Ricerca nel sito web

Come installare OpenLDAP su Debian 11


Questo tutorial esiste per queste versioni del sistema operativo

  • Debian 11 (Bullseye)
  • Debian 10 (Buster)

Su questa pagina

  1. Prerequisiti
  2. Installazione di OpenLDAP su Debian 11
  3. Configurazione del server OpenLDAP
  4. Impostazione del firewall UFW
  5. Impostazione del gruppo di utenti
  6. Impostazione nuovo utente
  7. Conclusione

OpenLDAP è un'implementazione di suite software gratuita e open source di LDAP (Lightweight Directory Access Protocol). È un protocollo indipendente dalla piattaforma che può essere utilizzato per l'autenticazione centralizzata e servizi di accesso alle directory come e-mail e altre applicazioni.

OpenLDAP è un demone LDAP autonomo che fornisce le proprie librerie e utilità. Inoltre, fornisce il supporto per l'autenticazione del certificato TLS e l'autenticazione SASL.

In questo articolo, ti mostreremo come installare e configurare OpenLDAP su Debian 11 Bullseye.

Prerequisiti

  • Un server Debian 11.
  • Un utente non root con privilegi sudo/root.

Installazione di OpenLDAP su Debian 11

Inizialmente, installerai i pacchetti OpenLDAP sul server Debian 11. Il repository Debian predefinito fornisce la versione stabile OpenLDAP v2.4.

Prima di iniziare a installare i pacchetti OpenLDAP, eseguire il comando apt di seguito per aggiornare il repository Debian.

sudo apt update

Ora installa i pacchetti OpenLDAP slapd e ldap-utils. Il pacchetto slapd è il pacchetto principale di OpenLDAP e ldap-utils fornisce le utilità della riga di comando per la gestione del server OpenLDAP.

sudo apt install slapd ldap-utils

Digitare Y e premere INVIO per confermare l'installazione.

Ora ti verrà chiesto di impostare la password per l'utente amministratore di OpenLDAP.

Immettere la password e selezionare OK, quindi premere INVIO.

Ripetere la password e selezionare OK, quindi premere nuovamente INVIO. E l'installazione di OpenLDAP è completata.

Configurazione del server OpenLDAP

Dopo aver installato i pacchetti OpenLDAP, ora configurerai OpenLDAP sul server Debian.

Prima di andare oltre, impostiamo l'FQDN (Fully Qualified Domain Name) del server usando il seguente comando.

sudo hostnamectl set-hostname ldap.mydomain.local

Ora modifica il file /etc/hosts utilizzando l'editor nano.

sudo nano /etc/hosts

Copia e incolla la seguente configurazione e assicurati di modificare l'indirizzo IP con l'indirizzo IP del tuo server e l'FQDN con il tuo nome host e il nome del dominio locale.

192.168.10.50 ldap.mydomain.local ldap

Salva e chiudi il file.

Ora esci dalla tua sessione SSH corrente e accedi nuovamente al tuo server.

Successivamente, esegui il comando seguente per riconfigurare il pacchetto OpenLDAP slapd.

sudo dpkg-reconfigure slapd

Selezionare No quando viene chiesto di eliminare/omettere la vecchia configurazione di OpenLDAP. Ciò manterrà disponibile la vecchia configurazione.

Ora inserisci il nome di dominio locale DNS per il tuo server OpenLDAP e seleziona OK.

Immettere il nome dell'organizzazione e selezionare OK. Facoltativamente, puoi lasciarlo come predefinito con lo stesso nome del nome di dominio.

Ora inserisci la password dell'amministratore di OpenLDAP e seleziona OK per continuare.

Conferma la password dell'amministratore di OpenLDAP e seleziona di nuovo OK.

Seleziona NO quando ti viene chiesto di eliminare il vecchio database slapd.

Ora seleziona Sì per spostare il vecchio database slapd.

E la configurazione dei pacchetti OpenLDAP è ora completata.

Per verificare la configurazione di OpenLDAP, esegui il comando slapcat di seguito.

sudo slapcat

Ora dovresti ottenere l'output simile allo screenshot qui sotto. Il nome di dominio e il nome dell'organizzazione per OpenLDAP utilizzano correttamente mydomain.local

Infine, riavvia il servizio slapd per applicare le nuove modifiche. Quindi verifica il servizio slapd.

sudo systemctl restart slapd
sudo systemctl status slapd

Ora dovresti ottenere lo stato del servizio slapd come attivo (in esecuzione).

Configurazione del firewall UFW

Se stai eseguendo il server Debian con il firewall UFW abilitato, dovrai aggiungere il servizio LDAP e LDAPS al firewall UFW.

Si consiglia di utilizzare il firewall nel proprio ambiente locale, in quanto rafforzerà la sicurezza del server.

Ora esegui il comando ufw di seguito per aggiungere il servizio LDAP e LDAPS al firewall ufw.

sudo ufw allow LDAP
sudo ufw allow LDAPS

Successivamente, ricarica la regola del firewall UFW utilizzando il seguente comando.

sudo ufw reload

Infine, verifica l'elenco dei servizi abilitati sul tuo firewall UFW con il seguente comando.

sudo ufw status

Dovresti ottenere l'output come lo screenshot qui sotto. I servizi LDAP e LDAPS vengono aggiunti al firewall UFW.

Ora sei pronto per configurare il gruppo e l'utente del server OpenLDAP.

Impostazione del gruppo di utenti

Il server OpenLDAP viene spesso utilizzato per l'autenticazione su un gruppo di computer o server. E in questo passaggio, configurerai il gruppo sul server OpenLDAP utilizzando il file LDIF (LDAP Data Interchange Format).

LDIF è un file di formattazione delle voci LDAP e può essere utilizzato per gestire utenti e gruppi sul server OpenLDAP.

Crea un nuovo file /etc/ldap/users.ldif usando l'editor nano.

sudo nano /etc/ldap/users.ldif

Copia e incolla la seguente configurazione. Questa configurazione creerà un nuovo gruppo denominato People sul nome di dominio mydomain.local.

dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: People

Salva e chiudi il file.

Successivamente, esegui il comando ldapadd di seguito per aggiungere il gruppo definito nel file users.ldif.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldif

Ti verrà chiesto di inserire la password dell'amministratore del server OpenLDAP. E quando il processo ha esito positivo, dovresti vedere un messaggio come aggiunta di una nuova voce \ou=People,dc=mydomain,dc=local\.

Per verificare il gruppo Persone, esegui il comando ldapsearch di seguito. Questo comando mostrerà i gruppi disponibili sul server OpenLDAP.

sudo ldapsearch -x -b "dc=mydomain,dc=local" ou

Ora dovresti vedere il gruppo People is available sul server OpenLDAP.

Configurazione di un nuovo utente

Dopo aver impostato il gruppo su OpenLDAP, ora puoi aggiungere un nuovo utente al server OpenLDAP. Inoltre, questo può essere fatto utilizzando il file LDIF e lo strumento della riga di comando ldapadd.

Ora crea un nuovo file alice.ldif usando l'editor nano.

sudo nano alice.ldif

Copia e incolla la seguente configurazione e assicurati di cambiare la password AlicePassword con la password complessa.

In questo esempio, creerai un nuovo utente chiamato alice con la directory home /home/alice e la shell predefinita /bin/bash. Inoltre, l'utente alice fa parte del gruppo People.


# Add user alice to LDAP Server
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bash

Salva e chiudi il file.

Successivamente, esegui il comando ldapadd di seguito per aggiungere un nuovo utente in base al file alice.ldif.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldif

Inserisci la password dell'amministratore di OpenLDAP e dovresti ottenere un risultato come aggiunta di una nuova voce \cn=alice,ou=People,dc=mydomain,dc=local\, che significa che il nuovo utente alice ha stato aggiunto al server OpenLDAP.

Esegui il comando ldapsearch di seguito per ottenere l'elenco degli utenti sul server OpenLDAP.

sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"

Dovresti ottenere l'output come lo screenshot qui sotto. Il nuovo utente alice è ora disponibile sul server OpenLDAP.

Conclusione

Congratulazioni! Ora hai installato con successo il server OpenLDAP sul server Debian 11. Inoltre, hai imparato come aggiungere gruppi e utenti utilizzando i file LDIF (LDAP Data Interchange Format) e lo strumento della riga di comando ldapadd.

Nel passaggio successivo, potresti essere interessato a saperne di più su come aggiungere macchine Linux come Ubuntu e CentOS al server OpenLDAP.