Installazione di un server ldap

By | giugno 28, 2014

stunningmesh-redhat

Provate a seguire queste istruzioni proprio perché la sintassi LDAP è talvolta ingombrante (maiuscole e minuscole, spazi, ecc) e incline ad errori (dn/dc/cn).
Supponiamo che usiamo il dominio example.com e il nome host instructor.example.com.

Installare i seguenti pacchetti:

yum install -y openldap openldap-servers migrationtools

Generare una password LDAP da una chiave segreta (qui redhat):

slappasswd -s redhat -n > /etc/openldap/passwd

Generare un certificato X509 valido per 365 giorni:

openssl req -new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365

output:

Generating a 2048 bit RSA private key
.....+++
..............+++
writing new private key to '/etc/openldap/certs/priv.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:instructor.example.com
Email Address []:

Modificare i pemessi dei file contenuti in /etc/openldap/certs/:

cd /etc/openldap/certs
chown ldap:ldap *
chmod 600 priv.pem

Preparare il database LDAP:

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Avviare la configurazione del server LDAP:

cd /etc/openldap/slapd.d/cn=config

Modificare il olcDatabase = {2} bdb.ldif di file e sostituire / digitare i valori indicati in grassetto:

olcSuffix: dc=example,dc=com
olcRootDN: cn=Manager,dc=example,dc=com
olcRootPW: passwd # password previously generated
olcTLSCertificateFile: /etc/openldap/certs/cert.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem

Modificare il olcDatabase = {1} file di monitor.ldif e sostituire / digitare i valori indicati in grassetto:

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=example,dc=com" read by * none

Modificare il file /etc/sysconfig/ldap e modificare la seguente opzione da ‘no‘ a ‘‘:

SLAPD_LDAPS=yes

Verificare la configurazione di LDAP (ci dovrebbe essere alcun messaggio di errore):

slaptest -u

Generare file di database (non preoccuparsi di eventuali messaggi di errore!):

slaptest

Cambiare i permessi della cartella LDAP:

chown ldap:ldap /var/lib/ldap/*

Attiva il servizio slapd all’avvio:

chkconfig slapd on

Avviare il servizio slapd:

service slapd start

Controllare l’attività LDAP:

netstat -lt | grep ldap

Creare il file /openldap/base.ldif  /etc con il seguente contenuto:

dn: dc=example,dc=com
dc: example
objectClass: top
objectClass: domain

dn: ou=People,dc=example,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=example,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

Costruisci la struttura del servizio di directory:

ldapadd -x -w redhat -D cn=Manager,dc=example,dc=com -f base.ldif

Creare due utenti per il test:

mkdir /home/guests
useradd -d /home/guests/ldapuser01 ldapuser01
passwd ldapuser01
useradd -d /home/guests/ldapuser02 ldapuser02
passwd ldapuser02

Passare alla directory per la migrazione degli account utente:

cd /usr/share/migrationtools

Modificare il file migrate_common.ph e sostituire le seguenti righe:

$DEFAULT_MAIL_DOMAIN = "example.com";
$DEFAULT_BASE = "dc=example,dc=com";

Creare gli utenti:

grep ":5[0-9][0-9]" /etc/passwd > passwd
./migrate_passwd.pl passwd users.ldif
ldapadd -x -w redhat -D cn=Manager,dc=example,dc=com -f users.ldif
grep ":5[0-9][0-9]" /etc/group > group
./migrate_group.pl group groups.ldif
ldapadd -x -w redhat -D cn=Manager,dc=example,dc=com -f groups.ldif

Verificare la configurazione con l’utente chiamato ldapuser01:

ldapsearch -x cn=ldapuser01 -b dc=example,dc=com

Aggiungere due nuove regole per il firewall:

iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT

Salvare la configurazione del firewall:

service iptables save

Modificare il file /etc/rsyslog.conf e aggiungere la seguente riga:

local4.* /var/log/ldap.log

Modificare il file /etc/openldap/slapd.d/ cn = config.ldif e aggiungere la seguente riga nel mezzo del file:

olcLogLevel: -1

Riavviare il servizio rsyslog:

service rsyslog restart

 

One thought on “Installazione di un server ldap

  1. Pingback: Altri Requisiti per conseguire l' RHCSA - prometheusproject

Comments are closed.