HackMD
LDAP架設
目標
- 要裝哪些套件
Image Not Showing
Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
2. 如何儲存資料 -> 部門員工權限
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Image Not Showing
Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
3. 記下那些結構
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
- schema是什麼
- 如何查詢
- 讓用戶端使用 LDAP Server 作為帳號驗證來源之一
7.1: 身份識別與檔案系統間的關係
7.2: LDAP 簡介
7.3: LDAP 的實際設定流程
7.4: LDAP 資料庫簡易管理 (新增/刪除/修改用戶參數)
7.5: 分享檔案系統的 NFS 伺服器
7.1: 身份識別與檔案系統間的關係
- 總結說明身份識別與檔案系統間的關係就是:在一組或一間伺服器機房內,所有的伺服器均需要使用同一組帳號與密碼來登入, 並取得相同家目錄時,就需要這樣的設備需求。
情境
- 在崑山資傳系操作電腦教室的電腦時,所有的電腦均可以使用你的學號登入,並且可以取得你的個人桌面與額外的三個檔案系統。 因此在資傳系上課時,你可以在五間電腦教室的任何一間,使用相同的帳密登入,並可取得前一次上課的桌面與工作家目錄。所以如果對當前的座位不滿意, 可以立刻換座位,也不會影響到你的正常操作。
再次強調該功能就得要有兩個元件:
- 使用身份識別功能:就是 ID 認證的服務。常見的服務有: NIS, LDAP, AD(windows), Kerboros…
- 使用者家目錄的取得:就是個人檔案資料。常見的服務有: NFS, SMB(網芳), AD(windows)…
- linux來說,建議以 LDAP 搭配 NFS 來進行整體系統架構的設定
7.2: LDAP 簡介
- LDAP 全名: Lightweight Directory Access Protocol
- 主要的功能在於『目錄服務 (directory service)』的提供!
- 在軟體工程中,一個目錄是指一組名字和值的對映
- 簡單的說,就是你可以提供一個查詢的資料對應的內容,舉例來說,你可以提供一個『帳號名稱』,而在這個帳號名稱底下給予對應了密碼、UID、GID、真實姓名等資訊, 若用戶端使用帳號名稱來查詢目錄服務,則可以得到該帳號的密碼、UID等等資訊就是了
- LDAP 目錄結構組成
DN,Distinguished Name:識別名稱,LDAP 中一筆記錄的位置
RDN,Relative Distinguished Name:相對識別名稱,CN 及 CN 的值。例如:cn=deyu 獨一無二的屬性。
CN,Common Name/uid:顯示名稱,一筆 LDAP 記錄的名字/ID
OU,Organizational Unit:組織,一筆 LDAP 記錄所屬組織
DC,Domain Componet:網域元件,一筆 LDAP 記錄所屬區域
LDAP 的組成
- 基本上,你就將 LDAP 想成是一個目錄,而每個目錄都有個目錄名稱,然後根據不同需求,可以給予更多的目錄節點
- 單純以節點的角度來看,以一個公司名稱為『 example.com 』的位置來說,該公司的相關部門位置節點有點像這樣
- 如上所示,公司底下有兩個部門 (organization unit),一個是伺服器部門 (Servers) 一個是人資部門 (People) ,其中人資部門底下管理著員工證號 (Person, udid), 大概就是這樣一層一層的分配下來~而每一個節點底下可以搭配不同的資料給予特別的任務就是了。
- 因此,只要找尋不同的 location 即可取得各自部門的人資訊息
Image Not Showing Possible ReasonsLearn More →
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
- 每一筆資料則透過判別名稱 (distinguished name, DN) 來提示定義
- 每一個組織均需要定義最頂層的判別名稱,就被稱為 baseDN,這也是整個 LDAP 系統最先要設定的項目。 例如上圖的『 dc=exmpale,dc=com 』以及底下的『 dc=company,dc=com 』都是所謂的 baseDN !你可以猜測在組織 (Organization) 那一層的名稱, 就是 baseDN 的意思了
- 每一筆查詢資料稱為 DN (Distinguished Name),而 DN 就是呼叫出目錄節點的位置所在。例如上面提到的 baseDN 就是一例。 他的展現方式就是『 dc=exmaple,dc=com 』,從小範圍寫起直到最頂層 (dc=com) 為止。 事實上,DN 的展示方式其實有點像 DNS,不過需要使用 dc, ou, cn 等來進行名稱的指定。dc (domain component) 一般用在公司或最頂層 DN 的設定, ou (organization unit) 一般用在大部門的設定上, cn (common name) 一般用在非上述兩個用途的其他應用上
- 每個 baseDN 底下還有附屬組織單位,那就是 organization unit 的概念。例如人事部門可以使用類似: 『 dn: ou=People,dc=example,dc=com 』之類的方式來命名。而該 DN 底下就會有多種屬性定義!這些屬性定義就牽涉到每一個 LDAP 的用途為何。
昱齊 先用dc來表達公司的FQDN,再用ou來指公司底下的組織單位,dc+ou也就是一種dn
- 因為 LDAP 僅是一個『目錄服務』的提供者,但這些目錄底下資料的定義使用的功能為何,就是透過預先定義的綱要檔 (Schema) 來定義。 舉例來說, Linux 與 Windows 的帳號所需要的項目並不相同,因此使用 LDAP 作為 Linux 的帳號認證來源時,就得要使用 LDAP 提供的 Linux 帳號所需綱要檔 (schema)
LDAP 的架設流程簡介
如果確定要架設 LDAP 作為你的身份驗證來源,那麼你得要事先規劃好這部 LDAP 所提供的 baseDN、相關的管理者密碼、相關的帳號 UID 起始號碼、 相關的使用者家目錄 (最好不要跟系統預設的 /home 相同位置,否則容易造成本機帳號與網路帳號衝突的狀況)等等。至於一般的架設流程大概是這樣的:
- 安裝好 LDAP 伺服器軟體,並且提供登入 LDAP 功能的
RootDN 密碼 - 載入 LDAP 所需要的環境設定參數檔
- 啟動 LDAP 服務,並觀察 LDAP 服務的埠口,以啟用防火牆放行的功能
- 預先指定好自己公司即將使用的 baseDN 環境 (最好與 DNS 系統相同即可),同時規劃好即將要使用的用戶端作業系統有哪些
- 開始載入基本的 baseDN 功能
- 開始載入用戶端作業系統所需要的綱要檔 (schema)
- 嘗試取得用戶端所需要的帳號參數範例檔,變轉為 LDAP 所需要的格式 (LDAP Data Interchange Format, LDIF),然後載入到 LDAP 伺服器內
- 若需要加密環境,請前往 /etc/pki/tls/certs 目錄下進行所需要的 key 建制
LDAP 的實際設定流程
為了避免 Server/client 之間名稱解析產生的連線延遲,因此 IP 對應主機名稱最好還是寫入 /etc/hosts 較佳
[root@localhost ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.254.xxx pcxxx.dic.ksu pcxxx
192.168.254.254 pc254.dic.ksu pc254
10.255.xxx.254 server.lanxxx.dic.ksu server <==這個項目
10.255.xxx.1 client.lanxxx.dic.ksu client <==這個項目
1. 安裝 LDAP 相關軟體、啟動 slapd 服務以及了解 LDIF 格式與匯入 LDIF 檔案
要能夠執行 LDAP server 至少也需要 openldap-servers, openldap-clients, openldap 等軟體才行~不過,後續我們會用到 Linux 帳號轉成 LDAP 帳號的機制, 那就得要額外安裝 unix 帳號轉 ldap 帳號的轉換腳本 migrationtools 這個軟體才行!
任務
- 安裝所需要的四個軟體
- 啟動、開機啟動 slapd 服務,同時觀察一下該服務!
- 觀察埠口,是否有 port 389 的產生?,透過
netstat - 觀察防火牆,僅針對內部網路 (10.xxx) 來說,是否還需要額外放行防火牆規則?
[root@localhost ~]# ldapadd -x -W -D "${RootDN}" -f LDIf_filename
[root@localhost ~]# ldapadd -x -W -D "cn=Manager,dc=dic,dc=ksu" -f /root/ldap/base.ldif
這裡說明一下 LDAP 主要的簡稱含義:
DIT(Directory Information Tree;目錄資訊樹)
o - organization (組織)
ou - organization unit (組織單位-部門)
c - country Name (國家)
dc - domain Component (域名)
sn - suer name (真實姓名)
cn - common name (使用者名稱)
dn - Distinguish Name (識別名稱)
修改slapd.conf
suffix "dc=mp,dc=nttu,dc=edu,dc=tw"
rootdn "cn=username,dc=mp,dc=nttu,dc=edu,dc=tw"
表示法
表示出towns在LDAP的唯一識別名稱(DN)
cn=username, cn=cy, cn=unit, cn=company, dc=mp,dc=nttu,dc=edu,dc=tw
LDAP的識別方式與DNS類似,由小排大
安裝
在CentOS7上安裝OpenLDAP Server
一、 安裝套件
-
安裝 openLDAP 套件
# yum -y install openldap*
2. 安裝 migrationtools 工具
# yum install migrationtools
二、 清除範例資料並新增目錄與設定檔
-
清除範例資料
# rm -rvf /etc/openldap/slapd.d
2. 建立目錄
# mkdir /etc/openldap/slapd.d
3. 複製設定的範例檔
# cp /usr/share/openldap-servers/slapd.ldif /etc/openldap/slapd.conf
三、 設定管理密碼並查看
-
切換到openldap
# cd /etc/openldap
2. 設定密碼並輸出到文字檔,方便以 tail 查看
# slappasswd > password.txt
3. 查看{SSHA}密碼並複製到記事本備用
# tail password.txt
四、 編輯設定檔
-
編輯 slapd.conf 主要控制的設定檔
# nano /etc/openldap/slapd.conf
把所有的dc=my-domain,dc=com改成dc=mp,dc=nttu,dc=edu,dc=tw
然後結尾補上
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxx
(從剛剛記事本那邊貼過來)
