LDAP neboli Lightweight Directory Access Protocol je otevřený, na dodavatele neutrální, průmyslový standardní aplikační protokol pro přístup a údržbu distribuovaných adresářových informačních služeb přes síť internetového protokolu (IP).
Lze jej použít k ukládání jakéhokoli druhu a často se používá jako součást centralizovaného autentizačního systému.
V této příručce vám ukážeme, jak nainstalovat a nakonfigurovat server OpenLDAP na serveru Ubuntu 14.04. Poté nainstalujeme a zabezpečíme rozhraní phpLDAPadmin, abychom poskytli snadné webové rozhraní.
Nejprve se musíte přihlásit ke svému Ubuntu 14.04 VPS jako uživatel „root“:
# ssh root@hostname
Než začneme, musíme nainstalovat potřebný software.
# apt-get update # apt-get install slapd ldap-utils
Během instalace budete požádáni o výběr a potvrzení hesla správce pro LDAP.
I když byl LDAP právě nainstalován, musíme překonfigurovat výchozí nastavení, která Ubuntu instaluje. Za tímto účelem zadejte následující příkaz:
# dpkg-reconfigure slapd
Během tohoto procesu odpovězte na otázky:
Protože pro většinu uživatelů bude používání webového rozhraní snazší, nainstalujeme phpLDAPadmin, který tuto funkci poskytuje, abychom pomohli odstranit některé problémy spojené s učením se s nástroji LDAP.
# apt-get install phpldapadmin
Přestože je webový server nyní nakonfigurován tak, aby obsluhoval vaši aplikaci, budete muset provést některé další změny, abyste mohli používat schéma domény nakonfigurované pro LDAP. Proveďte také nějaké úpravy, abyste svou konfiguraci zabezpečili.
Otevřete hlavní konfigurační soubor ve svém oblíbeném textovém editoru:
# vim /etc/phpldapadmin/config.php
Přidejte podrobnosti o konfiguraci, které jste nastavili pro váš server LDAP. Vyhledejte parametr hostitele a nastavte jej na název domény vašeho serveru nebo veřejnou IP adresu. Tento parametr odráží způsob, jakým budete přistupovat k webovému rozhraní:
$servers->setValue('server','host','server_domain_name_or_IP_address');
Dále musíte nakonfigurovat název domény, který jste vybrali pro váš server LDAP. Přeložte to do syntaxe LDAP tak, že každou komponentu domény nahradíte hodnotou specifikace dc.
To znamená, že místo psaní testdomain.com budete muset napsat něco jako dc=testdomain,dc=com. Najděte parametr, který nastavuje základní parametr serveru, a použijte tento formát:
$servers->setValue('server','base',array('dc=testdomain,dc=com')); Upravte totéž v sekci ‘login bind_id parametr’. Parametr cn je již nastaven jako „admin“. Toto je správně. Upravte stejnosměrné části:
$servers->setValue('login','bind_id','cn=admin,dc=testdomain,dc=com'); Ve výchozím nastavení phpLDAPadmin hází ve svém webovém rozhraní několik nepříjemných varovných zpráv o souborech šablon, které nemají žádný vliv na funkčnost. Tato varování musíte odstranit tak, že odkomentujete řádek, který je obsahuje, a nastavíte jej na „true“:
$config->custom->appearance['hide_template_warning'] = true;
Po dokončení soubor uložte a zavřete.
Doporučujeme zabezpečit připojení k serveru LDAP pomocí SSL, aby vnější strany nemohly komunikaci zachytit.
Nastavte certifikát SSL s vlastním podpisem, který může váš server používat.
Vytvořte adresář pro uložení vašeho certifikátu a klíče:
# mkdir /etc/apache2/ssl
Dále vytvořte klíč a certifikát zadáním:
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
Po zodpovězení otázek bude váš certifikát a klíč zapsán do adresáře /etc/apache2/ssl.
I když má phpLDAPadmin ověřování heslem, možná budete chtít své umístění phpLDAPadmin chránit heslem. To poskytne další úroveň ochrany.
Nainstalujte nástroj potřebný k vytvoření souboru pro ověření hesla.
# apt-get install apache2-utils
Vytvořte soubor s hesly, který bude obsahovat vámi zvolené uživatelské jméno a související hashované heslo.
Toto ponechte v adresáři /etc/apache2. Vytvořte soubor a zadejte uživatelské jméno, které chcete použít, zadáním:
# htpasswd -c /etc/apache2/htpasswd test-user
Povolte modul SSL v Apache:
# a2enmod ssl
Webový server Apache čte soubor s názvem 000-default.conf pro běžná, nešifrovaná připojení HTTP. Nejlepší je přesměrovat požadavky na rozhraní phpLDAPadmin do vašeho HTTPS rozhraní, aby bylo spojení šifrované.
Otevřete soubor ve svém oblíbeném textovém editoru:
# vim /etc/apache2/sites-enabled/000-default.conf
Přidejte požadované informace o názvu vaší domény nebo IP adrese. Také musíte nastavit přesměrování, aby všechny požadavky HTTP směřovaly na rozhraní HTTPS.
Změny budou nakonec vypadat takto. Upravte jej svými vlastními hodnotami:
Po dokončení soubor uložte a zavřete.
Apache obsahuje výchozí soubor virtuálního hostitele SSL. Někdy však není ve výchozím nastavení povolena.
Povolte jej zadáním:
# a2ensite default-ssl.conf
Tím se propojí soubor z adresáře sites-available do adresáře sites-enabled. Nyní upravte tento soubor zadáním:
# vim /etc/apache2/sites-enabled/default-ssl.conf
Znovu nastavte hodnotu ServerName na název domény nebo IP adresu vašeho serveru a změňte také direktivu ServerAdmin:
ServerAdmin webmaster@server_domain_or_IP ServerName server_domain_or_IP
Dále nastavte direktivy certifikátu SSL tak, aby ukazovaly na klíč a certifikát, které byly vytvořeny. Direktivy by již měly v tomto souboru existovat, takže stačí upravit soubory, na které odkazují:
SSLCertificateFile /etc/apache2/ssl/apache.crt SSLCertificateKeyFile /etc/apache2/ssl/apache.key
Nyní nastavte blok umístění, který bude implementovat ochranu heslem pro celou instalaci phpLDAPadmin.
Udělejte to odkazem na umístění, kde je phpLDAPadmin podáván, a nastavením ověřování pomocí souboru, který byl vygenerován. To bude vyžadovat, aby se kdokoli, kdo se pokusí o přístup k tomuto obsahu, ověřil jako platný uživatel:
Po dokončení uložte a zavřete soubor.
Restartujte Apache, abyste implementovali všechny provedené změny:
# service apache2 restart
Nyní otevřete svůj oblíbený webový prohlížeč a přejděte do webového rozhraní phpLDAPadmin pomocí:your_server_domain_name_or_IP/phpldapadmin
Samozřejmě nemusíte nic z toho dělat, pokud používáte některou z našich hostingových služeb Linux VPS, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby vám to nainstalovali. Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
PS . Pokud se vám tento příspěvek líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.