# LDAP Nous allons ici mettre en place le serveur LDAP qui sera répliqué sur les deux nodes. Tout les services utiliseront LDAP pour l'authentification des utilisateurs. A noté que pour des questions pratique nous n'allons pas utilisé Fusion Directory, il faudra donc créer un schéma pour chaque service et modifier les utilisateur avec ldapadd et ldapmodify. Pour la sécurisation de LDAP nous allons utiliser LDAP avec StartTLS. ## Le conteneur Numéro 108 (Alpha) #### Interface réseau - eth0 : vmbr1 / VLAN 30 / IP 10.0.2.1 / GW 10.0.2.254 ### Le proxy #### /etc/apt/apt.conf.d/01proxy ``` Acquire::http { Proxy "http://10.0.0.252:9999"; }; ``` ## Installation slapd On commence par installer le serveur ldap. ``` apt-get update apt-get install -y slapd ldap-utils ``` ## Configuration de sladp On commence par reconfigurer le packet ``` dpkg-reconfigure slapd ``` Il faut répondre de la manière suivante ``` Omit OpenLDAP server configuration? No DNS domain name: krhacken.org Organization name? Kr[HACK]en Administrator password: PASSWORD Confirm password: PASSWORD Database backend to use: MDB Do you want the database to be removed when slapd is purged? Yes Move old database? Yes ``` ## Centralisation des fichiers de configuration Nous allons créer un répertoire /root/ldap/conf qui va centraliser tous nos fichiers de configuration ``` mkdir -p /root/ldap/conf/ ``` ## Stockage du mot de passe administrateur Mettez le mot de passe d'administration de l'annuaire LDAP. ``` echo -n "mdpadmin" > /root/pwdldap chmod 600 /root/pwdldap ``` ## Mise en place SSL ``` apt-get install -y gnutls-bin ssl-cert mkdir /etc/ssl/templates ``` ### /etc/ssl/templates/ca_server.conf ``` cn = LDAP Server CA - Kr[HACK]en ca cert_signing_key ``` ### /etc/ssl/templates/ldap_server.conf ``` organization = "krhacken" cn = *.ldap.krhacken.org tls_www_server encryption_key signing_key expiration_days = 3650 ``` ### CA clé et certificat ``` certtool -p --outfile /etc/ssl/private/ca_server.key certtool -s --load-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ca_server.conf --outfile /etc/ssl/certs/ca_server.pem ``` ### LDAP clé et certificat ``` certtool -p --sec-param high --outfile /etc/ssl/private/ldap_server.key certtool -c --load-privkey /etc/ssl/private/ldap_server.key --load-ca-certificate /etc/ssl/certs/ca_server.pem --load-ca-privkey /etc/ssl/private/ca_server.key --template /etc/ssl/templates/ldap_server.conf --outfile /etc/ssl/certs/ldap_server.pem ``` Nous avons maintenant créer tout les certificats nécessaire pour pouvoir chiffrer LDAP avec STARTTLS. ## Chiffrement par STARTTLS Nous avons choisi STARTTLS au lieu de LDAPS car il est plus sûr pour notre usage. ### Gestion des permissions ``` usermod -aG ssl-cert openldap chown :ssl-cert /etc/ssl/private/ldap_server.key chmod 640 /etc/ssl/private/ldap_server.key ``` ## Ajout des certificat à OpenLDAP ### /root/ldap/conf/addCAcerts.ldif ``` dn: cn=config changetype: modify replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem ``` Application des modification et redémarrage de slapd ``` ldapmodify -H ldapi:// -Y EXTERNAL -f /root/ldap/conf/addCAcerts.ldif service slapd force-reload ``` ### /root/ldap/conf/addcerts.ldif ``` dn: cn=config changetype: modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem ``` Application des modification et redémarrage de slapd ``` ldapmodify -H ldapi:// -Y EXTERNAL -f /root/ldap/conf/addcerts.ldif service slapd force-reload ``` Le retour de la commande ``` ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config | grep olcTLS ``` doit contenir les informations ci-dessous, cela confirme l'installation des certificats. ``` olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key ``` ## Sur le serveur ``` cp /etc/ssl/certs/ca_server.pem /etc/ldap/ca_certs.pem ``` Il faut ensuite ajuster la configuration en modifiant les paramètres de connexions ### /etc/ldap/ldap.conf ``` BASE dc=krhacken,dc=org URI ldap://alpha.ldap.krhacken.org/ TLS_CACERT /etc/ldap/ca_certs.pem ``` On redémarre le serveur slapd. ``` service slapd force-reload ``` ### Vérification La commande `ldapsearch -xLLL -H ldap://alpha.ldap.krhacken.org -ZZ` doit retourner des informations sur l'arbre. ## Droits d'accès pour la configuration ### /root/ldap/conf/acces-conf-admin.ldif ``` dn: olcDatabase={0}config,cn=config changeType: modify add: olcAccess olcAccess: to * by dn.exact=cn=admin,dc=krhacken,dc=org manage by * break ``` Puis on applique le .ldif ``` ldapmodify -Y external -H ldapi:/// -f acces-conf-admin.ldif ``` # Les overlays Les overlays sont des fonctionnalités supplémentaires. Voici l'ensemble des overlays que nous allons utiliser ## MemberOf L’overlay memberof permet de savoir dans quels groupes se trouve un utilisateur. ### /root/ldap/conf/memberof_act.ldif ``` dn: cn=module,cn=config cn:module objectclass: olcModuleList objectclass: top olcmoduleload: memberof.la olcmodulepath: /usr/lib/ldap ``` ### /root/ldap/conf/memberof_conf.ldif ``` dn: olcOverlay=memberof,olcDatabase={1}mdb,cn=config changetype: add objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top olcOverlay: memberof olcMemberOfDangling: ignore olcMemberOfRefInt: TRUE olcMemberOfGroupOC: groupOfNames olcMemberOfMemberAD: member olcMemberOfMemberOfAD: memberOf ``` On applique les modifications ``` ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_act.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_conf.ldif ``` Vérification ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcModuleList" ``` ## refint L'overlay permet de s’assurer de la cohérence de l’annuaire lors de suppression d’entrées. ### /root/ldap/conf/refint_act.ldif ``` dn: cn=module,cn=config cn: module objectclass: olcModuleList objectclass: top olcmoduleload: refint.la olcmodulepath: /usr/lib/ldap ``` ### /root/ldap/conf/refint_conf.ldif ``` dn: olcOverlay=refint,olcDatabase={1}mdb,cn=config objectClass: olcConfig objectClass: olcOverlayConfig objectClass: olcRefintConfig objectClass: top olcOverlay: refint olcRefintAttribute: memberof member manager owner olcRefintNothing: cn=admin,dc=krhacken,dc=org ``` On applique les modifications ``` ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint_act.ldif ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint_conf.ldif ``` Vérifications ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcModuleList" ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcRefintConfig" ``` ## Audit Log Cet overlay audite chaque modification faites sur l’annuaire, les logs seront dans `/var/log/openldap/audit.ldif` ### /root/ldap/conf/auditlog_act.ldif ``` dn: cn=module,cn=config cn: module objectclass: olcModuleList objectclass: top olcModuleLoad: auditlog.la olcmodulepath: /usr/lib/ldap ``` ### /root/ldap/conf/auditlog_conf.ldif ``` dn: olcOverlay=auditlog,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcAuditLogConfig olcOverlay: auditlog olcAuditlogFile: /var/log/openldap/auditlog.ldif ``` On applique les modifications ``` ldapadd -Q -Y EXTERNAL -H ldapi:/// -f auditlog_act.ldif ldapadd -Q -Y EXTERNAL -H ldapi:/// -f auditlog_conf.ldif ``` On créer le fichier ``` mkdir /var/log/openldap chmod 755 /var/log/openldap chown openldap:openldap /var/log/openldap touch /var/log/openldap/auditlog.ldif chmod 755 /var/log/openldap/auditlog.ldif chown openldap:openldap /var/log/openldap/auditlog.ldif ``` Vérifications ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcModuleList" ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcAuditLogConfig" ``` ## Unique Cet overlay permet de nous assurer l’unicité des attributs que l’on spécifie. ### /root/ldap/conf/unique_act.ldif ``` dn: cn=module,cn=config cn: module objectclass: olcModuleList objectclass: top olcModuleLoad: unique.la olcmodulepath: /usr/lib/ldap ``` ### /root/ldap/conf/unique_conf.ldif ``` dn: olcOverlay=unique,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcUniqueConfig olcOverlay: unique olcUniqueUri: ldap:///ou=people,dc=krhacken,dc=org?uid?sub olcUniqueUri: ldap:///ou=people,dc=krhacken,dc=org?mail?sub olcUniqueUri: ldap:///ou=people,dc=krhacken,dc=org?uidNumber?sub olcUniqueUri: ldap:///ou=groups,dc=krhacken,dc=org?cn?sub ``` Nous demandons ici à ce que les attributs UI, mail et uidNumber dans l’ou people soient uniques. Et que l’attribut cn dans l’ou groups soit lui aussi unique. On applique les modifications, ``` ldapadd -Q -Y EXTERNAL -H ldapi:/// -f unique_act.ldif ldapadd -Q -Y EXTERNAL -H ldapi:/// -f unique_conf.ldif ``` Vérifications, ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcModuleList" ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcUniqueConfig" ``` ## Ppolicy Cet overlay va nous permettre de spécifier une politique de mot de passe. On va ajouter son schéma dans l’annuaire ``` ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif ``` Dans la branche cn=schema, on doit voir le schéma ppolicy, ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" cn ``` ### /root/ldap/conf/ppolicy_act.ldif ``` dn: cn=module,cn=config cn: module objectclass: olcModuleList objectclass: top olcModuleLoad: ppolicy.la olcmodulepath: /usr/lib/ldap ``` ### /root/ldap/conf/ppolicy_conf.ldif ``` dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcPpolicyConfig olcOverlay: ppolicy olcPPolicyDefault: cn=ppolicy,dc=krhacken,dc=org olcPPolicyHashCleartext: TRUE olcPPolicyUseLockout: FALSE ``` Explication, - olcPPolicyDefault : Indique le DN de configuration utilisé - olcPPolicyHashCleartext : Indique si les mots de passe doivent être cryptés. On applique les modifications, ``` ldapadd -Q -Y EXTERNAL -H ldapi:/// -f ppolicy_act.ldif ldapadd -Q -Y EXTERNAL -H ldapi:/// -f ppolicy_conf.ldif ``` On va maintenant créer la politique par défaut. ### /root/ldap/conf/ppolicy_def.ldif ``` dn: cn=ppolicy,dc=krhacken,dc=org objectClass: top objectClass: device objectClass: pwdPolicy cn: ppolicy pwdAllowUserChange: TRUE pwdAttribute: userPassword pwdCheckQuality: 1 pwdExpireWarning: 0 pwdFailureCountInterval: 30 pwdGraceAuthNLimit: 5 pwdInHistory: 5 pwdLockout: TRUE pwdLockoutDuration: 60 pwdMaxAge: 0 pwdMaxFailure: 5 pwdMinAge: 0 pwdMinLength: 5 pwdMustChange: FALSE pwdSafeModify: FALSE ``` La signification des attributs est : - pwdAllowUserChange : indique si l’utilisateur peut changer son mot de passe. - pwdCheckQuality : indique si OpenLDAP renvoie une erreur si le mot de passe n’est pas conforme - pwdExpireWarning : avertissement d’expiration. - pwdFailureCountInterval : Intervalle de temps entre deux tentatives infructueuses pour qu’elles soient considérées comme « à la suite ». - pwdGraceAuthNLimit : période de grâce suite à l’expiration du mot de passe. - pwdInHistory : nombre de mots de passe dans l’historique. - pwdLockout : indique si on bloque le compte au bout de X échecs. - pwdLockoutDuration : durée du blocage du compte (en secondes). - pwdMaxAge : age maximal du mot de passe (en secondes). - pwdMaxFailure : nombre d’échecs de saisie du mot de passe maximal (avant blocage). - pwdMinAge : age minimal du mot de passe (en secondes). - pwdMinLength : longueur minimale du mot de passe. - pwdMustChange : indique si l’utilisateur doit changer son mot de passe. - pwdSafeModify : indique si il faut envoyer l’ancien mot de passe avec le nouveau pour modification. On applique les modifications, ``` ldapadd -H ldap://localhost -D cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f ppolicy_def.ldif ``` Vérifications ``` ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" cn ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "cn=config" "Objectclass=olcPpolicyConfig" -LLL ldapsearch -QLLLY EXTERNAL -H ldapi:/// -b "dc=krhacken,dc=org" "Objectclass=pwdPolicy" ``` ## Structuration de l'annuaire LDAP. Maintenant que la base de l'annuaire est en place nous allons structurer l'intérieur de l'annuaire. Avant ça nous allons décrire la structure comme un arbre. ### Le tronc (le DC) - Le tronc de cet arbre : `dc=krhacken,dc=org`, c'est ce que l'on appelle le DN de base. ### Les grosses branches (les OU) - Une grosse branche pour les utilisateurs : `ou=people,dc=krhacken,dc=org`. - Une sous branche des utilisateurs pour les membres krhacken : `ou=krhacken,ou=people,dc=krhacken,dc=org`. - Une grosse branche pour les groupes : `ou=group,dc=krhacken,dc=org`. - Une sous branche des groupes pour les groupes krhacken : `ou=krhacken,ou=group,dc=krhacken,dc=org`. ### Les petites branches (les CN) - Une petite branche pour le groupe des adminsys : `cn=adminsys,ou=krhacken,ou=group,dc=krhacken,dc=org` - Une petite branche pour le groupe des webmestres : `cn=webmestre,ou=krhacken,ou=group,dc=krhacken,dc=org` - Une petite branche pour le groupe des membres krhacken : `cn=krhacken,ou=krhacken,ou=group,dc=krhacken,dc=org` - Une petite branche pour le groupe des membres extérieur : `cn=ext,ou=krhacken,ou=group,dc=krhacken,dc=org` ## Mise en place des grosses branches Les OUs sont des conteneurs qui permettent de ranger les données dans l’annuaire et de les hiérarchiser. ### /root/ldap/conf/OU.ldif ``` dn: ou=people,dc=krhacken,dc=org ou: people objectClass: organizationalUnit dn: ou=group,dc=krhacken,dc=org ou: group objectClass: organizationalUnit dn: ou=system,dc=krhacken,dc=org ou: system objectClass: organizationalUnit dn: ou=krhacken,ou=people,dc=krhacken,dc=org ou: krhacken objectClass: organizationalUnit dn: ou=krhacken,ou=group,dc=krhacken,dc=org ou: krhacken objectClass: organizationalUnit ``` On rajoute les OU au ldap ``` ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f OU.ldif ``` ## Mise en place des petites branches Il existe deux types de groupes : les posixgroup et les groupofnames. Les posixgroup sont similaires au groupes Unix. Pour faire simple, l’avantage des groupofnames est qu’avec un filtre sur un utilisateur, on peut connaitre ses groupes (avec l’overlay memberof). Chose impossible avec les posixgroups. On va donc utiliser des groupofnames. ### /root/ldap/conf/group.ldif ``` dn: cn=adminsys,ou=krhacken,ou=group,dc=krhacken,dc=org cn: adminsys description: AdminSys Kr[HACK]en objectClass: groupOfNames member: cn=admin,dc=krhacken,dc=org dn: cn=webmestre,ou=krhacken,ou=group,dc=krhacken,dc=org cn: webmestre description: Webmestre Kr[HACK]en objectClass: groupOfNames member: cn=admin,dc=krhacken,dc=org dn: cn=krhacken,ou=krhacken,ou=group,dc=krhacken,dc=org cn: krhacken description: Membres du Kr[HACK]en objectClass: groupOfNames member: cn=admin,dc=krhacken,dc=org dn: cn=ext,ou=krhacken,ou=group,dc=krhacken,dc=org cn: ext description: Personnes extérieure au Kr[HACK]en objectClass: groupOfNames member: cn=admin,dc=krhacken,dc=org ``` On ajoute les groupes ``` ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f group.ldif ``` On peu utiliser **memberof** pour voir dans quels groupes est l'utilisateur admin ``` ldapsearch -xLLLH ldap://localhost -D cn=admin,dc=krhacken,dc=org -y /root/pwdldap -b "dc=krhacken,dc=org" "cn=admin" memberof ``` ## Création d'un compte root Cet utilisateur aura tout les droits sur l'annuaire, on ne lui donnera pas accès aux services son rôle est seulement d'administrer l'annuaire LDAP. ### /root/ldap/conf/root.ldif ``` dn: uid=root,ou=krhacken,ou=people,dc=krhacken,dc=org objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: root cn: root sn: root displayName: root userPassword: PASSWORD mail: root@krhacken.org ``` On ajoute l'utilisateur ``` ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f root.ldif ``` Ajout de compte root au groupe adminsys pour qu'il est accès à l'interface d'administration ### /root/ldap/conf/adminsysaddroot.ldif ``` dn: cn=adminsys,ou=krhacken,ou=group,dc=krhacken,dc=org changetype: modify add: member member: uid=root,ou=krhacken,ou=people,dc=krhacken,dc=org ``` ``` ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f adminsysaddroot.ldif ``` Commande pour afficher les informations de l'utilisateur root ``` ldapsearch -xLLLH ldap://localhost -D uid=root,ou=krhacken,ou=people,dc=krhacken,dc=org -W -b "dc=krhacken,dc=org" "uid=root" ``` # Sécurisation de l'annuaire ## Comptes avec permissions réduite Nous allons créer deux compte systèmes. - Un viewer qui aura uniquement les droits en lecture de l'arbre - Un Writer qui lui aura les droits en écriture ### /root/ldap/conf/viewer.ldif ``` dn: cn=viewer,ou=system,dc=krhacken,dc=org objectClass: simpleSecurityObject objectClass: organizationalRole cn: viewer description: LDAP Viewer userPassword: passview ``` ### /root/ldap/conf/writer.ldif ``` dn: cn=writer,ou=system,dc=krhacken,dc=org objectClass: simpleSecurityObject objectClass: organizationalRole cn: writer description: LDAP Writer userPassword: passwrite ``` Ajout des utilisateurs, ``` ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f viewer.ldif ldapadd -cxWD cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f writer.ldif ``` On autorise la lecture de l'arbre uniquement au utilisateur authentifié en modifiant une ACL ### /root/ldap/conf/acl.ldif ``` dn: olcDatabase={1}mdb,cn=config changetype: modify replace: olcAccess olcAccess: to attrs=userPassword by self write by anonymous auth by dn="cn=writer,ou=system,dc=krhacken,dc=org" write by dn="cn=viewer,ou=system,dc=krhacken,dc=org" read by dn="cn=admin,dc=krhacken,dc=org" write by * none olcAccess: to dn.base="dc=krhacken,dc=org" by users read olcAccess: to * by self write by dn="cn=admin,dc=krhacken,dc=org" write by * read by anonymous none ``` On modife l'ACL ``` ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f acl.ldif ``` ## Forcer SSL Si c'est le cas on peut maintenant forcer la connexion SSL ### /root/ldap/conf/forcetls.ldif ``` dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcSecurity olcSecurity: tls=1 ``` Ajout des modifications et application ``` ldapmodify -H ldapi:// -Y EXTERNAL -f forcetls.ldif systemctl restart slapd ``` ### Vérification La commande ``` ldapsearch -xLLL -H ldap://alpha.ldap.krhacken.org -D cn=viewer,ou=system,dc=krhacken,dc=org -w passview -b "dc=krhacken,dc=org" ``` doit retourner une erreur, si on ajout -ZZ à la fin ça doit fonctionner Voilà pour la mise en place de base du LDAP cependant il faut configuré chaque client pour se connecter au serveur avec STARTTLS. ## Réplication de l'annuaire LDAP Nous allons mettre en place une réplication Master/Master. L’idée est de faire en sorte que n’importe lequel de nos serveurs LDAP soit capable à la fois de lire les données, mais également de les modifier. De plus, nous allons mettre en place une réplication, à la fois sur l’arbre de données dc=krhacken,dc=org mais également sur l’arbre de configuration cn=config. Vous avez déjà fait toute la configuration du premier conteneur LDAP (CT107). Pour gagner du temps clonez ce conteneur vers le conteneur 108 sur Beta. Avant le démarrage il vous faudra reconfigurer les interfaces comme suis : - eth0 : vmbr1 / VLAN: 30 / IP: 10.0.2.2/24 / GW: 10.0.2.254 - eth1 : vmbr2 / VLAN: 100 / IP: 10.1.0.108/24 / GW: 10.1.0.254 Nous avons désormais deux conteneurs LDAP identique, ce qui ne fonctionnera pas dans l'état. Il faut donc ajuster la configuration en modifiant les paramètres de connexions ### /etc/ldap/ldap.conf Sur Alpha : ``` BASE dc=krhacken,dc=org URI ldap://alpha.ldap.krhacken.org/ URI ldap://vip.ldap.krhacken.org/ TLS_CACERT /etc/ldap/ca_certs.pem ``` Sur Beta : ``` BASE dc=krhacken,dc=org URI ldap://beta.ldap.krhacken.org/ URI ldap://vip.ldap.krhacken.org/ TLS_CACERT /etc/ldap/ca_certs.pem ``` On redémarre les serveurs slapd. ``` service slapd force-reload ``` ## Réplication de l'arbre de configuration ### 01-syncprov_act.ldif ``` dn: cn=module,cn=config cn: module objectclass: olcModuleList objectclass: top olcmoduleload: syncprov.la olcmodulepath: /usr/lib/ldap ``` ``` ldapadd -Y EXTERNAL -H ldapi:/// -f 01-syncprov_act.ldif ``` Vérifications : ``` ldapsearch -LLLY external -H ldapi:/// -b "cn=config" "objectClass=olcModuleList" ldapsearch -LLLY external -H ldapi:/// -b "cn=module{6},cn=config" ``` ### 02-serverid.ldif X vaut 1 sur Alpha 2 sur Beta. ``` dn: cn=config changetype: modify add: olcServerID olcServerID: X ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 02-serverid.ldif ``` Vérification : ``` ldapsearch -LLLY external -H ldapi:/// -b "cn=config" "objectClass=olcGlobal" olcServerID ``` ### 03-replica_account.ldif ``` dn: cn=replica,ou=system,dc=krhacken,dc=org userPassword: PASS cn: replica objectclass: top objectclass: person sn: replica ``` ``` ldapadd -x -H ldap://localhost -D cn=admin,dc=krhacken,dc=org -y /root/pwdldap -f 03-replica_account.ldif ``` ### 04-droit_conf.ldif Gestion des droits du CN *replica* ``` dn: olcDatabase={0}config,cn=config changeType: modify add: olcAccess olcAccess: to * by dn.exact=cn=replica,ou=system,dc=krhacken,dc=org manage by * break ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 04-droit_conf.ldif ``` ### 05-syncprov_conf_conf.ldif ``` dn: olcOverlay=syncprov,olcDatabase={0}config,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 05-syncprov_conf_conf.ldif ``` ### 06-repl_conf_conf.ldif ``` dn: olcDatabase={0}config,cn=config changetype: modify add: olcSyncRepl olcSyncRepl: rid=01 provider=ldap://alpha.ldap.krhacken.org binddn="cn=replica,ou=system,dc=krhacken,dc=org" bindmethod=simple credentials=password searchbase="cn=config" type=refreshAndPersist retry="5 5 300 5" timeout=1 olcSyncRepl: rid=02 provider=ldap://beta.ldap.krhacken.org binddn="cn=replica,ou=system,dc=krhacken,dc=org" bindmethod=simple credentials=password searchbase="cn=config" type=refreshAndPersist retry="5 5 300 5" timeout=1 - add: olcMirrorMode olcMirrorMode: TRUE ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 06-repl_conf_conf.ldif ``` Vérification : ``` ldapsearch -QLLLY external -H ldapi:/// -b "cn=config" "olcDatabase={0}config" olcSyncRepl ``` A partir d'ici l'arbre de configuration cn=config est synchronisé entre les deux conteneurs LDAP. Pour le reste de la configuration il faut faire les manipulations que sur un des deux conteneurs LDAP ## Réplication de l'arbre de données Nous allons ici mettre en place la synchronisation automatique de l'arbre de données entre les deux conteneurs LDAP. ### 07-acl_replica.ldif ``` dn: olcDatabase={1}mdb,cn=config changetype: modify replace: olcAccess olcAccess: to attrs=userPassword by self write by anonymous auth by dn="cn=writer,ou=system,dc=krhacken,dc=org" write by dn="cn=viewer,ou=system,dc=krhacken,dc=org" read by dn="cn=admin,dc=krhacken,dc=org" write by dn.exact="cn=replica,ou=system,dc=krhacken,dc=org" read by * none olcAccess: to dn.subtree="dc=krhacken,dc=org" by users read by * none olcAccess: to * by self write by dn="cn=admin,dc=krhacken,dc=org" write by * read by anonymous none ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 07-acl_replica.ldif ``` Vérification : ``` ldapsearch -QLLLY external -H ldapi:/// -b "cn=config" "olcDatabase={1}mdb" olcAccess ``` ### 08-limit.ldif ``` dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcLimits olcLimits: dn.exact="cn=replica,ou=system,dc=krhacken,dc=org" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 08-limit.ldif ``` ### 09-index.ldif ``` dn:olcDatabase={1}mdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: entryCSN,entryUUID eq ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 09-index.ldif ``` ### 10-syncprov_conf_data.ldif ``` dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 10-syncprov_conf_data.ldif ``` ### 11-repl_conf_data.ldif ``` dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcSyncRepl olcSyncRepl: rid=01 provider=ldap://alpha.ldap.krhacken.org binddn="cn=replica,ou=system,dc=krhacken,dc=org" bindmethod=simple credentials=password searchbase="dc=krhacken,dc=org" type=refreshAndPersist retry="5 5 300 5" timeout=1 olcSyncRepl: rid=02 provider=ldap://beta.ldap.krhacken.org binddn="cn=replica,ou=system,dc=krhacken,dc=org" bindmethod=simple credentials=password searchbase="dc=krhacken,dc=org" type=refreshAndPersist retry="5 5 300 5" timeout=1 - add: olcMirrorMode olcMirrorMode: TRUE ``` ``` ldapmodify -Y EXTERNAL -H ldapi:/// -f 11-repl_conf_data.ldif ``` ## Configuration des ServerID A cause de la synchronisation de l'arbre de configuration les ServerID sont les mêmes. Il faut stoper **slapd** sur les deux conteneurs avec `systemctl stop slapd` Puis éditer `/etc/ldap/slapd.d/cn\=config.ldif` de la manière suivante - Alpha -> `olcServerID: 1` - Beta -> `olcServerID: 2` On peut maintenant relancer slapd sur les deux conterneurs avec `systemctl start slapd` Maintenant la commande ci-dessous donne un ID différent selon le conteneur. ``` ldapsearch -x -LLL -H ldap://localhost -D cn=admin,dc=krhacken,dc=org -w passadmin -b cn=config "objectClass=olcGlobal" ``` ## Accès via une IP virtuelle Comme pour HAProxy nous allons utiliser keepalived pour avoir une IP virtuelle que se déplace entre les deux conteneurs en fonction de la disponibilité de l'annuaire LDAP. ``` apt-get install -y keepalived ``` ### Script pour vérifier l'état des conteneurs LDAP Créer, sur les deux serveurs, le script `/etc/keepalived/test_ldap.sh` Il faut spécifier le mot de passe du compte viewer. ``` #!/bin/bash ldapsearch -x -H ldap://$1 -D cn=viewer,ou=system,dc=krhacken,dc=org -w passview -b dc=krhacken,dc=org -l 3 > /dev/null 2>&1 ldapresponse=$? if [ "$ldapresponse" -gt 0 ]; then echo "down" exit 1 else echo "up" fi exit 0 ``` ``` chmod /etc/keepalived/test_ldap.sh +x ``` ## Configuration de keepalived ### Configuration sur Alpha #### /etc/keepalived/keepalived.conf ``` vrrp_script check_server_health { script "/etc/keepalived/test_ldap.sh 10.0.2.1" (mettre l'ip réel de votre serveur) interval 2 fall 2 rise 2 } vrrp_instance VI_LDAP { interface eth0 state MASTER virtual_router_id 50 priority 101 # 101 on master, 100 on backup virtual_ipaddress { 10.0.2.3 } track_script { check_server_health } } ``` ``` systemctl restart keepalived ``` authentication { auth_type PASS auth_pass MON_MOT_DE_PASSE_SECRET } ### Configuration sur Beta #### /etc/keepalived/keepalived.conf ``` vrrp_script check_server_health { script "/etc/keepalived/test_ldap.sh 10.0.2.2" (mettre l'ip réel de votre serveur) interval 2 fall 2 rise 2 } vrrp_instance VI_LDAP { interface eth0 state MASTER virtual_router_id 50 priority 101 # 101 on master, 100 on backup virtual_ipaddress { 10.0.2.3 } track_script { check_server_health } } ``` ``` systemctl restart keepalived ``` Un des deux conteneur est maintenant accessible à l'adresse 10.0.2.3. Les requêtes se feront sur cette adresse. ## Configuration des futurs client LDAP Sur tout les futurs client LDAP il faudra activer la connexion SSL. Il faut commencer par copier le certificat de la CA (ca_server.pem qu'il faudra copier via scp) ``` cat ca_server.pem | tee -a /etc/ldap/ca_certs.pem ``` Il faut ensuite modifier la configuration en modifiant la ligne suivante ### /etc/ldap/ldap.conf ``` TLS_CACERT /etc/ldap/ca_certs.pem ``` La commande, ``` ldapsearch -xLLL -H ldap://vip.ldap.krhacken.org -D cn=viewer,ou=system,dc=krhacken,dc=org -w passview -b "dc=krhacken,dc=org" -ZZ ``` doit retourner des informations sur l'arbre.