+2.26
4 читателя, 76 топиков

Microhint: Загрузка модуля OpenLDAP требует 2 файла, а не 1!

Модули, содержащиеся в contrib исходных кодов openldap'а (и любые другие), требуют для своей загрузки не только файл с расширением ".la", но и соответствующий файл с расширением ".so", лежащий в одном каталоге с ".la".

Проблема может возникнуть из-за того, что неторопливсые люди наподобие меня могут получить в результате простого make'а соответствующего модуля файл с расширением ".la", скопировать его в каталог olcModulePath, радостно попытаться модуль подгрузить olcModuleLoad'ом и… получить «file not found» в логах, который по какому-то глупому недоразумению разработчиков OpenLDAP ссылается не на нехватку ".so", а на якобы отсутствие ".la". Но вы-то знаете, что этот файл на самом деле есть!
А в действительности файлик с расширением ".so" создаётся make install'ом, и без него модуль грузится не будет.

Ларчик как всегда просто открывался, но на будущее нужно запомнить :)

Модификация поля, имеющего "номер в фигурных скобочках"

«Люди часто спрашивают меня», как изменить значение одного из полей объекта, если это поле многозначное?
Ответ на этот вопрос элементарен, как 3 копейки:

dn: cn=object,dc=domain,dc=com
changeType: modify
delete: attrType
attrType: SOME_OLD_VALUE
-
add: attrType
attrType: SOME_NEW_VALUE

Но после этого всё те же люди, которые часто спрашивают, озадачивают меня таким пожеланием: а вот есть поля типа olcAccess, которые хотелось бы изменять, не указывая полностью их старое значение, а указывая один лишь только их «номер», который в фигурных скобочках, то… что же нам делать?

«За чем же дело стало, господа?» — отвечу я им!

dn: cn=object,dc=domain,dc=com
changeType: modify
delete: olcAccess
olcAccess: {2}
-
add: olcAccess
olcAccess: {2}to * by * none


Вот и вся недолга: при модификации поля с автоматически созданным «порядковым номером» можно не указывать его старое значение полностью. И это хорошо :)

Схема для связи объектов в каталоге

Предлагаю вашему вниманию валидную схему для указания ссылок из объекта на другие объекты (просьба не путать с labeledURI и seeAlso :)).
Соответствующее пространство OID'ов зарегистрировано на моё имя, так что пользуйтесь на здоровье.

dn: cn=link,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: link
olcAttributeTypes: ( 1.3.6.1.4.1.37344.125.11 NAME 'linkedTo' DESC 'DN of another object in catalog which is linked to this entry' SUP distinguishedName )
olcObjectClasses: ( 1.3.6.1.4.1.37344.125.1 NAME 'link' SUP top AUXILIARY MUST ( linkedTo ) )


Читать дальше →

Компиляция OpenLDAP: хватит спотыкаться!

После того, как я уже в 10-й раз споткнулся об одну и ту же дурацкую проблему, решил наконец записать себе на память и другим на заметку:
При компиляции OpenLDAP с оверлеями и бэкендами в виде модулей недостаточно просто сказать --enable-smth=mod, нужно до этого обязательно упомянуть --enable-modules=yes. Иначе вы просто замучаетесь искать свои модули в логе установки (то есть в сохранённом выводе make install): их там не будет.
Я не знаю, зачем разработчики подложили простым пользователям такую жирную свинью, но забывать о том, что сие животное в самый неподходящий момент может броситься к вам под колёса — совершенно не стоит.

Коллекция интересных (нетривиальных) LDAP-related ссылок

Данная коллекция будет пополняться время от времени путём непосредственного редактирования мной данного поста.
Нужна в первую очередь мне самому, поскольку кроме собственно ссылок содержит и краткое описание того, о чём в соотв. материалах идёт речь.

Читать дальше →

Три буквы о главном

Во многих странах уже давно и успешно пользуются технологиями SSO для частных нужд компаний и корпораций. У нас об SSO если и знают, то что-то совсем не то (и часто вообще путают с доменным входом в сеть Windows) и не применяют на практике, а чаще — не знают, не интересуются и знать не желают.
Читать дальше →

Интересное за неделю: DogTag

Поскольку писать полноразмерные статьи не всегда удаётся, да и не всегда есть интересный информационный повод для их напиания, предлагаю вашему вниманию новую рубрику: Интересное за неделю. Собственно, название достаточно красноречиво :)

Итак, DogTag!
DogTag — это не абсолютно новое и даже хороше забытое старое… — ваше и наше светлое будущее. Как часто вам приходится создавать Certification Authority, сталкиваясь с новой IT-инфраструктурой? Думаю, немного чаще, чем всегда. Потому что, строго говоря, именно Certification Authority — это центральный элемент любой системы предоставления доступа для современного web, начиная интранет-сетями студенческих кампусов и заканчивая глобальным и всеведущим OpenID. А что является печальной альтернативой таким интернет-технологиям? Да только Microsoft Solutions с их злыми и своенравными цепными псами kerberos'ами. DogTag же — это OpenSource-проект, который, подобно шампуню и бальзаму в одном флаконе, объединяет две самые открытые, прозрачные и просто технологически прекрасные технологии в одной программе, решая проблему создания CA самым правильным методом из всех возможных. А именно: DogTag использует LDAP-каталог 389 Directory Server в качестве хранилища сертификатов, и если вы раньше не знали об этом, то для вас это должно стать очень хорошей новостью. Потому что OpenCA делает это просто ужасно, а чаще никак, EJBCA правильно публикует сертификаты, но требует минимум магистрской степени бакалавра для понимания принципов своей работы. А вот DogTag прост, удобен, понятен и при этом он — единственный в своём роде (из OpenSource-продуктов) решается признать наконец тот факт, что концепции x500 (DAP) и x509 (PKI/PMI) близкородственны и могут успешно сосуществовать в симбиотических по характеру отношениях!

Схема DUAConfigProfile (RFC4876) для OpenLDAP

Поскольку уже конвертированной схемы не нашлось, выкладываю свою.
Схема в частности пригодится для интеграции SUDO и LDAP при дословной реализации штатного README на эту тему. Хотя обязательной её назвать нельзя, поскольку в действительности SUDO работает с LDAP-каталогом и без неё.

Читать дальше →

Permission denied при чтении конфигурационной директории OpenLDAP

Столкнулся с такой загадочной проблемой: при попытке считать свою конфигурационную директорию, а именно файл cn=config.ldif, LDAP-сервер из штатной поставки Ubuntu 11.10 Oneiric страшно ругается Permission denied и спешно завершается.
Никаких объективных предпосылок для этого нет, права на чтение/запись пользователю openldap даны, sudo -u openldap cat <config_path>/cn=config.ldif отрабатывает правильно. И уж совсем странно, что будучи запущенным под рутом без опций -u и -g, slapd точно также не может получить доступ к своей конфигурации. Запустил его с strace'ом: на привилегированный порт 389 биндится, effective user id не меняет, к счастью, никаких chroot'ов без спроса не делает, но… но в итоге slapd всё равно благополучно валится:

open("/etc/openldap/domains/DOMAIN/conf/cn=config.ldif", O_RDONLY) = -1 EACCES (Permission denied)

Проблема решилась очень просто: взял исходники с openldap.org и собрал из исходников, получив совершенно адекватную рабочую версию сервера.
Ещё попробую изучить вопрос, но в любом случае предупреждаю, что в Ubuntu со штатной сборкой slapd явно что-то не так.

Quick Start для аутентификации Linux-систем с использованием LDAP

Пакеты, которые требуется установить (Ubuntu)

sudo apt-get install lib{{pam,nss}-ldap,nss-db} sudo-ldap nss-updatedb libpam-ccreds


/etc/ldap.conf:

base dc=example,dc=com
uri ldap://soa.example.com/
ldap_version 3
binddn uid=nss,ou=Services,ou=Accounts,ou=DSA
bindpw SomePassword
rootbinddn cn=config
scope sub
timelimit 2
# According to sudoers.ldap(5) this option my be used by sudo
#timeout 2
bind_timelimit 1
bind_policy soft
pam_password exop
nss_base_passwd         ou=people,?one
nss_base_shadow         ou=people,?one
nss_base_group          ou=groups,?sub
# Uncomment this if you dont want to send plaintext passwords over your LAN
#ssl start_tls
#tls_cacertfile /etc/ssl/ca.crt
#tls_cert        /etc/ssl/test-ws.crt
#tls_key         /etc/ssl/test-ws.key
#nss_initgroups_ignoreusers backup,bin,bind,daemon,fetchmail,games,gnats,irc,klog,libuuid,list,lp,mail,man,nagios,news,proxy,root,smmsp,smmta,sshd,sync,sys,syslog,uucp,www-data
# This setting is for use by sudo with LDAP support
#sudoers_base ou=sudo,ou=services,dc=example,dc=com
#sudoers_timed yes
#sudoers_debug 0
##sudoers_debug 2

ОБратите внимание: в директивах nss_base_passwd, nss_base_shadow, nss_base_group база поиска соответственно аккаунтов и групп указана в сокращённом виде, о чём свидетельствует «запятая» в конце. В соответствии с документацией, база поиска будет автоматически дополнена посредством подстановки после терминирующей запятой значения, указанного в директиве base. Разумеется, при необходимости вы можете указывать и полную базу поиска.

/etc/pam.d/*:
common-auth:

auth    [success=4 default=ignore]   pam_unix.so nullok_secure try_first_pass debug
auth    [authinfo_unavail=ignore success=1 default=2] pam_ldap.so use_first_pass debug
auth    [default=done]  pam_ccreds.so action=validate use_first_pass debug
auth    [default=done]  pam_ccreds.so action=store debug
auth    [default=bad]   pam_ccreds.so action=update debug
auth    required        pam_permit.so debug

common-account:

account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so debug
account [success=1 default=ignore]                              pam_ldap.so debug
account requisite                                               pam_deny.so debug
account required                                                pam_permit.so debug

common-password:

password    sufficient    pam_unix.so md5 obscure min=4 max=12 nullok try_first_pass
password    sufficient    pam_ldap.so
password    required      pam_deny.so


common-session:

# Это не весь файл, недостающие строки из приведённых ниже нужно вставлять в конец файла, соблюдая порядок следования
session     required        pam_unix.so 
session     [success=ok default=ignore]     pam_ldap.so minimum_uid=1000
session     optional                        pam_mkhomedir.so skel=/etc/skel umask=0077

NOTE: Безусловно очень важный и полезный, модуль pam_mkhomedir.so по прихоти разработчиков дистрибутивов может входить, а может и не входить в установку PAM по умолчанию, поэтому обязательно проверьте его наличие прежде, чем прописывать соотв. настройку в файле /etc/pam.d/common-session

/etc/nsswitch.conf:

passwd:         compat ldap [NOTFOUND=return] db
group:          compat ldap [NOTFOUND=return] db
shadow:         compat ldap
# Uncomment following line and comment line next to it if you're plan to use SUDO+LDAP
#sudoers:        ldap files
sudoers:        files
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis


/etc/ldap.secret:

echo -n 'ROOT_PASS' | sudo tee /etc/ldap.secret &>/dev/null

где ROOT_PASS пароль rootbinddn'а, прописанного в /etc/ldap.conf. LDAP-объект с dn=rootbinddn используется при BIND'е в LDAP подсистем NSS и PAM, вызываемых из процессов с EUID=0.

Crontab:

5 */2 * * * /usr/sbin/nss_updatedb ldap

(выберите удобную для вас частоту обновления локального кеша данных NSS, получаемых из LDAP)

What to do after all:
  1. После установки всех нужных пакетов и настройки конфигов, выполните первичную закачку данных в кеш NSS (/usr/sbin/nss_updatedb ldap)
  2. Остановите демон кеширования NSS (sudo service nscd stop), выполните getent passwd, запустите демон кеширования снова
  3. Если вы хотите использовать один домашний каталог для какой-либо локальной учётной записи и аккаунта из LDAP, нет ничего проще: переименуйте при необходимости домашний каталог локального пользователя в соотв. с homeDirectory в LDAP, поменяйте локальному пользователю uidNumber на тот, что прописан в LDAP — и пользуйтесь двумя формально разными учётными записями с одним домашним каталогом и одинаковыми правами доступа к ФС

Полезные ссылки:

P.S. У меня сейчас нет возможности писать полноценную инструкцию, буду очень признателен за ваши комментарии. Если возникнут какие-то вопросы, предложения, если я что-то забыл и т.д. — пишите!

Путь до файла ldap.conf

В некоторых ситуациях путь до файлов ldap.conf и ldap.secret (настройки модулей nss_ldap и pam_ldap) может быть полезным изменить: например, для объединения настройки клиентских библиотек и утилит из поставки OpenLDAP с настройкой модулей NSS/PAM от padl.com'а (трудно понять, зачем вообще эти файлы с одинаковым синтаксисом и названием опций изначально нужно было разделять), так и, например, для того, чтобы убрать ldap.secret «с глаз долой».
Просто соберите модули поддержки LDAP в NSS/PAM, со следующими опциями configure:

--with-ldap-conf-file=PATH_TO_CONFIG  --with-ldap-secret-file=PATH_TO_PASSWORD_FILE

Кстати, в случае с pam_ldap положение ldap.conf можно указать и динамически — с использованием опции config= в соотв. строке pam.conf или /etc/pam.d/*.

Компиляция BerkeleyDB для сборки OpenLDAP из исходников

Сервер OpenLDAP для своей работы как правило требует хотя бы более-менее свежую версию Oracle BerkeleyDB. К сожалению, есть такие дистрибутивы, которые очень сложно или вовсе невозможно обновить, не переустанавливая (CentOS) и есть аналогичные энтерпрайз-решения, с которыми в общем таже беда (RedHat ES). При этом на BerkeleyDB завязаны многие дистрибутивные пакеты, а взаимодействие с этим движком файловых БД реализовано столь грамотно и удобно, что простая смена минорного номера версии запросто приводит к неработоспособности всего софта, который был скомпилирован для версии более старой. Так что же делать?
Ответ очевиден и прост до гениальности одновременно: компилировать движок BerkeleyDB отдельно так, чтобы только OpenLDAP его и «увидел».
Для начала установим BerkeleyDB (простейший вариант, без переопределения PREFIX'а установки — ибо ну и пусть себе следует прямой наводкой в /usr/local):


[[ -d ~/Compile ]] || mkdir ~/Compile
tar -xvf ~/Downloads/db-5.2.36.tar.gz -C ~/Compile
cd ~/Compile/db-5.2.36/build_unix
../dist/configure --enable-posixmutexes --with-mutex=POSIX/pthreads
make && su -c 'make install'


Ну а теперь компилируем OpenLDAP, не забыв показать скрипту configure, где лежит заветный BerkeleyDB:

CFLAGS=-L/usr/local/BerkeleyDB.5.2/lib CPPFLAGS=-I/usr/local/BerkeleyDB.5.2/include ./configure <здесь_могли_быть_ваши_опции>

Собственно, всё, с новым OpenLDAP'ом вас, господа!

P.S. Идея довольно простая, но тем не менее многие люди, включая и меня до недавнего времени, не решаются компилировать BerkeleyDB напрямую или пытаются обновить BDB, упираясь в непроходимы(й идиотизм)е дебри системы обновления своего дистрибутива: ведь даже в Gentoo пересобрать BDB для одного-единственного приложения не так-то просто…

Проект Pro-LDAP.ru

Хочу представить свой проект Pro-LDAP.ru (Про LDAP по-русски), http://pro-ldap.ru/. О целях проекта рассказано на его главной странице, если коротко, хотелось бы собрать в одном месте максимум информации на русском языке, которая могла бы принести реальную пользу системным администраторам, занимающимся службами каталогов.
В ближайших планах: в 2011 году закончить перевод OpenLDAP 2.4 Admin Guide (текущий вариант перевода http://pro-ldap.ru/tr/admin24/), в 2012 — перевести man-страницы OpenLDAP.
Хотелось бы услышать Вашу оценку (критическую, разумеется) качества перевода, а также предложения по дальнейшему развитию проекта, нужен ли на сайте форум и т. п.
Если есть желание помочь с переводом, либо предоставить хорошие статьи/материалы, пишите, адреса есть на главной странице сайта проекта. Буду благодарен за любую помощь!

Две типичные проблемы сборки OpenLDAP из исходников

По моему опыту две самые трудноразрешимые проблемы при компиляции OpenLDAP — это:
1) Требование установки Mozilla NSS library
2) Критичность наличия в системе самой свежей Berkeley DB

Если вы попытаетесь решить первую проблему «в лоб», скорее всего ничего у вас не получится: хотя вожделенный OpenLDAP'ом nssutil.h есть в каждом дистрибутиве, это на самом деле совсем не тот nssutil. который нужен для сборки. А чтобы достать нужный, придётся перекопать девелоперский сайт Mozilla и скомпилировать NSS+NSPR, полученные из «официальных источников». Если же, как говорил Прутков, «зрить в корень», то NSS сам по себе вовсе и не требуется для компиляции OpenLDAP, это всего лишь один из вариантов реализации TLS/SSL. Соответственно, намного проще использовать для этих нужд старый-добрый пакет OpenSSL, что и достигается элементарно установкой пакета openssl-devel (или аналогичного, содержащего заголовочные файлы для OpenSSL) и (необязательным) указанием опции --with-tls=openssl. Явное указание на реализацию TLS действительно необязательно, потому что значение по умолчанию with-tls=auto, то есть скрипт configure и сам последовательно проверит наличие в системе openssl, gnutls и moznss, остановившись на первой доступной реализации TLS из этого списка.

Читать дальше →

Динамические списки внутри не "списочных" объектов

Положим, у вас уже есть объект с описанием отдела фирмы, содержащим массу полезных атрибутов, включая фотографию начальника в костюме деда мороза и ряженных в зайчиков подчинённых с последнего корпоратива. И вот возникла задача собрать ещё и список сотрудников внутри объекта отдела и формировать его, разумеется, не вручную, а, как и положено в лучших домах Лондона и Парижа, динамически.
Читать дальше →

RFC 3062 и метод хеширования паролей

Все мы знаем или, возможно даже, предстоит нам ещё узнать о том, что в LDAP предусмотрена такая атомарная операция как «LDAP Modify Password». Описана она в RFC3062, реализована во всех известных мне серверах каталогов — разумеется, и в OpenLDAP тоже. Пароли хранятся в атрибуте userPassword, а простейшим типом объекта, включающим данный атрибут, является… ну конечно же simpleSecurityObject (кстати, пусть эта кажущаяся простота не будет для вас обманчивой, ибо этот objectClass AUXILIARY).
Ну да суть не в этом, а в том, что пароли в атрибуте userPassword принято хранить шифрованном виде и при запросе выполнения операции LDAP Modify Password серверу нужно бы выбрать какой-то метод… криптования, хеширования… ну, в общем, превращения пароля во что-то неудобочитаемое и не подлежащее восстановлению. Каким же образом можно сказать, например, серверу OpenLDAP использовать… положим, MD5 вместо SSHA, используемого по умолчанию? Для нужды сией существует атрибут с говорящим названием olcPasswordHash, значение которого должно быть представлено в формате {МЕТОД_ШИФРОВАНИЯ}, т.е. применительно к упомянутому выше гипотетическому случаю наличия потребности иметь все пароли захешированными в MD5, Вам нужно будет изменить глобальную конфигурацию cn=config (ниже)следующим образом:
dn: cn=config
changeType: modify
add: olcPasswordHash
olcPasswordHash: {MD5}

Что стало с OpenDS?

OpenDS продолжает развиваться, но под новым именем. Теперь он называется OpenDJ. Недавно вышла его свежая версия — OpenDJ 2.4. Разработку ведёт Людовик Пуату в рамках своих трудовых обязанностей, которые он исполняет в компании ForgeRock. OpenDS, поменяв название на OpenDJ остаётся одним из лучших открытых серверов каталогов промышленного уровня, при этом OpenDJ является неотъемлемой частью инфраструктуры IDM-продуктов ForgeRock, что в купе с наблюдаемым высоким темпом его разработки вселяет определённый оптимизм относительно определённости перспектив данного ПО.

"LDAPCon 2011" ли Кто-со-мною-в-Гейдельберг? :)

10-го — 11-го октября 2011-го года в немецком городе Гейдельберг состоится замечательное мероприятие — 3-я международная конференция LDAPCon. Данная конференция ориентирована прежде всего на IT-специалистов, интересующихся технологией иерархических объектно-ориентированных каталогов, а также представителей компаний, разрабатывающих ПО «для и с помощью» LDAP-каталогов.
В программный комитет мероприятия вошли известные в мире LDAP разработчики, учёные и представители крупных компаний.
Среди них есть и поистине легендарные личности:
  • Говард Чу, руководитель и координатор проекта OpenLDAP
  • Курт Зейленга, отец-основатель OpenLDAP, автор многих LDAP и XMPP-related документов RFC
  • Людовик Пуату (Ludovic Poitou), теперь уже единственный разработчик замечательного сервера каталогов OpenDS, работавший в Sun Microsystems до поглощения её Oracle'ом (см. заметку о Людовике в этом блоге)
  • Дэвид Чадвик, профессор из университета Кента, профессионально занимается проблемами идентификации личности и защиты персональных данных, автор множества публикаций на эту тему
  • Ну и конечно же Dieter Klünter, организатор конференции LDAPCon 2009. Если вы читаете рассылки проекта OpenLDAP, то вы непременно знаете и его :)
Организатором и спонсором (пока единственным) конференции «LDAPCon 2011» является компания DAASI International GmbH.

R.I.P., LDAPCon 2011

В этом году Dieter Kluenter, организатор прошлых конференций LDAPCon, не собирается проводить данное мероприятие. Напомню, что конференция не состоялась и в прошлом году, хотя в 2009 она была и тогда ничто не предвещало скорой кончины увлекательного междусобойчика LDAP-разработчиков.
Читать дальше →