User Tools

Site Tools


educare:aaa

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
educare:aaa [2018/06/22 09:55] profproeducare:aaa [2020/06/08 22:20] (current) – external edit 127.0.0.1
Line 1: Line 1:
 +======AAA======
 +  * A come Autorizzare
 +  * A come Autenticare
 +  * A come Accounting
  
 +La centralizzazione di servizi AAA permette di rendere efficiente l'amministrazione di un laboratorio di informatica
 +
 +www.ldapadmin.org
 +
 +====OpenLDAP====
 +*OpenLDAP* è una implementazione libera del servizio di *autenticazione* di tipo LDAP
 +
 +[[https://wiki.debian.org/LDAP/OpenLDAPSetup]]
 +[[https://www.debian.org/doc/manuals/debian-handbook/sect.ldap-directory.ro.html]]
 +
 +Se vuoi usare virt-manager (KVM/quemu) ecco come importare un file .ova
 +[[https://wiki.hackzine.org/sysadmin/kvm-import-ova.html]]
 +
 +Se il server ha la tastiera in lingua inglese: 
 +  dpkg-reconfigure keyboard-configuration
 +  service ... restart
 +
 +https://help.ubuntu.com/lts/serverguide/openldap-server.html
 +
 +;;Dentro la /home/admin ci sono due file add_content.ldif add_user.ldif (dove si legge la password dell'utente in chiaro);;
 +
 +Utenti:
 +  - root è l'utente linux amministratore del sistema operativo (sudoer)
 +  - openldapd è l'utente linux che esegue il demone e deve leggere il certificato
 +  - admin è l'utente registrato nel database dati come amministratore dn: cn=admin,dc=esempio,dc=com
 +  - admin è l'utente che amministra il database di config. di //openladp//
 +
 +Debian consente anche l'uso della versione LDAPv2 (**deprecato**)
 +
 +=====configurazione=====
 +
 +[[https://openldap.org/doc/admin24/slapdconf2.html]]
 +
 +Cartella /etc/ldap viene aggiunta una riga sul file ldap.conf
 +
 +  TLS_CACERT /etc/ssl/certs/ca-certificates.crt
 +
 +Mentre Debian Wiki suggerisce di scrivere
 +
 +  TLSCACertificateFile    /etc/ssl/certs/server-intermediate.pem
 +
 +DEBOLEZZA DEBIAN 
 +
 +  * [[https://www.debian.org/security/key-rollover]] 
 +  * [[https://www.debian.org/security/key-rollover/#openssl]] 
 +
 +da cui si capisce che ogni applicazione (openssh, openssl, openvpn) salva le proprie chiavi e i propri certificati in cartelle diverse.
 +
 +Sono arrivato al punto in cui, debian wiki dice che l'utente openldap non ha i privilegi per accedere alla cartella della chiave privata (it can't read the key file)
 +
 +---
 +====Configurazione dinamica====
 +A volte detta runtime configuration (RTC) system, altre volte detta metodo //cn=config//
 +
 +Si creano dei file .[[educare:LDIF]] nella cartella slapd.d  (dove c'è un file di nome  //cn=config.ldif//)
 +
 +  * non si deve riavviare il servizio openLDAP
 +  * si può configurare con un comando <code> ldap {add|modify} file.ldif</code>
 +  * non editare direattamente i file .LDIF 
 +  * le opzioni del file .ldif hanno stesso nome di sdapd.conf aggiungendo il prefisso //olc//
 +  * ci sono due diversi alberi DIT: uno per i dati e uno per la configurazione del servizio
 +    * l'amministratore del primo potrebbe avere dn: cn=admin,dc=esempio,dc=com
 +    * l'amministratore del secondo deve essere identificato esternamente
 +
 +Aumentare il ritmo delle indicizzazioni permette di migliorare le prestazioni
 +
 +---
 +
 +Ci sono due semplici comandi per scrivere dati in un file LDIF. 
 +
 +  * ldifwrite
 +  * ldapsearch
 +
 +//ldifwrite// si usa solo su OID "application data", non sullo schema, nemmeno su attributi operazionali e valori.
 +
 +http://plansoft.org/wp-content/uploads/knowledge/bazadanych/ldap_sample_plsql_code.pdf
 +
 +---
 +
 +http://www.openldap.org/doc/admin24/slapdconf2.html
 +
 +---
 +
 +per aggiungere crittografia ssh tunnel oppure ssl tunnel?
 +https://en.wikipedia.org/wiki/Stunnel