Содержание

Руководство по настройке аутентификации пользователей посредством LDAP.
Михаил Захаров (zakharov@ipb.redline.ru)
Введение.
Настройка сервера LDAP.
Ldap сервер как настроить
Установка и настройка сервера LDAP на Ubuntu 12.04 VPS
Установка LDAP
Настройка slapd
Установка PHPldapadmin
Настройка PHPldapadmin
Запуск веб-интерфейса
Добавление подразделений, групп и пользователей
Создание подразделений
Создание групп
Создание пользователей
Добавление пользователей в группы
Заключение

Руководство по настройке аутентификации пользователей посредством LDAP.

Михаил Захаров (zakharov@ipb.redline.ru)

Введение.

В крупных организациях увеличение числа пользователей неизбежно ведет к проблемам администрирования их учетных записей. В этом случае возникает необходимость внедрения единой системы аутентификации. Один из вариантов такой системы может быть основан на использовании сервера LDAP.

Для построения такой системы на FreeBSD (FreeBSD-4.4-Release) мною было использовано следующее свободно-распространяемое программное обеспечение:

Перед началом заранее хочу сделать несколько важных замечаний и предостережений. Во-первых, предлагаемое руководство относится к жанру quick start , и приведенные здесь варианты конфигурации не являются идеальным решением проблемы аутентификации, это лишь модель работы системы аутентификации, построенной на LDAP. Во-вторых, проводить изменения в pam.conf нужно осторожно, поскольку возможна ситуация при которой ни один пользователь просто не сможет пройти аутентификацию ни одним методом. И, наконец, в-третьих, после установки сервера LDAP, следует убедиться, что библиотеки liblber .* и libldap.* находятся в каталогах /usr/lib, а файлы disptmpl.h, lber*.h, ldap*.h и srchpref.h располагаются в каталоге /usr/include. Это избавит вас от ошибок компиляции и линкования клиентского программного обеспечения.

Настройка сервера LDAP.

В качестве сервера LDAP будем настраивать OpenLDAP-2.0.23. Все конфигурационные файлы OpenLDAP находятся в каталоге /usr/local/etc/openldap. Здесь, прежде всего, интересен файл slapd.conf, в котором указываются настройки сервера. В нашем случае этот файл должен состоять как минимум из следующих 8-ми строк:

Первые три строки подключают схемы LDAP. Формат и структура данных, хранимые в LDAP, определяются схемами. Порядок подключения схем важен, поскольку схема может использовать значения, определенные в другой схеме.

Далее указывается тип базы данных, в которой по-настоящему и хранится информация, в нашем случае это ldbm.

Suffix определяет основу для формирования запроса, корень, к которому мы обращаемся при запросе к базе банных LDAP. Suffix выбирается при настройке LDAP-сервера и обычно является доменным именем организации.

Затем следует запись об администраторе (rootdn) и его пароль (rootpw). Необходимо заметить, что учетная запись администратора действует даже в тех случаях, когда в самой базе данных административная запись отсутствует или содержит пароль, отличающийся от указанного в rootpw.

Последняя строка определяет каталог, в котором будут находиться файлы базы данных LDBM.

В завершении, в slapd.conf полезно добавить правила, разграничивающие доступ к ресурсам LDAP, например такие:

access to dn=».*,dc=testdomain,dc=ru» attr=userPassword

Источник

Ldap сервер как настроить

ldapsearch -x -D «cn=root,dc=secret,dc=ru» -w userUser > /backup/ldif/’date +%d%m%y’.ldif

1.5 , stalker ( ?? ), 19:11, 20/12/2007 [ответить] [﹢﹢﹢] [ · · · ]	+ / –
ещё немного про лдап http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1cwb&search

1.6 , Negation ( ? ), 10:23, 30/01/2008 [ответить] [﹢﹢﹢] [ · · · ]	+ / –
А пароль для админа ХХХХХ писать в верхнем регистре или можно в нижнем?

2.7 , Alchemist ( ok ), 19:33, 22/02/2009 [^] [^^] [^^^] [ответить]	+ / –
Обязательно в верхнем. В нижнем работать не будет.)

1.8 , slimer ( ? ), 13:07, 04/03/2009 [ответить] [﹢﹢﹢] [ · · · ]	+ / –
А как добавить полиси для паролей? И как проверять когда пароль заканчивается?

1.9 , rosbiker ( ? ), 13:26, 08/09/2009 [ответить] [﹢﹢﹢] [ · · · ]	+ / –
У меня такой вопрос ставлю LDAP и выдает ошибку 404 не найден perlapi у меня один репозиторий deb http://ftp.ru.debian.org/debian/ lenny main в чем может быть ошибка?? Может репозитории надо какие нить добавить . у меня debian 5.0

1.10 , ffsdmad ( ok ), 11:13, 14/07/2010 [ответить] [﹢﹢﹢] [ · · · ]	+ / –
dpkg-reconfigure slapd — уже не актуально не фига

2.11 , WiTPHG ( ? ), 09:30, 23/08/2010 [^] [^^] [^^^] [ответить]	+ / –
А что актуально? А то у меня не спрашивает какой пароль установить и как его установить не понятно.

1.12 , zondm ( ? ), 19:45, 02/09/2010 [ответить] [﹢﹢﹢] [ · · · ]

+ / –

dpkg-reconfigure
после чего задает пару вопросов и ВСЕ!
ТОГО ЧТО НИЖЕ ПРОСТО НЕТУ.
//////////////////////////////////
#Доменное имя DNS: . debuntu.local

DNS domain name: . debuntu.local

#Название организации: . Всечтоугодно & Со

Name of your organization: . Whatever & Co

#Пароль для admin: XXXXXX

Admin Password: XXXXX

#Подтвердите пароль: XXXXX

Confirm Password: XXXXX

#Настраивается пакет slapd (информация о формате базы ldap)

#Выбор формата базы ldap

2.13 , Andrew.D.Mashkov ( ? ), 11:22, 07/10/2010 [^] [^^] [^^^] [ответить]	+ / –
Та же фигня. Ни при установке, ни при dpkg-reconfigure не задает подобных вопросов. Поднимал на Ubuntu-server 10.4.

В итоге подправил /etc/default/slapd на использование как конфига /etc/ldap/slapd.conf и написал собственно этот slapd.conf. В котором указал все необходимые настройки. Все отлично завелось и работает.

3.15, al ( ?? ), 16:42, 26/04/2011 [^] [^^] [^^^] [ответить]

+ / –

sudo dpkg-reconfigure debconf

When asked, answer interface=Dialog and priority=low.

1.14 , Vlad ( ?? ), 18:25, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]

+ / –

У меня с убунтой тоже так было. гдето вычитал там траблы с хешированием. побороть можна, но лучше пересесть на дебиан 6. там все как по книжке. я даже Gosa прикрутил. спустя 2 недели!:)))

1.16, лдап тестер ( ? ), 11:17, 27/04/2012 [ответить] [﹢﹢﹢] [ · · · ]

+ / –

root@nout:/etc# uname -r
2.6.32-5-amd64

Пытался поставить по мануалу на чистый Debian, после установки, настройки и перезагрузки попытался зайти через GUI интерфейсы (использовал jXplorer а также Ldap administration tool) результат отрицательный. РугаеЦо на «Invalid DN Syntax» порт открыт.подскажите в чем причина ? Хотя при заполнении дерева через ldapadd все прошло без проблем.

Источник

Установка и настройка сервера LDAP на Ubuntu 12.04 VPS

LDAP, или Lightweight Directory Access Protocol – это протокол для управления информацией из централизованного места за счет использования иерархии файлов и каталогов. Его работа чем-то похожа на реляционные базы данных.

LDAP позволяет систематизировать и хранить любого рода информацию. Этот протокол часто используется для централизованной аутентификации.

Данное руководство покажет, как установить и настроить сервер OpenLDAP на выделенный сервер Ubuntu 12.04, а также создать все необходимые группы и пользователей.

Примечание: О настройке LDAP для авторизации можно прочесть в следующем руководстве этой серии.

Установка LDAP

Сервер OpenLDAP можно загрузить из стандартных репозиториев Ubuntu. Искомый пакет называется slapd. Кроме того, нужно установить несколько дополнительных утилит.

sudo apt-get update
sudo apt-get install slapd ldap-utils

Система предложит выбрать и подтвердить пароль администратора LDAP.

Настройка slapd

Когда установка будет завершена, нужно перенастроить пакет LDAP. Чтобы открыть инструмент для конфигурации пакета, введите:

sudo dpkg-reconfigure slapd

Система задаст ряд вопросов, чтобы перенастроить пакет.

Omit OpenLDAP server configuration? No
DNS domain name? (Это создаст базовую структуру путей к каталогам; чтобы понять, как это работает, читайте подсказку программы. В целом, общепринятых правил для этой настройки нет. Если у вас есть домен, укажите его здесь. В руководстве используется тестовый домен test.com).
Organization name? (Укажите любое имя; в руководстве – example)
Administrator password? (Укажите пароль, выбранный во время установки пакета, или установите другой пароль).
Database backend to use? HDB
Remove the database when slapd is purged? No
Move old database? Yes
Allow LDAPv2 protocol? No

Установка PHPldapadmin

Для управления LDAP понадобится веб-интерфейс PHPldapadmin. Его тоже можно скачать из репозиториев Ubuntu.

sudo apt-get install phpldapadmin

Эта команда установит необходимый пакет и его PHP-зависимости.

Настройка PHPldapadmin

Прежде чем запустить интерфейс, нужно изменить некоторые настройки в конфигурационных файлах.

Откройте конфигурации с правами root:

sudo nano /etc/phpldapadmin/config.php

Найдите следующий раздел и отредактируйте его, как показано ниже:

Примечание: Значения, выделенные красным, нужно заменить своими данными.

Следующий раздел должен содержать доменное имя (или IP), указанное при перенастройке slapd. Домен нужно преобразовать в формат, который понимает LDAP; для этого нужно разделить все компоненты домена.

Примечание: Компоненты домена – это те его части, что разделены точками.

К примеру, доменное имя imaginary.lalala.com LDAP видит как dc=imaginary,dc=lalala,dc=com. Отредактируйте следующую запись, указав свой домен в правильном формате; условное доменное имя test.com указывается так:

Следующее значение, которое нужно изменить, также должно использовать компоненты домена, которые были добавлены в последней записи. Внесите их после cn=admin:

Найдите следующий раздел, а в нём – атрибут hide_template_warning. Раскомментируйте строку и установите значение true, чтобы отключить некоторые несущественные предупреждения.

Сохраните и закройте файл.

Запуск веб-интерфейса

Откройте в браузере свой домен или IP, добавив сегмент /phpldapadmin.

На экране появится приветственная страница интерфейса.

Кликните по ссылке login слева.

На экране появится форма входа. Если все настройки были выполнены верно, Login DN (имя) будет уже указано (в данном случае это cn=admin,dc=test,dc=com).

Введите пароль, установленный во время настройки slapd.

На экране появится интерфейс с довольно небольшим списком опций.

Нажмите плюсик рядом с доменным именем слева (в данном случае dc=test,dc=com), чтобы развернуть список и увидеть используемую учётную запись.

Добавление подразделений, групп и пользователей

Сервер LDAP очень гибок. Он позволяет создавать иерархии и отношения разными способами в зависимости от информации и требований пользователя.

Создайте базовую структуру и заполните её информацией.

Создание подразделений

Для начала создайте категории информации. Для примера используем две категории: groups и users.

В левой панели нажмите Create new entry here.

Это меню содержит множество различных типов записей.

Чтобы создать простое подразделение, выберите шаблон «Generic: Organizational Unit».

Программа предложит выбрать имя подразделения. Введите groups. Затем нужно зафиксировать изменения.

После этого слева появится новая запись.

Создайте ещё одно подразделение. Повторите описанную выше процедуру, указав имя users.

Теперь в выпадающем списке слева появятся добавленные только что подразделения (чтобы просмотреть список, нажмите плюс рядом с dc=test,dc=com).

Создание групп

Группы позволяют управлять доступом и привилегиями пользователей.

Для примера создадим группы admin, irc и user. После этого нужно настроить аутентификацию пользователей различных групп.

Создайте группы в подразделении groups. Для этого кликните по groups и выберите опцию Create a child entry.

После этого выберите шаблон «Generic: Posix Group». В соответствующем поле укажите имя admin, а затем нажмите Create Object.

Повторите этот процесс, чтобы создать группы irc и user. Будьте внимательны: проверяйте текущую категорию (это должна быть ou=groups), иначе можно создать группу в других категориях.

Чтобы просмотреть созданные группы, откройте в левом меню ou=groups и выберите View 3 children.

Создание пользователей

Теперь нужно создать пользователей и добавить их в группы. Выберите категорию ou=users и нажмите Create a child entry. Выберите шаблон «Generic: User Account». На экране появится довольно большая форма. Заполните её соответствующими данными.

Обратите внимание: Значение Common Name должно быть уникальным для каждой записи в категории. Потому вместо автоматически вносимых в это поле значений рекомендуется указывать имя пользователя.

Нажмите Create Object.

Чтобы создать дополнительных пользователей, можно воспользоваться функцией копирования записей.

Кликните по только что созданному пользователю в левой панели и выберите опцию Copy or move this entry.

Отредактируйте cn=user, указав уникальное значение для common name, а затем нажмите Copy.

На экране появится уже заполненная форма для создания пользователя. При необходимости отредактируйте внесённую информацию. Обязательно измените uidNumber. Нажмите Create Object.

Добавление пользователей в группы

Чтобы добавить пользователя в группу, кликните по требуемой группе и выберите Add new attribute.

В выпадающем меню выберите memberUid. В текстовом поле укажите пользователя, которого нужно добавить, и нажмите Update Object.

Чтобы добавить в группу других пользователей, выберите modify group members и выберите из списка доступных пользователей.

Заключение

Теперь сервер LDAP установлен и готов к работе. Также на нём есть несколько пользователей и групп.

Чтобы узнать, как настроить аутентификация клиентов при помощи LDAP, читайте следующее руководство.

Источник