User Tools

Site Tools


educare:aaa

AAA

  • A come Autorizzare
  • A come Autenticare
  • A come Accounting

La centralizzazione di servizi AAA permette di rendere efficiente l'amministrazione di un laboratorio di informatica

www.ldapadmin.org

OpenLDAP

*OpenLDAP* è una implementazione libera del servizio di *autenticazione* di tipo LDAP

https://wiki.debian.org/LDAP/OpenLDAPSetup https://www.debian.org/doc/manuals/debian-handbook/sect.ldap-directory.ro.html

Se vuoi usare virt-manager (KVM/quemu) ecco come importare un file .ova https://wiki.hackzine.org/sysadmin/kvm-import-ova.html

Se il server ha la tastiera in lingua inglese:

dpkg-reconfigure keyboard-configuration
service ... restart

https://help.ubuntu.com/lts/serverguide/openldap-server.html

Dentro la /home/admin ci sono due file add_content.ldif add_user.ldif (dove si legge la password dell'utente in chiaro)

Utenti:

  1. root è l'utente linux amministratore del sistema operativo (sudoer)
  2. openldapd è l'utente linux che esegue il demone e deve leggere il certificato
  3. admin è l'utente registrato nel database dati come amministratore dn: cn=admin,dc=esempio,dc=com
  4. admin è l'utente che amministra il database di config. di openladp

Debian consente anche l'uso della versione LDAPv2 (deprecato)

configurazione

https://openldap.org/doc/admin24/slapdconf2.html

Cartella /etc/ldap viene aggiunta una riga sul file ldap.conf

TLS_CACERT /etc/ssl/certs/ca-certificates.crt

Mentre Debian Wiki suggerisce di scrivere

TLSCACertificateFile    /etc/ssl/certs/server-intermediate.pem

DEBOLEZZA DEBIAN

da cui si capisce che ogni applicazione (openssh, openssl, openvpn) salva le proprie chiavi e i propri certificati in cartelle diverse.

Sono arrivato al punto in cui, debian wiki dice che l'utente openldap non ha i privilegi per accedere alla cartella della chiave privata (it can't read the key file)

Configurazione dinamica

A volte detta runtime configuration (RTC) system, altre volte detta metodo cn=config

Si creano dei file .LDIF nella cartella slapd.d (dove c'è un file di nome cn=config.ldif)

  • non si deve riavviare il servizio openLDAP
  • si può configurare con un comando
     ldap {add|modify} file.ldif
  • non editare direattamente i file .LDIF
  • le opzioni del file .ldif hanno stesso nome di sdapd.conf aggiungendo il prefisso olc
  • ci sono due diversi alberi DIT: uno per i dati e uno per la configurazione del servizio
    • l'amministratore del primo potrebbe avere dn: cn=admin,dc=esempio,dc=com
    • l'amministratore del secondo deve essere identificato esternamente

Aumentare il ritmo delle indicizzazioni permette di migliorare le prestazioni

Ci sono due semplici comandi per scrivere dati in un file LDIF.

  • ldifwrite
  • ldapsearch

ldifwrite si usa solo su OID “application data”, non sullo schema, nemmeno su attributi operazionali e valori.

http://plansoft.org/wp-content/uploads/knowledge/bazadanych/ldap_sample_plsql_code.pdf

http://www.openldap.org/doc/admin24/slapdconf2.html

per aggiungere crittografia ssh tunnel oppure ssl tunnel? https://en.wikipedia.org/wiki/Stunnel

educare/aaa.txt · Last modified: 2020/06/08 22:20 by 127.0.0.1