V tomto tutoriálu se podíváme na instalaci a konfiguraci serveru OpenLDAP na Ubuntu 16.04 LTS. Nainstalujeme také phpLDAPadmin webový nástroj pro správu.
Co je OpenLDAP
OtevřítLDAP je open source a rychlý adresářový server, který poskytuje síťovému klientovi adresářové služby. Klientské aplikace se připojují k serveru OpenLDAP pomocí Lightweight Directory Access Protocol (LDAP) pro přístup k organizačním informacím uloženým na tomto serveru. Díky příslušnému přístupu mohou klienti prohledávat adresář, upravovat a manipulovat se záznamy v adresáři. OpenLDAP je efektivní jak při čtení, tak při úpravě dat v adresáři.
Servery OpenLDAP se nejčastěji používají k poskytování centralizované správy uživatelských účtů. Můžete si například vytvořit účet v OpenLDAP a pokud je propojen s poštovním serverem, FTP serverem, Samba serverem nebo jakýmkoli jiným serverem, můžete tento účet použít k přihlášení k těmto serverům, aniž byste museli vytvářet nový účet pro každý server.
Jak nainstalovat OpenLDAP Server na Ubuntu 16.04
Spuštěním následujícího příkazu nainstalujte server OpenLDAP a nástroje příkazového řádku klienta z úložiště balíčků Ubuntu 16.04. slapd znamená Stand-Alone LDAP Daemon .
sudo apt install slapd ldap-utils
Budete požádáni o nastavení hesla pro položku admin v adresáři LDAP.
Jakmile bude hotovo, slapd se automaticky spustí. Jeho stav můžete zkontrolovat pomocí:
systemctl status slapd
Ve výchozím nastavení běží jako openldap uživatel, jak je definován v /etc/default/slapd soubor.
Základní konfigurace po instalaci
Instalační proces nainstaluje balíček bez jakýchkoli konfigurací. Aby náš server OpenLDAP fungoval správně, musíme provést základní konfiguraci po instalaci. Spuštěním následujícího příkazu spusťte průvodce konfigurací.
sudo dpkg-reconfigure slapd
Budete muset odpovědět na řadu otázek. Odpovězte na tyto otázky následovně:
Vynechat konfiguraci serveru LDAP:NE .
Název domény DNS:Zadejte název své domény jako linuxbabe.com . Budete muset nastavit správný záznam A pro název vaší domény. Můžete také použít subdoménu jako directory.linuxbabe.com . Tyto informace se používají k vytvoření základního DN (rozlišující jméno) adresáře LDAP.
Název organizace:Zadejte název vaší organizace, například LinuxBabe.
Heslo správce:Zadejte stejné heslo jako při instalaci.
Backend databáze:MDB .
BDB (Berkeley Database) je pomalý a těžkopádný. Je zastaralá a v budoucích verzích OpenLDAP bude ukončena podpora. HDB (Hierarchical Database) je variantou backendu BDB a bude také zastaralá.
MDB čtení je 5-20x rychlejší než BDB. Zápis je 2-5x rychlejší. A spotřebuje 1/4 RAM než BDB. Jako backend databáze tedy zvolíme MDB.
Chcete, aby byla databáze odstraněna, když je slapd vyčištěn? Ne .
Přesunout starou databázi? Ano .
Povolit protokol LDAPv2? Ne . Nejnovější verze LDAP je LDAP v.3, vyvinutá v roce 1997. LDAPv2 je zastaralá.
Nyní proces překonfiguruje službu OpenLDAP podle vašich odpovědí. Váš server OpenLDAP je nyní připraven k použití.
Konfigurace klientů LDAP
/etc/ldap/ldap.conf je konfigurační soubor pro všechny klienty OpenLDAP. Otevřete tento soubor.
sudo nano /etc/ldap/ldap.conf
Musíme zadat dva parametry:základní DN a URI našeho serveru OpenLDAP. Zkopírujte a vložte následující text na konec souboru. Nahraďte your-domain a com podle potřeby.
BASE dc=your-domain,dc=com URI ldap://localhost
První řádek definuje základní DN. Říká klientským programům, kde mají v adresáři začít hledat. Pokud jste při konfiguraci OpenLDAP serveru použili subdoménu, musíte subdoménu přidat zde takto
BASE dc=subdomain,dc=your-domain,dc=com
Druhý řádek definuje URI našeho OpenLDAP serveru. Protože LDAP server a klient jsou na stejném počítači, měli bychom nastavit URI na ldap://localhost .
Testování serveru OpenLDAP
Nyní, když je server OpenLDAP spuštěn a konfigurace klienta je hotová, spusťte následující příkaz a vytvořte testovací připojení k serveru.
ldapsearch -x
Výstup:
# extended LDIF # # LDAPv3 # base <dc=linuxbabe,dc=com> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # linuxbabe.com dn: dc=linuxbabe,dc=com objectClass: top objectClass: dcObject objectClass: organization o: LinuxBabe # admin, linuxbabe.com dn: cn=admin,dc=linuxbabe,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
Výsledek:0 úspěch označuje, že server OpenLDAP funguje. Pokud se vám zobrazí následující řádek, pak to nefunguje.
result: 32 No such object
Instalace phpLDAPadmin
phpLDAPadmin je webový program pro správu OpenLDAP serveru. Ke správě našeho serveru OpenLDAP lze použít nástroje příkazového řádku, ale pro ty, kteří chtějí snadno použitelné rozhraní, si můžete nainstalovat phpLDAPadmin.
Spusťte následující příkaz a nainstalujte phpLDAPadmin z úložiště balíčků Ubuntu.
sudo apt install phpldapadmin
Pokud váš server Ubuntu nemá spuštěný webový server, výše uvedený příkaz nainstaluje webový server Apache jako závislost. Pokud již existuje webový server, jako je Nginx, Apache se nenainstaluje.
Pokud používáte Apache
Instalace vloží konfigurační soubor phpldapadmin.conf pod /etc/apache2/conf-enabled/ adresář. Po dokončení instalace můžete přistupovat k webovému rozhraní phpLDAPadmin na adrese
your-server-ip/phpldapadmin
nebo
your-domain.com/phpldapadmin
Chcete-li povolit HTTPS, můžete získat a nainstalovat bezplatný certifikát TLS vydaný společností Let’s Encrypt.
Pokud používáte Nginx
Uživatelé Nginx budou muset ručně vytvořit soubor bloku serveru pro phpLDAPadmin.
sudo nano /etc/nginx/conf.d/phpldapadmin.conf
Zkopírujte následující text a vložte jej do souboru. Nahraďte ldap.your-domain.com preferovaným názvem domény.
server {
listen 80;
server_name ldap.your-domain.com;
root /usr/share/phpldapadmin/htdocs;
index index.php index.html index.htm;
error_log /var/log/nginx/phpldapadmin.error;
access_log /var/log/nginx/phpldapadmin.access;
location ~ \.php$ {
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
include fastcgi_params;
}
} Uložte a zavřete soubor. Poté odešlete textovou zprávu Konfigurace Nginx.
sudo nginx -t
Pokud je test úspěšný, znovu načtěte Nginx, aby se změny projevily.
sudo systemctl reload nginx
Nyní můžete přistupovat k webovému rozhraní phpLDAPadmin na adrese ldap.your-domain.com . Chcete-li povolit HTTPS, můžete získat a nainstalovat bezplatný certifikát TLS vydaný společností Let’s Encrypt.
Konfigurace phpLDAPadmin
Potřebujeme provést některé konfigurace, stejně jako jsme to udělali s klientem příkazového řádku. Konfigurační soubor phpLDAPadmin je na adrese /etc/phpldapadmin/config.php .
sudo nano /etc/phpldapadmin/config.php
Protože OpenLDAP a phpLDAPadmin běží na stejném počítači, nakonfigurujeme phpLDAPadmin tak, aby se připojoval k localhost na výchozím portu LDAP 389 bez šifrování SSL/TLS.
Řádek 293 určuje, že se phpLDAPadmin připojí k localhost.
$servers->setValue('server','host','127.0.0.1'); Řádek 296 je ve výchozím nastavení zakomentován, což znamená, že bude použit standardní port 389.
// $servers->setValue('server','port',389); Řádek 335 je ve výchozím nastavení zakomentován, což znamená, že šifrování TLS není povoleno.
// $servers->setValue('server','tls',false); Poté přejděte na řádek 300.
$servers->setValue('server','base',array('dc=example,dc=com')); Změňte jej na:
$servers->setValue('server','base',array()); To umožní phpLDAPadmin automaticky detekovat základní DN vašeho OpenLDAP serveru. Dále můžete zakázat anonymní přihlášení. Přejděte na linku 453.
// $servers->setValue('login','anon_bind',true); Ve výchozím nastavení je anonymní přihlášení povoleno. Chcete-li jej zakázat, musíte odstranit znak komentáře (dvě lomítka) a změnit hodnotu true na false.
$servers->setValue('login','anon_bind',false); Pravděpodobně budete chtít deaktivovat varování šablony, protože tato varování jsou obtěžující a nedůležitá. Přejděte na linku 161.
// $config->custom->appearance['hide_template_warning'] = false;
Odstraňte znak komentáře a změňte hodnotu false na hodnotu true.
$config->custom->appearance['hide_template_warning'] = true;
Uložte a zavřete soubor.
Přístup k webovému rozhraní phpLDAPadmin
Nyní můžeme vyzkoušet nástroj phpLDAPadmin s naším webovým prohlížečem. Když se phpLDAPadmin poprvé načte, vypadá asi takto.
Pro přihlášení k našemu OpenLDAP serveru klikněte na přihlašovací odkaz. Zobrazí se dialogové okno pro přihlášení. Výchozí přihlašovací DN je cn=admin,dc=example,dc=com . Možná budete muset změnit dc=example . V mém případě musím změnit přihlašovací DN na cn=admin,dc=linuxbabe,dc=com .
Heslo je heslo správce, které jste nastavili během konfigurace serveru OpenLDAP. Jakmile se přihlásíte do phpLDAPadmin, můžete spravovat tento adresářový server.
A je to! Doufám, že vám tento návod pomohl nainstalovat a nakonfigurovat server OpenLDAP a phpLDAPadmin na Ubuntu 16.04. V dalším tutoriálu uvidíme, jak nakonfigurovat Ubuntu pro ověřování uživatelských přihlášení pomocí OpenLDAP.