In questo tutorial, daremo un'occhiata all'installazione e alla configurazione del server OpenLDAP su Ubuntu 16.04 LTS. Installeremo anche phpLDAPadmin strumento di gestione basato sul web.
Cos'è OpenLDAP
OpenLDAP è un server di directory veloce e open source che fornisce al client di rete servizi di directory. Le applicazioni client si connettono al server OpenLDAP utilizzando il Lightweight Directory Access Protocol (LDAP) per accedere alle informazioni organizzative memorizzate su quel server. Dato l'accesso appropriato, i client possono cercare nella directory, modificare e manipolare i record nella directory. OpenLDAP è efficiente sia nella lettura che nella modifica dei dati nella directory.
I server OpenLDAP sono più comunemente usati per fornire una gestione centralizzata degli account utente. Ad esempio, puoi creare un account in OpenLDAP e se è connesso a server di posta, server FTP, server Samba o qualsiasi altro server, puoi utilizzare l'account per accedere a questi server senza creare un nuovo account per ciascun server.
Come installare il server OpenLDAP su Ubuntu 16.04
Esegui il comando seguente per installare il server OpenLDAP e le utilità della riga di comando del client dal repository di pacchetti di Ubuntu 16.04. slapd sta per Daemon LDAP autonomo .
sudo apt install slapd ldap-utils
Ti verrà chiesto di impostare una password per la voce admin nella directory LDAP.
Al termine, slapd verrà avviato automaticamente. Puoi verificarne lo stato con:
systemctl status slapd
Per impostazione predefinita, viene eseguito come openldap utente come definito in /etc/default/slapd file.
Configurazione di base dopo l'installazione
Il processo di installazione installa il pacchetto senza alcuna configurazione. Per fare in modo che il nostro server OpenLDAP funzioni correttamente, dobbiamo eseguire alcune configurazioni di base dopo l'installazione. Esegui il comando seguente per avviare la procedura guidata di configurazione.
sudo dpkg-reconfigure slapd
Dovrai rispondere a una serie di domande. Rispondi a queste domande come segue:
Ometti la configurazione del server LDAP:NO .
Nome di dominio DNS:inserisci il tuo nome di dominio come linuxbabe.com . Dovrai impostare un record A corretto per il tuo nome di dominio. Puoi anche utilizzare un sottodominio come directory.linuxbabe.com . Queste informazioni vengono utilizzate per creare il DN di base (nome distinto) della directory LDAP.
Nome organizzazione:inserisci il nome della tua organizzazione come LinuxBabe.
Password amministratore:inserisci la stessa password impostata durante l'installazione.
Backend del database:MDB .
BDB (Berkeley Database) è lento e ingombrante. È deprecato e il supporto verrà abbandonato nelle future versioni di OpenLDAP. HDB (Database gerarchico) è una variante del backend BDB e sarà anche deprecato.
MDB le letture sono 5-20 volte più veloci di BDB. Le scritture sono 2-5 volte più veloci. E consuma 1/4 della RAM del BDB. Quindi scegliamo MDB come backend del database.
Vuoi che il database venga rimosso quando slapd viene eliminato? No .
Spostare il vecchio database? Sì .
Consenti protocollo LDAPv2? No . L'ultima versione di LDAP è LDAP v.3, sviluppata nel 1997. LDAPv2 è obsoleto.
Ora il processo riconfigura il servizio OpenLDAP in base alle tue risposte. Il tuo server OpenLDAP è ora pronto per l'uso.
Configurazione dei client LDAP
/etc/ldap/ldap.conf è il file di configurazione per tutti i client OpenLDAP. Apri questo file.
sudo nano /etc/ldap/ldap.conf
Dobbiamo specificare due parametri:il DN di base e l'URI del nostro server OpenLDAP. Copia e incolla il testo seguente alla fine del file. Sostituisci your-domain e com a seconda dei casi.
BASE dc=your-domain,dc=com URI ldap://localhost
La prima riga definisce il DN di base. Indica ai programmi client dove iniziare la ricerca nella directory. Se hai utilizzato un sottodominio durante la configurazione del server OpenLDAP, devi aggiungere il sottodominio qui in questo modo
BASE dc=subdomain,dc=your-domain,dc=com
La seconda riga definisce l'URI del nostro server OpenLDAP. Poiché il server LDAP e il client si trovano sulla stessa macchina, dovremmo impostare l'URI su ldap://localhost .
Test del server OpenLDAP
Ora che il server OpenLDAP è in esecuzione e la configurazione del client è terminata, esegui il comando seguente per effettuare delle connessioni di prova al server.
ldapsearch -x
Uscita:
# extended LDIF # # LDAPv3 # base <dc=linuxbabe,dc=com> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # linuxbabe.com dn: dc=linuxbabe,dc=com objectClass: top objectClass: dcObject objectClass: organization o: LinuxBabe # admin, linuxbabe.com dn: cn=admin,dc=linuxbabe,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
Risultato:0 Successo indica che il server OpenLDAP funziona. Se ottieni la seguente riga, allora non funziona.
result: 32 No such object
Installazione di phpLDAPadmin
phpLDAPadmin è un programma basato sul web per la gestione del server OpenLDAP. Le utilità della riga di comando possono essere utilizzate per gestire il nostro server OpenLDAP, ma per coloro che desiderano un'interfaccia facile da usare, è possibile installare phpLDAPadmin.
Esegui il comando seguente per installare phpLDAPadmin dal repository di pacchetti di Ubuntu.
sudo apt install phpldapadmin
Se il tuo server Ubuntu non ha un server web in esecuzione, il comando precedente installerà il server web Apache come dipendenza. Se esiste già un server Web come Nginx, Apache non verrà installato.
Se usi Apache
L'installazione metterà un file di configurazione phpldapadmin.conf sotto /etc/apache2/conf-enabled/ directory. Una volta completata l'installazione, puoi accedere all'interfaccia web di phpLDAPadmin su
your-server-ip/phpldapadmin
o
your-domain.com/phpldapadmin
Per abilitare HTTPS, puoi ottenere e installare un certificato TLS gratuito emesso da Let's Encrypt.
Se usi Nginx
Gli utenti di Nginx dovranno creare manualmente un file di blocco del server per phpLDAPadmin.
sudo nano /etc/nginx/conf.d/phpldapadmin.conf
Copia il testo seguente e incollalo nel file. Sostituisci ldap.tuo-dominio.com con il tuo nome di dominio preferito.
server {
listen 80;
server_name ldap.your-domain.com;
root /usr/share/phpldapadmin/htdocs;
index index.php index.html index.htm;
error_log /var/log/nginx/phpldapadmin.error;
access_log /var/log/nginx/phpldapadmin.access;
location ~ \.php$ {
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
include fastcgi_params;
}
} Salva e chiudi il file. Quindi scrivi le configurazioni di Nginx.
sudo nginx -t
Se il test ha esito positivo, ricarica Nginx per rendere effettive le modifiche.
sudo systemctl reload nginx
Ora puoi accedere all'interfaccia web di phpLDAPadmin su ldap.your-domain.com . Per abilitare HTTPS, puoi ottenere e installare un certificato TLS gratuito emesso da Let's Encrypt.
Configurazione di phpLDAPadmin
Abbiamo bisogno di fare alcune configurazioni proprio come abbiamo fatto con il client della riga di comando. Il file di configurazione di phpLDAPadmin si trova in /etc/phpldapadmin/config.php .
sudo nano /etc/phpldapadmin/config.php
Poiché OpenLDAP e phpLDAPadmin sono in esecuzione sulla stessa macchina, configureremo phpLDAPadmin per connettersi a localhost sulla porta LDAP predefinita 389 senza crittografia SSL/TLS.
La riga 293 specifica che phpLDAPadmin si connetterà a localhost.
$servers->setValue('server','host','127.0.0.1'); La riga 296 è commentata per impostazione predefinita, il che significa che verrà utilizzata la porta standard 389.
// $servers->setValue('server','port',389); La riga 335 è commentata per impostazione predefinita, il che significa che la crittografia TLS non è abilitata.
// $servers->setValue('server','tls',false); Quindi vai alla riga 300.
$servers->setValue('server','base',array('dc=example,dc=com')); Cambialo in:
$servers->setValue('server','base',array()); Ciò consentirà a phpLDAPadmin di rilevare automaticamente il DN di base del tuo server OpenLDAP. Successivamente, puoi disabilitare l'accesso anonimo. Vai alla riga 453.
// $servers->setValue('login','anon_bind',true); Per impostazione predefinita, l'accesso anonimo è abilitato. Per disabilitarlo, devi rimuovere il carattere del commento (le due barre) e cambiare true in false.
$servers->setValue('login','anon_bind',false); Probabilmente vorrai disabilitare gli avvisi del modello perché questi avvisi sono fastidiosi e non importanti. Vai alla riga 161.
// $config->custom->appearance['hide_template_warning'] = false;
Rimuovi il carattere del commento e cambia false in true.
$config->custom->appearance['hide_template_warning'] = true;
Salva e chiudi il file.
Accesso all'interfaccia Web di phpLDAPadmin
Ora possiamo testare lo strumento phpLDAPadmin con il nostro browser web. Quando phpLDAPadmin viene caricato per la prima volta, è simile a questo.
Per accedere al nostro server OpenLDAP, fare clic sul collegamento di accesso. Vedrai la finestra di dialogo di accesso. Il DN di accesso predefinito è cn=admin,dc=example,dc=com . Potrebbe essere necessario modificare dc=example . Nel mio caso, devo cambiare il DN di accesso in cn=admin,dc=linuxbabe,dc=com .
La password è la password amministratore impostata durante la configurazione del server OpenLDAP. Una volta effettuato l'accesso a phpLDAPadmin, puoi gestire questo server di directory.
Questo è tutto! Spero che questo tutorial ti abbia aiutato a installare e configurare entrambi i server OpenLDAP e phpLDAPadmin su Ubuntu 16.04. Nel prossimo tutorial vedremo come configurare Ubuntu per autenticare gli accessi degli utenti con OpenLDAP.