Администраторы Unix-систем традиционно используют сервис NIS (Network Information Service, Информационная служба сети) для разрешения имен и предоставления данных по сети. Данные конфигурации содержатся в файлах group, hosts, mail, netgroup, networks, passwd, printcap, protocols, rpc и services в каталоге /etc, которые предоставляются всем пользователям в сети. Эти файлы могут поддерживаться без особых усилий, так как они состоят из простого текста. Обработка большого количества данных, однако, становится все более и более сложной из-за отсутствия структурирования. NIS разрабатывался для Unix платформ и, потому, не очень подходит для централизованного управления в гетерогенных сетях.

В отличие от NIS, сервис LDAP не ограничен только сетями UNIX. Серверы Windows (начиная с 2000) поддерживают LDAP, как сервис каталогов. Прикладные задачи, описанные выше, дополнительно поддерживаются в не-Unix сетях.

Принцип LDAP может быть применен к структуре любых данных, которая может централизованно администрироваться. Примеры нескольких приложений:

Этот список может быть расширен, поскольку LDAP более гибкая вещь, чем NIS. Ясная иерархическая структура облегчает администрирование большого количества данных, так как они могут быть найдены значительно проще.

Для лучшего понимания, как работает LDAP и как хранятся данные, очень важно понимать, каким образом данные организованы на сервере и как эта структура позволяет обеспечить быстрый доступ к необходимым данным. Для успешной установки LDAP необходимо ознакомиться с используемой терминологией. Эта секция позволяет понять основной вывод дерева и описывает терминологию в контексте LDAP. Эту секцию можно пропустить, если вы уже имеете некоторое представление о работе LDAP и просто хотите научиться установке LDAP-окружения в . Прочитайте Раздел 4.3, «Конфигурирование сервера LDAP с помощью YaST» или Раздел 4.7, «Конфигурация сервера LDAP вручную».

Каталог LDAP имеет структуру дерева. Все записи (называемые объектами) каталога имеют определенную позицию в этой иерархии. Эта иерархия называется Информационным деревом справочника (DIT, Directory Information Tree). Полный путь к необходимой записи, который однозначно идентифицирует ее, называется характерное имя (distinguished name) или DN. Единый узел вдоль пути к этой записи называется (relative distinguished name) или RDN.

Отношения элементов в пределах дерева LDAP хорошо видны на рисунке Рисунок 4.1, «Структура каталога LDAP».

Рисунок 4.1. Структура каталога LDAP¶

Полная диаграмма является вымышленным информационным деревом каталога. Изображены записи на третьем уровне. Каждая запись соответствует одному прямоугольнику на картинке. Полное distinguished name для вымышленного пользователя Geeko Linux будет, в данном случае, cn=Geeko Linux,ou=doc,dc=example,dc=com. Оно создается путем добавления RDN cn=Geeko Linux к DN предыдущей записи ou=doc,dc=example,dc=com.

Типы объектов, которые хранятся в DIT, в общем случае определяются, следуя Схеме (Schema). Тип объекта определяется классом объекта (object class). Класс объекта определяет, какие свойства связанного объекта должны или могут быть назначены. Схема, в свою очередь, должна содержать определения всех классов объекта и свойства, использующиеся в нужном прикладном сценарии. Существует несколько общих схем (RFC 2252 и 2256). LDAP RFC определяют несколько наиболее часто используемых схем (см., например, RFC4519). Кроме того, существует много других схем (например, замена Samba, NIS и т.д.). При этом можно самому создавать схемы или использовать несколько дополняющих друг друга схем (если это требуется окружением, в котором будет эксплуатироваться LDAP-сервер).

В Таблица 4.1, «Общий блок используемых классов объектов и атрибутов» показан небольшой обзор классов объекта из core.schema и inetorgperson.schema, использующихся в примере, включая свойства и действительные значения свойств.

В Пример 4.1, «Выдержка из schema.core» показана часть из директивы схемы с объяснениями.

attributetype (2.5.4.11 NAME ( 'ou' 'organizationalUnitName') 
       DESC 'RFC2256: organizational unit this object belongs to' 
       SUP name ) 

...
objectclass ( 2.5.6.5 NAME 'organizationalUnit' 
       DESC 'RFC2256: an organizational unit' 
       SUP top STRUCTURAL 
       MUST ou 
MAY (userPassword $ searchGuide $ seeAlso $ businessCategory 
  $ x121Address $ registeredAddress $ destinationIndicator 
  $ preferredDeliveryMethod $ telexNumber 
  $ teletexTerminalIdentifier $ telephoneNumber 
  $ internationaliSDNNumber $ facsimileTelephoneNumber 
  $ street $ postOfficeBox $ postalCode $ postalAddress 
  $ physicalDeliveryOfficeName
  $ st $ l $ description) )
  ...

Тип свойства organizationalUnitName и переданный класс объекта organizationalUnit в данном случае служат примером.

Очень хорошим введением с описанием использования схем можно найти в документации к openLDAP. После установки, она доступна в /usr/share/doc/packages/openldap2/guide/admin/guide.html.

Используйте YaST для первоначальной настройки сервера LDAP. Типичные случаи использования серверов LDAP включают в себя: управление аккаунтами пользователей и задание настроек почты, серверов DNS и DHCP.

Рисунок 4.2. YaST: Настройка сервера LDAP¶

Рисунок 4.3. YaST: Сервер LDAP — Новая база данных¶

Для установки сервера LDAP для управления аккаунтами пользователей, потребуется установить пакеты yast2-ldap-server и openldap2. Сделайте следующее:

Рисунок 4.4. YaST: Настройка сервера LDAP¶

Для изменения параметров конфигурации запустите модуль Сервер LDAP и в левой панели выберите Общие настройки, чтобы перейти к этому подпункту — см. Рисунок 4.4, «YaST: Настройка сервера LDAP»:

Включить файл схемы в конфигурации сервера можно выбрав подпункт Файлы схем в левой части диалога. По умолчанию указанные файлы схемы относятся к серверу, являющемуся для YaST источником данных об учетных записях пользователей.

YaST поддерживает традиционные файлы схем (как правило, с именем, заканчивающимся на .schema) или LDIF-файлы содержащие описание схемы в LDIF формате OpenLDAP.

Рисунок 4.5. YaST: Сервер LDAP — Настройка базы данных¶

Чтобы настроить базы данных вашего LDAP-сервера, проделайте следующее:

Если политики паролей не были выбирали, то сервер, в данный момент, готов к запуску. В противном случае, продолжите конфигурирование политик паролей. Если был выбран объект политики паролей, которого не существует, то YaST создаст его:

Чтобы отредактировать ранее созданную базу данных, выберите ее DN в дереве слева. В правой части окна, YaST покажет диалог, подобный тому, который использовался при создании новой базы данных (с главным отличием в том, что запись основного DN неактивна и не может быть изменена).

После того, как все необходимые настройки в конфигурацию сервера LDAP будут внесены, нажмите Готово. Ваш сервер LDAP готов к работе. Для тонкой настройки используйте механизм динамического конфигурирования OpenLDAP.

Механизм динамического конфигурирования OpenLDAP хранит настройки в самой базе данных LDAP. Она состоит из набора .ldif файлов в каталоге /etc/openldap/slapd.d. Доступа к этим файлам напрямую не требуется. Для доступа к настройкам можно воспользоваться модулем YaST Сервер LDAP (пакет yast2-ldap-server) или клиентом LDAP с помощью команд: ldapmodify или ldapsearch. Дополнительную информацию об этом механизме см. в Руководстве администратора OpenLDAP.

YaST включает в себя модуль для установки управления пользователями через LDAP. Если эта возможность не была выбрана во время установки, то запустите модуль, выбрав Сетевые службы+Клиент LDAP. YaST автоматически произведет изменения для PAM и NSS, необходимые для LDAP, и установит необходимые файлы. Просто подключите клиента к серверу и пусть YaST управляет пользователями через LDAP. Эти действия описаны в Раздел 4.4.1, «Стандартная процедура настройки».

Используйте Клиент LDAP для последующего задания настроек в модулях YaST по настройке групп и пользователей. Сюда относится задание настроек по умолчанию для новых пользователей и групп, а также количество и характер атрибутов, назначенных пользователю или группе. Управление пользователями через LDAP позволяет применять гораздо больше атрибутов к пользователям и группам, чем традиционные решения. Это описано в Раздел 4.4.2, «Конфигурирование модулей YaST управления пользователями и группами».

4.4.1. Стандартная процедура настройки¶

Стандартный диалог настройки клиента LDAP (см. Рисунок 4.6, «YaST: Конфигурация клиента LDAP») открывается во время установки, если выбрано управление пользователями через LDAP или если выбрать Сетевые службы+Клиент LDAP в Центре управления YaST во время установки.

Рисунок 4.6. YaST: Конфигурация клиента LDAP¶

Для аутентификации и управления пользователей через сервер OpenLDAP выполните следующие действия:

1. Нажмите Использовать LDAP, для активации авторизации через LDAP. Выберите Использовать LDAP, но отключить вход в систему, если нужно использовать LDAP для проверки подлинности, но, при этом, другие пользователи не могли авторизироваться через этот клиент.

2. Введите IP-адрес используемого сервера LDAP.

3. Введите Базовый DN LDAP для выбора базы поиска на сервере LDAP. Для получения базового DN автоматически нажмите Запрос DN. После этого YaST проверит каждую базу данных LDAP на сервера, указанном выше. Выберите необходимый базовый DN из результатов поиска, предоставленных YaST.

4. Если сервер требует, чтобы соединение защищалось с помощью TLS или SSL, то выберите LDAP TLS/SSL. Нажмите Загрузить сертификат CA, чтобы загрузить сертификат в PEM-формате по указанному URL.

5. Выберите Запустить automounter для монтирования удаленных директорий на клиенте, такие как внешний каталог /home.

6. Выберите Создать домашний каталог при входе в систему для автоматического создания домашнего каталога пользователя при первом входе в систему.

7. Нажмите OK, чтобы применить настройки.

Для изменения данных на сервер, в качестве администратора, нажмите Дополнительная настройка. Следующее диалоговое окно разделено на две вкладки. См. Рисунок 4.7, «YaST: Дополнительная настройка».

Рисунок 4.7. YaST: Дополнительная настройка¶

1. На вкладке Настройки клиента измените следующие параметры, если это необходимо:

   1. Если база поиска для пользователей, паролей и групп отличается от глобальной базы поиска, указанной в Базовый DN LDAP, введите нужные значения в Отображение пользователей, Отображение паролей и Отображение групп.

   2. Укажите протокол используемый для смены пароля. Стандартный метод, который используется по умолчанию — crypt — используются хэши паролей, созданные crypt. За более подробной информацией об этой и других опциях обратитесь к man-странице pam_ldap.

   3. Укажите группу LDAP, которая будет использоваться в Атрибут члена группы. Значение по умолчанию — member.

   4. Если для проверки сертификата требуется защищенное соединение, то укажите его расположение в PEM-формате в Файл сертификата CA. Или укажите каталог с сертификатом.

   5. Если сервер LDAP по прежнему использует LDAPv2, то укажите использовать эту версию протокола выбрав LDAP Версия 2.

2. В Настройки администратора измените следующие параметры:

   1. Установите базу для хранения данных управления пользователями через Основной DN настроек.

   2. Введите соответствующее значение для DN администратора. Это DN должно быть идентично значению rootdn, указанному в /etc/openldap/slapd.conf, чтобы дать возможность простым пользователям манипулировать данными, хранящимися на сервере LDAP. Введите полное имя DN (например, cn=Administrator,dc=example,dc=com) или активируйте Добавлять основной DN, чтобы основной DN автоматически добавлялся при вводе cn=Administrator.

   3. Отметьте Создать конфигурационные объекты по умолчанию для создания основных объектов конфигурации на сервере, чтобы разрешить управление пользователями через LDAP.

   4. Если клиентская машина должна служить файловым сервером для домашних каталогов пользователей сети, то отметьте Домашние каталоги на этой машине.

   5. Используйте раздел Политика пароля для выбора, добавления, изменения или удаления параметров настройки использующихся политик паролей. Конфигурация политики паролей с помощью YaST является одной из частей установки сервера LDAP.

   6. Нажмите OK, чтобы выйти из Дополнительная настройка, затем Готово для принятия настроек.

Используйте Настройка параметров управления пользователями для редактирования записей на сервере LDAP. Доступ к модулям конфигурации предоставляется согласно ACL и ACI, находящимся на сервере. Следуйте указаниям описанным в Раздел 4.4.2, «Конфигурирование модулей YaST управления пользователями и группами».

4.4.2. Конфигурирование модулей YaST управления пользователями и группами¶

Используйте YaST Клиент LDAP для адаптации модуля управления пользователями и группами и расширения их по необходимости. Определите шаблон со значениями по умолчанию для конкретных атрибутов, чтобы сделать процедуру регистрацию данных более простой. Преднастройки, сделанные здесь, хранятся, как объекты LDAP в каталоге LDAP. Регистрация данных пользователей совершается с помощью обычных модулей YaST для управления пользователями и группами. Зарегистрированные данные хранятся в виде объектов LDAP на сервере.

Рисунок 4.8. YaST: Конфигурация модулей¶

Диалог конфигурации модулей (Рисунок 4.8, «YaST: Конфигурация модулей») позволяет создать новые модули, выбирать и модифицировать уже существующие модули, а также создавать и изменять шаблоны для таких модулей.

Для создания нового модуля конфигурации проделайте следующее:

1. В Настройка клиента LDAP нажмите Дополнительная настройка, затем откройте вкладку Настройки администратора. Нажмите Настройка параметров управления пользователями и укажите полномочия сервера LDAP.

2. Нажмите Создать и выберите тип создаваемого модуля. Для модуля конфигурации пользователя выберите suseUserConfiguration, а для конфигурации группы — suseGroupConfiguration.

3. Укажите имя нового шаблона (например, userConfig). Затем содержимое будет выведено в виде таблицы с перечислением всех атрибутов, разрешенных в этом модуле, с установленными им значениями.

4. Оставьте предустановленные значения или укажите собственные выбрав соответствующий атрибут и нажав Изменить введите новое значение. Переименуйте модуль, просто изменив атрибут cn. Для удаления выбранного модуля модуля нажмите Удалить.

5. После нажатия на OK новый модуль будет добавлен в меню выбора.

В модуль YaST для администрирования пользователей и групп уже встроены шаблоны с разумными стандартными значениями. Чтобы отредактировать шаблон, связанный с модулем конфигурации, сделайте следующее (Рисунок 4.9, «YaST: Конфигурирование шаблона объекта»):

1. В диалоге Конфигурация модуля нажмите Настройка шаблона.

2. Задайте нужные значения для общих атрибутов, относящихся к этого шаблону, или оставьте их пустыми. Пустые атрибуты удаляются на сервере LDAP.

3. Измените, удалите или добавьте новые значения по умолчанию для новых объектов (объекты конфигурирования пользователей и групп в дереве LDAP).

Рисунок 4.9. YaST: Конфигурирование шаблона объекта¶

Объедините шаблон с его модулем, установив в атрибута модуля susedefaulttemplate значение DN соответствующего шаблона.

Значения по умолчанию для атрибутов можно создать используя другие атрибуты используя переменную вместо абсолютного значения. Например, при создании нового пользователя указав cn=%sn %givenName значения атрибутов sn и givenName поставятся автоматически.

Как только все модули и шаблоны настроены правильно и готовы к работе, новые группы и пользователи могут быть зарегистрированы обычным способом через YaST.

Фактическая регистрация данных пользователей и групп лишь слегка отличается от процедуры без использования LDAP. Следующие инструкции относятся к администрированию пользователей. Процесс администрирования групп аналогичен.

Рисунок 4.10. YaST: Дополнительные настройки LDAP¶

При открытии формы администрирования пользователей выводятся Опции LDAP. И предоставляется возможность применять фильтры поиска в LDAP для выбора доступных пользователей или перейти к модулю для конфигурирования пользователей и групп LDAP, выбрав Конфигурация пользователей и групп LDAP.

Для просмотра дерева каталогов LDAP и всех его записей удобно использовать Обозреватель LDAP в YaST:

YaST использует базу данных OpenLDAP динамической конфигурации (back-config) для хранения настроек серверов LDAP. Для получения дополнительной информации о механизме динамической конфигурации см. man-страницу slapd-config(5) или Руководство администратора OpenLDAP 2.4 доступного в файле /usr/share/doc/packages/openldap2/guide/admin/guide.html после установки пакета openldap2.

	Обновление старой установки OpenLDAP
YaST больше не использует файл /etc/openldap/slapd.conf для хранения конфигурации OpenLDAP. В случае обновления системы, копия оригинального файла /etc/openldap/slapd.conf будет сохранена под именем /etc/openldap/slapd.conf.YaSTsave.

Чтобы получить доступ к серверной конфигурации в удобной форме, можно воспользоваться внешний SASL-аутентификацией. Например, с помощью команды ldapsearch запущенной от имени пользователя root можно полностью просмотреть конфигурацию slapd:

ldapsearch -Y external -H ldapi:/// -b cn=config

OpenLDAP предоставляет серию инструментов для администрирования данными в каталоге LDAP. Четыре наиболее важных инструмента для добавления, удаления, поиска и изменения набора данных кратко описаны ниже.

4.8.1. Вставка данных в каталог LDAP¶

Если конфигурация вашего сервера LDAP выполнена корректно и готова к использованию (имеются соответствующие записи для suffix, directory, rootdn, rootpw и index), то можно приступить к вводу записей. Для этой задачи OpenLDAP предоставляет команду ldapadd. Если возможность — добавляйте объекты в базу данных в связке (по вполне практичным причинам). Для этого в LDAP присутствует поддержка обработки данных в формате LDIF (LDAP data interchange format — Формат обмена данными LDAP). Файл LDIF — это простой тестовый файл, содержащий произвольное количество пар атрибутов и значений. Файл LDIF для создания структуры приведен, например, на Рисунок 4.1, «Структура каталога LDAP» мог бы выглядеть, как в Пример 4.2, «Пример файла LDIF».

	Кодировка файлов LDIF
LDAP работает с UTF-8 (Юникод). Умляуты должны кодироваться правильно. В противном случае, избегайте использования умляутов и других специальных символов или используйте iconv для перевода кодировки в UTF-8.

Пример 4.2. Пример файла LDIF¶

# The Organization
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
o: Example dc: example

# The organizational unit development (devel)
dn: ou=devel,dc=example,dc=com
objectClass: organizationalUnit
ou: devel

# The organizational unit documentation (doc)
dn: ou=doc,dc=example,dc=com
objectClass: organizationalUnit
ou: doc

# The organizational unit internal IT (it)
dn: ou=it,dc=example,dc=com
objectClass: organizationalUnit
ou: it

Сохраните файл с суффиксом .ldif, затем отправьте его на сервер с помощью следующей команды:

ldapadd -x -D dn_of_the_administrator -W -f file.ldif

Ключ -x, в данном случае, отключает аутентификацию с помощью SASL. Ключ -D указывает пользователя от имени которого инициируется данное действие. Действительный DN администратора, введенный здесь, должен быть таким же, как в файле slapd.conf. В данном примере, это cn=Administrator,dc=example,dc=com. Ключ -W предотвращает ввод пароля в командной строке (открытым текстом) и активирует отдельное приглашение для ввода пароля. С помощью ключа -f указывается имя файла. Детали работы ldapadd можно посмотреть в Пример 4.3, «ldapadd и example.ldif».

Пример 4.3. ldapadd и example.ldif¶

ldapadd -x -D cn=Administrator,dc=example,dc=com -W -f example.ldif 

Enter LDAP password: 
adding new entry "dc=example,dc=com" 
adding new entry "ou=devel,dc=example,dc=com" 
adding new entry "ou=doc,dc=example,dc=com" 
adding new entry "ou=it,dc=example,dc=com"

Данные конкретного пользователя могут быть подготовлены в отдельном файле LDIF. В Пример 4.4, «Данные LDIF для пользователя Tux» пользователь Tux добавляется в новый каталог LDAP.

Пример 4.4. Данные LDIF для пользователя Tux¶

# coworker Tux
dn: cn=Tux Linux,ou=devel,dc=example,dc=com
objectClass: inetOrgPerson
cn: Tux Linux
givenName: Tux
sn: Linux
mail: tux@example.com
uid: tux
telephoneNumber: +49 1234 567-8

Файл LDIF может содержать произвольное количество объектов. Возможно сразу отправить полные ветви каталога на сервер или только его часть, как показано в примере для конкретных объектов. Если требуется менять отдельные данные достаточно часто, то рекомендуется использовать для этого отдельную часть одиночного объекта.

# coworker Tux
dn: cn=Tux Linux,ou=devel,dc=example,dc=com 
changetype: modify
replace: telephoneNumber 
telephoneNumber: +8 1234 5 67-10

ldapmodify -x -D cn=Administrator,dc=example,dc=com -W -f tux.ldif

ldapsearch -x -b dc=example,dc=com "(objectClass=*)"

ldapdelete -x -D cn=Administrator,dc=example,dc=com -W cn=Tux \
Linux,ou=devel,dc=example,dc=com

Более сложные темы, вроде конфигурирования SASL или установки реплицирующего сервера LDAP, который распределяет нагрузку на множество подчиненных, намеренно не вошли в этот раздел. Детальная информация об этих темах может быть найдена в Руководство администратора OpenLDAP 2.4.

Веб-сайт проекта openLDAP предоставляет исчерпывающую информацию для начинающих и продвинутых пользователей.

Печатная литература о LDAP:

Последний справочный материал по теме LDAP — соответствующие документы RFC (запрос комментариев), с 2251 по 2256.