Cómo instalar el servidor OpenLDAP para la autenticación centralizada
- 3469
- 622
- Claudia Baca
Protocolo de acceso de directorio liviano (Ldap En resumen) es un conjunto de protocolos estándar, ligero y ampliamente utilizado de la industria para acceder a los servicios de directorio. Un servicio de directorio es una infraestructura de información compartida para acceder, administrar, organizar y actualizar elementos cotidianos y recursos de red, como usuarios, grupos, dispositivos, direcciones de correos electrónicos, números de teléfono, volúmenes y muchos otros objetos.
El Ldap El modelo de información se basa en entradas. Una entrada en un directorio LDAP representa una sola unidad o información y se identifica de manera única por lo que se llama un Nombre distinguido (Dn). Cada uno de los atributos de la entrada tiene un tipo y uno o más valores.
Un atributo es una información asociada con una entrada. Los tipos son típicamente cadenas mnemónicas, como "CN"Para un nombre común, o"correo"Para la dirección de correo electrónico. A cada atributo se le asigna uno o más valores que consisten en una lista separada por el espacio.
La siguiente es una ilustración de cómo se organiza la información en el Ldap directorio.
Modelo de información LDAP En este artículo, mostraremos cómo instalar y configurar Abre servidor para autenticación centralizada en Ubuntu 16.18/04.04 y Centos 7.
Paso 1: Instalación del servidor LDAP
1. Primer inicio instalando Abre, una implementación de código abierto de Ldap y algunas utilidades tradicionales de gestión LDAP utilizando los siguientes comandos.
#yum install OpenLDAP OpenLDAP-Mervers #centos 7 $ sudo apt install slapd ldap-utils #ubuntu 16.18/04.04
En Ubuntu, Durante la instalación del paquete, se le pedirá que ingrese la contraseña para la entrada de administrador en su directorio LDAP, configure una contraseña segura y confirme.
Configurar la contraseña de administrador SLAPD Cuando se completa la instalación, puede iniciar el servicio como se explica a continuación.
2. En Centos 7, Ejecute los siguientes comandos para iniciar el abre Daemon del servidor, habilitarlo para iniciar automáticamente en el momento del arranque y verificar si está en funcionamiento (encendido Ubuntu El servicio debe ser automático en Systemd, simplemente puede verificar su estado):
$ sudo SystemCTL Start Slapd $ sudo SystemCtl Enable Slapd $ sudo SystemCtl Status Slapd
3. A continuación, permita las solicitudes al Ldap Daemon del servidor a través del firewall como se muestra.
#firewall-cmd --add-service = ldap #centos 7 $ sudo UFW Permitir LDAP #ubuntu 16.18/04.04
Paso 2: Configuración del servidor LDAP
Nota: No se recomienda editar manualmente la configuración LDAP, debe agregar las configuraciones en un archivo y usar el ldapadd o ldapmodify Ordene cargarlos en el directorio LDAP como se muestra a continuación.
4. Ahora cree un usuario administrativo de OpenLDAP y asigne una contraseña para ese usuario. En el siguiente comando, se crea un valor de hash para la contraseña dada, tome nota de ella, lo usará en el archivo de configuración LDAP.
$ slappasswd
Crear usuario administrador de LDAP 5. Entonces crea un Ldif archivo (ldaprootpasswd.ldif) que se usa para agregar una entrada al directorio LDAP.
$ sudo vim ldaprootpasswd.ldif
Agregue los siguientes contenidos en él:
dn: olcdatabase = 0 config, cn = configure changeType: modificar add: olcrootpw olcrootpw: ssha contraseña_created
Explicando los pares de valor de atributo arriba:
- olcdatabase: indica un nombre de instancia de base de datos específico y se puede encontrar típicamente dentro /etc/openldap/slapd.d/cn = config.
- CN = config: indica opciones de configuración global.
- CONTRASEÑA: se obtiene la cadena hash mientras se crea el usuario administrativo.
6. A continuación, agregue la entrada LDAP correspondiente especificando el URI que se refiere al servidor LDAP y al archivo anterior.
$ sudo ldapadd -y externo -h ldapi: /// -f ldaprootpasswd.ldif
Agregar parámetros desde el archivo de contraseña de root Paso 3: Configuración de la base de datos LDAP
7. Ahora copie el archivo de configuración de la base de datos de muestra para abatimiento en el /var/lib/ldap directorio, y establezca los permisos correctos en el archivo.
$ sudo cp/usr/share/openldap-servers/db_config.Ejemplo/var/lib/ldap/db_config $ sudo chown -r ldap: ldap/var/lib/ldap/db_config $ sudo systemctl reiniciar slapd
8. A continuación, importe algunos esquemas LDAP básicos del /etc/openldap/esquema Directorio de la siguiente manera.
$ sudo ldapadd -y externo -h ldapi: /// -f/etc/openldap/schema/cosine.ldif $ sudo ldapadd -y externo -h ldapi: /// -f/etc/openldap/schema/nis.ldif $ sudo ldapadd -y externo -h ldapi: /// -f/etc/openldap/schema/inetorgperson.ldif
9. Ahora agregue su dominio en la base de datos LDAP y cree un archivo llamado ldapdapdomain.ldif para tu dominio.
$ sudo vim ldapdomain.ldif
Agregue el siguiente contenido (reemplace el ejemplo con su dominio y contraseña con el valor de hashed obtenido antes):
dn: olcdatabase = 1 monitor, cn = config gangeType: modificar reemplazar: olcaccess olcaccess: 0 a * por dn.base = "gidnumber = 0+uidnumber = 0, cn = parcred, cn = externo, cn = auth" leído por dn.base = "CN = Manager,DC = Ejemplo,dc = com "leído por * ninguno Dn: olcdatabase = 2 hdb, cn = config ChangeType: modificar reemplazo: olcsuffix olcsuffix: DC = Ejemplo,dc = com dn: olcdatabase = 2 hdb, cn = config ChangeType: modificar reemplazo: olcrootdn olcrootdn: cn = gerente,DC = Ejemplo,dc = com dn: olcdatabase = 2 hdb, cn = config ChangeType: modificar add: olcrootpw olcrootpw: ssha contraseña dn: olcdatabase = 2 hdb, cn = configure changeType: modificar add: olcacess olcaccess: 0 a attrs = userPassword, shadowloastchange por dn = "cn = gerente,DC = Ejemplo,dc = com "Escribir por Auth Auth by Self Write by * Ninguno Olcaccess: 1 a DN.base = "" por * leer olcaccess: 2 a * por dn = "cn = ganager, dc = ejemplo, dc = com" Escribir por * leer
10. Luego agregue la configuración anterior a la base de datos LDAP con el siguiente comando.
$ sudo ldapModify -y externo -h ldapi: /// -f ldapdomain.ldif
Configuración del dominio de carga 11. En este paso, necesitamos agregar algunas entradas a nuestro Ldap directorio. Crea otro archivo llamado Baseldapdapdapdapdapdapdap.ldif con el siguiente contenido.
dn: dc = ejemplo, dc = com objectClass: Top ObjectClass: DCObject ObjectClass: Organización O: Ejemplo Com dc: Ejemplo DN: CN = Manager, DC = Ejemplo, DC = COM ObjectClass: OrganizationalRole CN: Manager Descripción: Directory Manager DN: OU = People, DC = Ejemplo, DC = COM ObjectClass: OrganizationalUnit OU: People DN: OU = Group, DC = Ejemplo, DC = COM ObjectClass: OrganizationalUnit OU: grupo
Guarde el archivo y luego agregue las entradas al directorio LDAP.
$ sudo ldapadd -y externo -x -d cn = administrador, dc = ejemplo, dc = com -w -f BaselDapdomain.ldif
12. El siguiente paso es crear un usuario de LDAP para ejemplo, tecmenta, y establezca una contraseña para este usuario de la siguiente manera.
$ sudo useradd tecMint $ sudo passwd tecMint
13. Luego cree las definiciones para un grupo LDAP en un archivo llamado ldapgroup.ldif con el siguiente contenido.
DN: CN = Manager, OU = Group, DC = Ejemplo, DC = COM ObjectClass: Top ObjectClass: PosixGroup GidNumber: 1005
En la configuración anterior, number es el Aturdir en /etc/grupo para tecmenta y agréguelo al directorio de OpenLDAP.
$ sudo ldapadd -y externo -x -w -d "cn = ganager, dc = ejemplo, dc = com" -f ldapgroup.ldif
14. A continuación, crea otro Ldif archivo llamado ldapuser.ldif y agregue las definiciones para el usuario tecmenta.
dn: uid = tecMint, ou = personas, dc = ejemplo, dc = com ObjectClass: Top ObjectClass: Cuenta ObjectClass: PosixAcCount ObjectClass: ShadowAccount CN: TecMint uid: TecMint uidNumber: 1005 gidNumber: 1005 homedirectory: /home /tecmint userpassword: Ssha contraseña_here loginshell: /bin /bash gecos: tecmint shadowlastchange: 0 shadowmax: 0 shadowwarning: 0
Luego cargue la configuración en el directorio LDAP.
$ ldapadd -y externo -x -d cn = administrador, dc = ejemplo, dc = com -w -f ldapuser.ldif
Una vez que haya configurado un servidor central para la autenticación, la parte final es habilitar el cliente para autenticarse usando LDAP como se explica en esta guía:
- Cómo configurar el cliente LDAP para conectar la autenticación externa
Para obtener más información, consulte la documentación apropiada del catálogo de documentos de software OpenLDAP y los usuarios de Ubuntu pueden consultar la Guía del servidor OpenLDAP.
Resumen
Abre es una implementación de código abierto de LDAP en Linux. En este artículo, hemos mostrado cómo instalar y configurar el servidor OpenLDAP para la autenticación centralizada, en Ubuntu 16.18/04.04 y Centos 7. Si tiene una pregunta o pensamientos para compartir, no dude en comunicarse con nosotros a través del formulario de comentarios a continuación.
- « Cómo monitorear la seguridad del servidor de Linux con Osquery
- Cómo instalar PM2 para ejecutar el nodo.Aplicaciones JS en el servidor de producción »