Wersja angielska

LDAP jako serwis informacji systemowej w sieci

1. Wstęp
2. Dlaczego LDAP ?
3. Instalacja oprogramowania serwera
4. PAM i NSS
5. Migracja
6. Replikacja
7. Bezpieczeństwo
8. Sendmail
9. Inne

Wstęp

Dlaczego LDAP ?

• dobrze udokumentowany standard (RFC2307)
• OpenLDAP - darmowy server protokołu LDAP dostępny na wielu platformach
• darmowe oprogramowanie klienta dostępne dla wielu systemów operacyjnych (http://www.padl.com/)
• szybki odczyt
• lekki protokół
• innymi możliwymi wyborami były NIS i NIS+
  NIS nie ukrywa haseł przed anonimowym użytkownikiem i używanie go miałoby podobny wpływ na bezpieczeństwo jak rezygnacja z pliku /etc/shadow. NIS+ jest w pełni wspierany jedynie w systemie Solaris, ale nawet w tym przypadku administracja nim jest skomplikowana.

Instalacja oprogramowania serwera

• ściągnij paczkę z najnowszym, stabilnym kodem źródłowym serwera OpenLDAP z http://www.openldap.org/
• rozpakuj ją
• uruchom configure
  możesz dodać opcję-tls jęsli chcesz używać SSL (patrz bezpieczeństwo).
• skompiluj i zainstaluj (make, make depend, make install)
• więcej na temat instalacji serwera OpenLDAP możesz dowiedzieć się z OpenLDAP 2.0 Administrator's Guide

• suffix
  ustaw sufix odpowiadający domenie, np. dc=mat,dc=uni,dc=torun,dc=pl
• rootdn
  dn managera serwera LDAP
• rootpw
  Początkowo ustawione na secret. Pamiętaj aby je zmienić ! Możesz wziąć dowolne hasło zaszyfrowane UNIXową funkcją crypt i ustawić wartość parametru na: {crypt}<crypted_password>
• pliki schematów:
  

  include         <LDAP_DIR>/etc/openldap/schema/core.schema
  include         <LDAP_DIR>/etc/openldap/schema/cosine.schema
  include         <LDAP_DIR>/etc/openldap/schema/nis.schema
  

• wpisy ACL:
  

  access to attr=userPassword
         by self write         # umożliwia zmianę hasła przez użytkownika
         by anonymous auth     # umożliwia dowiązanie z DN użytkownika
         by * none             # uniemożliwia anonimowy dostęp do hasła
  

• indeksy:
  

  index   default                 pres,eq
  index   objectClass             pres,eq
  index   cn,uid                  pres,eq,sub
  index   uidnumber,gidnumber     pres,eq
  

PAM i NSS

Instalacja:

• wskazane jest zainstalowanie bibliotek z OpenLDAP nawet jeśli w systemie są zainstalowane inne biblioteki LDAP. To może oszczędzić późniejszych kłopotów. Name Switch Service jest używany bardzo wcześnie po starcie systemu i jest bardzo istotną częścią systemu. Z tego powodu zainstalowanie wspomnianych bibliotek na partycji root może być dobrym pomysłem.
• ściągnij najnowsze pam-ldap i nss-ldap z http://www.padl.com/.
  Systemy operacyjne jak Solaris i róż ne dystrybucje Linuxa są dostarczane ze wsparciem dla LDAPa w modułach pam i nss ale w sieci heterogenicznej lepiej będzie używać tego samego oprogramowania dla każdej platformy. Innymi zaletami użycia modułów z Padl Software jest fakt, że są one darmowe i dostępne są ich źródła.
  
• rozpakuj pakiety, uruchom configure, skompiluj i zainstaluj. Możesz dodać opcję --with-ldap-dir i podać lokalizację bibliotek OpenLDAP
  W systemie Solaris instalacja patch'y może zastąpić mod_ldap i nss_ldap oryginalnymi modułami dostarczanymi przez firmę Sun. Nie udało mi się jeszcze rozwiązać tego problemu.

• host <IP_serwera_LDAP>
  
• base <taka sama wartość jak dla parametru suffix w pliku slapd.conf>
  
• ldap_version 3
  OpenLDAP 2 wspiera trzecią wersję protokołu LDAP.
• pam_password crypt
  Ta opcja spowoduje, że hasła będą szyforwane lokalnie podczas ich zmiany. Ta opcja była wymagana w przypadku użycia serwera OpenLDAP. Pojawiła się nowa, przeznaczona specjalnie dla OpenLDAP opcja pam_password exop, ale nie została jeszcze przeze mnie przetestowana.
• pozostaw wszystkie opcje bind ... zakomentowane, aby nss_ldap dowiązywał się do serwera anonimowo.
  pam_ldap dowiązuje się do serwera z DN i hasłem użytkownika. Jeśli dowiązanie się powiedzie, użytkownik uzyskuje prawo dostępu do zasobów.

Migracja

• LDAP będzie jedynym źródłem informacji o użytkownikach, grupach, hostach, itp.
  Informacja z plików musi zostać przetransferowana do serwera LDAP. Sposób ten jest lepszy od niżej opisywanego ale należy zwrócić uwagę na niezawodność serwisu (patrz replikacja. W celu umieszczenia informacji z plików w serwerze LDAP można użyć pakietu Migration Tools z Padl Software.
• pozostawienie istniejącego systemu informacji systemowej i autoryzacji na części maszyn i rozpoczęcie używania LDAPa na innej grupie hostów. Takie rozwiązanie może wydawać się nieco dziwne, ale wyobraźmy sobie sytuację: mamy kilka serwerów UNIXowych i używamy tradycyjnego systemu dystrybucji plików, który pracuje w tej sytuacji zadowalająco. Przypuśćmy, że pojawiają się komputery PC, na których chcemy instalować system Linux i pozwolić użytkownikom logować się lokalnie. Z powodu bezpieczeństwa nie byłoby dobrym rozwiązaniem kopiowanie pliku z hasłami na te komputery.
  Taka była moja motywacja użycia LDAPa w sieci Wydziału Matematyki i Informatyki UMK. Oto jak rozwiązałem problem migracji:
  • pliki passwd, shadow, group i hosts są kopiowane na host zawierający serwer LDAP po każdej zmianie (z pewnym opóźnieniem)
  • serwer ldap nasłuchuje nie tylko w protokole TCP ale także przez gniazdo systemu UNIX - można to wymusić podczas startu slapd używając opcji -h, na przykład:
    <LDAP_DIR>/libexec/slapd -h ldap:/// ldapi:///
  • użytkownik połączony przez gniazdo systemu UNIX ma pełen dostęp do zasobów
    

    access to attr=userPassword
              by self write
              by sockurl="^ldapi://.*$" * write
              by anonymous auth
              by * none
    
    access to *
              by sockurl="^ldapi://.*$" * write
              by * read
    

  • bazowe DN'y muszą być dodane do bazy LDAP, na przykład:

    dn: dc=uni,dc=torun,dc=pl
    objectClass: top
    
    dn: dc=mat,dc=uni,dc=torun,dc=pl
    objectClass: top
    
    dn: ou=People,dc=mat,dc=uni,dc=torun,dc=pl
    ou: People
    objectClass: top
    objectClass: organizationalUnit
    
    dn: ou=Hosts,dc=mat,dc=uni,dc=torun,dc=pl
    ou: Hosts
    objectClass: top
    objectClass: organizationalUnit
    
    dn: ou=Group,dc=mat,dc=uni,dc=torun,dc=pl
    ou: Group
    objectClass: top
    objectClass: organizationalUnit
    

  • właściwej synchronizacji dokonywać będzie skrypt napisany w Perlu, który wymaga niewielkich modyfikacji w celu dostosowania do warunków lokalnych. Skrypt wymaga modułu Net::LDAP z modyfikacjami, które pozwolą na dołączenie do serwera nasłuchującego przez gniazdo systemu UNIX. Modyfikacja polega na zastąpieniu funkcji _connect w pliku

    <PATH TO PERL>/site_perl/<PERL VERSION>/Net/LDAP.pm

    następującą:

    sub _connect {
      my ($ldap, $host, $arg) = @_;
    
     if (defined $arg->{unix_socket}) {
      $ldap->{net_ldap_socket} = IO::Socket::UNIX->new($host)
     } else {
      $ldap->{net_ldap_socket} = IO::Socket::INET->new(
        PeerAddr => $host,
        PeerPort => $arg->{port} || '389',
        Proto    => 'tcp',
        Timeout  => defined $arg->{timeout}
                     ? $arg->{timeout}
                     : 120
      );
     }
    
    }
    

Replikacja

• klient
  Wystarczy dodać IP repliki do /etc/ldap.conf
  host <IP_serwera_master> <IP_repliki>
  
• replika
  należy zainstalować serwer OpenLDAP na hoście, który ma pełnić rolę repliki i skopiować zawartość katalogu <LDAP_DIR>/var/. Prostszym rozwiązaniem może być nawet skopiowanie całego drzewa katalogów <LDAP_DIR> pod warunkiem, że replika używa tego samego systemu operacyjnego co master. Przed rozpoczęciem kopiowania master musi zostać zatrzymany.
  Do bazy LDAP należy dodać DN, który będzie używany przez mastera w celu dowiązania do repliki:

  dn: cn=Replicator,dc=mat,dc=uni,dc=torun,dc=pl
  objectClass: top
  objectClass: person
  userPassword: {crypt}<CRYPTED PASSWORD>
  cn: Replicator
  sn: Replicator
  

  Następujące linie muszą zostać dodane do <LDAP_DIR>/etc/openldap/slapd.conf.

  access to *
            by dn="cn=Replicator,dc=mat,dc=uni,dc=torun,dc=pl" write
            by * read
  
  updatedn "cn=Replicator,dc=mat,dc=uni,dc=torun,dc=pl"
  

• master
  Istaniejący serwer zacznie pełnić rolę mastera. W tym celu konieczne jest dodanie następujących linii do <LDAP_DIR>/etc/openldap/slapd.conf.

  replica host=<IP OF REPLICA>
          binddn="cn=Replicator,dc=mat,dc=uni,dc=torun,dc=pl"
          bindmethod=simple
          credentials=secret
  

  Po dokonaniu zmian należy wystartować slapd oraz slurpd - demon replikacji.

Bezpieczeństwo

Konfiguracja:

• serwer OpenLDAP musi być skonfigurowany z opcją --with-tls (Transport Layer Security)
• należy stworzyć własne CA (certification authority) i certyfikat serwera albo pobrać certyfikat z istniejącego CA. Opis jak stworzyć własne CA i wystawiać certyfikaty można znaleźć pod adresem http://www.modssl.org/docs/2.8/ssl_faq.html
• w konfiguracji serwera OpenLDAP (slapd.conf) należy ustawić opcje związane z certyfikatami:

  TLSCertificateFile      /path/to/certificates/ldap_cert.pem
  TLSCertificateKeyFile   /path/to/certificates/ldap_key.pem
  TLSCACertificateFile    /path/to/certificates/cacert.pem
  

• w systemie klienta, w pliku /etc/ldap.conf należy ustawić opcję ssl start_tls

Sendmail

• w przypadku występowania wielu serwerów pocztowych akceptujących pocztę dla danej domeny mamy jedno miejsce przechowywania definicji aliasów
• możliwe jest łatwe oddelegowanie części uprawnień związanych z tworzeniem, a przede wszystkich aktualizacją aliasów, różnym użytkownikom

• włączenie definicji obiektów zawartych w sendmail.schema do konfiguracji serwera OpenLDAP:

  include         /opt/ldap/etc/openldap/schema/sendmail.schema
  

• dodanie gałęzi, w której mają być przechowywane aliasy mailowe, np.:

  dn: ou=mail-aliases, dc=mat, dc=uni, dc=torun, dc=pl
  objectClass: top
  objectClass: organizationalUnit
  ou: sendmail-maps
  

  oraz przykładowego aliasu, np.:

  dn: sendmailMTAKey=mailtest, ou=mail-aliases, dc=mat, dc=uni, dc=torun, dc=pl
  objectClass: sendmailMTA
  objectClass: sendmailMTAAlias
  objectClass: sendmailMTAAliasObject
  sendmailMTAAliasGrouping: aliases
  sendmailMTACluster: mat-servers
  sendmailMTAKey: mailtest
  sendmailMTAAliasValue: rafmet
  

• przekompilowanie Sendmail'a, wczesniej umieszczając w katalogu devtools/Site plik o nazwie site.config.m4 i zawartości zbliżonej do następującej:

  APPENDDEF(`confLIBS', `-lldap -llber')
  APPENDDEF(`confINCDIRS', `-I/path/to/ldap/include')
  APPENDDEF(`confLIBDIRS', `-L/path/to/ldap/lib -R/path/to/ldap/lib')
  

  Jesli biblioteki LDAP znajdują się w standardowych miejscach (/usr/lib, /usr/include), dwie ostatnie linie nie są potrzebne.
• modyfikacja pliku konfiguracyjnego sendmail'a, poprzez dodanie:

  dnl LDAP support
  define(`confLDAP_DEFAULT_SPEC', `-h "jowita.mat.uni.torun.pl ldap2.studmat.uni.torun.pl" -b ou=mail-aliases,dc=mat,dc=uni,dc=torun,dc=pl')
  define(`confLDAP_CLUSTER', `mat-servers')
  define(`ALIAS_FILE', `/etc/mail/aliases,ldap:')
  

Inne

Automounter

• włączenie definicji obiektów zawartych w autofs.schema do konfiguracji serwera OpenLDAP:

  include         /opt/ldap/etc/openldap/schema/autofs.schema
  

• dodanie gałęzi, która będzie pełniła rolę głównej mapy automontera, na przykład:

  dn: ou=auto.master,dc=mat,dc=uni,dc=torun,dc=pl
  objectClass: automountMap
  ou: auto.master
  
  dn: cn=/home,ou=auto.master,dc=mat,dc=uni,dc=torun,dc=pl
  objectClass: automount
  automountInformation: ldap:ou=auto.home,dc=mat,dc=uni,dc=torun,dc=pl --timeout 360
  cn: /home
  

• dodanie gałęzi, które będą pełniły rolę innych map, np.:

  dn: ou=auto.home,dc=mat,dc=uni,dc=torun,dc=pl
  objectClass: top
  objectClass: automountMap
  ou: auto.home
  
  dn: cn=login,ou=auto.home,dc=mat,dc=uni,dc=torun,dc=pl
  objectClass: top
  objectClass: automount
  cn: login
  automountInformation: fileserver:/export/home/login
  

• po stronie klienta w /etc/nsswitch.conf należy dodać:

  automount:  files ldap