Como instalar o servidor OpenLDAP e o gerenciador de contas LDAP no Debian 12
OpenLDAP é uma implementação de software do Lightweight Directory Access Protocol (LDAP). OpenLDAP é um software gratuito e de código aberto com sua licença estilo BSD chamada OpenLDAP Public License. Seu software LDAP de unidade de linha de comando está disponível na maioria das distribuições Linux, como CentOS, Ubuntu, Debian, SUSE e muito mais.
OpenLDAP é um conjunto completo de software para servidores LDAP, que inclui SLAPD (daemon LDAP autônomo), SLURPD (daemon de replicação de atualização LDAP autônomo) e alguns utilitários e ferramentas para gerenciar servidores LDAP. OpenLDAP é um servidor LDAP altamente personalizável e oferece suporte a todas as principais plataformas de computação.
Este artigo irá guiá-lo passo a passo na instalação do servidor OpenLDAP no Debian 12. Você também instalará o LDAP Account Manager ou LAM, um aplicativo web PHP que pode ser usado para gerenciar o servidor OpenLDAP.
Pré-requisitos
Você deve ter o seguinte para iniciar este guia:
Um servidor Debian 12 - Esta demonstração usa uma máquina com nome de host ldap e endereço IP 192.168.10.15.
Um usuário não root com privilégios de administrador.
Configurando FQDN
Na primeira etapa, você deve configurar o fqdn (nome de domínio totalmente qualificado) adequado do seu servidor Debian. Isso pode ser conseguido usando o utilitário hostnamectl e modificando o arquivo /etc/hosts.
Execute o comando hostnamectl abaixo para configurar o fqdn para o seu servidor Debian. Neste caso, o fqdn que será utilizado para o servidor OpenLDAP é ldap.mydomain.local.
sudo hostnamectl set-hostname ldap.mydomain.local
Usando o comando do editor nano, abra o arquivo /etc/hosts.
sudo nano /etc/hosts
Adicione o endereço IP do servidor OpenLDAP, o nome do host e o fqdn assim:
192.168.10.15 ldap.mydomain.local ldap
Quando terminar, salve o arquivo e saia do editor.
Por último, execute o seguinte comando para garantir que você tenha o fqdn adequado. Em seguida, certifique-se de que o fqdn esteja apontado para o endereço IP correto.
sudo hostname -f
sudo ping -c3 ldap.mydomain.local
Na saída a seguir, você verá que o fqdn do servidor Debian é ldap.mydomain.local, que está apontado para o endereço IP local 192.168.10.15.
Instalando e servidor OpenLDAP
Após configurar o fqdn, você pode instalar o pacote do servidor OpenLDAP via APT do repositório oficial do Debian. Em seguida, você deve configurar algumas informações básicas sobre o seu servidor OpenLDAP, como nome de domínio e senha de administrador.
Antes de instalar o OpenLDAP, execute o comando apt update para atualizar o índice do seu pacote Debian.
sudo apt update
Agora execute o comando apt install abaixo para instalar o pacote do servidor OpenLDAP. Quando solicitado, digite y para confirmar e prosseguir com a instalação.
sudo apt install slapd ldap-utils
Durante a instalação, você será solicitado a definir a senha de administrador do servidor OpenLDAP. Insira sua senha e repita.
Após a instalação do servidor OpenLDAP, execute o seguinte comando para configurar sua instalação OpenLDAP.
sudo dpkg-reconfigure slapd
Selecione NÃO quando solicitado a omitir a configuração padrão do OpenLDAP.
Insira o nome de domínio do seu servidor OpenLDAP e selecione OK.
Agora insira o nome da organização e selecione OK.
Em seguida, insira sua senha de administrador do servidor OpenLDAP e repita a senha.
Quando solicitado a excluir o banco de dados antigo do servidor OpenLDAP, selecione NÃO.
Para finalizar a configuração do servidor OpenLDAP, selecione SIM quando solicitado a mover o banco de dados OpenLDAP antigo para um novo local.
Quando concluído, você deverá obter uma saída como esta:
Após a configuração do servidor OpenLDAP. execute o comando systemctl abaixo para reiniciar o serviço OpenLDAP slapd e aplicar as alterações. Em seguida, verifique o serviço slapd para garantir que ele esteja em execução.
sudo systemctl restart slapd
sudo systemctl status slapd
Se estiver em execução, você deverá obter uma saída como ativo (em execução).
Por último, execute o seguinte comando para verificar o nome de domínio do seu servidor OpenLDAP.
sudo slapcat
Se tudo correr bem, você verá que o servidor OpenLDAP está configurado com o domínio personalizado. Neste caso, o nome de domínio é ldap.mydomain.local.
Protegendo OpenLDAP com UFW
Neste caso, você protegerá seu servidor OpenLDAP via UFW. Portanto, você instalará o UFW via APT, depois configurará o UFW e abrirá os protocolos LDAP, LDAPS, HTTP e HTTPS.
Primeiro, instale o UFW através do comando apt install abaixo. Digite y para confirmar a instalação.
sudo apt install ufw
Depois que o UFW estiver instalado, execute o seguinte comando para adicionar o perfil OpenSSH e habilitar o UFW. Insira y e pressione ENTER para confirmar.
sudo ufw allow OpenSSH
sudo ufw enable
A saída "Firewall está ativo e habilitado na inicialização do sistema" deve indicar que o UFW agora está em execução e habilitado.
Em seguida, execute os comandos ufw abaixo para ativar os perfis LDAP, LDAPS e WWW Full no UFW.
sudo ufw allow LDAP
sudo ufw allow LDAPS
sudo ufw allow "WWW Full"
Por último, execute o comando abaixo para recarregar o UFW e aplicar as alterações. Em seguida, verifique o status do UFW para garantir que LDAP e LDAPS estejam disponíveis no UFW.
sudo ufw reload
sudo ufw status
Adicionando Grupo Base
Após instalar o servidor OpenLDAP e o UFW, agora você criará o grupo base para seu servidor OpenLDAP por meio do arquivo LDIF. O domínio base aqui será usado para armazenar usuários e grupos OpenLDAP.
Crie um novo arquivo LDIF base.ldif usando o seguinte comando do editor nano.
sudo nano base.ldif
Insira a seguinte configuração e certifique-se de alterar o nome de domínio com o seu domínio. Neste caso, você criará dois grupos base, Pessoas e Grupos.
# base.ldif
dn: ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: people
dn: ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: groups
Ao terminar, salve o arquivo e saia do editor.
Agora execute o seguinte comando para adicionar um novo grupo base por meio do arquivo base.ldif. Quando solicitado, insira sua senha de administrador do OpenLDAP.
sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f base.ldif
Por último, execute o comando ldapsearch abaixo para encontrar o grupo base disponível em seu servidor OpenLDAP.
sudo ldapsearch -x -b "dc=ldap,dc=mydomain,dc=local" ou
Se tudo correr bem, você deverá ver dois grupos base Pessoas e Grupos disponíveis no OpenLDAP.
Adicionando novo usuário
Nesta seção, você criará um novo usuário OpenLDAP por meio do arquivo LDIF.
Para criar um novo usuário OpenLDAP, você deve gerar a senha criptografada através do comando slappasswd abaixo. Insira sua senha e repita, depois copie a senha gerada.
sudo slappasswd
Agora use o seguinte comando do editor nano para criar um novo arquivo LDIF user.ldif.
nano user.ldif
Insira a seguinte configuração e certifique-se de alterar os detalhes do usuário, senha e nome de domínio. Neste caso, você criará um novo usuário e grupo debian.
# user.ldif
dn: uid=debian,ou=People,dc=ldap,dc=mydomain,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: debian
sn: bookworm
userPassword: {SSHA}23rFF1ofbNo5MRxEJo6D2Z4PT2GOxeWt
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/debian
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0
dn: cn=debian,ou=Groups,dc=ldap,dc=mydomain,dc=local
objectClass: posixGroup
cn: debian
gidNumber: 2000
memberUid: debian
Após terminar, salve e saia do arquivo.
Em seguida, execute o comando ldapadd abaixo para adicionar seu usuário por meio do arquivo LDIF user.ldif . Insira sua senha de administrador do OpenLDAP quando solicitado.
sudo ldapadd -x -D cn=admin,dc=ldap,dc=mydomain,dc=local -W -f user.ldif
Por fim, execute o seguinte comando para localizar os usuários que estão disponíveis no grupo base Pessoas. Se for bem sucedido, você deverá ver o usuário debian adicionado ao servidor OpenLDAP.
sudo ldapsearch -x -b "ou=People,dc=ldap,dc=mydomain,dc=local"
Instalando o Gerenciador de contas LDAP
Neste ponto, você concluiu a instalação do servidor OpenLDAP. Nas próximas duas etapas, você instalará o LDAP Account Manager (LAM) através do repositório oficial do Debian e, em seguida, configurará o LAM com a instalação do servidor OpenLDAP.
Execute o comando apt install abaixo para instalar o ldap-account-manager em seu servidor OpenLDAP. Ao instalar o ldap-account-manager, você também instalará dependências adicionais, como PHP 8.2 e servidor web Apache2.
sudo apt install ldap-account-manager
Digite y para confirmar a instalação.
Após a instalação do ldap-account-manager, use o comando do editor nano para abrir o arquivo de configuração PHP /etc/php/8.2/apache2/php.ini.
sudo nano /etc/php/8.2/apache2/php.ini
Altere o parâmetro memory_limit padrão para 256M.
memory_limit = 256M
Quando terminar, salve e saia do arquivo.
Em seguida, abra a configuração do Apache2 para ldap-account-manager /etc/apache2/conf-enabled/ldap-account-manager.conf usando o comando do editor nano.
sudo nano /etc/apache2/conf-enabled/ldap-account-manager.conf
Altere o parâmetro "Exigir todos concedidos" para "Exigir sub-rede ip" e certifique-se de adicionar seu endereço IP local e permitir que ele acesse o Gerenciador de contas LDAP.
```
#Require all granted
Require ip 127.0.0.1 192.168.10.0/24
```
Salve e saia do arquivo quando terminar.
Agora execute o comando systemctl abaixo para reiniciar o serviço Apache2 e aplicar as alterações.
sudo systemctl restart apache2
Por último, inicie seu navegador e visite o endereço IP do servidor com caminho lam (ou seja: http://192.168.10.15/lam) para acessar o Gerenciador de contas LDAP. Se for bem-sucedido, você deverá ver a página LAM assim:
Configurando o Gerenciador de contas LDAP
Você adicionará seu servidor OpenLDAP ao Gerenciador de contas LDAP na etapa seguinte. Isso pode ser feito facilmente através de um navegador da web.
Clique no menu Configuração LAM no canto superior direito.
Clique em Editar perfis de servidor para modificar o perfil OpenLDAP.
Quando solicitado, insira o usuário e a senha padrão lam e clique em OK para continuar.
Agora você deverá ver a página de configuração do LAM.
Nas Configurações Gerais, configure a seguinte seção:
- Nas Configurações da ferramenta, insira o nome de domínio do seu servidor OpenLDAP.
- Nas Configurações de segurança, selecione o método de login como lista Fixa e insira os detalhes do usuário administrador do servidor OpenLDAP.
- Em Senha do perfil, insira a nova senha e repita.
Clique em Salvar para aplicar as alterações.
Em seguida, clique na seção Tipos de conta para configurar a seguinte seção:
- Na seção Usuários, insira o domínio base padrão para usuários OpenLDAP. No caso dele, o sufixo padrão é Pessoas.
- Na seção Grupos, insira o domínio base padrão do grupo. Neste caso, o outro grupo padrão é Grupos.
Clique em Salvar para aplicar as alterações.
Agora você deve ser redirecionado para a página de login do LAM. Insira o usuário admin e a senha do seu servidor OpenLDAP e clique em Login.
Na seção Usuários, você deverá ver o usuário debian.
Conclusão
Seguindo este guia passo a passo, você concluiu a instalação do servidor OpenLDAP e do gerenciador de contas LDAP no Debian 12. Você também protegeu o servidor OpenLDAP via UFW e criou um usuário no OpenLDAP via arquivo LDIF. Por último, você também integrou o LAM ao servidor OpenLDAP. Agora você pode adicionar mais usuários ao servidor OpenLDAP por meio do Gerenciador de contas LDAP.