Centralized authentication using OpenLDAP/ru

Данное руководство знакомит пользователя с основами LDAP и описывает, как можно настроить OpenLDAP для осуществления аутентификации в рамках группы компьютеров.

Что такое LDAP?
LDAP означает Легковесный протокол доступа к справочнику (Lightweight Directory Access Protocol). Основанный на X.500, он включает в себя большую часть его основных функций, за исключением более редких. Что же такое X.500 и зачем нужен LDAP?

X.500 является моделью для служб справочника (Directory Services) в модели OSI. Он содержит определения пространства имен (namespace) и протоколы для запрашивания и обновления справочника. Однако существует немало случаев, когда полноценная функциональность X.500 не требуется. Встречайте LDAP. Как и X.500, он обеспечивает модель данные/пространство имен для справочника и протокола. Однако LDAP разработан для прямой работы со стеком TCP/IP. Можно считать LDAP сокращенной версией X.500.

Что такое справочник (directory)?
Справочник — это специализированная база данных, созданная для частых запросов но нечастых обновлений. В отличие от обычных баз данных, справочники не содержат поддержку транзакций (transaction) или функциональности отката (roll-back). Справочники легко дублируются для улучшения доступности и надежности. При дублировании справочников допускаются временные противоречия при условии, что позже они будут синхронизированы.

Как осуществляется структурирование информации?
Вся информация в справочнике структурируется иерархически. Более того, для того, чтобы ввести данные в справочник, справочник должен знать, как хранить эти данные в дереве. Рассмотрим вымышленную компанию и дерево, подобное Интернет:

Поскольку данные не записываются в базу в подобной манере ascii-art, каждый элемент этого дерева должен быть определен. Для названий элементов LDAP использует схему наименований. Большая часть дистрибутивов LDAP (включая OpenLDAP) включает в себя определенное количество предопределенных (и одобренных) схем, таких как inetOrgPerson, или часто используемая схема для определения пользователей, которую могут использовать Unix/Linux-системы, которая называется posixAccount. Существуют утилиты графического интерфейса, основанные на веб, для упрощения управления LDAP: раздел Работа с OpenLDAP содержит неполный список таких утилит.

Заинтересованным пользователям рекомендуется прочитать OpenLDAP Admin Guide.

Итак, для чего же его можно использовать?
LDAP можно использовать для разнообразных нужд. В этой статье описывается централизованное управление пользователями, хранение всех учетных записей пользователей в одном местонахождении LDAP (что не означает, что оно находится на одном сервере — LDAP поддерживает высокую доступность (high availability) и резервирование (redundancy)), однако LDAP может использоваться и в других целях.


 * инфраструктура открытых ключей


 * общий календарь


 * общая адресная книга


 * хранилище для DHCP, DNS, ...


 * System Class Configuration Directives (отслеживание нескольких конфигураций сервера)


 * централизованная аутентификация (PosixAccount)



Настройка сервера OpenLDAP
Это руководство использует домен genfic.com в качестве примера. Естественно, вам нужно будет изменить это название. Однако убедитесь, что верхний элемент является официальным доменом верхнего уровня (net, com, cc, be, ...).

Сначала установим OpenLDAP. Убедитесь в том, что USE-флаги berkdb, crypt, gnutls, ipv6, sasl, ssl, syslog, -minimal и tcpd установлены.

У OpenLDAP есть основной пользователь, "rootdn" (Root Distinguished Name), встроенный в приложение. В отличие от традиционного пользователя root Unix, пользователю rootdn необходимо предоставить соответствующие права доступа. Пользователя rootdn можно использовать только в контексте конфигурации, однако его также можно использовать в определении справочника. В этом случае пользователь может аутентифицироваться как rootdn либо с помощью пароля конфигурации, либо с помощью пароля дерева (основанного на справочнике).

В целях верификации, пароли пользователей (как пользователей rootdn, так и других) можно хранить в виде простого текста, либо в хешированном (hashed) виде. Доступно несколько хеш-алгоритмов, но не рекомендуется использовать слабые алгоритмы (вплоть до MD5). На данный момент, SHA считается достаточно безопасным с точки зрения криптографии.

В нижеприведенной команде хешированное значение создается для данного пароля; результат этой команды можно использовать в файле конфигурации либо во внутреннем определении пользователя в справочнике:

Теперь отредактируйте конфигурацию сервера LDAP в файле. Установленный файл является частью оригинального дистрибутива openLDAP. Ниже приведен пример файла конфигурации, которым его можно заменить.

Для более подробного анализа файла конфигурации рекомендуем изучить Руководство администратора OpenLDAP.

Проверка конфигурации
После изменения файла, его можно проверить с помощью следующей команды.

Или используя OLC:

Измените уровень отладки ("-d 1" выше), чтобы получить больше информации. Если все в порядке, будет отображено сообщение config file testing succeeded. В случае ошибки,  выведет номер строки в файле, содержащей ошибку.

Обратите внимание, что, начиная с версии 2.4.23, OpenLDAP перешел с традиционных файлов конфигурации на OLC (OnLineConfiguration, также известный по структуре  ), в качестве метода конфигурации, используемого по умолчанию. Одно из преимуществ использования OLC в том, что динамический back-end (cn=config) не требует перезапуска сервера после обновления конфигурации. Существующие пользователи могут перейти на новый метод конфигурации, запустив команду  одновременно с параметрами -f и -F. По традиции, OLC хранится в ldif back-end (что сохраняет преимущества удобочитаемости для человека) в каталоге. В Gentoo преобразование конфигурации пока не требуется, однако поддержка на данный момент документированного подхода в будущем будет убрана.

Чтобы иметь возможность изменения конфигурации сервера OpenLDAP, необходимо определить как минимум доступ для записи (или, как правило, для управления) в.

В нижеследующем примере показано, как можно предоставить доступ для управления к OLC (база данных cn=config) для системного администратора (пользователя root), добавив соответствующие строки в конец файла :

Запуск этой команды переместит и преобразует конфигурацию. После этого предполагается обновление конфигурации с помощью специально подготовленных файлов ldif. Лишь в том случае, если вы с ними не знакомы, следует редактировать и повторно преобразовать его в. Не забудьте проверить права доступа каталога.

Для дополнительных инструкций прочитайте in-line комментарии сгенерированных файлов.

Нижеприведенная строка включает метод конфигурации.

Наконец, создайте структуру :

Запустите slapd:

Если он не запускается, установите переменную loglevel в файле в значение 4 или больше и обратитесь за информацией к файлу.

Пример обновления LDIF в стиле OLC
Ниже приводится несколько примеров обновления конфигурации в стиле OLC.

Например, чтобы изменить местонахождение каталога конфигурации OLC:

Чтобы изменить уровень журнала, используемого процессом OpenLDAP:

Чтобы применить изменения, запустите следующую команду:

Настройка клиентских утилит OpenLDAP
Отредактируйте файл конфигурации клиента LDAP. Этот файл читается командой ldapsearch и другими утилитами командной строки ldap.

Запущенный сервер можно протестировать с помощью следующей команды:

В случае возникновения ошибки, попробуйте добавить -d 255 для увеличения детализации вывода.

Настройка клиента для централизованной аутентификации
Существует целый ряд методов/утилит для осуществления удаленной аутентификации. Некоторые дистрибутивы также предоставляют свои собственные конфигурационные утилиты, легкие в использовании. Ниже приводится ряд утилит в произвольном порядке. Существует возможность одновременного сочетания локальных пользователей и центрально авторизованных учетных записей. Это важно, поскольку, например, если LDAP сервер недоступен, по-прежнему можно войти в систему в качестве пользователя root.


 * SSSD (Single Sign-on Services Daemon). Его основная функция — обеспечение доступа к identity и аутентификационного удаленного ресурса посредством общей структуры, которая способна предоставлять кеширование и оффлайн поддержку для системы. Он предоставляет модули PAM и NSS, и в будущем будет поддерживать интерфейсы D-Bus для расширенной пользовательской информации. Он также предоставляет лучшую базу данных для хранения локальных пользователей, а также расширенных пользовательских данных.


 * Используйте  для входа на сервер LDAP и аутентификации. Пароли не посылаются по сети в виде простого текста.


 * NSLCD (Name Service Look up Daemon). Схож с SSSD, но старше его.


 * NSS (Name Service Switch) с использованием традиционного модуля  для загрузки хешей паролей по сети. Чтобы разрешить пользователям обновлять пароли, этот метод нужно использовать совместно с методом.

Первые два варианта демонстрируются ниже, с минимальным необходимым количеством параметров конфигурации.

Client PAM configuration SSSD Method
Here is the more direct method. The three files that are required to be edited are mentioned below.

Add sss to the end as shown below to enable the lookup to be handed to the sssd system service. Once you have finished editing start the sssd daemon.

The last file is the most critical. Open an extra root terminal as a fallback before editing this. The lines that end with  have been added to enable remote authentication. Note the use of to support creating the user home directories.

Now try logging in from another box.

Client PAM configuration the pam_ldap Module Method
First, we will configure PAM to allow LDAP authorization. Install so that PAM supports LDAP authorization, and  so that your system can cope with LDAP servers for additional information (used by ).

The last file is the most critical. Open a few extra root terminals as a backup before editing this. The lines that end with  have been added to enable remote authentication.

Now change to read:

Next, copy over the (OpenLDAP) file from the server to the client so the clients are aware of the LDAP environment:

Finally, configure your clients so that they check the LDAP for system accounts:

If you noticed one of the lines you pasted into your was commented out (the   line): you don't need it unless you want to change a user's password as superuser. In this case you need to echo the root password to in plaintext. This is DANGEROUS and should be chmoded to 600. What you might want to do is keep that file blank and when you need to change someone's password that's both in the LDAP and, put the pass in there for 10 seconds while changing the users password and remove it when done.

Migrate existing data to LDAP
Configuring OpenLDAP for centralized administration and management of common Linux/Unix items isn't easy, but thanks to some tools and scripts available on the Internet, migrating a system from a single-system administrative point-of-view towards an OpenLDAP-based, centralized managed system isn't hard either.

Go to http://www.padl.com/OSS/MigrationTools.html and fetch the scripts there. You'll need the migration tools and the script.

Next, extract the tools and copy the script inside the extracted location:

The next step now is to migrate the information of your system to OpenLDAP. The script will do this for you, after you have provided it with the information regarding your LDAP structure and environment.

At the time of writing, the tools require the following input:

The tool will also ask you which accounts and settings you want to migrate.

High availability
To setup replication of changes across multiple LDAP systems. Replication within OpenLDAP is, in this guide, set up using a specific replication account which has read rights on the primary LDAP server and which pulls in changes from the primary LDAP server to the secondary.

This setup is then mirrored, allowing the secondary LDAP server to act as a primary. Thanks to OpenLDAP's internal structure, changes are not re-applied if they are already in the LDAP structure.

Setting Up Replication
To setup replication, first setup a second OpenLDAP server, similarly as above. However take care that, in the configuration file:


 * The sync replication provider is pointing to the other system


 * The serverID of each OpenLDAP system is different

Next, create the synchronisation account. We will create an LDIF file (the format used as data input for LDAP servers) and add it to each LDAP server:

OpenLDAP permissions
If we take a look at you'll see that you can specify the ACLs (permissions if you like) of what data users can read and/or write:

This gives you access to everything a user should be able to change. If it's your information, then you got write access to it; if it's another user their information then you can read it; anonymous people can send a login/pass to get logged in. There are four levels, ranking them from lowest to greatest:.

The next ACL is a bit more secure as it blocks normal users to read other people their shadowed password:

This example gives root and John access to read/write/search for everything in the the tree below. This also lets users change their own 's. As for the ending statement everyone else just has a search ability meaning they can fill in a search filter, but can't read the search results. Now you can have multiple ACLs but the rule of the thumb is it processes from bottom up, so your toplevel should be the most restrictive one.

Maintaining the directory
You can start using the directory to authenticate users in apache/proftpd/qmail/samba. You can manage it with LAM (Ldap Account Manager), phpldapadmin, diradm, jxplorer, or lat, which provide easy management interfaces.

Благодарности
We would like to thank Matt Heler for lending us his box for the purpose of this guide. Thanks also go to the cool guys in #ldap @ irc.freenode.net