
Вы должны увидеть следующие строки в выводе, если ваша система поддерживает LDAP.
Подтвердите, доступна ли схема sudo LDAP в вашей системе.
Скопируйте схему в каталог схемы ldap.
Создайте файл ldif схемы sudo.
Выполните ниже, чтобы добавить строки в файл:
Настроить базу данных SLAPD
Обновите содержимое файла /etc/openldap/slapd.ldif
Пастер ниже данных:
Выполните пробный запуск, чтобы проверить конфигурацию.
Выполните команду для записи изменений
Приведенная выше команда создает конфигурации базы данных slapd и помещает их в /etc/openldap/slapd.d .
Установите права собственности на каталог slapd:
Создать службу OpenLDAP
Создайте сервис systemd:
Запустить сервис slapd:
Настройка корневого DN OpenLDAP по умолчанию
Создайте базу данных MDB с корневым DN и списками ACL.
Сгенерируйте пароль root:
Скопируйте сгенерированный хэш-пароль в текстовый редактор. Это будет необходимо в rootdn.ldif файле при olcRootPW входе.
Добавьте содержимое ниже, заменив его dc=ldapmaster,dc=infoit,dc=com,dc=ua информацией о вашем домене.
Обновите базу данных slapd
Определите структуру вашей организации
Создайте basedn.ldif файл, чтобы определить структуру вашей организации.
Обновление базы данных:
Настроить SSL / TLS
Вы можете защитить связь клиент-сервер между OpenLDAP и клиентскими системами, включив TLS / SSL.
Установите правильное владение.
Создайте файл конфигурации SSL:
С информацией ниже:
Обновить базу данных slapd
Обновите расположение CA для OpenLDAP.
Создать пользователей OpenLDAP
Определите своих пользователей в файле users.ldif следующим образом:
Вот пример данных:
Обновите базу данных LDAP, чтобы добавить нового пользователя:
Установите пароль для указанного выше пользователя с помощью команды ниже:
Создать пользователя привязки LDAP
Создайте OpenLDAP Bind DN и привяжите пользователя. Это пользователь, который будет использоваться для выполнения открытий LDAP, таких как разрешение идентификаторов пользователей и групп.
Создайте пароль BindDN.
Получите хешированный пароль и сохраните его где-нибудь.
Создайте файл bindDNuser.ldif и добавьте содержимое ниже, не забудьте заменить хешированный пароль и информацию о домене своими данными.
Вот мои конфигурации:
dn: ou=system,dc=ldapmaster,dc=infoit,dc=com,dc=ua objectClass: organizationalUnit
objectClass: top
ou: system
dn: cn=readonly,ou=system,dc=ldapmaster,dc=infoit,dc=com,dc=ua objectClass: organizationalRole
objectClass: simpleSecurityObject
cn: readonly
userPassword: 9Sx4MzBieiojFsXLgXDVnJavwt4vql4p
description: Bind DN user for LDAP Operations
Обновите базу данных ldap:
Разрешить OpenLDAP через брандмауэр
Разрешить OpenLDAP через брандмауэр, чтобы разрешить соединения.
На этом этапе OpenLDAP настроен и готов к использованию. Вам необходимо настроить клиентов OpenLDAP в своих системах, чтобы они могли подключаться к серверу OpenLDAP.
Следуйте приведенному ниже руководству, чтобы настроить клиентов OpenLDAP:
Информационная модель LDAP основана на записях.
Запись в каталоге LDAP представляет собой отдельную единицу или информацию и уникально идентифицируется тем, что называется отличительным именем (DN). Каждый из атрибутов записи имеет тип и одно или несколько значений.
Атрибут является частью информации, связанной с записью.
Типами обычно являются мнемонические строки, такие как «cn» для общего имени или «mail» для адреса электронной почты.
Каждому атрибуту присваивается одно или несколько значений, состоящих из списка через пробел.
Ниже приведена иллюстрация того, как информация размещена в каталоге LDAP.
В этой статье мы покажем, как установить и настроить сервер OpenLDAP для централизованной аутентификации в Ubuntu 16.04 / 18.04 и CentOS 7.
Шаг 1: Установка сервера LDAP
1. Сначала начните с установки OpenLDAP, реализации LDAP с открытым исходным кодом и некоторых традиционных утилит управления LDAP с помощью следующих команд.
В Ubuntu во время установки пакета вам будет предложено ввести пароль для записи администратора в вашем каталоге LDAP, установить безопасный пароль и подтвердить его.
После завершения установки вы можете запустить службу, как описано далее.
2. В CentOS 7 выполните следующие команды, чтобы запустить демон сервера openldap, включить его автоматический запуск во время загрузки и проверить, работает ли он и запущен (в Ubuntu служба должна запускаться автоматически в systemd, вы можете просто проверить его статус)
3. Затем разрешите запросы к демону сервера LDAP через брандмауэр, как показано далее
Шаг 2. Настройка сервера LDAP
Примечание. Не рекомендуется редактировать конфигурацию LDAP вручную, вам необходимо добавить конфигурации в файл и использовать команду ldapadd или ldapmodify, чтобы загрузить их в каталог LDAP, как показано ниже.
4. Теперь создайте пользователя-администратора OpenLDAP и назначьте пароль для этого пользователя.
В приведенной ниже команде для данного пароля создается хэшированное значение, запомните его, вы будете использовать его в файле конфигурации LDAP.
5. Затем создайте файл LDIF (ldaprootpasswd.ldif), который используется для добавления записи в каталог LDAP.
Добавьте следующее содержание:
объяснение пар атрибут-значение выше:
- olcDatabase: указывает конкретное имя экземпляра базы данных и обычно находится в /etc/openldap/slapd.d/cn=config.
- cn = config: указывает глобальные параметры конфигурации.
- PASSWORD: это хэшированная строка, полученная при создании админиского кароля
6. Затем добавьте соответствующую запись LDAP, указав URI со ссылкой на сервер ldap и файл выше.
Шаг 3. Настройка базы данных LDAP
7. Теперь скопируйте пример файла конфигурации базы данных для slapd в каталог /var/lib/ldap и установите правильные права для файла.
8. Затем импортируйте некоторые базовые схемы LDAP из каталога /etc/openldap/schema следующим образом.
9. Теперь добавьте ваш домен в базу данных LDAP и создайте файл с именем ldapdomain.ldif для вашего домена.
Добавьте в него следующее содержимое (замените пример своим доменом и PASSWORD на хеш-значение, полученное ранее):
10. Затем добавьте указанную выше конфигурацию в базу данных LDAP с помощью следующей команды.
11. На этом этапе нам нужно добавить несколько записей в наш каталог LDAP.
Создайте другой файл с именем baseldapdomain.ldif со следующим содержимым.
Сохраните файл и затем добавьте записи в каталог LDAP.
12. Следующим шагом является создание пользователя LDAP, например, tecmint и установка пароля для этого пользователя следующим образом.
13. Затем создайте определения для группы LDAP в файле с именем ldapgroup.ldif со следующим содержимым.
14. Затем создайте другой файл LDIF с именем ldapuser.ldif и добавьте определения для пользователя tecmint.
затем загрузите конфигурацию в каталог LDAP.
Заключение
В этой статье мы показали, как установить и настроить сервер OpenLDAP для централизованной аутентификации, в Ubuntu 16.04 / 18.04 и CentOS 7.
Если у вас есть вопросы или мысли, которыми вы можете поделиться, не стесняйтесь обращаться к нам через форму комментариев ниже.
Он хранит и предоставляет доступ к информации, которая должна быть разделена между приложениями или иметь высокую степень распространения.
Службы каталогов играют важную роль в разработке приложений для интрасети и Интернета, помогая вам обмениваться информацией о пользователях, системах, сетях, приложениях и службах по всей сети.
Типичным вариантом использования LDAP является централизованное хранение имен пользователей и паролей.
Это позволяет различным приложениям (или службам) подключаться к серверу LDAP для проверки пользователей.
После настройки работающего сервера LDAP вам необходимо установить библиотеки на клиенте для подключения к нему.
В этой статье мы покажем, как настроить клиент LDAP для подключения к внешнему источнику аутентификации.
Я надеюсь, что у вас уже есть работающая среда сервера LDAP.
Как установить и настроить клиент LDAP в Ubuntu и CentOS
В клиентских системах вам нужно будет установить несколько необходимых пакетов для правильной работы механизма аутентификации на сервере LDAP.
Настройте клиент LDAP в Ubuntu 16.04 и 18.04
Сначала начните с установки необходимых пакетов, выполнив следующую команду.
Во время установки вам будет предложено ввести информацию о вашем сервере LDAP (укажите значения в соответствии с вашей средой).
Обратите внимание, что автоматически устанавливаемый пакет ldap-auth-config выполняет большинство конфигураций на основе введенных вами данных.
Далее введите имя базы LDAP, для этого вы можете использовать компоненты своих доменных имен, как показано на скриншоте.
Также выберите версию LDAP для использования и нажмите Ok.
Теперь настройте опцию, чтобы позволить вам создавать утилиты паролей и нажмите Yes
Затем отключите требование входа в базу данных LDAP, используя следующую опцию.
Также определите учетную запись LDAP для root и нажмите Ok.
Затем введите пароль для использования, когда ldap-auth-config пытается войти в каталог LDAP, используя учетную запись LDAP пользователя root.
Результаты диалога будут сохранены в файле /etc/ldap.conf.
Если вы хотите внести какие-либо изменения, откройте и отредактируйте этот файл, используя ваш любимый редактор командной строки.
Затем настройте профиль LDAP для NSS, запустив.
Затем настройте систему на использование аутентификации LDAP, обновив конфигурации PAM.
В меню выберите LDAP и любые другие необходимые вам механизмы аутентификации.
Теперь вы должны войти в систему, используя учетные данные на основе LDAP.
Если вы хотите, чтобы домашний каталог пользователя создавался автоматически, вам необходимо выполнить еще одну настройку в файле PAM общего сеанса.
Добавьте эту строку в него.
Сохраните изменения и закройте файл.
Затем перезапустите службу NCSD (Name Service Cache Daemon) с помощью следующей команды.
Примечание. Если вы используете репликацию, клиенты LDAP должны будут ссылаться на несколько серверов, указанных в /etc/ldap.conf.
Вы можете указать все серверы в этой форме:
Чтобы проверить записи LDAP для конкретного пользователя с сервера, выполните, например, команду getent.
Если приведенная выше команда отображает сведения об указанном пользователе из файла /etc/passwd, ваш клиентский компьютер теперь настроен для аутентификации на сервере LDAP, вы сможете войти в систему с использованием учетных данных на основе LDAP.
Настройка клиента LDAP в CentOS 7
Чтобы установить необходимые пакеты, выполните следующую команду.
Обратите внимание, что в этом разделе, если вы работаете с системой как пользователь без полномочий root, используйте команду sudo для запуска всех команд.
Затем включите клиентскую систему для аутентификации с использованием LDAP.
Вы можете использовать утилиту authconfig, которая является интерфейсом для настройки ресурсов аутентификации системы.
Затем, проверьте, есть ли записи LDAP для конкретного пользователя с сервера, например user tecmint.
Приведенная выше команда должна отображать сведения об указанном пользователе из файла /etc/passwd, что означает, что клиентский компьютер теперь настроен для аутентификации на сервере LDAP.
Важное замечание: Если в вашей системе включен SELinux, вам нужно добавить правило, позволяющее mkhomedir автоматически создавать домашние каталоги.
LDAP, широко используемый протокол для запросов и изменения службы каталогов.
В этом руководстве мы показали, как настроить клиент LDAP для подключения к внешнему источнику аутентификации на клиентских компьютерах Ubuntu и CentOS.
Вы можете оставить любые вопросы или комментарии, которые у вас могут возникнуть, используя форму обратной связи ниже.
Читайте также: