OpenLDAP
OpenLDAP är en central inloggnings server precis som Active directory är. Det ökar användarvänligheten om man kan använda samma lösenord till flera platser. OBS det är viktigt att klockorna är synkade på maskinerna som ska använda LDAP och att namnuppslag för LDAP-servern kan göras på alla klienter.
Installera
apt-get update && apt-get install slapd ldap-utils
Slå in ett lösenord.
Kör sedan,
dpkg-reconfigure slapd
Svara följande på frågorna som kommer.
Omit OpenLDAP server configuration? | No | Detta kommer starta wizarden. |
DNS domain name: | example.se | Namnet på din LDAP domän. (Detta namnet kommer skapa ditt BaseDN dc=example,dc=se) |
Organization name: | example | Ett namn på din organisation |
Administrator password: | secret | Nytt lösenord för din LDAP administratör. (cn=admin,dc=example,dc=se) |
Database backend to use: | HDB | Bygger på Oracle Berkeley databas(BDB) men är mer effektiv. |
Remove database when slapd is purged? | No | Spara databasen även om OpenLDAP avinstalleras. |
Move old database? | Yes | Ta bort den gammla databasen så att den inte stör den nya. |
Allow LDAPv2 protocol? | No | Om du inte måste ha LDAPv2 men det är rekommenderat att ha det avstängt. |
Gör en test query och kolla att LDAP servern fungerar.
ldapsearch -x -W -D cn=admin,dc=example,dc=se -b dc=example,dc=se -LLL # x = simple bind/authentication # W = ask for password # D = user DN # b = search base # LLL = omit comments
Konfigurera
Det finns tre olika sätt att konfigurera OpenLDAP.
- Man ändrar i själv i mappen
/etc/ldap/slapd.d
. Detta är inte rekommenderat att göra. - Man använder ldap-utils(ldapadd, ldapdelete, ldapmodify, etc).
- Eller så använder man ett GUI för att skapa användare, grupper eller importera LDIF. phpLDAPadmin, Apache Directory Studio, LDAP Admin.
LDIF är text filer som används för att skapa användare, grupper eller för att göra ändringar på din LDAP server. För att importera en LDIF fil kör kommandot,
ldapadd -W -D "cn=admin,dc=example,dc=se" -f filename.ldif
Skapa en organizational unit
Skapa en ldif fil med följande info i och importera till OpenLDAP.
dn: ou=users,dc=example,dc=se changetype: add objectClass: organizationalUnit objectClass: top ou: users
Skapa en användare
dn: uid=user1,ou=users,dc=example,dc=se objectClass: inetOrgPerson objectClass: posixAccount objectClass: top cn: user1 givenName: User sn: Usersson homeDirectory: /home/user1 loginshell: /bin/bash uidNumber: 51397 gidNumber: 0 uid: user1 userPassword: secret
Om du vill kryptera lösenordet skriv
slappasswd -s secret
Och kopiera in SSHA nykeln i ldif filen efter userPassword:
Skapa grupper
Den finns olika sorters grupper man kan skapa.
- posixGroup - Lik en vanlig Unix grupp och har ett gidNumber.
- groupOfNames - Används default av memberOf overlayen och sparar varje användares FDN.
- groupOfUniqueNames - Samma som groupOfNames fast man kan skilja på användare som har samma uid genom att lägga till en extra unique identifier.
posixGroup
Denna sortens grupp syns om du har LDAP kopplat dina användare på en Linux maskin.
dn: cn=sudo,dc=hackernet,dc=se objectclass: posixGroup objectclass: top cn: sudo description: Group description memberUid: user1
groupOfNames
dn: cn=groupname,dc=hackernet,dc=se objectclass: groupofnames cn: groupname description: Group desc member: uid=user1,ou=users,dc=example,dc=se
groupOfUniqueNames
Om du har LDAP kopplat din vCenter så behöver användarna ligga i en sån här grupp.
dn: cn=vcenter,dc=example,dc=se objectclass: groupOfUniqueNames objectclass: top cn: vcenter description: vcenter group uniqueMember: cn=user1,ou=users,dc=example,dc=se
memberOf
För enkelt göra ställa frågor och se vilken grupp en användare är med i så behöver man aktivera memberOf
.
Skapa tre filer med följande kod i. memberof.ldif
dn: cn=module,cn=config cn: module objectClass: olcModuleList olcModuleLoad: memberof olcModulePath: /usr/lib/ldap dn: olcOverlay={0}memberof,olcDatabase={1}hdb,cn=config objectClass: olcConfig objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: top olcOverlay: memberof olcMemberOfDangling: ignore olcMemberOfRefInt: TRUE olcMemberOfGroupOC: groupOfNames olcMemberOfMemberAD: member olcMemberOfMemberOfAD: memberOf
refint1.ldif
dn: cn=module{1},cn=config add: olcmoduleload olcmoduleload: refint
refint2
dn: olcOverlay={1}refint,olcDatabase={1}hdb,cn=config objectClass: olcConfig objectClass: olcOverlayConfig objectClass: olcRefintConfig objectClass: top olcOverlay: {1}refint olcRefintAttribute: memberof member manager owner
Ladda sedan in filerna i OpenLDAP servern med följande kommandon.
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f memberof.ldif ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
Skapa sedan en grupp och lägg till användare.
add_group.ldif
dn: cn=testgrupp,dc=example,dc=se objectClass: groupofnames cn: testgrupp description: All users member: uid=testuser,ou=users,dc=example,dc=se
ldapadd -x -D cn=admin,dc=example,dc=se -W -f add_group.ldif
För att testa att det funkar kan du ställa denna frågan.
ldapsearch -h <ip> -x -b "dc=example,dc=se" '(uid=testuser)' memberOf
RootDN
För att göra ändringar i cn=config
som innehåller själva LDAP konfigurationen behöver man skapa ett admin konto med lösenord.
Under cn=config kan man sätta bland annat ACLer för vilka användare som får läsa och skriva så man inte behöver använda cn=admin kontot varje gång.
dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootDN olcRootDN: cn=admin,cn=config dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: secret
ldapadd -Y EXTERNAL -H ldapi:/// -f rootconfig.ldif
För att nå cn=config med Apache Directory Studio.
Client
Installera
Autentisera login mot LDAP servern. Veriferat på Debian 7 (Wheezy)
apt-get update && apt-get install libnss-ldap libpam-ldap ldap-utils
- Specifera URL till din ldap server.
- Skriv in din base dn. Samma som BASE i
/etc/ldap/ldap.conf
- Välj V3.
- Fyll i hela suffixen till adminkontot.
- Lösenordet för adminkontot.
- Välj ok. Vi ska ändra i den filen senare.
- Välj vad du vill.
- Välj vad du vill.
- Fyll i hela suffixen till ditt LDAP adminkonto. Oftast samma som i steg 4.
- Lösenordet för adminkontot.
Öppna sedan filen,
vim /etc/nsswitch.conf
På linje #7 lägg till,
passwd: compat ldap group: compat ldap shadow: compat ldap
På linje #19 ändra till,
netgroup:ldap
Öppna sedan filen,
vim /etc/pam.d/common-password
På linje #26 ta bort use_authtok
och lägg till,
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass
I filen /etc/pam_ldap.conf. Leta upp kommandot pam_password och ändra till exop. Om du byter lösenord med passwd så väljer Debian default att skicka över lösenordet krypterat med Crypt. Crypt klarar max 8 tecken och är inte säkert. Väljer man exop så sköter OpenLDAP krypteringen av lösenordet.
pam_password exop
Man kan skippa detta steget om man inte vill att en hemmapp ska skapas automatiskt lokalt på datorn,
vim /etc/pam.d/common-session
Och lägga till denna raden i slutet.
session optional pam_mkhomedir.so skel=/etc/skel umask=077
Starta sedan om datorn och prova att logga in med ett domänkonto.
Styr Sudo med LDAP grupp
Skapa en posixGroup som heter sudo. Lägg sedan till användarna som du vill ska få sudo rättigheter i den. Verifiera att din användare finns med i sudo gruppen genom att logga in och skriva groups.
sparco@jumpoff:~$ groups root wiki sudo
Lägg sedan till denna raden i /etc/sudoers
på din server.
%sudo ALL=(ALL:ALL) ALL