Cách cài đặt OpenLDAP Server và LDAP Account Manager trên Debian 12

[theanh]

OpenLDAP là một phần mềm triển khai của Lightweight Directory Access Protocol (LDAP). OpenLDAP là phần mềm miễn phí và mã nguồn mở với giấy phép theo kiểu BSD có tên là OpenLDAP Public License. Phần mềm LDAP ổ đĩa dòng lệnh của nó có sẵn trên hầu hết các bản phân phối Linux như CentOS, Ubuntu, Debian, SUSE và nhiều bản phân phối khác.

OpenLDAP là một bộ phần mềm hoàn chỉnh cho máy chủ LDAP, bao gồm SLAPD (trình nền LDAP độc lập), SLURPD (trình nền sao chép cập nhật LDAP độc lập) và một số tiện ích và công cụ để quản lý máy chủ LDAP. OpenLDAP là một máy chủ LDAP có khả năng tùy chỉnh cao và hỗ trợ tất cả các nền tảng điện toán chính.

Bài viết này sẽ hướng dẫn bạn cài đặt máy chủ OpenLDAP trên Debian 12 từng bước. Bạn cũng sẽ cài đặt LDAP Account Manager hay LAM, một ứng dụng web PHP có thể được sử dụng để quản lý máy chủ OpenLDAP.

Điều kiện tiên quyết​

Bạn phải có những điều sau để bắt đầu hướng dẫn này:

Máy chủ Debian 12 - Bản demo này sử dụng máy có tên máy chủ ldap và địa chỉ IP 192.168.10.15.
Người dùng không phải root có quyền quản trị viên.

Thiết lập FQDN​

Ở bước đầu tiên, bạn phải cấu hình fqdn (Tên miền đủ điều kiện) thích hợp của máy chủ Debian. Bạn có thể thực hiện việc này bằng tiện ích hostnamectl và sửa đổi tệp /etc/hosts.

Thực hiện lệnh hostnamectl bên dưới để thiết lập fqdn cho máy chủ Debian của bạn. Trong trường hợp này, fqdn sẽ được sử dụng cho máy chủ OpenLDAP là ldap.mydomain.local.

sudo hostnamectl set-hostname ldap.mydomain.local

Sử dụng lệnh nano editor, mở tệp /etc/hosts.

sudo nano /etc/hosts

Thêm địa chỉ IP máy chủ OpenLDAP của bạn, hostname và fqdn như sau:

192.168.10.15 ldap.mydomain.local ldap

Sau khi hoàn tất, hãy lưu tệp và thoát khỏi trình chỉnh sửa.

Cuối cùng, hãy chạy lệnh sau để đảm bảo rằng bạn đã đặt đúng fqdn. Sau đó, hãy đảm bảo rằng fqdn được trỏ đến đúng địa chỉ IP.

sudo hostname -f
sudo ping -c3 ldap.mydomain.local

Trong kết quả đầu ra sau, bạn sẽ thấy fqdn của máy chủ Debian là ldap.mydomain.local, được trỏ đến địa chỉ IP cục bộ 192.168.10.15.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22265%22%3E%3C/svg%3E

Cài đặt máy chủ OpenLDAP​

Sau khi cấu hình fqdn, bạn có thể cài đặt gói máy chủ OpenLDAP thông qua APT từ kho lưu trữ Debian chính thức. Sau đó, bạn phải cấu hình một số thông tin cơ bản về máy chủ OpenLDAP của mình, chẳng hạn như tên miền và mật khẩu quản trị viên.

Trước khi cài đặt OpenLDAP, hãy chạy lệnh apt update để làm mới chỉ mục gói Debian của bạn.

sudo apt update

Bây giờ hãy chạy lệnh apt install bên dưới để cài đặt gói máy chủ OpenLDAP. Khi được nhắc, hãy nhập y để xác nhận và tiếp tục cài đặt.

sudo apt install slapd ldap-utils

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22289%22%3E%3C/svg%3E


Trong quá trình cài đặt, bạn sẽ được yêu cầu thiết lập mật khẩu quản trị viên cho máy chủ OpenLDAP. Nhập mật khẩu của bạn và lặp lại.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22725%22%20height=%22264%22%3E%3C/svg%3E



data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22183%22%3E%3C/svg%3E


Sau khi máy chủ OpenLDAP được cài đặt, hãy chạy lệnh sau để cấu hình OpenLDAP của bạn cài đặt.

sudo dpkg-reconfigure slapd

Chọn KHÔNG khi được yêu cầu bỏ qua cấu hình OpenLDAP mặc định.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22188%22%3E%3C/svg%3E


Nhập tên miền cho máy chủ OpenLDAP của bạn và chọn OK.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22152%22%3E%3C/svg%3E


Bây giờ nhập tên tổ chức và chọn OK.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22206%22%3E%3C/svg%3E


Tiếp theo, nhập mật khẩu quản trị viên cho máy chủ OpenLDAP và nhập lại mật khẩu.

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22178%22%3E%3C/svg%3E


Khi được yêu cầu xóa cơ sở dữ liệu cũ của máy chủ OpenLDAP, hãy chọn KHÔNG.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22623%22%20height=%22223%22%3E%3C/svg%3E


Để hoàn tất cấu hình máy chủ OpenLDAP, hãy chọn CÓ khi được yêu cầu di chuyển cơ sở dữ liệu OpenLDAP cũ đến một vị trí mới.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22142%22%3E%3C/svg%3E


Khi hoàn tất, bạn sẽ nhận được kết quả như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22705%22%20height=%22170%22%3E%3C/svg%3E


Sau khi máy chủ OpenLDAP được đã cấu hình. Thực hiện lệnh systemctl bên dưới để khởi động lại dịch vụ OpenLDAP slapd và áp dụng các thay đổi. Sau đó, hãy xác minh dịch vụ slapd để đảm bảo rằng dịch vụ đang chạy.

sudo systemctl restart slapd
sudo systemctl status slapd

Nếu đang chạy, bạn sẽ nhận được đầu ra như active (running).


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22242%22%3E%3C/svg%3E


Cuối cùng, hãy chạy lệnh sau để xác minh tên miền của máy chủ OpenLDAP của bạn.

sudo slapcat

Nếu mọi việc diễn ra tốt đẹp, bạn sẽ thấy máy chủ OpenLDAP được cấu hình với tên miền tùy chỉnh. Trong trường hợp này, tên miền là ldap.mydomain.local.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22509%22%20height=%22308%22%3E%3C/svg%3E

Bảo mật OpenLDAP bằng UFW​

Trong trường hợp này, bạn sẽ bảo mật máy chủ OpenLDAP của mình thông qua UFW. Vì vậy, bạn sẽ cài đặt UFW thông qua APT, sau đó cấu hình UFW và mở các giao thức LDAP, LDAPS, HTTP và HTTPS.

Trước tiên, hãy cài đặt UFW thông qua lệnh apt install bên dưới. Nhập y để xác nhận cài đặt.

sudo apt install ufw

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22643%22%20height=%22310%22%3E%3C/svg%3E


Sau khi UFW được cài đặt, hãy chạy lệnh sau để thêm cấu hình OpenSSH và bật UFW. Nhập y và nhấn ENTER để xác nhận.

sudo ufw allow OpenSSH
sudo ufw enable

Đầu ra "Tường lửa đang hoạt động và được bật khi khởi động hệ thống" sẽ chỉ ra rằng UFW hiện đang chạy và được bật.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22719%22%20height=%22166%22%3E%3C/svg%3E


Tiếp theo, chạy các lệnh ufw bên dưới để bật Cấu hình LDAP, LDAPS và WWW đầy đủ trên UFW.

sudo ufw allow LDAP
sudo ufw allow LDAPS
sudo ufw allow "WWW Full"

Cuối cùng, hãy chạy lệnh bên dưới để tải lại UFW và áp dụng các thay đổi. Sau đó, hãy xác minh trạng thái UFW để đảm bảo cả LDAP và LDAPS đều khả dụng trên UFW.

sudo ufw reload
sudo ufw status

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22487%22%20height=%22349%22%3E%3C/svg%3E

Thêm Nhóm cơ sở​

Sau khi cài đặt Máy chủ OpenLDAP và UFW, bây giờ bạn sẽ tạo nhóm cơ sở cho máy chủ OpenLDAP của mình thông qua tệp LDIF. Tên miền cơ sở ở đây sẽ được sử dụng để lưu trữ người dùng và nhóm OpenLDAP.

Tạo tệp LDIF mới base.ldif bằng lệnh nano editor sau.

sudo nano base.ldif

Chèn cấu hình sau và đảm bảo thay đổi tên miền bằng tên miền của bạn. Trong trường hợp này, bạn sẽ tạo hai nhóm cơ sở là People và Groups.

# base.ldif

dn: ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: groups

Khi hoàn tất, hãy lưu tệp và thoát khỏi trình chỉnh sửa.

Bây giờ hãy chạy lệnh sau để thêm nhóm cơ sở mới thông qua tệp base.ldif. Khi được nhắc, hãy nhập mật khẩu quản trị viên OpenLDAP của bạn.

sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f base.ldif

Cuối cùng, hãy chạy lệnh ldapsearch bên dưới để tìm nhóm cơ sở khả dụng trên máy chủ OpenLDAP của bạn.

sudo ldapsearch -x -b "dc=ldap,dc=mydomain,dc=local" ou

Nếu mọi việc diễn ra tốt đẹp, bạn sẽ thấy hai nhóm cơ sở là People và Group khả dụng trên OpenLDAP.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22167%22%3E%3C/svg%3E

Thêm người dùng mới​

Trong phần này, bạn sẽ tạo một người dùng OpenLDAP mới thông qua tệp LDIF.

Để tạo một người dùng OpenLDAP mới, bạn phải tạo mật khẩu được mã hóa thông qua lệnh slappasswd bên dưới. Nhập mật khẩu của bạn và lặp lại, sau đó sao chép mật khẩu đã tạo.

sudo slappasswd

Bây giờ, hãy sử dụng lệnh nano editor sau để tạo tệp LDIF mới user.ldif.

nano user.ldif

Chèn cấu hình sau và đảm bảo thay đổi thông tin chi tiết về người dùng, mật khẩu và tên miền. Trong trường hợp này, bạn sẽ tạo một người dùng và nhóm debian mới.

# user.ldif

dn: uid=debian,ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: debian
sn: bookworm
userPassword: {SSHA}23rFF1ofbNo5MRxEJo6D2Z4PT2GOxeWt
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/debian
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0

dn: cn=debian,ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: posixGroup
cn: debian
gidNumber: 2000
memberUid: debian

Sau khi hoàn tất, hãy lưu và thoát khỏi tệp.

Tiếp theo, hãy chạy lệnh ldapadd bên dưới để thêm người dùng của bạn thông qua tệp LDIF user.ldif. Nhập mật khẩu quản trị viên OpenLDAP khi được nhắc.

sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f user.ldif

Cuối cùng, hãy chạy lệnh sau để tìm những người dùng có sẵn trong nhóm cơ sở People. Nếu thành công, bạn sẽ thấy người dùng debian được thêm vào máy chủ OpenLDAP.

sudo ldapsearch -x -b "ou=People,dc=ldap,dc=mydomain,dc=local"

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22700%22%20height=%22615%22%3E%3C/svg%3E

Cài đặt Trình quản lý tài khoản LDAP​

Tại thời điểm này, bạn đã hoàn tất Cài đặt máy chủ OpenLDAP. Trong hai bước tiếp theo, bạn sẽ cài đặt LDAP Account Manager (LAM) thông qua kho lưu trữ Debian chính thức, sau đó bạn sẽ cấu hình LAM với cài đặt máy chủ OpenLDAP của mình.

Chạy lệnh apt install bên dưới để cài đặt ldap-account-manager vào máy chủ OpenLDAP của bạn. Bằng cách cài đặt ldap-account-manager, bạn cũng sẽ cài đặt các phụ thuộc bổ sung như PHP 8.2 và máy chủ web Apache2.

sudo apt install ldap-account-manager

Nhập y để xác nhận cài đặt.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22733%22%20height=%22534%22%3E%3C/svg%3E


Sau khi ldap-account-manager được cài đặt, hãy sử dụng lệnh nano editor để mở tệp cấu hình PHP /etc/php/8.2/apache2/php.ini.

sudo nano /etc/php/8.2/apache2/php.ini

Thay đổi tham số memory_limit mặc định thành 256M.

memory_limit = 256M

Khi hoàn tất, hãy lưu và thoát tệp.

Tiếp theo, mở tệp cấu hình Apache2 đối với ldap-account-manager /etc/apache2/conf-enabled/ldap-account-manager.conf bằng lệnh nano editor.

sudo nano /etc/apache2/conf-enabled/ldap-account-manager.conf

Thay đổi tham số "Require all granted" thành "Require ip subnet" và đảm bảo thêm địa chỉ IP cục bộ của bạn và cho phép nó truy cập vào Tài khoản LDAP Quản lý.

```
#Require all granted
Require ip 127.0.0.1 192.168.10.0/24
```

Lưu và thoát khỏi tệp khi hoàn tất.

Bây giờ hãy chạy lệnh systemctl bên dưới để khởi động lại dịch vụ apache2 và áp dụng các thay đổi.

sudo systemctl restart apache2

Cuối cùng, hãy khởi chạy trình duyệt web của bạn và truy cập địa chỉ IP của máy chủ có đường dẫn lam (tức là: http://192.168.10.15/lam) để truy cập Trình quản lý tài khoản LDAP. Nếu thành công, bạn sẽ thấy trang LAM như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22390%22%3E%3C/svg%3E

Cấu hình Trình quản lý tài khoản LDAP​

Bạn sẽ thêm máy chủ OpenLDAP của mình vào Trình quản lý tài khoản LDAP trong bước sau. Bạn có thể dễ dàng thực hiện việc này thông qua trình duyệt web.

Nhấp vào menu Cấu hình LAM ở góc trên bên phải.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22282%22%20height=%2253%22%3E%3C/svg%3E


Nhấp vào Chỉnh sửa cấu hình máy chủ để sửa đổi cấu hình OpenLDAP.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22548%22%20height=%22382%22%3E%3C/svg%3E


Khi được hỏi, hãy nhập tên người dùng và mật khẩu mặc định lam, sau đó nhấp vào OK để tiếp tục.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22710%22%20height=%22419%22%3E%3C/svg%3E


Bây giờ bạn sẽ thấy trang cấu hình LAM.

Trong Cài đặt chung, cấu hình phần sau:

• Trên Cài đặt công cụ, nhập tên miền của máy chủ OpenLDAP của bạn.
• Trên Cài đặt bảo mật, chọn phương thức đăng nhập là Danh sách cố định và nhập thông tin chi tiết về người dùng quản trị cho máy chủ OpenLDAP.
• Trên Mật khẩu hồ sơ, nhập mật khẩu mới và lặp lại.

Nhấp Lưu để áp dụng thay đổi.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22367%22%3E%3C/svg%3E



data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E


Tiếp theo, nhấp vào phần Loại tài khoản để cấu hình phần sau:

• Trên phần Người dùng, nhập tên miền cơ sở mặc định cho người dùng OpenLDAP. Trong trường hợp này, hậu tố mặc định là People.
• Trong phần Groups, nhập tên miền cơ sở mặc định cho nhóm. Trong trường hợp này, nhóm khác mặc định là Groups.

Nhấp vào Save để áp dụng các thay đổi.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22373%22%3E%3C/svg%3E


Bây giờ bạn sẽ được chuyển hướng đến trang đăng nhập LAM. Nhập tên người dùng admin và mật khẩu cho máy chủ OpenLDAP của bạn, sau đó nhấp vào Đăng nhập.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22732%22%20height=%22469%22%3E%3C/svg%3E


Trong phần Người dùng, bạn sẽ thấy người dùng debian.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22218%22%3E%3C/svg%3E

Kết luận​

Bằng cách làm theo hướng dẫn từng bước này, bạn đã hoàn tất việc cài đặt máy chủ OpenLDAP và LDAP Account Manager trên Debian 12. Bạn cũng đã bảo mật máy chủ OpenLDAP thông qua UFW và tạo người dùng trên OpenLDAP thông qua tệp LDIF. Cuối cùng, bạn cũng đã tích hợp LAM với máy chủ OpenLDAP. Bây giờ bạn có thể thêm nhiều người dùng hơn vào máy chủ OpenLDAP thông qua LDAP Account Manager.