Centralized authentication using OpenLDAP/ru

Данное руководство Article description::знакомит с основами LDAP и описывает, как можно настроить OpenLDAP для осуществления аутентификации в рамках группы компьютеров.

Что такое LDAP?
LDAP означает Легковесный протокол доступа к каталогу (Lightweight Directory Access Protocol). Основанный на X.500, он включает в себя большую часть его основных функций, за исключением более редких, которые есть у X.500. Что же такое X.500 и зачем нужен LDAP?

X.500 является моделью для сервисов каталога (Directory Services) в концепции OSI. Он содержит определения пространства имен (namespace) и протоколы для запросов и обновления каталога. Однако, существует немало случаев, когда полноценная функциональность X.500 не требуется. Встречайте LDAP. Как и X.500, он обеспечивает модель данные/пространство имен для каталога и протокола. Однако LDAP разработан для прямой работы через стек TCP/IP. Можно считать LDAP сокращенной версией X.500.

Что такое каталог (directory)?
Каталог — это специализированная база данных, созданная для частых запросов, но нечастых обновлений. В отличие от обычных баз данных, каталог не поддерживает транзакции (transaction) или функциональности отката (roll-back). Каталоги легко дублируются для улучшения доступности и надежности. При дублировании каталогов допускаются временные противоречия при условии, что позже они будут синхронизированы.

Как осуществляется структурирование информации?
Вся информация в каталоге структурирована иерархически. Более того, для того, чтобы внести данные в каталог, каталог должен знать, как хранить эти данные в дереве. Рассмотрим вымышленную компанию и дерево, подобное Интернет:

Поскольку данные не записываются в базу в подобной манере ascii-art, каждый элемент этого дерева должен быть определен. Для названий элементов LDAP использует схему наименований. Большая часть дистрибутивов LDAP (включая OpenLDAP) включает в себя определенное количество предопределенных (и одобренных) схем, таких как inetOrgPerson, или часто используемая схема для определения пользователей, которую могут использовать Unix/Linux-системы, которая называется posixAccount. Существуют утилиты графического интерфейса, основанные на веб, для упрощения управления LDAP: раздел Работа с OpenLDAP содержит неполный список таких утилит.

Заинтересованным пользователям рекомендуется прочитать OpenLDAP Admin Guide.

Для чего же его можно использовать?
LDAP можно использовать для разнообразных нужд. В этой статье описывается централизованное управление пользователями, хранение всех учетных записей пользователей в одном местонахождении LDAP (что не означает, что оно находится на одном сервере — LDAP поддерживает высокую доступность (high availability) и резервирование (redundancy)), однако LDAP может использоваться и в других целях.


 * инфраструктура открытых ключей


 * общий календарь


 * общая адресная книга


 * хранилище для DHCP, DNS, ...


 * System Class Configuration Directives (отслеживание нескольких конфигураций сервера)


 * централизованная аутентификация (PosixAccount)



Общие примечания
Это руководство использует домен genfic.org в качестве примера. Естественно, вам нужно будет изменить это название. Однако убедитесь, что верхний элемент является официальным доменом верхнего уровня (net, com, cc, be, ...).

Сначала установим OpenLDAP. Убедитесь в том, что USE-флаги,   (отключено) и   установлены.

OpenLDAP поддерживает два механизма аутентификации:


 * 1) стандартный пользователь/пароль (в терминологии LDAP пользователь подразумевает binddn), называемый SIMPLE
 * 2) запросы проксирования авторизации SASL (Simple Authentication and Security Layer, смотрите RFC4422)

Although the OpenLDAP default is to use SASL, the initial version of this article used only password-based authentication. With the OLC add-on the article starts to describe the use of the simplest SASL mechanism called EXTERNAL, which relies on the system authentication.

У OpenLDAP есть основной пользователь, "rootdn" (Root Distinguished Name), встроенный в приложение. В отличие от традиционного пользователя root Unix, пользователю rootdn необходимо предоставить соответствующие права доступа. Пользователя rootdn можно использовать только в контексте конфигурации, однако его также можно использовать в определении каталога. В этом случае пользователь может аутентифицироваться как rootdn либо с помощью пароля конфигурации, либо с помощью пароля дерева (основанного на каталоге).

В целях верификации, пароли пользователей (как пользователей rootdn, так и других) можно хранить в виде простого текста, либо в хешированном (hashed) виде. Доступно несколько хеш-алгоритмов, но не рекомендуется использовать слабые алгоритмы (вплоть до MD5). На данный момент, SHA считается достаточно безопасным с точки зрения криптографии.

В нижеприведенной команде хешированное значение создается для данного пароля; результат этой команды можно использовать в файле конфигурации либо во внутреннем определении пользователя в каталоге:

Устаревшая конфигурация (через slapd.conf)
Теперь отредактируйте конфигурацию сервера LDAP в файле. Предоставленный файл, взят из оригинального архива исходного кода OpenLDAP. Ниже приведен пример файла конфигурации, которым его можно заменить.

Для более подробного анализа файла конфигурации рекомендуем изучить OpenLDAP Administrator's Guide, хотя будет достаточно.

Если не запускается, первое, что вы должны сделать, это проверить файл конфигурации. Это можно сделать с помощью следующей команды.

Измените уровень отладки ("-d 1" выше), чтобы получить больше информации. Если все в порядке, будет отображено сообщение config file testing succeeded. В случае ошибки,  выведет номер строки в файле, содержащей ошибку.

By default writes the log events to the local4 syslog facility.

Миграция с slapd.conf на OLC
Чтобы иметь возможность изменения конфигурации сервера OpenLDAP, необходимо определить как минимум доступ для записи  (или, как правило, для управления  ) в.

В нижеследующем примере показано, как можно предоставить доступ для управления к OLC (база данных cn=config) для системного администратора (пользователя root), добавив соответствующие строки в конец файла :

Затем, мы вызываем утилиту с параметрами   и   чтобы сконвертировать файл  в каталог конфигураций.

Запуск этой команды переместит и преобразует конфигурацию. После этого предполагается обновление конфигурации с помощью специально подготовленных файлов ldif. Лишь в том случае, если вы с ними не знакомы, следует редактировать и повторно преобразовать его в. Не забудьте проверить права доступа каталога.

Для дополнительных инструкций прочитайте in-line комментарии сгенерированных файлов.

Нижеприведенная строка включает метод конфигурации.

Наконец, создайте структуру :

Initial setup with OLC
An initial configuration is shipped as a standard LDAP database dump, available as or.

This initial configuration can be loaded (and only loaded, unlike ordinary LDAP databases) by the utility:

When using a root account, be sure to correct ownership of the files created by root, as described below in migrate section.

For the right to change the configuration database, proper permissions must be provided. The next example shows how these privileges are granted to the system user:

Для более подробной информации смотрите.

When using OLC, never manually edit the configuration files. The directory files can be used to check the consistency of the configuration through:

Обслуживание каталога
После завершения конфигурации запустите :

Большинство пользователей также захотят запускать демон OpenLDAP автоматически:

Теперь можно использовать сервер каталога для аутентификации пользователей в apache/proftpd/qmail/samba.

The directory server can be managed with tools such as, and  from the Gentoo ebuild repository, or  from the poly-c overlay available through Layman or eselect repository.

Server management with OLC
Ниже приводится несколько примеров обновления конфигурации в стиле OLC.

Например, чтобы изменить местонахождение каталога конфигурации OLC (необходимо после миграции с конфигурационного файла на каталог конфигураций):

Чтобы изменить уровень журнала, используемого процессом OpenLDAP:

Чтобы применить изменения, запустите следующую команду:

Журналирование в OpenLDAP
OpenLDAP produces numerous log events, which might not be obvious to interpret, but are necessary for debugging purposes.

As OpenLDAP by default writes the log events into the system log, it is advisable to reconfigure the system logger to direct OpenLDAP log events into a dedicated log file.

It is advisable to use the  log level in OpenLDAP standalone server and   in OpenLDAP cluster. In such case query results logs session-related information such as the following:

Most common errors in server log are :

Which means «invalid credentials» (i.e. wrong password).

And :

Which means «No such object». Usually this error appears when binddn (user) has no permissions on requested object. So either try to do something wrong, or there is a mistake in the set ACLs.

Управление доступом (ACL)
Механизм авторизации и контроль доступа, используемые в OpenLDAP, описан в man-странице. Основной синтаксис выглядит следующим образом:

Таблица ниже показывает уровни доступа доступные в OpenLDAP:

For details about the exact privilege settings, see the manual pages and official OpenLDAP documentation.

Конфигурационный файл
ACLs are parsed in the order they are set in the configuration, and are applied based on the specificity (meaning that, when an ACL rule is considered, the remainder of ACL rules is no longer checked). As such, more specific definitions should go first, before more generic ones are listed. For more information, see Access Control Evaluation.

Например:

Конфигурационный каталог
ACLs are parsed in the order they are set in the configuration, and are applied based on the specificity (meaning that, when an ACL rule is considered, the remainder of ACL rules is no longer checked). As such, more specific definitions should go first, before more generic ones are listed. This order, when using OLC, is handled through the  directives.

Например:

The following example inserts a new ACL on top, making the existing  entries to shift by one:

Чтобы удалить ACL:

Высокая доступность
Настройка дублирования изменений на нескольких системах LDAP. В данном руководстве дублирование в OpenLDAP настраивается с помощью специальной учетной записи, у которой есть права чтения на основном сервере LDAP и которая загружает изменения с основного сервера на вспомогательный.

Replication within OpenLDAP is, in this guide, set up using a specific replication account which has read rights on the primary LDAP server and which pulls in changes from the primary LDAP server to the secondary.

Далее эта настройка дублируется, что позволяет вспомогательному серверу LDAP выполнять роль основного. Благодаря внутренней структуре OpenLDAP, если изменения уже присутствуют в структуре LDAP, повторно они не применяются.

Настройка дублирования
Для того, чтобы настроить дублирование, сначала настройте второй сервер OpenLDAP подобно тому, как описано выше. Однако обратите внимание на то, что в файле конфигурации:


 * sync replication provider указывает на другую систему


 * У каждой системы OpenLDAP свой serverID

Synchronisation account
Далее создайте синхронизационную учетную запись. Создадим файл LDIF (формат, используемый для ввода данных на серверах LDAP) и добавим его на каждом сервере LDAP:

Enabling syncprov overlay
Overlay can be linked statically and dynamically. When it is built dynamically, you'll need to load module. For now in Gentoo it's usually built statically. To ensure type:

Load syncprov module (optional)
To load syncprov module, use the following ldif file:

Setting up replication for database
Next step, mandatory for everybody, is to setup replication for database (must be done on both nodes):

Final configuration
Finally, add replication's definition.

On node 1:

traditionally means the password string.

On node 2:

The only difference is in server's ident (rid) and provider uri.

If LDAP master (mirror node with initially loaded database) is unavailable (slapd daemon not started, or 389/tcp port is blocked by a packet filter) slapd daemon on secondary node fails to start with the following error message:

Almost certainly the database will not fit into default limits. So, you will need to increase 's limits. For example:

Performance tuning
Default daemon settings significantly limits LDAP server performance.

Symptoms
When server load fits system limit client applications fails with different kind of timeout errors.

In server log this produces error messages like following:

Increasing OS limits
First, read system user limits:

The first parameter, you need to increase, is the open files limit.

Maximum available value is described in Documentation/sysctl/fs.txt file of kernel documentation:

PAM system limits are stored in /etc/security/limits.conf file or, optionally, in /etc/security/limits.d/ directory. Daemons, started with init system use these parameters (see  for details), so you need just to put in the file:

And restart daemon.

The next limitation is 's  parameter.

During run time, this value can be updated via:

After verifying new value do not forget to fix it:

And, possibly, some other application-specific parameters.

Настройка клиентских утилит OpenLDAP
Отредактируйте файл конфигурации клиента LDAP. Этот файл читается командой ldapsearch и другими ldap-утилитами командной строки.

Запущенный сервер можно протестировать с помощью следующей команды:

В случае возникновения ошибки, попробуйте добавить -d 255 для увеличения детализации вывода.

Настройка клиента для централизованной аутентификации
Существует целый ряд методов/утилит для осуществления удаленной аутентификации. Некоторые дистрибутивы также предоставляют свои собственные конфигурационные утилиты, легкие в использовании. Ниже приводится ряд утилит в произвольном порядке. Существует возможность одновременного сочетания локальных пользователей и центрально авторизованных учетных записей. Это важно, поскольку, например, если LDAP сервер недоступен, по-прежнему можно войти в систему в качестве пользователя root.


 * SSSD (Single Sign-on Services Daemon). Его основная функция — обеспечение доступа к identity и аутентификационного удаленного ресурса посредством общей структуры, которая способна предоставлять кеширование и оффлайн поддержку для системы. Он предоставляет модули PAM и NSS, и в будущем будет поддерживать интерфейсы D-Bus для расширенной пользовательской информации. Он также предоставляет лучшую базу данных для хранения локальных пользователей, а также расширенных пользовательских данных.


 * Используйте  для входа на сервер LDAP и аутентификации. Пароли не посылаются по сети в виде простого текста.


 * NSLCD (Name Service Look up Daemon). Схож с SSSD, но старше его.


 * NSS (Name Service Switch) с использованием традиционного модуля  для загрузки хешей паролей по сети. Чтобы разрешить пользователям обновлять пароли, этот метод нужно использовать совместно с методом.

Первые два варианта демонстрируются ниже, с минимальным необходимым количеством параметров конфигурации.

Настройка клиента PAM метод SSSD
Здесь представлен более краткий метод. Ниже приводятся три файла, которые необходимо отредактировать.

Добавьте sss в конце как показано ниже, чтобы включить передачу поиска имени системному сервису sssd. После завершения редактирования запустите демон sssd.

Последний файл является наиболее важным. Откройте дополнительный root-терминал перед тем, как его редактировать. Строки, заканчивающиеся символом, добавлены для включения удаленной аутентификации. Обратите внимание на использование для поддержки создания домашних каталогов пользователей.

Теперь попробуйте войти в систему с другого компьютера.

Настройка клиента PAM метод модуль pam_ldap
Сначала настроим PAM таким образом, чтобы разрешить авторизацию LDAP. Установите, чтобы PAM поддерживал авторизацию LDAP, и , чтобы система могла справиться с серверами LDAP для дополнительной информации (используется файлом ).

Последний файл является наиболее важным. Откройте несколько дополнительных root-терминалов перед тем, как его редактировать. Строки, заканчивающиеся символом, добавлены для включения удаленной аутентификации.

Теперь отредактируйте следующим образом:

Далее скопируйте файл (OpenLDAP) с сервера на клиент, чтобы клиенты знали об окружении LDAP:

Наконец, настройте клиентов таким образом, чтобы они проверяли LDAP на наличие системных учетных записей:

Возможно, вы заметили, что одна из строк, скопированных в файл, была закомментирована (строка ): она нужна только в том случае, если требуется изменять пароли пользователей пользователем root. В этом случае нужно поместить пароль пользователя root с помощью команды echo в файл в виде простого текста. Это ОПАСНО, и права доступа к этому файлу следует установить в 600. Возможный вариант — держать этот файл пустым, и в случае возникновения необходимости изменить чей-либо пароль, находящийся и в LDAP и в, поместить в этот файл пароль на 10 секунд, пока производится изменение пароля пользователя, после чего удалить его.

Перенесение существующих данных на LDAP
Настройка OpenLDAP для централизованного администрирования и управления привычными объектами Linux/Unix непроста, но, благодаря некоторым утилитам и сценариям, доступным в Интернете, задача перенесения системы с администрирования одной системы на центрально управляемую систему на основе OpenLDAP не так уж сложна.

Загрузите сценарии с https://www.padl.com/OSS/MigrationTools.html. Вам понадобятся утилиты перенесения и сценарий.

Затем распакуйте утилиты и скопируйте сценарий в распакованное местонахождение:

Следующий шаг — перенести информацию с системы на OpenLDAP. Это осуществляется с помощью сценария, после предоставления ему информации о структуре и окружении LDAP.

На момент написания, утилитам требуется следующий ввод:

Утилита также запросит, какие учетные записи и настройки следует перенести.

Emerge errors after conversion to LDAP
If for any reasons local user accounts (i.e. /etc/passwd /etc/shadow) or groups (i.e. /etc/group) are deleted after converting the file userbase to LDAP, errors may be encountered relating to missing user (or group) while emerging certain packages.

Example of error while emerging due to missing "apache" local user account: Installing build system files make[1]: Leaving directory '/var/tmp/portage/www-servers/apache-2.4.41/work/httpd-2.4.41'              [ ok ] chown: invalid user: ?apache:apache? * ERROR: www-servers/apache-2.4.41::gentoo failed (install phase): *  fowners failed In such cases, a workaround involves emerging the package using FEATURES=-network-sandbox. Doing so has potential security consequences so system users should remain in local files.

Благодарности
Мы хотели бы поблагодарить Matt Heler за то, что он одолжил нам свой компьютер в целях написания данного руководства. Также спасибо замечательным ребятам на канале в сети Freenode.net