Come installare OpenLDAP su Ubuntu 22.04
Questo tutorial esiste per queste versioni del sistema operativo
- Ubuntu 22.04 (Jammy Jellyfish)
- Ubuntu 20.04 (Focal Fossa)
Su questa pagina
- Prerequisiti
- Impostazione FQDN (nome di dominio completo)
- Installazione dei pacchetti OpenLDAP
- Configurazione del server OpenLDAP
- Impostazione del gruppo di base
- Aggiunta di un nuovo gruppo
- Aggiunta di utenti OpenLDAP
- Installazione di LDAP Account Manager
- Configurazione dell'account manager LDAP
- Conclusione
OpenLDAP è un'implementazione software del protocollo LDAP (Lightweight Directory Access Protocol). OpenLDAP è un software gratuito e open source fornito con la propria licenza in stile BSD chiamata OpenLDAP Public License. Il suo software LDAP per unità a riga di comando è disponibile sulla maggior parte delle distribuzioni Linux come CentOS, Ubuntu, Debian, SUSE e molte altre. OpenLDAP è una suite software completa per i server LDAP, che include SLAPD (daemon LDAP autonomo), SLURPD (daemon di replica degli aggiornamenti LDAP autonomo) e alcune utilità e strumenti per la gestione dei server LDAP. OpenLDAP è un server LDAP altamente personalizzabile e supporta tutte le principali piattaforme informatiche.
LDAP Account Manager o LAM è un'applicazione Web scritta in PHP per la gestione di utenti, gruppi e impostazioni DHCP archiviate su un server LDAP. LAM fornisce un modo semplice per gestire i server LDAP dal browser web. Il LAM è progettato per le persone con un background tecnico limitato per gestire i dati LDAP. LAM è disponibile in due diverse versioni, la versione Lite che è gratuita e la versione con licenza commerciale.
Questa guida ti insegnerà come configurare il server LDAP con OpenLDAP e LDAP Account Manager sul server Ubuntu 22.04. Questa guida insegnerà anche come configurare gli utenti LDAP e come configurare un account manager LDAP per la gestione del server OpenLDAP.
Prerequisiti
Prima di iniziare con questa guida, è necessario disporre dei seguenti prerequisiti:
- Un server Ubuntu 22.04
- Un utente non root con privilegi di root/amministratore.
Impostazione FQDN (nome di dominio completo)
Prima di iniziare l'installazione del server OpenLDAP, è necessario assicurarsi che la configurazione FQDN (Fully Qualified Domain Name) per il server OpenLDAP sia corretta. In questa demo, configureremo un server OpenLDAP con il nome host del server \ldap\ e il dominio \localdomain.com\, e con l'indirizzo IP \192.168.5.25\.
Eseguire il comando seguente per configurare il FQDN su \ldap.localdomain.com\.
sudo hostnamectl set-hostname ldap.localdomain.com
Modifica il file di configurazione \/etc/hosts\ utilizzando il seguente comando.
sudo nano /etc/hosts
Aggiungi la seguente configurazione al file. Il formato del file \/etc/hosts\ qui è \server-IP fqdn hostname\.
192.168.5.25 ldap.localdomain.com ldap
Salva e chiudi il file quando hai finito.
Infine, esegui il comando seguente per controllare e verificare l'FQDN del tuo server LDAP. In questa demo, dovresti ottenere un output come \ldap.localdomain.com\. Inoltre, se provi a eseguire il ping del nome host \ldap\, dovresti ottenere la risposta dall'indirizzo IP del server \192.168.5.25\ invece che da localhost.
sudo hostname -f
ping ldap
Installazione dei pacchetti OpenLDAP
Dopo aver ottenuto l'FQDN corretto, è il momento di installare i pacchetti OpenLDAP che sono disponibili per impostazione predefinita nel repository Ubuntu.
Prima di iniziare a installare i pacchetti, eseguire il comando apt di seguito per aggiornare e aggiornare il repository di sistema di Ubuntu.
sudo apt update
Ora installa i pacchetti OpenLDAP usando il seguente comando. Immettere Y per confermare l'installazione e premere INVIO e l'installazione avrà inizio.
sudo apt install slapd ldap-utils
Durante l'installazione dei pacchetti OpenLDAP, ti verrà chiesto di impostare la password dell'amministratore per OpenLDAP. Immettere la password complessa per l'utente amministratore di OpenLDAP e selezionare \OK\, quindi ripetere la password. E l'installazione di OpenLDAP sarà completata.
Configurazione del server OpenLDAP
Per avviare la configurazione del server OpenLDAP, eseguire il seguente comando. Questo comando riconfigurerà il pacchetto principale di OpenLDAP \slapd\ e ti verranno chieste alcune delle configurazioni di base di OpenLDAP.
sudo dpkg-reconfigure slapd
Quando ti viene chiesto di \Omettere la configurazione del server OpenLDAP?\, seleziona \No\. Questo imposterà il server OpenLDAP con un nuovo file di configurazione e un nuovo database.
Inserisci il nome di dominio per l'installazione di OpenLDAP e seleziona \Ok\. Questo nome di dominio verrà utilizzato come DN (Distinguished Name) del tuo server OpenLDAP. In questa demo, il nome di dominio è \localdomain.com\, quindi il DN sarà \dc=localdomain,dc=com\.
Immettere il nome dell'organizzazione che verrà utilizzato all'interno del DN. Puoi usare il dominio per questo, ma puoi anche usare un altro nome.
Ora inserisci la password dell'amministratore per il tuo server OpenLDAP e ripeti la password. Inoltre, assicurati che la password sia corretta.
Quando ti viene chiesto di rimuovere il vecchio database, seleziona \No\.
Ora seleziona \Sì\ per spostare il vecchio database OpenLDAP e la configurazione di OpenLDAP è terminata.
Di seguito è riportato l'output al termine della configurazione di OpenLDAP.
Dopo aver riconfigurato il pacchetto \slapd\, modificare il file di configurazione \/etc/ldap/ldap.conf\ utilizzando il comando seguente.
sudo nano /etc/ldap/ldap.conf
Rimuovi il commento dalla riga \BASE\ e \URI\ e inserisci il nome di dominio per il tuo server OpenLDAP. In questa demo, la \BASE\ qui è \dc=localdomain,dc=com\ e l'\URI\ per il server OpenLDAP è \ldap:/ /ldap.localdomain.com\.
BASE dc=localdomain,dc=com
URI ldap://ldap.localdomain.com
Salva e chiudi il file, hai finito.
Ora esegui il comando seguente per riavviare il servizio OpenLDAP \slapd\ e applicare le nuove modifiche sul server OpenLDAP. Il server OpenLDAP è ora in esecuzione con il DN di base \dc=localdomain,dc=com\.
sudo systemctl restart slapd
sudo systemctl status slapd
Infine, esegui il seguente comando per controllare e verificare la configurazione di base di OpenLDAP. Dovresti ottenere il DN di base per il server OpenLDAP come \dc=localdomain,dc=com\.
sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:///
Impostazione del gruppo di base
Dopo aver configurato il DN di base (Distinguished Name) del server OpenLDAP, ora creerai un nuovo gruppo di base di utenti OpenLDAP. In questa demo, creerai due diversi gruppi di base, il gruppo denominato \Persone\ per l'archiviazione degli utenti, e quindi il gruppo denominato \Gruppi\ per l'archiviazione dei gruppi sul tuo server OpenLDAP.
Per creare nuovi contenuti LDAP come utenti e gruppi, puoi utilizzare il file LDIF (LDAP Data Interchange Format) e lo strumento LDAP \ldapadd\.
Crea un nuovo file LDIF \base-groups.ldif\ utilizzando il comando seguente.
sudo nano base-groups.ldif
Aggiungere la seguente configurazione al file.
dn: ou=People,dc=localdomain,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Groups,dc=localdomain,dc=com
objectClass: organizationalUnit
ou: Groups
Ora esegui il comando \ldapadd\ qui sotto per nuovi gruppi di base attraverso il file \base-groups.ldif\. Ti verrà richiesta la password dell'amministratore di OpenLDAP, quindi assicurati di inserire la password corretta.
sudo ldapadd -x -D cn=admin,dc=localdomain,dc=com -W -f base-groups.ldif
Infine, esegui il seguente comando per controllare e verificare i gruppi di base del tuo server OpenLDAP. Ora dovresti vedere due gruppi di base disponibili, il gruppo denominato \Persone\ e \Gruppi\.
sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:///
Aggiunta di un nuovo gruppo
Dopo aver creato i gruppi di base sul server LDAP, ora puoi creare un nuovo gruppo e utente LDAP. In questa sezione, creerai un nuovo gruppo tramite il file LDIF.
Crea un nuovo file LDIF \group.ldif\ utilizzando il seguente comando.
sudo nano group.ldif
Aggiungere la seguente configurazione al file. In questo esempio, creeremo un nuovo gruppo con il nome \sviluppatori\, lo memorizzeremo nel gruppo di base \Gruppi\ e definiremo il gidNumber \5000\.
dn: cn=developers,ou=Groups,dc=localdomain,dc=com
objectClass: posixGroup
cn: developers
gidNumber: 5000
Salva e chiudi il file quando hai finito.
Successivamente, esegui il comando \ldapadd\ qui sotto per aggiungere il nuovo gruppo di \sviluppatori\. E assicurati di inserire la password dell'amministratore per il tuo server OpenLDAP.
sudo ldapadd -x -D cn=admin,dc=localdomain,dc=com -W -f group.ldif
Infine, esegui il seguente comando per controllare e verificare il gruppo \sviluppatori\. Dovresti ottenere l'output del gruppo \sviluppatori\ che fa parte di \Gruppi\ e con gidNumber \5000\.
sudo ldapsearch -x -LLL -b dc=localdomain,dc=com '(cn=developers)' gidNumber
Aggiunta di utenti OpenLDAP
Dopo aver creato un gruppo sul server OpenLDAP, è il momento di creare un utente LDAP tramite il file LDIF.
Prima di creare un nuovo utente, eseguire il seguente comando per generare una password crittografata per il nuovo utente LDAP. Inserisci la nuova password e ripeti, quindi copia la password crittografata \{SSHA}ZdNAB+uH/zbK1mdS9JWlfOwRDf0mrsla\.
sudo slappasswd
Ora crea un nuovo file LDIF \user.ldif\ usando il seguente comando.
sudo nano user.ldif
Aggiungere la seguente configurazione al file. In questa demo, creeremo un nuovo utente \john\ con la directory home predefinita \/home/john\ e la shell predefinita \/bin/bash\. Inoltre, puoi vedere in cima al file di configurazione, che questo utente fa parte del gruppo \Persone\ e usa il gidNumber \5000\.
dn: uid=john,ou=People,dc=localdomain,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: john
sn: Doe
givenName: John
cn: John Doe
displayName: John Doe
uidNumber: 10000
gidNumber: 5000
userPassword: {SSHA}ZdNAB+uH/zbK1mdS9JWlfOwRDf0mrsla
gecos: John Doe
loginShell: /bin/bash
homeDirectory: /home/john
Salva e chiudi il file quando hai finito.
Successivamente, esegui il comando \ldapadd\ qui sotto per aggiungere un nuovo utente all'interno del file \user.ldif\. Ora inserisci la password dell'amministratore per il server OpenLDAP.
sudo ldapadd -x -D cn=admin,dc=localdomain,dc=com -W -f user.ldif
Infine, esegui il comando \ldapsearch\ di seguito per controllare e verificare il nuovo utente LDAP. E dovresti ottenere l'utente \john\ creato e disponibile sul server OpenLDAP.
sudo ldapsearch -x -LLL -b dc=localdomain,dc=com '(uid=john)' cn uidNumber gidNumber
Installazione di Gestione account LDAP
A questo punto, hai terminato l'installazione di base di OpenLDAP. Ora installerai LDAP Account Manager sullo stesso server del server OpenLDAP. LDAP Account Manager (LAM) è un'applicazione Web che può essere utilizzata come front-end per il server OpenLDAP. Ti consente di gestire il server OpenLDAP dal browser Web, puoi configurare nuovi utenti, gruppi, ecc. Dal browser Web.
Il LAM è disponibile per impostazione predefinita nel repository Ubuntu. Puoi installarlo usando il comando apt di seguito. Questo installerà alcuni altri pacchetti tra cui PHP e il server web Apache2.
Immettere Y per confermare l'installazione e premere INVIO per continuare. E l'installazione di LAM inizierà.
sudo apt install ldap-account-manager
Al termine dell'installazione, apri il browser Web e visita l'indirizzo IP del server seguito dal percorso URL \/lam (ad es. http://192.168.5.25/lam). E dovresti ottenere il pagina di accesso di LDAP Account Manager (LAM).
Configurazione dell'account manager LDAP
Prima di iniziare a gestire il tuo server OpenLDAP dall'applicazione LAM, dovrai impostare il profilo LAM per il tuo server OpenLDAP.
Nella pagina di accesso LAM, fare clic sul menu \Configurazione LAM\ in alto a sinistra.
Ora fai clic su \Modifica profili server\ per impostare il profilo LAM per il tuo server OpenLDAP.
Quando ti viene chiesta la password, inserisci la password predefinita \lam\ e fai clic su \Accedi\. Il profilo predefinito su LDAP Account Manager è \lam\. Modificherai questo profilo predefinito per il tuo server OpenLDAP.
Nella pagina \Impostazioni generali\, vedrai alcune delle diverse impostazioni.
In \Impostazioni strumenti\, inserisci il DN principale (Nome distinto) del server OpenLDAP. In questa demo, il DN è \dc=localdomain,dc=com\.
Nella sezione \Impostazioni di sicurezza\, seleziona \Metodo di accesso\ come \Elenco fisso\. Quindi, inserisci i dettagli di accesso per il server OpenLDAP. L'utente predefinito per OpenLDAP è \admin\, quindi il file dovrebbe essere così \cn=admin,dc=localdomain,dc=com\.
Infine, inserisci una nuova password nella sezione \Password profile\. Questo cambierà la password predefinita per il profilo \lam\. Quindi, fai clic sul pulsante \Salva\ per applicare le nuove modifiche.
Ora verrai reindirizzato alla pagina di accesso di LDAP Account Manager. Fare nuovamente clic sul menu \Configurazione LAM\ e modificare il profilo predefinito \lam\.
Passare ora alla pagina \Tipi di account\ per configurare il gruppo predefinito del server OpenLDAP.
Nella sezione \Users\, inserisci il suffisso LDAP come \ou=People,dc=localdomain,dc=com\. In questo esempio, tutti gli utenti dovrebbero essere disponibili su \Persone\.
Nella sezione \Gruppi\, inserisci il suffisso LDAP come \ou=Groups,dc=localdomain,dc=com\. In questo esempio, tutti i gruppi dovrebbero essere disponibili nel gruppo di base \Gruppi\.
Ora fai clic sul pulsante \Salva\ per salvare le modifiche sul profilo predefinito \lam\.
A questo punto, verrai reindirizzato nuovamente alla pagina di accesso di LDAP Account Manager. Come puoi vedere, l'accesso utente predefinito è ora cambiato in \admin\. Inserisci la password dell'amministratore per la tua password OpenLDAP e fai clic su \Accedi\. E dovresti ottenere la dashboard LAM.
Nel menu \Utenti\, dovresti vedere l'utente \john\ che hai appena creato.
Nel menu \Gruppi\, dovresti vedere il gruppo \sviluppatori\.
Conclusione
Congratulazioni! Ora hai installato correttamente il server OpenLDAP con LDAP Account Manager (LAM) sul server Ubuntu 22.04. Hai anche imparato come configurare un gruppo e un utente OpenLDAP. Infine, hai anche imparato come impostare un profilo di account manager LDAP per aggiungere il server OpenLDAP all'applicazione web LAM.