In diesem Tutorial zeigen wir Ihnen, wie Sie OpenLDAP auf Rocky Linux 9 installieren. Für diejenigen unter Ihnen, die es nicht wussten: OpenLDAP ist ein leichtes Verzeichnisdienstprotokoll, das die Kommunikation zwischen Clientanwendungen und einem Verzeichnisserver erleichtert und eine zentrale Speicherung von Benutzern ermöglicht Daten, Authentifizierung und Zugriffskontrolle. Es verfügt über mehrere Schlüsselfunktionen, wie z. B. Multi-Master-Replikation für hohe Verfügbarkeit und Fehlertoleranz, effiziente Indizierung für schnellen Datenabruf und Unterstützung für Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für sichere Datenübertragung.
In diesem Artikel wird davon ausgegangen, dass Sie zumindest über Grundkenntnisse in Linux verfügen, wissen, wie man die Shell verwendet, und, was am wichtigsten ist, dass Sie Ihre Site auf Ihrem eigenen VPS hosten. Die Installation ist recht einfach und setzt voraus, dass Sie im Root-Konto ausgeführt werden. Andernfalls müssen Sie möglicherweise Folgendes hinzufügen:sudo
‚ zu den Befehlen, um Root-Rechte zu erhalten. Ich zeige Ihnen die Schritt-für-Schritt-Installation von OpenLDAP unter Rocky Linux. 9.
Voraussetzungen
- Ein Server, auf dem eines der folgenden Betriebssysteme ausgeführt wird: Rocky Linux 9.
- Es wird empfohlen, eine Neuinstallation des Betriebssystems zu verwenden, um mögliche Probleme zu vermeiden.
- SSH-Zugriff auf den Server (oder öffnen Sie einfach Terminal, wenn Sie sich auf einem Desktop befinden).
- Eine aktive Internetverbindung. Sie benötigen eine Internetverbindung, um die erforderlichen Pakete und Abhängigkeiten für OpenLDAP herunterzuladen.
- A
non-root sudo user
oder Zugriff auf dieroot user
. Wir empfehlen, als zu agierennon-root sudo user
da Sie Ihrem System schaden können, wenn Sie als Root nicht vorsichtig sind.
Installieren Sie OpenLDAP unter Rocky Linux 9
Schritt 1. Der erste Schritt besteht darin, Ihr System auf die neueste Version der Paketliste zu aktualisieren. Führen Sie dazu die folgenden Befehle aus:
sudo dnf check-update sudo dnf install dnf-utils epel-release mod_ssl
Schritt 2. OpenLDAP unter Rocky Linux 9 installieren.
Sobald Rocky Linux 9 läuft, besteht der nächste Schritt darin, die OpenLDAP-Pakete zu installieren. Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus, um die erforderlichen Komponenten zu installieren:
sudo dnf install openldap openldap-servers openldap-clients
Der Paketmanager löst Abhängigkeiten auf und fordert Sie auf, die Installation zu bestätigen. Typ ‚Y‚ und drücken Sie die Eingabetaste, um fortzufahren. Rocky Linux lädt dann die Pakete herunter und installiert sie.
Schritt 3. OpenLDAP konfigurieren.
Um OpenLDAP zu konfigurieren, müssen wir die LDAP-Datenbank initialisieren. Führen Sie den folgenden Befehl aus:
sudo slapadd -n 0 -F /etc/openldap/slapd.d -l /usr/share/openldap-servers/DB_CONFIG.example
Legen Sie das Root-Benutzerkennwort für den LDAP-Server fest slappasswd
Dienstprogramm. Dieser Befehl generiert einen sicheren Passwort-Hash, den wir in der Konfigurationsdatei verwenden:
sudo slappasswd
Jetzt ist es an der Zeit, den OpenLDAP-Server zu konfigurieren. Öffne das olcDatabase={2}hdb.ldif
Datei in einem Texteditor:
nano /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
Suchen Sie die Zeile, die mit beginnt olcRootDN
und ersetzen Sie es durch Folgendes, indem Sie den Passwort-Hash verwenden, den Sie zuvor generiert haben:
olcRootDN: cn=Manager,dc=mydomain,dc=com olcRootPW: {SSHA}your_generated_password_hash
Ersetzen dc=mydomain,dc=com
mit der entsprechenden Domäne für Ihre Organisation.
Als Nächstes richten wir die LDAP-Domäne ein. Öffne das olcDatabase={1}monitor.ldif
Datei:
nano /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
Suchen Sie die Zeile, die mit beginnt olcAccess
und ändern Sie es wie folgt:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external, cn=auth" read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none
Ersetzen dc=mydomain,dc=com
mit Ihrer Domain.
Nachdem Sie OpenLDAP konfiguriert haben, können Sie den OpenLDAP-Server starten, indem Sie den folgenden Befehl ausführen:
sudo systemctl enable slapd sudo systemctl start slapd
Schritt 4. OpenLDAP sichern
- A. Implementierung von TLS/SSL:
Um die Datenkommunikation mit OpenLDAP zu sichern, implementieren wir TLS/SSL-Zertifikate. Erstellen Sie zunächst ein Zertifikatsverzeichnis:
sudo mkdir /etc/openldap/certs
Als nächstes generieren Sie einen privaten Schlüssel und eine Zertifikatsignierungsanforderung (CSR):
sudo openssl req -new -nodes -out /etc/openldap/certs/mydomain.csr -keyout /etc/openldap/certs/mydomain.key -subj "/C=US/ST=State/L=City/O=MyCompany/CN=mydomain.com"
Ersetzen Sie das Land (C), den Staat (ST), die Stadt (L), die Organisation (O) und den allgemeinen Namen (CN) durch die Details Ihrer Organisation.
Erstellen Sie nun ein selbstsigniertes Zertifikat mit dem CSR:
sudo openssl x509 -req -in /etc/openldap/certs/mydomain.csr -out /etc/openldap/certs/mydomain.crt -signkey /etc/openldap/certs/mydomain.key -days 365
- B. Zugangskontrolle:
Implementieren Sie Zugriffskontrollregeln, um den Datenzugriff zu sichern. Öffne das olcDatabase={2}hdb.ldif
Datei:
nano /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
Suchen Sie die olcAccess
Zeile und ändern Sie sie, um den Zugriff nach Bedarf einzuschränken:
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=mydomain,dc=com" write by * none olcAccess: {1}to * by self read by dn="cn=admin,dc=mydomain,dc=com" write by * read
Ersetzen dc=mydomain,dc=com
mit Ihrer Domain.
Schritt 5. OpenLDAP in Anwendungen integrieren.
- A. Konfigurieren von Client-Systemen:
Um Clientsysteme gegenüber dem OpenLDAP-Server zu authentifizieren, müssen Sie den LDAP-Client des Clientsystems entsprechend konfigurieren.
Installieren Sie die LDAP-Client-Pakete auf dem Client-System:
sudo dnf install openldap openldap-clients
Erstellen Sie eine LDAP-Konfigurationsdatei:
sudo nano /etc/openldap/ldap.conf
Fügen Sie der Datei die folgenden Zeilen hinzu:
BASE dc=mydomain,dc=com URI ldap://your_ldap_server_ip
Ersetzen dc=mydomain,dc=com
mit Ihrer Domain und your_ldap_server_ip
mit der IP-Adresse Ihres LDAP-Servers.
Um eine erfolgreiche Konfiguration sicherzustellen, verwenden Sie die ldapsearch
Befehl zum Testen der LDAP-Konnektivität:
ldapsearch -x -b "dc=mydomain,dc=com" -D "cn=Manager,dc=mydomain,dc=com" -W
Glückwunsch! Sie haben OpenLDAP erfolgreich installiert. Vielen Dank, dass Sie dieses Tutorial zur Installation von OpenLDAP auf Ihrem Rocky Linux 9-System verwendet haben. Für weitere Hilfe oder nützliche Informationen empfehlen wir Ihnen, hier nachzuschauen die offizielle OpenLDAP-Website.