Як встановити OpenLDAP на Fedora

OpenLDAP – це потужна реалізація Lightweight Directory Access Protocol (LDAP) з відкритим вихідним кодом. Він слугує централізованою службою каталогів, даючи змогу організаціям ефективно керувати автентифікацією та авторизацією користувачів. Цей посібник проведе вас через встановлення та налаштування OpenLDAP на Fedora 41, забезпечуючи надійну основу для безпечного управління користувацькими даними. Мета цієї статті – надати повний покроковий посібник зі встановлення OpenLDAP на Fedora 41. До кінця цього посібника у вас буде повністю функціональний LDAP-сервер, готовий до управління каталогами вашої організації.

Попередні умови

Перш ніж приступити до процесу встановлення, переконайтеся, що ви відповідаєте таким попереднім вимогам:

• Системні вимоги: Система під керуванням Fedora 41 з достатньою кількістю ресурсів (процесор, оперативна пам’ять, дисковий простір).
• Привілеї: Ви повинні мати права root або sudo для встановлення програмного забезпечення та зміни конфігурації системи.
• Вимоги до знань: Знайомство з командним рядком Linux і базові навички редагування тексту.

Крок 1: Встановлення OpenLDAP

Оновлення системи

Перший крок у підготовці системи до OpenLDAP – переконатися, що всі наявні пакети оновлено. Відкрийте термінал і виконайте таку команду:

sudo dnf update -y

Ця команда оновлює всі встановлені пакети до останніх версій, забезпечуючи сумісність з OpenLDAP.

Встановлення пакетів OpenLDAP

Далі встановіть необхідні пакети OpenLDAP. Виконайте таку команду:

sudo dnf install openldap-servers openldap-clients -y

Ця команда встановлює у вашу систему сервер і клієнт OpenLDAP. Сервер керує інформацією каталогу, а клієнт дає змогу взаємодіяти із серверами LDAP.

Перевірка встановлення

Після встановлення переконайтеся, що пакети були встановлені правильно, перевіривши їхні версії:

rpm -qa | grep openldap

Ви повинні побачити результати, які вказують на те, що серверний і клієнтський пакети встановлені.

Крок 2: Налаштування OpenLDAP

Розуміння конфігураційних файлів

Конфігурація OpenLDAP перейшла від однофайлового підходу до більш модульної структури, що зберігається у форматі бази даних у каталозі /etc/openldap/slapd.d/. Це дає змогу легше керувати і змінювати налаштування.

Створення початкової конфігурації

Якщо ви переходите зі старішої версії або маєте наявний slapd.conf, перетворіть його, використовуючи:

sudo slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

Ця команда перетворить вашу застарілу конфігурацію в новий формат. Якщо у вас немає наявного файлу конфігурації, ви можете створити його з нуля, використовуючи файли LDIF.

Встановлення дозволів

Дуже важливо встановити правильні дозволи на каталог конфігурації:

sudo chown -R ldap:ldap /etc/openldap/slapd.d
sudo chmod -R 700 /etc/openldap/slapd.d

Це гарантує, що тільки користувач LDAP зможе отримати доступ до конфіденційних файлів конфігурації.

Крок 3: Запуск сервера LDAP

Увімкнення та запуск служби

Коли OpenLDAP встановлений і налаштований, настав час запустити службу. Використовуйте такі команди:

sudo systemctl enable slapd
sudo systemctl start slapd

Перша команда дозволяє службі LDAP запускатися автоматично під час завантаження, а друга запускає її відразу.

Перевірка стану служби

Ви можете переконатися, що сервер LDAP працює правильно, виконавши команду:

sudo systemctl status slapd

Це покаже поточний стан служби LDAP. Шукайте «active (running)» у результатах.

Крок 4: Захист OpenLDAP за допомогою SSL/TLS

Важливість безпеки

Захист LDAP-трафіку необхідний для захисту конфіденційних призначених для користувача даних від можливого перехоплення. Впровадження SSL/TLS гарантує, що всі з’єднання між клієнтами і серверами будуть зашифровані.

Генерація SSL-сертифікатів

Ви можете створити самопідписані сертифікати або отримати їх від центру сертифікації (ЦС). Для самопідписаних сертифікатів використовуйте:

sudo mkdir /etc/openldap/ssl
sudo openssl req -new -x509 -days 365 -nodes -out /etc/openldap/ssl/slapdcert.pem -keyout /etc/openldap/ssl/slapdkey.pem
chmod 600 /etc/openldap/ssl/slapdkey.pem

При цьому генерується новий сертифікат, дійсний протягом одного року. Переконайтеся, що права доступу встановлено правильно, щоб запобігти несанкціонованому доступу.

Налаштування SSL в OpenLDAP

Відредагуйте файли конфігурації LDAP, розташовані в /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif. Додайте або змініть ці рядки:

olcTLSCertificateFile: /etc/openldap/ssl/slapdcert.pem
olcTLSCertificateKeyFile: /etc/openldap/ssl/slapdkey.pem
olcTLSCipherSuite: ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH
olcSecurity: tls=1

Це налаштує ваш LDAP-сервер на використання SSL/TLS для безпечних з’єднань.

Крок 5: Створення бази даних LDAP

Визначення структури каталогу

Наступний крок включає в себе створення початкової структури каталогу. Створіть LDIF-файл з іменем base.ldif. Ось приклад структури, яку ви можете використовувати:

dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example

dn: cn=Manager,dc=example,dc=com
objectClass: organizationalRole
cn: Manager

У цьому файлі визначено домен example.com і адміністративний користувач Manager.

Імпорт файлу LDIF

Додайте цю структуру в каталог LDAP за допомогою:

ldapadd -x -D "cn=Manager,dc=example,dc=com" -W -f base.ldif

Вам буде запропоновано ввести пароль, який ви задали раніше для цього запису. У разі успіху ви побачите повідомлення про те, що записи було додано.

Крок 6: Перевірка конфігурації

Використання команди ldapsearch

Останній крок включає в себе тестування конфігурації, щоб переконатися, що все працює правильно. Використовуйте команду ldapsearch, яка входить до складу клієнтського пакета:

ldapsearch -x -b "dc=example,dc=com"

Ця команда запитує ваш каталог LDAP на предмет записів під заданим базовим DN (Distinguished Name). Якщо все було налаштовано правильно, ви повинні побачити список вашого домену та записи менеджера.

Поради щодо усунення неполадок

• Якщо у вас виникли проблеми із запуском slapd, перевірте журнали, розташовані в /var/log/messages.
• Якщо ldapsearch не працює з помилками автентифікації, переконайтеся, що ваші облікові дані правильні і що ви правильно додали записи.
• Якщо SSL-з’єднання не працюють, перевірте правильність шляхів до сертифікатів і права доступу до файлів сертифікатів.
• Якщо після модифікації LDIF-файлів зміни здаються неефективними, перезапустіть slapd за допомогою sudo systemctl restart slapd.
• Якщо виникли проблеми з доступом до певних записів або атрибутів, перегляньте налаштування контролю доступу в конфігураційних файлах.

Вітаємо! Ви успішно встановили OpenLDAP. Для отримання додаткової або корисної інформації ми рекомендуємо вам відвідати офіційний сайт OpenLDAP.