OpenLDAP è un'implementazione della suite software gratuita e open source di LDAP (Lightweight Directory Access Protocol). È un protocollo indipendente dalla piattaforma che può essere utilizzato per l'autenticazione centralizzata e servizi di accesso alla directory come e-mail e altre applicazioni.
OpenLDAP è un demone LDAP autonomo che fornisce le sue librerie e utilità. Inoltre, fornisce supporto per l'autenticazione del certificato TLS e l'autenticazione SASL.
In questo articolo, ti mostreremo come installare e configurare OpenLDAP su Debian 11 Bullseye.
Prerequisiti
- Un server Debian 11.
- Un utente non root con privilegi sudo/root.
Installazione di OpenLDAP su Debian 11
All'inizio, installerai i pacchetti OpenLDAP sul server Debian 11. Il repository Debian predefinito fornisce la versione stabile OpenLDAP v2.4.
Prima di iniziare a installare i pacchetti OpenLDAP, esegui il comando 'apt' di seguito per aggiornare il repository di Debian.
sudo apt update
Ora installa i pacchetti OpenLDAP 'slapd ' e 'ldap-utils '. Il pacchetto 'slapd ' è il pacchetto principale di OpenLDAP e 'ldap-utils ' fornisce utilità da riga di comando per la gestione del server OpenLDAP.
sudo apt install slapd ldap-utils
Digita 'Y ' e premere 'INVIO ' per confermare l'installazione.
Ora ti verrà chiesto di impostare la password per l'utente amministratore di OpenLDAP.
Inserisci la tua password e seleziona 'OK ', quindi premi 'INVIO '.
Ripeti la password e seleziona 'OK ' e premi 'INVIO ' ancora. E l'installazione di OpenLDAP è completata.
Configurazione del server OpenLDAP
Dopo aver installato i pacchetti OpenLDAP, ora configurerai OpenLDAP sul server Debian.
Prima di andare oltre, impostiamo il FQDN (Fully Qualified Domain Name) del server utilizzando il seguente comando.
sudo hostnamectl set-hostname ldap.mydomain.local
Ora modifica '/etc/hosts ' utilizzando l'editor nano.
sudo nano /etc/hosts
Copia e incolla la seguente configurazione e assicurati di modificare l'indirizzo IP con l'indirizzo IP del tuo server e l'FQDN con il tuo nome host e nome di dominio locale.
192.168.10.50 ldap.mydomain.local ldap
Salva e chiudi il file.
Ora esci dalla tua sessione SSH corrente e accedi di nuovo al tuo server.
Quindi, esegui il comando seguente per riconfigurare il pacchetto OpenLDAP 'slapd '.
sudo dpkg-reconfigure slapd
Seleziona No quando viene chiesto di eliminare/omettere la vecchia configurazione di OpenLDAP. Ciò manterrà disponibile la vecchia configurazione.
Ora inserisci il nome di dominio locale DNS per il tuo server OpenLDAP e seleziona OK .
Inserisci il nome dell'organizzazione e seleziona OK . Facoltativamente, puoi lasciarlo come predefinito con lo stesso nome del nome di dominio.
Ora inserisci la password dell'amministratore OpenLDAP e seleziona OK per continuare.
Conferma la password amministratore di OpenLDAP e seleziona OK di nuovo.
Seleziona NO quando viene chiesto di eliminare il vecchio database slapd.
Ora seleziona Sì per spostare il vecchio database slapd.
E la configurazione dei pacchetti OpenLDAP è ora completata.
Per verificare la configurazione di OpenLDAP, esegui 'slapcat ' comando qui sotto.
sudo slapcat
Ora dovresti ottenere l'output simile allo screenshot qui sotto. Il nome di dominio e il nome dell'organizzazione per OpenLDAP utilizzano correttamente 'miodominio.local '
Infine, riavvia lo 'slapd ' servizio per applicare nuove modifiche. Quindi verifica lo 'slapd ' servizio.
sudo systemctl restart slapd
sudo systemctl status slapd
Ora dovresti ottenere lo 'slapd ' stato del servizio come 'attivo (in esecuzione) '.
Configurazione di UFW Firewall
Se stai eseguendo il server Debian con il firewall UFW abilitato, dovrai aggiungere il servizio LDAP e LDAPS al firewall UFW.
Si consiglia di utilizzare il firewall nel tuo ambiente locale, rafforzerà la sicurezza del tuo server.
Ora esegui il comando ufw di seguito per aggiungere LDAP e LDAP servizio al firewall ufw.
sudo ufw allow LDAP
sudo ufw allow LDAPS
Quindi, ricarica la regola del firewall UFW utilizzando il comando seguente.
sudo ufw reload
Infine, verifica l'elenco dei servizi abilitati sul tuo firewall UFW con il seguente comando.
sudo ufw status
Dovresti ottenere l'output come lo screenshot qui sotto. I servizi LDAP e LDAPS vengono aggiunti al firewall UFW.
Ora sei pronto per configurare il gruppo e l'utente del server OpenLDAP.
Configurazione del gruppo utenti
Il server OpenLDAP viene spesso utilizzato per l'autenticazione su un gruppo di computer o server. E in questo passaggio, configurerai il gruppo sul server OpenLDAP utilizzando il file LDIF (LDAP Data Interchange Format).
LDIF è un file di formattazione delle voci LDAP e può essere utilizzato per gestire utenti e gruppi sul server OpenLDAP.
Crea un nuovo file '/etc/ldap/users.ldif ' usando nano editore.
sudo nano /etc/ldap/users.ldif
Copia e incolla la seguente configurazione. Questa configurazione creerà un nuovo gruppo denominato "Persone ' sul nome di dominio 'miodominio.local .
dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: People
Salva e chiudi il file.
Quindi, esegui 'ldapadd ' sotto per aggiungere il gruppo definito in 'users.ldif' file.
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldif
Ti verrà chiesto di inserire la password 'admin' del server OpenLDAP. E quando il processo ha esito positivo, dovresti visualizzare un messaggio del tipo 'aggiunta nuova voce "ou=People,dc=mydomain,dc=local" '.
Per verificare il gruppo "Persone ', esegui 'ldapsearch ' comando qui sotto. Questo comando mostrerà i gruppi disponibili sul server OpenLDAP.
sudo ldapsearch -x -b "dc=mydomain,dc=local" ou
Ora dovresti vedere il gruppo "Persone ' è disponibile sul server OpenLDAP.
Configurazione di un nuovo utente
Dopo aver impostato il gruppo su OpenLDAP, ora puoi aggiungere un nuovo utente al server OpenLDAP. Inoltre, questo può essere fatto utilizzando il file LDIF e lo strumento da riga di comando 'ldapadd'.
Ora crea un nuovo file 'alice.ldif ' usando nano editore.
sudo nano alice.ldif
Copia e incolla la seguente configurazione e assicurati di cambiare la password 'AlicePassword ' con la password complessa.
In questo esempio, creerai un nuovo utente chiamato 'alice ' con la directory home '/home/alice ' e la shell predefinita '/bin/bash '. Inoltre, l'utente 'alice ' fa parte del gruppo 'Persone '.
# Add user alice to LDAP Server
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bash
Salva e chiudi il file.
Quindi, esegui 'ldapadd ' comando di seguito per aggiungere un nuovo utente basato su 'alice.ldif '.
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldif
Inserisci la password dell'amministratore OpenLDAP e dovresti ottenere l'output come 'aggiungere una nuova voce "cn=alice,ou=People,dc=mydomain,dc=local" ', che significa il nuovo utente 'alice ' è stato aggiunto al server OpenLDAP.
Esegui 'ldapsearch ' comando di seguito per ottenere l'elenco degli utenti sul server OpenLDAP.
sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"
Dovresti ottenere l'output come lo screenshot qui sotto. Il nuovo utente 'alice ' è ora disponibile sul server OpenLDAP.
Conclusione
Congratulazioni! Ora hai installato con successo il server OpenLDAP sul server Debian 11. Inoltre, hai imparato come aggiungere gruppi e utenti utilizzando i file LDIF (LDAP Data Interchange Format) e lo strumento da riga di comando 'ldapadd'.
Nel passaggio successivo, potresti essere interessato a saperne di più su come aggiungere macchine Linux come Ubuntu e CentOS al server OpenLDAP.