Table of Contents
AAA
- A come Autorizzare
- A come Autenticare
- A come Accounting
La centralizzazione di servizi AAA permette di rendere efficiente l'amministrazione di un laboratorio di informatica
OpenLDAP
*OpenLDAP* è una implementazione libera del servizio di *autenticazione* di tipo LDAP
https://wiki.debian.org/LDAP/OpenLDAPSetup https://www.debian.org/doc/manuals/debian-handbook/sect.ldap-directory.ro.html
Se vuoi usare virt-manager (KVM/quemu) ecco come importare un file .ova https://wiki.hackzine.org/sysadmin/kvm-import-ova.html
Se il server ha la tastiera in lingua inglese:
dpkg-reconfigure keyboard-configuration service ... restart
https://help.ubuntu.com/lts/serverguide/openldap-server.html
Dentro la /home/admin ci sono due file add_content.ldif add_user.ldif (dove si legge la password dell'utente in chiaro)
Utenti:
- root è l'utente linux amministratore del sistema operativo (sudoer)
- openldapd è l'utente linux che esegue il demone e deve leggere il certificato
- admin è l'utente registrato nel database dati come amministratore dn: cn=admin,dc=esempio,dc=com
- admin è l'utente che amministra il database di config. di openladp
Debian consente anche l'uso della versione LDAPv2 (deprecato)
configurazione
https://openldap.org/doc/admin24/slapdconf2.html
Cartella /etc/ldap viene aggiunta una riga sul file ldap.conf
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Mentre Debian Wiki suggerisce di scrivere
TLSCACertificateFile /etc/ssl/certs/server-intermediate.pem
DEBOLEZZA DEBIAN
da cui si capisce che ogni applicazione (openssh, openssl, openvpn) salva le proprie chiavi e i propri certificati in cartelle diverse.
Sono arrivato al punto in cui, debian wiki dice che l'utente openldap non ha i privilegi per accedere alla cartella della chiave privata (it can't read the key file)
—
Configurazione dinamica
A volte detta runtime configuration (RTC) system, altre volte detta metodo cn=config
Si creano dei file .LDIF nella cartella slapd.d (dove c'è un file di nome cn=config.ldif)
- non si deve riavviare il servizio openLDAP
- si può configurare con un comando
ldap {add|modify} file.ldif
- non editare direattamente i file .LDIF
- le opzioni del file .ldif hanno stesso nome di sdapd.conf aggiungendo il prefisso olc
- ci sono due diversi alberi DIT: uno per i dati e uno per la configurazione del servizio
- l'amministratore del primo potrebbe avere dn: cn=admin,dc=esempio,dc=com
- l'amministratore del secondo deve essere identificato esternamente
Aumentare il ritmo delle indicizzazioni permette di migliorare le prestazioni
—
Ci sono due semplici comandi per scrivere dati in un file LDIF.
- ldifwrite
- ldapsearch
ldifwrite si usa solo su OID “application data”, non sullo schema, nemmeno su attributi operazionali e valori.
http://plansoft.org/wp-content/uploads/knowledge/bazadanych/ldap_sample_plsql_code.pdf
—
http://www.openldap.org/doc/admin24/slapdconf2.html
—
per aggiungere crittografia ssh tunnel oppure ssl tunnel? https://en.wikipedia.org/wiki/Stunnel