Samba OpenLDAP su Etch: Installazione LDAP
Installazione del server LDAP
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento.
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
# apt-get install slapd ldap-utils
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato è dominio.local, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
# dpkg-reconfigure slapd
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
- Omettere la configurazione di OpenLDAP: no
- Nome del dominio: dominio.local
- Nome dell'organizzazione: DOMINIO
- Password di admin: password
- Conferma password: password
- Motore database da utilizzare: BDB
- Cancellare il database quando si effettua il purge di slapd: no
- Spostare il vecchio database: sì
- Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
# ldapsearch -x -b “dc=dominio,dc=local”
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Installazione di una interfaccia grafica per amministrare OpenLDAP
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su phpldapadmin, che sembra essere la più diffusa.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. Installiamo per prima cosa un server web:
# apt-get install apache-ssl
Rispondete in questa maniera alle domande che vi vengono poste:
- Codice del paese: IT
- Stato o provincia: Italy
- Località: dove_vivete
- Nome dell'organizzazione: Organizzazione DOMINIO
- Nome dell'unità organizzativa: Reparto Tech DOMINIO
- Posta elettronica: root@localhost
La scelta del server web è caduta su apache-ssl perchè ritengo sia preferibile non inviare in chiaro sulla rete le informazioni riguardanti gli utenti del nostro dominio. Per verificare il funzionamento del server web aprite il browser di uno dei client della rete e digitate:
https://10.0.0.11
Dovreste trovarvi davanti la pagina iniziale di Apache-SSL.
Ora possiamo installare phpldapadmin:
# apt-get install phpldapadmin
Per verificare la corretta installazione del pacchetto, aprite il browser su:
https://10.0.0.11/phpldapadmin
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.
Il pacchetto phpldapadmin ha però installato come dipendenza il web server Apache2. Per quanto osservato prima, ritengo non sia opportuno che le informazioni sul nostro dominio siano servite anche da un server web che non cripta le comunicazioni. Pertanto consiglio di eliminare il link simbolico /etc/apache2/conf.d/phpldapadmin:
# rm /etc/apache2/conf.d/phpldapadmin
e di far ripartire il servizio apache2:
# /etc/init.d/apache2 restart
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
# apt-get install build-essential # tar -zxf mkntpwd.tar.gz # cd mkntpwd # make # cp mkntpwd /usr/local/bin # mkntpwd
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.