Astra linux ldap client

Настройка ALD на Astra Linux SE 1.5

Комплекс программ Astra Linux Directory (ALD) является нашей разработкой и предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.

ALD использует технологии LDAP, Kerberos 5, Samba/CIFS и обеспечивает:

• централизованное хранение и управление учетными записями пользователей и групп;
• сквозную аутентификацию пользователей в домене с использованием протокола Kerberos 5;
• функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
• автоматическую настройку всех необходимых файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
• поддержку соответствия БД LDAP и Kerberos;
• создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
• интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, веб-серверов, серверов печати и т.п.

Кроме того, ALD предоставляет программные интерфейсы для интеграции в домен разрабатываемых программных решений.

«Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:

ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.

ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;

ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен.

Подготовим ALD сервер

Контроллер — srv.test.local (ip 192.168.1.100)

Клиент — arm.test.local (ip 192.168.1.101)

Установим и настроим ALD

Если сервер ALD не был отмечен при установке ОС, выполняем:

Скачать и установить два пакета:

sudo wget —no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/libhavege1_1.9.1-1_amd64_signed.deb

sudo wget —no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/haveged_1.9.1-1_amd64_signed.deb

Пример файла sudo nano /etc/ald/ald.conf

Запустим первичную инициализацию из root:

Можно проверить командами

В случае изменения /etc/ald/ald.conf необходимо выполнить команду commit-config для того, чтобы изменения вступили в силу на сервере:

Входим в «Управление доменной политикой безопасности» и созданим пользователя

Авторизуемся на сервер и открываем управление ALD

Источник

Вики IT-KB

Утилита ldapsearch (клиент OpenLDAP) и проверка подключения к контроллеру домена Active Directory

Проверку выполняем на примере Debian GNU/Linux 8 (Jessie). Сначала убедимся в том, что клиент OpenLDAP установлен в системе:

ii ldap-utils 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP utilities ii libldap-2.4-2:amd64 2.4.40+dfsg-1+deb8u2 amd64 OpenLDAP libraries

Исходные данные для проверки подключения клиента OpenLDAP к LDAP-каталогу на примере контроллера домена Active Directory (AD):

s-LDAP-Check-User — Имя пользователь в домене AD, от имени которого выполняется подключение (уровень прав в домене — рядовой пользователь);

«OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com» — DN-имя контейнера в AD, в котором выполняется поиск пользователя Test-User.

Проверка подключения по протоколу LDAP (TCP 389)

Используется подключение типа ldap:/. Учётные данные пользователя s-LDAP-Check-User передаются по сети в открытом виде:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAPS (TCP 636)

Используется подключение типа ldaps:/. LDAP-сессия шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Чтобы LDAP-клиент доверял сертификату контроллера домена, нам нужно создать файл, содержащий корневые сертификаты доменных Центров сертификации, которыми подписан сертификат контроллера домена. Назовём этот файл, например /etc/ssl/certs/cacerts.pem, и скопируем в него корневые сертификаты доменных ЦС в формате PEM и кодировке Base-64.

Изменим на время проверки конфигурационный файл клиента OpenLDAP /etc/ldap/ldap.conf, указав в переменной TLS_CACERT путь к созданному нами файлу с корневыми сертификатами доменных ЦС:

. #TLS_CACERT /etc/ssl/certs/ca-certificates.crt TLS_CACERT /etc/ssl/certs/cacerts.pem .

После этого можно попробовать выполнить поиск по протоколу LDAPS:

$ ldapsearch -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldaps://dc01.ad.holding.com" sAMAccountName=Test-User

Проверка подключения по протоколу LDAP с защитой StartTLS (TCP 389)

Используется подключение типа ldap:/ с дополнительными ключами, включающими TLS : -Z и -ZZ. LDAP-сессия также шифруется с помощью SSL-сертификата, предоставляемого контроллером домена. Первичное подключение к контроллеру домена AD происходит по порту 389, затем создаётся отдельный защищённый TLS-туннель, внутри которого и происходит весь LDAP-обмен между клиентом и сервером. Используется настроенный нами ранее файл корневых сертификатов доменных ЦС.

$ ldapsearch -Z -v -x \ -D "s-LDAP-Check-User@ad.holding.com" -w "PaZsw0rd" \ -b "OU=Test Users,OU=KOM,DC=ad,DC=holding,DC=com" \ -H "ldap://dc01.ad.holding.com" sAMAccountName=Test-User

Автор первичной редакции:
Алексей Максимов
Время публикации: 19.03.2017 18:04

Обсуждение

unix-linux/linux-cli-tools/openldap-ldap-client-check-connection-to-active-directory-domain-controller-with-ldapsearch.txt · Последнее изменение: 19.03.2017 19:05 — Алексей Максимов

Источник

Добавляем поддержку LDAP в PHP 7.4 на Astra Linux 2.12

Для авторизации на сайте и хранения некоторых типов данных удобнее всего использовать LDAP. Для PHP написан модуль, предоставляющий функционал доступа к серверу по протоколу LDAP – Php-ldap. В прошлой части мы рассмотрели добавление в PHP 7.4 поддержки работы со шрифтами через FreeType. Сегодня мы добавим в PHP поддержку протокола LDAP. Так как на Astra Linux мы собирали PHP 7.4 из исходного кода, то нам нужно переконфигурировать и пересобрать PHP.

Обновление и установка

sudo apt install libldap2-dev

Сборка PHP 7.4

./configure --with-config-file-path=/etc/php/php7.4 \ --sysconfdir=/etc/php/php7.4 \ --enable-mysqlnd \ --with-pdo-mysql \ --with-pdo-mysql=mysqlnd \ --with-pdo-pgsql=/usr/bin/pg_config \ --enable-bcmath \ --enable-fpm \ --with-fpm-user=www-data \ --with-fpm-group=www-data \ --enable-mbstring \ --enable-phpdbg \ --enable-shmop \ --enable-sockets \ --enable-sysvmsg \ --enable-sysvsem \ --enable-sysvshm \ --with-zlib \ --with-curl \ --with-pear \ --with-openssl \ --enable-pcntl \ --enable-gd \ --with-jpeg \ --with-mysqli \ --with-readline \ --with-freetype \ --with-ldap

sudo service php-7.4-fpm restart

Проверка наличия поддержки LDAP

Откроем страницу информации php и найдем блок с Ldap: Поддержка Ldap успешно добавлена

Заключение

Сегодня мы добавили поддержку протокола LDAP в PHP 7.4 на Astra Linux. Установили паке libldap2-dev, добавили опцию при конфигурации PHP 7.4 и пересобрали его из исходного кода. Перезапустили php-fpm и проверили наличие поддержки LDAP через страницу информации PHP.

Источник

Astra Linux Directory (ALD)

Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.

Установка пакетов

Установку пакета ald-server можно выполнить:

• либо при инсталляции ОС в:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);

  Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):

  Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:

  После завершения всех действий по установке графический инструмент будет доступен в меню:

  Подготовка к настройке

  Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
  При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.

  127.0.0.1 localhost
  111.111.111.111 server.domain.ald server

  111.111.111.112 arm.domain.ald arm

  # The following lines are desirable for IPv6 capable hosts
  ::1 localhost ip6-localhost ip6-loopback
  ff02::1 ip6-allnodes
  ff02::2 ip6-allrouters

  Настройка сервера ALD

  С помощью графического пакета

  Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:

  Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.

  Из командной строки

  Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :

  Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.

  Подключение клиента к домену ALD

  Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены

  Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:

  Для подключения клиентов с помощью командной строки используйте команду

  1 комментарий

  Неизвестный пользователь (amatveev)

  К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf

  Источник