OpenLDAP là một bộ phần mềm mã nguồn mở và miễn phí triển khai LDAP (Giao thức truy cập thư mục nhẹ). Đây là một giao thức độc lập với nền tảng có thể được sử dụng cho các dịch vụ xác thực tập trung và truy cập thư mục như email và các ứng dụng khác.
OpenLDAP là một daemon LDAP độc lập cung cấp các thư viện và tiện ích của riêng nó. Ngoài ra, nó cung cấp hỗ trợ cho xác thực chứng chỉ TLS và xác thực SASL.
Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình OpenLDAP trên Debian 11 Bullseye.
Trước khi bạn bắt đầu cài đặt các gói OpenLDAP, hãy chạy lệnh 'apt' bên dưới để làm mới kho lưu trữ của Debian.
Bây giờ hãy cài đặt các gói OpenLDAP 'slapd' và 'ldap-utils'. Gói 'slapd' là gói chính của OpenLDAP và 'ldap-utils' cung cấp các tiện ích dòng lệnh để quản lý máy chủ OpenLDAP.
Gõ 'Y' và nhấn 'ENTER' để xác nhận cài đặt.
Bây giờ bạn sẽ được yêu cầu thiết lập mật khẩu cho người dùng quản trị OpenLDAP.
Nhập mật khẩu của bạn và chọn 'OK', sau đó nhấn 'ENTER'.
Lặp lại mật khẩu của bạn và chọn 'OK', sau đó nhấn 'ENTER' một lần nữa. Và quá trình cài đặt OpenLDAP đã hoàn tất.
Trước khi đi xa hơn, chúng ta hãy thiết lập FQDN (Tên miền đủ điều kiện) của máy chủ bằng lệnh sau.
Bây giờ hãy chỉnh sửa tệp '/etc/hosts' bằng trình soạn thảo nano.
Sao chép và dán cấu hình sau và đảm bảo thay đổi địa chỉ IP bằng địa chỉ IP máy chủ của bạn và FQDN bằng tên máy chủ và tên miền cục bộ của bạn.
Lưu và đóng tệp.
Bây giờ hãy đăng xuất khỏi phiên SSH hiện tại của bạn và đăng nhập lại vào máy chủ của bạn.
Tiếp theo, hãy chạy lệnh bên dưới để cấu hình lại gói OpenLDAP 'slapd'.
Chọn Không khi được yêu cầu xóa/bỏ qua cấu hình OpenLDAP cũ. Thao tác này sẽ giữ nguyên cấu hình cũ.
Bây giờ hãy nhập tên miền cục bộ DNS cho máy chủ OpenLDAP của bạn và chọn OK.
Nhập tên tổ chức và chọn OK. Tùy chọn, bạn có thể để mặc định với cùng tên với tên miền.
Bây giờ hãy nhập mật khẩu quản trị viên OpenLDAP và chọn OK để tiếp tục.
Xác nhận mật khẩu quản trị viên OpenLDAP và chọn OK một lần nữa.
Chọn KHÔNG khi được yêu cầu xóa cơ sở dữ liệu slapd cũ.
Bây giờ hãy chọn Có để di chuyển cơ sở dữ liệu slapd cũ.
Và cấu hình các gói OpenLDAP hiện đã hoàn tất.
Để xác minh cấu hình OpenLDAP, hãy chạy lệnh 'slapcat' bên dưới.
Bây giờ bạn sẽ nhận được đầu ra tương tự như ảnh chụp màn hình bên dưới. Tên miền và tên tổ chức cho OpenLDAP đang sử dụng đúng 'mydomain.local'
Cuối cùng, hãy khởi động lại dịch vụ 'slapd' để áp dụng các thay đổi mới. Sau đó, hãy xác minh dịch vụ 'slapd'.
Bây giờ, bạn sẽ thấy trạng thái dịch vụ 'slapd' là 'active (running)'.
Khuyến nghị sử dụng tường lửa trong môi trường cục bộ của bạn, điều này sẽ tăng cường bảo mật máy chủ của bạn.
Bây giờ, hãy chạy lệnh ufw bên dưới để thêm dịch vụ LDAP và LDAPS vào tường lửa ufw.
Tiếp theo, tải lại quy tắc tường lửa UFW bằng lệnh sau.
Cuối cùng, hãy xác minh danh sách các dịch vụ được bật trên tường lửa UFW của bạn bằng lệnh sau.
Bạn sẽ nhận được đầu ra như ảnh chụp màn hình bên dưới. Các dịch vụ LDAP và LDAPS được thêm vào tường lửa UFW.
Bây giờ bạn đã sẵn sàng thiết lập nhóm và người dùng của máy chủ OpenLDAP.
LDIF là tệp định dạng của các mục nhập LDAP và có thể được sử dụng để quản lý người dùng và nhóm trên máy chủ OpenLDAP.
Tạo tệp mới '/etc/ldap/users.ldif' bằng trình soạn thảo nano.
Sao chép và dán cấu hình sau. Cấu hình này sẽ tạo một nhóm mới có tên là 'People' trên tên miền 'mydomain.local.
Lưu và đóng tệp.
Tiếp theo, chạy lệnh 'ldapadd' bên dưới để thêm nhóm được xác định trên tệp 'users.ldif'.
Bạn sẽ được yêu cầu nhập mật khẩu 'admin' của máy chủ OpenLDAP. Và khi quá trình thành công, bạn sẽ thấy một thông báo như 'thêm mục mới "ou=People,dc=mydomain,dc=local"'.
Để xác minh nhóm 'People', hãy chạy lệnh 'ldapsearch' bên dưới. Lệnh này sẽ hiển thị các nhóm khả dụng trên máy chủ OpenLDAP.
Bây giờ bạn sẽ thấy nhóm 'People' khả dụng trên máy chủ OpenLDAP.
Bây giờ hãy tạo một tệp mới 'alice.ldif' bằng trình soạn thảo nano.
Sao chép và dán cấu hình sau và đảm bảo thay đổi mật khẩu 'AlicePassword' bằng mật khẩu mạnh.
Trong ví dụ này, bạn sẽ tạo một người dùng mới có tên 'alice' với thư mục gốc '/home/alice' và shell mặc định '/bin/bash'. Ngoài ra, người dùng 'alice' là một phần của nhóm 'People'.
Lưu và đóng tệp.
Tiếp theo, chạy lệnh 'ldapadd' bên dưới để thêm người dùng mới dựa trên 'alice.ldif' file.
Nhập mật khẩu quản trị viên OpenLDAP và bạn sẽ nhận được kết quả như sau 'thêm mục mới "cn=alice,ou=People,dc=mydomain,dc=local"', nghĩa là người dùng mới 'alice' đã được thêm vào máy chủ OpenLDAP.
Chạy lệnh 'ldapsearch' bên dưới để lấy danh sách người dùng trên máy chủ OpenLDAP.
Bạn sẽ nhận được kết quả như ảnh chụp màn hình bên dưới. Người dùng mới 'alice' hiện đã có trên máy chủ OpenLDAP.
Trong bước tiếp theo, bạn có thể muốn tìm hiểu thêm về cách thêm máy Linux như Ubuntu và CentOS vào máy chủ OpenLDAP.
OpenLDAP là một daemon LDAP độc lập cung cấp các thư viện và tiện ích của riêng nó. Ngoài ra, nó cung cấp hỗ trợ cho xác thực chứng chỉ TLS và xác thực SASL.
Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình OpenLDAP trên Debian 11 Bullseye.
Điều kiện tiên quyết
- Máy chủ Debian 11.
- Người dùng không phải root có quyền sudo/root.
Cài đặt OpenLDAP trên Debian 11
Đầu tiên, bạn sẽ cài đặt các gói OpenLDAP vào máy chủ Debian 11. Kho lưu trữ Debian mặc định cung cấp phiên bản ổn định OpenLDAP v2.4.Trước khi bạn bắt đầu cài đặt các gói OpenLDAP, hãy chạy lệnh 'apt' bên dưới để làm mới kho lưu trữ của Debian.
Mã:
sudo apt update
Mã:
sudo apt install slapd ldap-utilsBây giờ bạn sẽ được yêu cầu thiết lập mật khẩu cho người dùng quản trị OpenLDAP.
Nhập mật khẩu của bạn và chọn 'OK', sau đó nhấn 'ENTER'.
Lặp lại mật khẩu của bạn và chọn 'OK', sau đó nhấn 'ENTER' một lần nữa. Và quá trình cài đặt OpenLDAP đã hoàn tất.
Cấu hình máy chủ OpenLDAP
Sau khi bạn đã cài đặt các gói OpenLDAP, bây giờ bạn sẽ thiết lập OpenLDAP trên máy chủ Debian.Trước khi đi xa hơn, chúng ta hãy thiết lập FQDN (Tên miền đủ điều kiện) của máy chủ bằng lệnh sau.
Mã:
sudo hostnamectl set-hostname ldap.mydomain.local
Mã:
sudo nano /etc/hosts
Mã:
192.168.10.50 ldap.mydomain.local ldapBây giờ hãy đăng xuất khỏi phiên SSH hiện tại của bạn và đăng nhập lại vào máy chủ của bạn.
Tiếp theo, hãy chạy lệnh bên dưới để cấu hình lại gói OpenLDAP 'slapd'.
Mã:
sudo dpkg-reconfigure slapdBây giờ hãy nhập tên miền cục bộ DNS cho máy chủ OpenLDAP của bạn và chọn OK.
Nhập tên tổ chức và chọn OK. Tùy chọn, bạn có thể để mặc định với cùng tên với tên miền.
Bây giờ hãy nhập mật khẩu quản trị viên OpenLDAP và chọn OK để tiếp tục.
Xác nhận mật khẩu quản trị viên OpenLDAP và chọn OK một lần nữa.
Chọn KHÔNG khi được yêu cầu xóa cơ sở dữ liệu slapd cũ.
Bây giờ hãy chọn Có để di chuyển cơ sở dữ liệu slapd cũ.
Và cấu hình các gói OpenLDAP hiện đã hoàn tất.
Để xác minh cấu hình OpenLDAP, hãy chạy lệnh 'slapcat' bên dưới.
Mã:
sudo slapcatCuối cùng, hãy khởi động lại dịch vụ 'slapd' để áp dụng các thay đổi mới. Sau đó, hãy xác minh dịch vụ 'slapd'.
Mã:
sudo systemctl restart slapd
sudo systemctl status slapdThiết lập Tường lửa UFW
Nếu bạn đang chạy máy chủ Debian với tường lửa UFW được bật, bạn sẽ cần thêm dịch vụ LDAP và LDAPS vào tường lửa UFW.Khuyến nghị sử dụng tường lửa trong môi trường cục bộ của bạn, điều này sẽ tăng cường bảo mật máy chủ của bạn.
Bây giờ, hãy chạy lệnh ufw bên dưới để thêm dịch vụ LDAP và LDAPS vào tường lửa ufw.
Mã:
sudo ufw allow LDAP
sudo ufw allow LDAPS
Mã:
sudo ufw reload
Mã:
sudo ufw statusBây giờ bạn đã sẵn sàng thiết lập nhóm và người dùng của máy chủ OpenLDAP.
Thiết lập nhóm người dùng
Máy chủ OpenLDAP thường được sử dụng để xác thực trên một nhóm máy tính hoặc máy chủ. Và trong bước này, bạn sẽ thiết lập nhóm trên máy chủ OpenLDAP bằng tệp LDIF (LDAP Data Interchange Format).LDIF là tệp định dạng của các mục nhập LDAP và có thể được sử dụng để quản lý người dùng và nhóm trên máy chủ OpenLDAP.
Tạo tệp mới '/etc/ldap/users.ldif' bằng trình soạn thảo nano.
Mã:
sudo nano /etc/ldap/users.ldif
Mã:
dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: PeopleTiếp theo, chạy lệnh 'ldapadd' bên dưới để thêm nhóm được xác định trên tệp 'users.ldif'.
Mã:
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldifĐể xác minh nhóm 'People', hãy chạy lệnh 'ldapsearch' bên dưới. Lệnh này sẽ hiển thị các nhóm khả dụng trên máy chủ OpenLDAP.
Mã:
sudo ldapsearch -x -b "dc=mydomain,dc=local" ouThiết lập người dùng mới
Sau khi thiết lập nhóm trên OpenLDAP, giờ bạn có thể thêm người dùng mới vào máy chủ OpenLDAP. Ngoài ra, điều này có thể được thực hiện bằng cách sử dụng tệp LDIF và công cụ dòng lệnh 'ldapadd'.Bây giờ hãy tạo một tệp mới 'alice.ldif' bằng trình soạn thảo nano.
Mã:
sudo nano alice.ldifTrong ví dụ này, bạn sẽ tạo một người dùng mới có tên 'alice' với thư mục gốc '/home/alice' và shell mặc định '/bin/bash'. Ngoài ra, người dùng 'alice' là một phần của nhóm 'People'.
Mã:
# Thêm người dùng alice vào Máy chủ LDAP
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bashTiếp theo, chạy lệnh 'ldapadd' bên dưới để thêm người dùng mới dựa trên 'alice.ldif' file.
Mã:
sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldifChạy lệnh 'ldapsearch' bên dưới để lấy danh sách người dùng trên máy chủ OpenLDAP.
Mã:
sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"Kết luận
Xin chúc mừng! Bây giờ bạn đã cài đặt thành công máy chủ OpenLDAP trên máy chủ Debian 11. Ngoài ra, bạn đã học cách thêm nhóm và người dùng bằng các tệp LDIF (LDAP Data Interchange Format) và công cụ dòng lệnh 'ldapadd'.Trong bước tiếp theo, bạn có thể muốn tìm hiểu thêm về cách thêm máy Linux như Ubuntu và CentOS vào máy chủ OpenLDAP.