Pesquisa de site

Como instalar o servidor OpenLDAP e o gerenciador de contas LDAP no Debian 12


OpenLDAP é uma implementação de software do Lightweight Directory Access Protocol (LDAP). OpenLDAP é um software gratuito e de código aberto com sua licença estilo BSD chamada OpenLDAP Public License. Seu software LDAP de unidade de linha de comando está disponível na maioria das distribuições Linux, como CentOS, Ubuntu, Debian, SUSE e muito mais.

OpenLDAP é um conjunto completo de software para servidores LDAP, que inclui SLAPD (daemon LDAP autônomo), SLURPD (daemon de replicação de atualização LDAP autônomo) e alguns utilitários e ferramentas para gerenciar servidores LDAP. OpenLDAP é um servidor LDAP altamente personalizável e oferece suporte a todas as principais plataformas de computação.

Este artigo irá guiá-lo passo a passo na instalação do servidor OpenLDAP no Debian 12. Você também instalará o LDAP Account Manager ou LAM, um aplicativo web PHP que pode ser usado para gerenciar o servidor OpenLDAP.

Pré-requisitos

Você deve ter o seguinte para iniciar este guia:

Um servidor Debian 12 - Esta demonstração usa uma máquina com nome de host ldap e endereço IP 192.168.10.15.
Um usuário não root com privilégios de administrador.

Configurando FQDN

Na primeira etapa, você deve configurar o fqdn (nome de domínio totalmente qualificado) adequado do seu servidor Debian. Isso pode ser conseguido usando o utilitário hostnamectl e modificando o arquivo /etc/hosts.

Execute o comando hostnamectl abaixo para configurar o fqdn para o seu servidor Debian. Neste caso, o fqdn que será utilizado para o servidor OpenLDAP é ldap.mydomain.local.

sudo hostnamectl set-hostname ldap.mydomain.local

Usando o comando do editor nano, abra o arquivo /etc/hosts.

sudo nano /etc/hosts

Adicione o endereço IP do servidor OpenLDAP, o nome do host e o fqdn assim:

192.168.10.15  ldap.mydomain.local ldap

Quando terminar, salve o arquivo e saia do editor.

Por último, execute o seguinte comando para garantir que você tenha o fqdn adequado. Em seguida, certifique-se de que o fqdn esteja apontado para o endereço IP correto.

sudo hostname -f
sudo ping -c3 ldap.mydomain.local

Na saída a seguir, você verá que o fqdn do servidor Debian é ldap.mydomain.local, que está apontado para o endereço IP local 192.168.10.15.

Instalando e servidor OpenLDAP

Após configurar o fqdn, você pode instalar o pacote do servidor OpenLDAP via APT do repositório oficial do Debian. Em seguida, você deve configurar algumas informações básicas sobre o seu servidor OpenLDAP, como nome de domínio e senha de administrador.

Antes de instalar o OpenLDAP, execute o comando apt update para atualizar o índice do seu pacote Debian.

sudo apt update

Agora execute o comando apt install abaixo para instalar o pacote do servidor OpenLDAP. Quando solicitado, digite y para confirmar e prosseguir com a instalação.

sudo apt install slapd ldap-utils

Durante a instalação, você será solicitado a definir a senha de administrador do servidor OpenLDAP. Insira sua senha e repita.

Após a instalação do servidor OpenLDAP, execute o seguinte comando para configurar sua instalação OpenLDAP.

sudo dpkg-reconfigure slapd

Selecione NÃO quando solicitado a omitir a configuração padrão do OpenLDAP.

Insira o nome de domínio do seu servidor OpenLDAP e selecione OK.

Agora insira o nome da organização e selecione OK.

Em seguida, insira sua senha de administrador do servidor OpenLDAP e repita a senha.

Quando solicitado a excluir o banco de dados antigo do servidor OpenLDAP, selecione NÃO.

Para finalizar a configuração do servidor OpenLDAP, selecione SIM quando solicitado a mover o banco de dados OpenLDAP antigo para um novo local.

Quando concluído, você deverá obter uma saída como esta:

Após a configuração do servidor OpenLDAP. execute o comando systemctl abaixo para reiniciar o serviço OpenLDAP slapd e aplicar as alterações. Em seguida, verifique o serviço slapd para garantir que ele esteja em execução.

sudo systemctl restart slapd
sudo systemctl status slapd

Se estiver em execução, você deverá obter uma saída como ativo (em execução).

Por último, execute o seguinte comando para verificar o nome de domínio do seu servidor OpenLDAP.

sudo slapcat

Se tudo correr bem, você verá que o servidor OpenLDAP está configurado com o domínio personalizado. Neste caso, o nome de domínio é ldap.mydomain.local.

Protegendo OpenLDAP com UFW

Neste caso, você protegerá seu servidor OpenLDAP via UFW. Portanto, você instalará o UFW via APT, depois configurará o UFW e abrirá os protocolos LDAP, LDAPS, HTTP e HTTPS.

Primeiro, instale o UFW através do comando apt install abaixo. Digite y para confirmar a instalação.

sudo apt install ufw

Depois que o UFW estiver instalado, execute o seguinte comando para adicionar o perfil OpenSSH e habilitar o UFW. Insira y e pressione ENTER para confirmar.

sudo ufw allow OpenSSH
sudo ufw enable

A saída "Firewall está ativo e habilitado na inicialização do sistema" deve indicar que o UFW agora está em execução e habilitado.

Em seguida, execute os comandos ufw abaixo para ativar os perfis LDAP, LDAPS e WWW Full no UFW.

sudo ufw allow LDAP
sudo ufw allow LDAPS
sudo ufw allow "WWW Full"

Por último, execute o comando abaixo para recarregar o UFW e aplicar as alterações. Em seguida, verifique o status do UFW para garantir que LDAP e LDAPS estejam disponíveis no UFW.

sudo ufw reload
sudo ufw status

Adicionando Grupo Base

Após instalar o servidor OpenLDAP e o UFW, agora você criará o grupo base para seu servidor OpenLDAP por meio do arquivo LDIF. O domínio base aqui será usado para armazenar usuários e grupos OpenLDAP.

Crie um novo arquivo LDIF base.ldif usando o seguinte comando do editor nano.

sudo nano base.ldif

Insira a seguinte configuração e certifique-se de alterar o nome de domínio com o seu domínio. Neste caso, você criará dois grupos base, Pessoas e Grupos.

# base.ldif
dn: ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: people
dn: ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: groups

Ao terminar, salve o arquivo e saia do editor.

Agora execute o seguinte comando para adicionar um novo grupo base por meio do arquivo base.ldif. Quando solicitado, insira sua senha de administrador do OpenLDAP.

sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f base.ldif

Por último, execute o comando ldapsearch abaixo para encontrar o grupo base disponível em seu servidor OpenLDAP.

sudo ldapsearch -x -b "dc=ldap,dc=mydomain,dc=local" ou

Se tudo correr bem, você deverá ver dois grupos base Pessoas e Grupos disponíveis no OpenLDAP.

Adicionando novo usuário

Nesta seção, você criará um novo usuário OpenLDAP por meio do arquivo LDIF.

Para criar um novo usuário OpenLDAP, você deve gerar a senha criptografada através do comando slappasswd abaixo. Insira sua senha e repita, depois copie a senha gerada.

sudo slappasswd

Agora use o seguinte comando do editor nano para criar um novo arquivo LDIF user.ldif.

nano user.ldif

Insira a seguinte configuração e certifique-se de alterar os detalhes do usuário, senha e nome de domínio. Neste caso, você criará um novo usuário e grupo debian.

# user.ldif
dn: uid=debian,ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: debian
sn: bookworm
userPassword: {SSHA}23rFF1ofbNo5MRxEJo6D2Z4PT2GOxeWt
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/debian
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0
dn: cn=debian,ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: posixGroup
cn: debian
gidNumber: 2000
memberUid: debian

Após terminar, salve e saia do arquivo.

Em seguida, execute o comando ldapadd abaixo para adicionar seu usuário por meio do arquivo LDIF user.ldif . Insira sua senha de administrador do OpenLDAP quando solicitado.

sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f user.ldif

Por fim, execute o seguinte comando para localizar os usuários que estão disponíveis no grupo base Pessoas. Se for bem sucedido, você deverá ver o usuário debian adicionado ao servidor OpenLDAP.

sudo ldapsearch -x -b "ou=People,dc=ldap,dc=mydomain,dc=local"

Instalando o Gerenciador de contas LDAP

Neste ponto, você concluiu a instalação do servidor OpenLDAP. Nas próximas duas etapas, você instalará o LDAP Account Manager (LAM) através do repositório oficial do Debian e, em seguida, configurará o LAM com a instalação do servidor OpenLDAP.

Execute o comando apt install abaixo para instalar o ldap-account-manager em seu servidor OpenLDAP. Ao instalar o ldap-account-manager, você também instalará dependências adicionais, como PHP 8.2 e servidor web Apache2.

sudo apt install ldap-account-manager

Digite y para confirmar a instalação.

Após a instalação do ldap-account-manager, use o comando do editor nano para abrir o arquivo de configuração PHP /etc/php/8.2/apache2/php.ini.

sudo nano /etc/php/8.2/apache2/php.ini

Altere o parâmetro memory_limit padrão para 256M.

memory_limit = 256M

Quando terminar, salve e saia do arquivo.

Em seguida, abra a configuração do Apache2 para ldap-account-manager /etc/apache2/conf-enabled/ldap-account-manager.conf usando o comando do editor nano.

sudo nano /etc/apache2/conf-enabled/ldap-account-manager.conf

Altere o parâmetro "Exigir todos concedidos" para "Exigir sub-rede ip" e certifique-se de adicionar seu endereço IP local e permitir que ele acesse o Gerenciador de contas LDAP.

```
#Require all granted
Require ip 127.0.0.1 192.168.10.0/24
```

Salve e saia do arquivo quando terminar.

Agora execute o comando systemctl abaixo para reiniciar o serviço Apache2 e aplicar as alterações.

sudo systemctl restart apache2

Por último, inicie seu navegador e visite o endereço IP do servidor com caminho lam (ou seja: http://192.168.10.15/lam) para acessar o Gerenciador de contas LDAP. Se for bem-sucedido, você deverá ver a página LAM assim:

Configurando o Gerenciador de contas LDAP

Você adicionará seu servidor OpenLDAP ao Gerenciador de contas LDAP na etapa seguinte. Isso pode ser feito facilmente através de um navegador da web.

Clique no menu Configuração LAM no canto superior direito.

Clique em Editar perfis de servidor para modificar o perfil OpenLDAP.

Quando solicitado, insira o usuário e a senha padrão lam e clique em OK para continuar.

Agora você deverá ver a página de configuração do LAM.

Nas Configurações Gerais, configure a seguinte seção:

  • Nas Configurações da ferramenta, insira o nome de domínio do seu servidor OpenLDAP.
  • Nas Configurações de segurança, selecione o método de login como lista Fixa e insira os detalhes do usuário administrador do servidor OpenLDAP.
  • Em Senha do perfil, insira a nova senha e repita.

Clique em Salvar para aplicar as alterações.

Em seguida, clique na seção Tipos de conta para configurar a seguinte seção:

  • Na seção Usuários, insira o domínio base padrão para usuários OpenLDAP. No caso dele, o sufixo padrão é Pessoas.
  • Na seção Grupos, insira o domínio base padrão do grupo. Neste caso, o outro grupo padrão é Grupos.

Clique em Salvar para aplicar as alterações.

Agora você deve ser redirecionado para a página de login do LAM. Insira o usuário admin e a senha do seu servidor OpenLDAP e clique em Login.

Na seção Usuários, você deverá ver o usuário debian.

Conclusão

Seguindo este guia passo a passo, você concluiu a instalação do servidor OpenLDAP e do gerenciador de contas LDAP no Debian 12. Você também protegeu o servidor OpenLDAP via UFW e criou um usuário no OpenLDAP via arquivo LDIF. Por último, você também integrou o LAM ao servidor OpenLDAP. Agora você pode adicionar mais usuários ao servidor OpenLDAP por meio do Gerenciador de contas LDAP.

Artigos relacionados: