OpenLDAP je bezplatná a open source softwarová sada implementace protokolu LDAP (Lightweight Directory Access Protocol). Je to protokol nezávislý na platformě, který lze použít pro centralizované ověřování a služby pro přístup k adresářům, jako je e-mail a další aplikace.
OpenLDAP je samostatný démon LDAP, který poskytuje své knihovny a nástroje. Poskytuje také podporu pro ověřování certifikátů TLS a ověřování SASL.
V tomto článku vám ukážeme, jak nainstalovat a nakonfigurovat OpenLDAP na Debian 11 Bullseye.
Předpoklady
- Server Debian 11.
- Uživatel bez oprávnění root s právy sudo/root.
Instalace OpenLDAP na Debian 11
Nejprve budete instalovat balíčky OpenLDAP na server Debian 11. Výchozí úložiště Debianu poskytuje stabilní verzi OpenLDAP v2.4.
Než začnete instalovat balíčky OpenLDAP, spusťte níže uvedený příkaz 'apt' a obnovte úložiště Debianu.
sudo apt update
Nyní nainstalujte balíčky OpenLDAP 'slapd a 'ldap-utils '. Balíček „plácl ' je hlavní balíček OpenLDAP a 'ldap-utils ' poskytuje nástroje příkazového řádku pro správu serveru OpenLDAP.
sudo apt install slapd ldap-utils
Zadejte „Y “ a stiskněte „ENTER ' pro potvrzení instalace.
Nyní budete požádáni o nastavení hesla pro administrátora OpenLDAP.
Zadejte své heslo a vyberte 'OK “ a poté stiskněte „ENTER '.
Zopakujte heslo a vyberte 'OK “ a stiskněte „ENTER ' znovu. A instalace OpenLDAP je dokončena.
Konfigurace serveru OpenLDAP
Poté, co nainstalujete balíčky OpenLDAP, budete nyní nastavovat OpenLDAP na serveru Debian.
Než půjdeme dále, nastavíme FQDN (plně kvalifikovaný název domény) serveru pomocí následujícího příkazu.
sudo hostnamectl set-hostname ldap.mydomain.local
Nyní upravte soubor '/etc/hosts ' pomocí nano editoru.
sudo nano /etc/hosts
Zkopírujte a vložte následující konfiguraci a ujistěte se, že jste změnili IP adresu s IP adresou vašeho serveru a FQDN s vaším názvem hostitele a názvem místní domény.
192.168.10.50 ldap.mydomain.local ldap
Uložte a zavřete soubor.
Nyní se odhlaste ze své aktuální relace SSH a znovu se přihlaste ke svému serveru.
Dále spusťte níže uvedený příkaz a překonfigurujte balíček OpenLDAP 'slapd '.
sudo dpkg-reconfigure slapd
Vyberte možnost Ne při dotazu na smazání/vynechání staré konfigurace OpenLDAP. Tím zůstane stará konfigurace dostupná.
Nyní zadejte název lokální domény DNS pro váš server OpenLDAP a vyberte OK .
Zadejte název organizace a vyberte OK . Volitelně jej můžete ponechat jako výchozí se stejným názvem jako název domény.
Nyní zadejte heslo správce OpenLDAP a vyberte OK pokračovat.
Potvrďte heslo správce OpenLDAP a vyberte OK znovu.
Vyberte NE když budete požádáni o smazání staré databáze slapd.
Nyní vyberte Ano přesunout starou databázi slapd.
A konfigurace balíčků OpenLDAP je nyní dokončena.
Chcete-li ověřit konfiguraci OpenLDAP, spusťte 'slapcat ' níže.
sudo slapcat
Nyní byste měli získat výstup podobný níže uvedenému snímku obrazovky. Název domény a název organizace pro OpenLDAP správně používá 'mydomain.local '
Nakonec restartujte 'slapd ' službu použít nové změny. Poté ověřte 'slapd ' služba.
sudo systemctl restart slapd
sudo systemctl status slapd
Nyní byste měli dostat 'slapd ' stav služby jako 'aktivní (běžící) '.
Nastavení brány UFW Firewall
Pokud používáte server Debian s povoleným UFW firewallem, budete muset do UFW firewallu přidat službu LDAP a LDAPS.
Doporučujeme používat firewall ve vašem místním prostředí, posílí zabezpečení vašeho serveru.
Nyní spusťte níže uvedený příkaz ufw a přidejte LDAP a LDAPS služba firewallu ufw.
sudo ufw allow LDAP
sudo ufw allow LDAPS
Poté znovu načtěte pravidlo brány firewall UFW pomocí následujícího příkazu.
sudo ufw reload
Nakonec ověřte seznam povolených služeb na vašem UFW firewallu pomocí následujícího příkazu.
sudo ufw status
Měli byste získat výstup jako snímek obrazovky níže. Do firewallu UFW jsou přidány služby LDAP a LDAPS.
Nyní jste připraveni nastavit skupinu a uživatele serveru OpenLDAP.
Nastavení skupiny uživatelů
Server OpenLDAP se často používá k ověřování na skupině počítačů nebo serverů. A v tomto kroku vytvoříte skupinu na serveru OpenLDAP pomocí souboru LDIF (LDAP Data Interchange Format).
LDIF je formátovací soubor položek LDAP a lze jej použít ke správě uživatelů a skupin na serveru OpenLDAP.
Vytvořte nový soubor '/etc/ldap/users.ldif pomocí nano editor.
sudo nano /etc/ldap/users.ldif
Zkopírujte a vložte následující konfiguraci. Tato konfigurace vytvoří novou skupinu s názvem 'Lidé ' na název domény 'mojedomena.local .
dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: People
Uložte a zavřete soubor.
Dále spusťte 'ldapadd ' níže pro přidání skupiny definované na 'users.ldif' soubor.
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldif
Budete požádáni o zadání hesla „admin“ serveru OpenLDAP. A když je proces úspěšný, měla by se zobrazit zpráva jako 'přidává se nový záznam "ou=People,dc=mojedomena,dc=local" '.
Pro ověření skupiny 'Lidé ', spusťte 'ldapsearch 'příkaz níže. Tento příkaz zobrazí dostupné skupiny na serveru OpenLDAP.
sudo ldapsearch -x -b "dc=mydomain,dc=local" ou
Nyní byste měli vidět skupinu 'Lidé ' je k dispozici na serveru OpenLDAP.
Nastavení nového uživatele
Po nastavení skupiny na OpenLDAP můžete nyní přidat nového uživatele na OpenLDAP server. A také to lze provést pomocí souboru LDIF a nástroje příkazového řádku 'ldapadd'.
Nyní vytvořte nový soubor 'alice.ldif pomocí nano editor.
sudo nano alice.ldif
Zkopírujte a vložte následující konfiguraci a nezapomeňte změnit heslo 'AlicePassword “ se silným heslem.
V tomto příkladu vytvoříte nového uživatele s názvem 'alice s domovským adresářem '/home/alice ' a výchozí shell '/bin/bash '. Také uživatel 'alice ' je součástí skupiny 'Lidé '.
# Add user alice to LDAP Server
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bash
Uložte a zavřete soubor.
Dále spusťte 'ldapadd ' níže pro přidání nového uživatele na základě 'alice.ldif ' soubor.
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldif
Zadejte heslo správce OpenLDAP a měli byste získat výstup, jako je 'přidání nového záznamu "cn=alice,ou=People,dc=mydomain,dc=local" ', což znamená nový uživatel 'alice ' byl přidán na server OpenLDAP.
Spusťte 'ldapsearch ' níže, abyste získali seznam uživatelů na serveru OpenLDAP.
sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"
Měli byste získat výstup jako snímek obrazovky níže. Nový uživatel 'alice ' je nyní k dispozici na serveru OpenLDAP.
Závěr
gratuluji! Nyní jste úspěšně nainstalovali server OpenLDAP na server Debian 11. Také jste se naučili, jak přidávat skupiny a uživatele pomocí souborů LDIF (LDAP Data Interchange Format) a nástroje příkazového řádku 'ldapadd'.
V dalším kroku vás možná bude zajímat, jak přidat linuxové stroje, jako je Ubuntu a CentOS, na server OpenLDAP.