vodkone.estri.net

  • Increase font size
  • Default font size
  • Decrease font size
Home LDAP Server ReteFaiX3 - Realizzare un LDAP Directory Server (Tutorial)

ReteFaiX3 - Realizzare un LDAP Directory Server (Tutorial)

Saturday, 19 September 2009 18:04 vodkone
Print
View Comments
 
Schema rete LDAP
Titolo:ReteFaiX3 - Directory Server
Sistema:Ubuntu 9.04 server edition
Pacchetti:OpenLdap
Contenuto:Brevi cenni teorici
 Installazione di un directory server OpenLdap
 Configurazione di OpenLdap

Teoria

Allo stato attuale (vedasi i tutorial precedenti della ReteFaiX3) abbiamo implementato i servizi base per il funzionamento di una rete informatica (DHCP, DNS); il tutto per praticita' ed economia e' stato realizzato su di un unico server. Detti servizi, infatti, fruiscono di poche risorse hardware, fanno soprattutto traffico di rete, ma fino a quando il numero di dispositivi rimarra' contenuto, diciamo nell'ordine di un centinaio, una normalissima scheda ethernet 100/1000 sara' in grado di soddisfare le richieste.
Per i prossimi step si renderanno necessari altri server, inoltre vorremmo cominciare ad utilizzare in maniera piu' consistente i client. E' giunto, quindi, il momento di realizzare una struttura capace di ospitare un catalogo, una rubrica se preferite, di utenti.
Detta struttura dovra' ospitare le informazioni relative agli account degli utenti, non solo quelle anagrafiche, ma anche quelle relative alle autenticazioni come ad esempio la password.
Introdurremo nella nostra rete un DIRECTORY SERVER. Questo servizio diventera' il punto centrale di accesso per tutti gli utenti.
Un utente con un account definito sul directory server potra' collegarsi su tutti i dispositivi che introdurremo nel nostro network utilizzando sempre lo stesso account e la stessa password.
Tramite questo servizio si potranno inoltre definire politiche di permessi per ciascun account sui singoli client, sui server, nonche' ai siti web sia esterni che interni.
In questa prima fase ci limiteremo a creare una struttura gerarchica molto semplice, definendo un catalogo dove esistono persone e gruppi di persone secondo lo schema rappresentato in figura:
Albero LDAP

Vediamo ora quali sono i passaggi per l'installazione.

Pratica

Anche questa volta, per l'ultima volta, installeremo il servizio sul primo server; dopodiche' questa macchina puo' essere considerata ben sfruttata e passeremo ad utilizzarne un'altra.
Incominciamo digitando il comando di installazione dei pacchetti necessari:

sudo apt-get install slapd ldap-utils

Screenshot Installazione OpenLdap directory server

Diamo conferma di voler installare i pacchetti elencati (si veda figura precedente), dopo una breve elaborazione ci verra' richiesto di inserire la password di amministrazione della directory LDAP (si veda figura sottostante).

Screenshot password amministratore Ldap directory server

Visto che cosi' e' troppo semplice, non ci accontentiamo di quanto impostato in automatico ed andremo a lanciare il wizard configuratore eseguendo:

sudo dpkg-reconfigure slapd

Ci verra' richiesto se si vuole omettere la configurazione del server OpenLdap (si veda figura sottostante), ovviamente premiamo no e proseguiamo.

Screenshot richiesta conferma di configurazione

Ci verra' richiesto di specificare il dominio DNS (si veda figura sottostante). Inseriamo il dominio DNS cosi' come inserito per la zona primaria del dns, nel mio caso mioDominio

Screenshot Richiesta del nome del dominio DNS

Ci verra' richiesto di specificare il nome dell'organizzazione da usare come base per i Distinguished names o DN (si veda figura sottostante). Il DN e' un identificatore univoco delle voci presenti nella directory LDAP. Anche in questo caso io inseriro' mioDominio

Screenshot Richiesta della base del DN LDAP

Ci verra' richiesto di specificare il tipo di database di backend da usare per la memorizzazione dei dati della directory.(si veda figura sottostante). Lasciamo impostato il valore di default, ovvero HDB.

Screenshot richiesta del tipo DB di backend di usare

Ci verra' chiesto se si vuole che il database sia rimosso nel caso in cui venga rimosso il demone LDAP (si veda figura sottostante). Scegliamo l'ipotesi meno distruttiva, che e' sempre la piu' indicata quando si e' agli inizi, selezionando NO.

Screenshot richiesta cancellazione DB in caso di rimozione demone LDAP

A questo punto l'installatore si accorge dell'esistenza dei file della configurazione di default, presenti nella cartella /var/lib/ldap/ quindi ci chiede se si vogliono salvare altrove prima di procedere (si veda figura sottostante). Anche qui scegliamo l'ipotesi meno distruttiva, selezionando SI.

Screenshot richiesta spostamento dei files del vecchio database

Ci verra' nuovamente richiesta la password di amministrazione (si veda figura sottostante).

Screenshot richiesta password di amministrazione della directory OpenLdap

Inserita la password ci verra' richiesta la versione del protocollo LDAP da usare (si veda figura sottostante). Di default e' impostato di non utilizzare LDAPv2, ma di usare il piu' recente LDAPv3. Manteniamo invariata l'impostazione rispondendo NO alla domanda.

Screenshot richiesta versione del protocollo LDAP

Evviva! Alla fine di questo terzo grado, abbiamo ultimato la configurazione del nostro demone slapd.
Procediamo ora inserendo i primi oggetti che andranno a popolare la directory e verificandone il funzionamento. Creiamo un file che si chiama ou.miodominio.ldif al cui interno inseriamo:

dn: ou=people,dc=mioDominio
objectClass: organizationalUnit
ou: people
dn: ou=groups,dc=mioDominio
objectClass: organizationalUnit
ou: groups

Questo file, opportunamente dato in pasto a ldap, permette di creare due contenitori (Organizational Unit) dove verranno memorizzate le utenze dei singoli individui (people) e i vari gruppi del dominio (groups).
Eseguiamo il comando:

ldapadd -x -D cn=admin,dc=mioDominio -W -f ou.miodominio.ldif

Premurandoci di eseguirlo nella cartella dove risiede il file appena creato. L'operazione richiede che venga inserita la password di amministrazione del dominio LDAP.
Abbiamo cosi' creato i due contenitori principali del dominio. A questo punto procediamo con l'inserimento della nostra prima utenza, creiamo un nuovo file chiamato user.miodominio.ldif ed inseriamoci:

dn: uid=paolo.rossi,ou=people,dc=mioDominio
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: paolo.rossi
sn: rossi
givenName: paolo
cn: paolo rossi
displayName: paolo rossi
uidNumber: 1000
gidNumber: 10000
userPassword: password
gecos: paolo rossi
loginShell: /bin/bash
homeDirectory: /home/paolo.rossi
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: paolo.rossi@mioDominio
postalCode: 20100
l: Milano
o: Example
mobile: +39 xxxxxxxxxx
homePhone: +39 xxxxxxxxxx
title: Utente qualsiasi
postalAddress:
initials: PR

Eseguiamo lo stesso comando di prima specificando come parametro il file appena creato:

ldapadd -x -D cn=admin,dc=mioDominio -W -f user.miodominio.ldif

Ora verifichiamo se tutto e' andato a dovere eseguendo questi tre comandi:

ldapsearch -xLLL -b "dc=mioDominio" ou=people

ldapsearch -xLLL -b "dc=mioDominio" ou=groups

ldapsearch -xLLL -b "dc=mioDominio" uid=paolo.rossi sn givenname cn

Screenshot verifica funzionamento della directory LDAP

Se uno di questi comandi non restituisce alcun valore, allora si sono verificati problemi. Nel caso, il consiglio e' di rifare tutto seguendo pedissequamente la guida. Oppure potete effettuare alcune ricerche. Di seguito ne trovate alcune consigliate.
Altrimenti, se vedete i risultati delle ricerche come nella figura qui sopra, allora e' andata!

Per approfondire:

Informazioni generiche su LDAP Directory(EN)
Errori nell'aggiungere un oggetto(EN)
Il servizio OpenLdap non parte (EN)
Non trovo l'oggetto nella dierctory(EN)


blog comments powered by Disqus
back to top
Last Updated on Wednesday, 23 September 2009 12:15