Bài giảng về Openldap

openldap Apache Samba Postfix Squid Vsftp Openldap Demo: tích hợp openvpn vào ldap Đỗ Quang Ngọc M.Eng Apache Phần mềm dùng làm web server Hỗ trợ đày đủ các phiên bản của giao thức http Cung cấp source code đầy đủ, license không hạn chế Chạy trên nhiều hệ điêu hành windows, Unix, Linux.. Apache hoạt động linh hoạt, cho phép mở rộng nhiều tính năng, có thể biên dịch thêm nhiều module Hai phương pháp chứng thực: + Basic Authentication. + Digest Authentication. File chứa user: cat /etc/httpd/conf/userpasswd nv2:pMxqVRP.KZYVw nv1:mS.U/NuGN00qk Samba Chứng thực và cấp phép truy cập Xây dựng Primary domain controller Chia sẻ file, Printer Phân giải tên File chứa user: /etc/samba/smbpasswd Nv1 nv2 Postfix Phần mềm mã nguồn mở, nhanh và secure Hỗ trợ đầy đủ các giao thức smtp, pop, imap, http .. File chứa user: /etc/passwd quangngoc:x:1006:1006::/home/ quangngoc :/bin/bash vanhue:x:51314:51314::/home/vanhue:/bin/bash Squid Squid là một caching proxy server. Squid server được đặt giữa Web client và Web server. Khi có request yêu cầu Web page, Squid sẽ kiểm tra, xác nhận tính hợp lệ của request dựa trên những policy đã được định nghĩa trong Squid. Sau đó, truy vấn Web page để trả về kết quả cho request. Nếu kết quả đã có trong cache của Squid, thì Squid trả kết quả về ngay cho request. /etc/passwd quangngoc:x:1006:1006::/home/ quangngoc :/bin/bash vanhue:x:51314:51314::/home/vanhue:/bin/bash FTP Dịch vụ FTP là dịch vụ cung cấp cơ chế truyền, nhận file qua giao thức TCP/IP. Dịch vụ FTP hoạt động trên hai port: Port 20: data port. Dữ liệu sẽ được truyền trên port này. Port 21: control port. Port này dùng để trao đổi lệnh, reply giữa client và server. /etc/passwd quangngoc:x:1006:1006::/home/ quangngoc :/bin/bash vanhue:x:51314:51314::/home/vanhue:/bin/bash * Network Directory Network directory là một cấu trúc dùng để tổ chức lưu trữ theo dạng phân cấp hình cây. Network directory được tổ chức để thuận tiện nhất cho việc đọc và tìm kiếm. Nếu ứng dụng cần nhiều thao tác insert, update thì không nên lưu trữ theo kiểu network directory. X.500 là một network directory. AD - Chứng thực tập trung LDAP - Chứng thực tập trung LDAP directory uid=babs, ou=people, dc=example, dc=com DN: Distinguished Name RDN: Relative Distinguished Name * LDAP directory (tt) Những schema và objectclass thường được dùng đều đã được định nghĩa sẵn trong RFC. Khi muốn định nghĩa một cấu trúc cây thư mục, phân tích, quyết định cần những attribute nào, sau đó tìm những objectclass, schema có những attribute này. Từ đó, xây dựng nên cấu trúc cây thư mục. Nếu không có schema thỏa mãn yêu cầu, có thể định nghĩa schema, objectclass mới. * LDAP directory (tt) * OPENLDAP (tt) Openldap là phần mềm mã nguồn mở, dùng để hiện thực LDAP chạy trên hệ điều hành Linux/ UNIX. Phía server gồm có hai dịch vụ chính: slapd: standalone LDAP daemon. Daemon này lắng nghe các request truy vấn LDAP từ client, tiến hành truy vấn, và gởi câu trả lời. slurpd: LDAP replication daemon. Daemon này dùng để đồng bộ những thay đổi từ LDAP master server sang LDAP slave server. * OPENLDAP (tt) Để truy vấn LDAP, client dùng những lệnh sau: ldapadd: thêm một entry mới. ldapmodify: chỉnh sửa thông tin một entry. ldapdelete: xóa một entry. ldapmodrdn: chỉnh sửa RDN của entry. ldapsearch: tìm kiếm thông tin entry. Master ldap & Slave ldap Multi Master Tích hợp Openldap Openldap - AD Quản trị Openldap Quản trị Openldap Demo Tích hợp OPENVPN vào LDAP Tích hợp OPENVPN vào LDAP Cài Openldap openldap-2.3.43-3.el5 nss_ldap-253-21.el5 php-ldap-5.1.6-23.2.el5_3 openldap-servers-2.3.43-3.el5 python-ldap-2.2.0-2.1 openldap-devel-2.3.43-3.el5 openldap-clients-2.3.43-3.el5 Cấu hình ldap /etc/openldap/slapd.conf database bdb suffix "dc=nhatnghe,dc=com" rootdn "cn=Manager,dc=nhatnghe,dc=com“ rootpw 123456 directory /var/lib/ldap Khởi động ldap service ldap start chkconfig ldap on Tạo DC, OU, User taodc.ldif dn: dc=nhatnghe,dc=com objectclass: dcObject objectclass: organization o: Example Company dc: nhatnghe dn: ou=Kinhdoanh,dc=nhatnghe,dc=com objectClass: organizationalUnit ou: Kinhdoanh dn: cn=quangngoc,dc=nhatnghe,dc=com objectclass: organizationalRole cn: quangngoc ldapadd -c -x -D "cn=Manager,dc=nhatnghe,dc=com" -W –f taodc.ldif Cài open vpn lzo-2.04-1.el5.rf.i386.rpm openvpn-2.2.0-2.el5.rf.i386.rpm openvpn-auth-ldap-2.0.3-3.el5.i386.rpm libobjc-4.1.2-50.el5.i386.rpm pkcs11-helper-1.08-1.el5.rf.i386.rpm Cấu hình openvpn Chép các file cấu hình cp -R /usr/share/doc/openvpn-2.2.0/easy-rsa/ /etc/openvpn/ Configure Public Key Infrastructure Variables /etc/openvpn/easy-rsa/2.0/vars, sửa các dòng: export KEY_COUNTRY="VN" export KEY_PROVINCE="HCM" export KEY_CITY="Hcm" export KEY_ORG="Nhatnghe" export KEY_EMAIL=quangngoc@yahoo.com Initialize the Public Key Infrastructure (PKI) cd /etc/openvpn/easy-rsa/2.0/ chmod +rwx * source ./vars ./clean-all ./pkitool --initca Tạo 2 file ca.crt ca.key Tạo Certificates ./pkitool --server server ll keys/ -rw-r--r-- 1 root root 3 Jun 28 17:18 serial.old -rw-r--r-- 1 root root 3835 Jun 28 17:19 server.crt -rw-r--r-- 1 root root 664 Jun 28 17:19 server.csr -rw------- 1 root root 887 Jun 28 17:19 server.key B6. Tạo Diffie Hellman Parameters ./build-dh ll keys/ -rw-r--r-- 1 root root 245 Jun 28 17:21 dh1024.pem Chép Keys ca.crt ca.key dh1024.pem server.crt server.key cp keys/{ca.crt,ca.key,server.crt,server.key,dh1024.pem} /etc/openvpn/ Cấu hình openvpn chứng thực từ openldap vi /etc/openvpn/auth/ldap.conf URL ldap://192.168.1.11 BindDN cn=Manager,dc=nhatnghe,dc=com Password 123456 #TLSEnable yes #TLSCACertFile /usr/local/etc/ssl/ca.pem #TLSCACertDir /etc/ssl/certs #TLSCertFile /usr/local/etc/ssl/client-cert.pem #TLSKeyFile /usr/local/etc/ssl/client-key.pem BaseDN "dc=nhatnghe,dc=com" SearchFilter (uid=%u) cấu hình openvpn Chép file cp /usr/share/doc/openvpn-2.2.0/sample-config-files/server.conf /etc/openvpn/ vi /etc/openvpn/server.conf 96 Server 172.16.1.0 255.255.255.0 136 push "route 172.16.0.0 255.255.255.0" 137 push "route 10.8.0.0 255.255.255.0" Thêm vào cuối file 2 dòng plugin /usr/lib/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf client-cert-not-required Cấu hình vpn client Tạo file cấu hình cho client cp /usr/share/doc/openvpn-2.2.0/sample-config-files/client.conf /etc/openvpn/easy-rsa/2.0/keys/client.ovpn vi /etc/openvpn/easy-rsa/2.0/keys/client.ovpn remote 192.168.1.11 1194 #ciert client.crt #key client.key auth-user-pass Lan routing Enable IP forward Vi /etc/sysctl.conf net.ipv4.ip_forward = 1 Enable lan routing echo 1 > /proc/sys/net/ipv4/ip_forward cài  OpenVPN GUI Chép: client.ovpn và ca.crt đến thư mục C:\Program Files\OpenVPN\config