Adding Custom Attributes in Active Directory

Dostal jsem zadání nastavit skupině v LDAP nějaký požadovaný atribut na textovou hodnotu.

V LDAP (AD Win2003 server) požadovaný atribut samosebou není.

Google mi našel tento návod, jak na to :-)

Nejvíce mě rozesmála první část. Do registrů přidat Schema Update Allowed, aby se objevil Snap-in Active Directory Schema v MMC.

Tomu říkám kvalitní SW :-(

EDU MuDK

8.2.2013

 Server byl migrován z fyzického serveru do virtualizovaného v prostředí MUDK. Před migrací byl server v podstatě znovu instalován se všemi aktuálními aplikacemi. Data mailserveru byla přenesena z původního serveru. Virtuální prostředí bude prý pravidelně zálohováno. Další změnou je ukončení používáni Webmailu SquireelMail a jeho náhrada za Roundcube. SquirrelMail není momentálně podporován s php 5.4. Existuje nějaký patch, ale oficiální poslední release si s verzí php 5.4 nerozumí. Roundcube dospěl do stavu, kdy vypadá lepe i funkčněji, proto se na něj přešlo.



5.4.2009
Na mailový server byl nainstalován Jabber/XMPP server OpenFire, který je propojen s OpenLDAP adreářem. Uživatelé emailu mají stejné heslo i v jabberu. Je otázkou, jak moc budou Jabber učitelé používat.

21.11.2008
Po dlouhé době jsem zprovoznil emailový server pro školy, který je fyzicky umístěn na Městském úřadě ve Dvoře Králové nad Labem. Na tento server by se postupně měly přemístit ZŠ Schulzovy sady. Jestli budou následovat i ostatní školy, se teprve uvidí. Nový mail server přináší pár výhod, jako je Quota, dále pak centrální adresář LDAP, ve kterém jsou všichni uživatelé systému.

Více informací o serveru je sepsáno na stránce serveru:
http://edu.mudk.cz/edumail/

FreeRADIUS - Active Directory - HP ProCurve Switch - 802.1X

Bezpečnosti není nikdy dost a tak i omezení přístupu k interní LAN nebo WLAN je vždy vítano. Aby switch mohl ověřit supplicant = žadatele o přístup do sítě, musí být nakonfigurován tak, aby se zeptal FreeRADIUS serveru, který se přeptá Active directory, zda-li daný uřivatel může být připojen k danému portu switche. Takto je to velmi jednoduše popsáno, ale tak to zjednodušeně je. Zaklínadlem je standard 802.1X, který je implementovan ve většině síťových zařízeních, jako jsou switche a wi-fi acess point.

Dobře popsaný návod se nachází na wiki freeradiusu. Radius server vyžaduje bezplatnou instalaci FreeRADIUS serveru a Samby.

Ubuntu:
apt-get install freeradius
apt-get install winbind

FreeBSD:
portinstall freeradius2
portinstall samba34

U samby postačí winbind, smbd a nmbd není třeba. Samba se musí přihlásit do Win domény.

Pokud máme vše správně nastavené, ověříme, zda nám samba ověží uživatele.

ntlm_auth --request-nt-key --domain=WINDOM --username=smejdil
password:
NT_STATUS_OK: Success (0x0)

V návodu je popsána konfigurace kerberosu, kterou jsem nedělal a ntlm_auth mi ověřuje, tak asi není třeba.

Pokud máme poladěný freeradius, můžeme testovat funkčnost ověřování.

radtest smejdil 123456abcd server-radius 1813 testing123
Sending Access-Request of id 14 to 192.168.0.10 port 1812
User-Name = „smejdil”
User-Password = „123456abcd”
NAS-IP-Address = 192.168.0.20
NAS-Port = 1813
rad_recv: Access-Accept packet from host 192.168.0.10 port 1812, id=14, length=20

Dále jsem nastavil radius server v HP ProCurve switchi, ale jen nastavil. Nastavení portů atd prozatím musí počkat.

hp-sw# configure
hp-sw(config)# radius-server host 192.168.0.10
hp-sw(config)# radius-server key 123456abcd
hp-sw(config)# show radius
hp-sw(config)# write memory

Status and Counters - General RADIUS Information

Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key : 123456abcd

Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- --------------------------------
192.168.0.10 1812 1813

Dále bude následovat. Ale to až zase jindy. Dále musím vyzkoušet FreeRADIUS s OpenLDAPem.

hp-sw(config)# aaa port-access

Postfix mail gate for Exchange

V práci používáme M$ Exchange no a nějak už nestíhaly odbavovat tu hromadu emailů. Tak padlo rozhodnutí strčit je dovnitř a předsadit před ně Postfix. Řešil jsem problém, jak získat z AD seznam adresátů. A nakonec jsem našel na stránkách postfix.org velmi šikovný návod, který používá tento perlový script, pro připojení k LDAPu se získá seznam adres, který se dále použije v této definici v main.cf.

relay_recipient_maps = hash:/etc/postfix/your_recipients

Do Cronu je vhodné dát např. toto:

#!/bin/sh

cd /etc/postfix ; ./getadsmtp.pl && postmap your_recipients

Příkaz postmap vytvoří postfixem čitelný soubor s tabulkou, která slouží jako seznam adresátů, na které SMTP server doručuje, ostatní emaily se zahazují.

Perlový script vyžaduje modul Net::LDAP v Ubuntu se balík jmenuje libnet-ldap-perl a ve FreeBSD p5-perl-ldap.

Jak editovat LDAP zaznamy ?

Tuto otázku si asi položí každý, kdo používá např. OpenLDAP pro centrální úložiště kontaktů nebo pro správu uživatelů Samby nebo např. Jabber serveru OpenFire. Velmi populární je phpLDAPAdmin, ale možností je více.

• phpLDAPAdmin web php aplikace
  
• Apache Directory Studio java aplikace
  
• ldapvi terminalový editor
  
• gq Gnome aplikace
  
• lat Gnome aplikace

LDAP jako uložiště konfigurace DHCP a DNS

Přelom roku je u mě ve znamení adresářových služeb. Nějak jsem se do toho zakousl a nemůžu se pustit :-) Jelikož mě LDAP vždy zajímal, poslední vzdělávání ve zprovoznění síťových služeb, které mají své konfigurace uložené v adresárových strukturách.

DHCP
Jako dhcp server jsem si vybral isc-dhcp30-server, který na FreeBSD lze zprovoznit i s patchem pro LDAP dhcp-3.0.7-ldap-patch. Pro verzi serveru isc-dhcp31-server není podpora LDAPu zatím dostupná.

je nutné nastavit WITH_DHCP_LDAP=true

/usr/ports/net/isc-dhcp30-server
make install clean

Po instalaci máme možnost vytvořit dhcpd.ldif pomoci perlového scriptu dhcpd-conf-to-ldap.pl, kterým načteme např. existující dhcpd.conf. Do OpenLDAP serveru musime pridat patřičné schéma dhcp.schema, samotný dhcpd.conf bude obsahovat nastavení spojení s LDAP serverem.

ldap-server "localhost";
ldap-port 389;
ldap-username "cn=DHCP User, dc=domena, dc=cz";
ldap-password "heslo";
ldap-base-dn "dc=domena, dc=cz";
ldap-method dynamic;
ldap-debug-file "/var/log/dhcp-ldap-startup.log";

Při restartu serveru se ISC DHCP server spojí s LDAPem a stáhne si nastavení jednotlivých nakonfigurovaných sítí, pro které můžeme mít statické alokace s MAC adresou nebo dynamické alokace.

DNS
Pro konfiguraci dns zón, kterou máme uloženou v LDAP adresáři lze použít script ldap2dns, který pouštíme před restartem dns serveru bind9 stahneme jím nastavení zon a samotné zónové soubory obsahující DNS záznamy.

cd /usr/ports/net/ldap2dns/
make install clean

Daný script vyžaduje hnedle několik perlových modulů, které se sami doinstaluji.

Pro fungování je opět třeba přidat do OpenLDAP serveru další schéma ldap2dns.schema

Samba a LDAP na FreeBSD 8

Již dobu jsem se dokopával k zprovoznění domácího fileserveru se Sambou, který bude ověřován oproti adresářovým službám LDAP. Pro domácí použití je to zbytečně složité řešení. Uplatnění to má u nějakého firemního fileserveru, kde se plně využijí data o uživatelých uložena v LDAP strukturách.

Použitý OS FreeBSD 8.0 RELEASE
samba-3.3.9 A free SMB and CIFS client and server for UNIX
openldap-server-2.4.21 Open source LDAP server implementation
smbldap-tools-0.9.5 Samba-LDAP management and support tools
nss_ldap-1.264_3 RFC 2307 NSS module

Zprvoznění dá chvíli zabrat, ale ve fiále je k dispozici rychle a efektivně konfigurovatelné prostředí FileServeru pro velké množství uživatelů.

Vycházel jsem z tohoto užitečného návodu, který je aplikovatelný na jakýkoliv jiný systém. Daný návod jsem s malými změnami zprovoznil na Ubuntu 10.04 LTS BETA1.

K danému řešení jsem si doinstaloval ještě Jabber server Openfire, který je též ověřován oproti použitému LDAP serveru. Je to ideální řešení uživatelu SMB/CIFS domény a fileserveru a zároveň instantní komunikace v jednom. Myslim si, že malé firmy mohou využít instant messaging k plné spokojenosti obdobně jako email. IM je vedle emailu mnohem efektivnější nástroj.

Změna IP v iPlanet Apliacation Server 6.x

Pokud se rozhodneme měnit IP adresu v OS dříve než ji změníme v aplikačním serveru iPlanet, je to špatná volba, postup změny je opačný, protože pro změnu IP v LDAPu je třeba, aby daná instance serveru běžela.

1. Pro změnu IP v aplikačním serveru, jehož součástí je slapd - LDAP se musíme přihlásit na konzoli do X windows pod uživatelem pod, kterým aplikační server běží např. iplanet1, kde nás přivíta v mém případě SunOS 5.8, Window Manager CDE. V terminalu si pustíme aplikaci kregedit. Aplikace vyžaduje funkční X windows a s tím je spojená i proměnná systému $DISPLAY. V aplikaci lze vyhledat danou IP jako hodnotu nějaké proměnné. Dále je možno IP změnit pomocí položky v menu. Zadáme old IP a new IP. Pozor pokud server používá více IP než jednu je třeba se ujistit, která je pro LDAP a aplikační servery a která pro HTTP servery.
2. Dále je třeba upravit server.xml HTTPD serveru např. /appl/iplanet/servers/https-server.domena.cz/config/server.xml.
3. Změnu IP atd. na úrovni OS provedeme ve několika souborech /etc/host*, /etc/defaultrouter, /etc/networks.
4. Dále následuje reboot, ale nikoliv příkazem reboot použijeme shutdown -y -g 10 -i 6, který korektně ukončí vše běžící.
   

Mnou provaděné změny proběhly na Solarisu 8 presně:
SunOS appsun 5.8 Generic_117350-47 sun4u sparc SUNW,Ultra-80

Návod, který jsem částečně použil je zde.

Milane díky :-)

Active Directory authentication v Ubuntu

Né že bych byl příznivcem používání Active Directory. Ale pokud je někde funkční LDAP, proč jej nepoužívat i v Linuxu. V ubuntu je k dispozici aplikace likewise-open, která má v defaultním repozitáři svůj balíček. Alespoň od verze 8.04 LTS.

apt-get update
apt-get install likewise-open

Instalace balíku vyžaduje pár nastaveni

less /etc/krb5.conf
default_realm = LM.LOCAL
...
[realms]
LM.NET = {
kdc = LM.LOCAL
admin_server = PDC-SERVER-WIDLAK
}
...

Poslé ze připojíme daný server k widloidní doméně.

root@ubuntu:~# domainjoin-cli join LM.LOCAL Administrator
Joining to AD Domain: LM.LOCAL
With Computer DNS Name: ubuntu.LM.LOCAL

Administrator@LM.LOCAL's password:
SUCCESS

Nastavíme startování likewise-open

root@ubuntu:~# update-rc.d likewise-open defaults
Adding system startup for /etc/init.d/likewise-open ...
/etc/rc0.d/K20likewise-open -> ../init.d/likewise-open
/etc/rc1.d/K20likewise-open -> ../init.d/likewise-open
/etc/rc6.d/K20likewise-open -> ../init.d/likewise-open
/etc/rc2.d/S20likewise-open -> ../init.d/likewise-open
/etc/rc3.d/S20likewise-open -> ../init.d/likewise-open
/etc/rc4.d/S20likewise-open -> ../init.d/likewise-open
/etc/rc5.d/S20likewise-open -> ../init.d/likewise-open

Zrestartujeme likewise-open

root@ubuntu:~# /etc/init.d/likewise-open restart

Pro funkční nastavení doporučuji mít nainstalovanou a nakonfigurovanou sambu tez s AD. Pro přihlášení pomocí SSL musíme před uživatelem uvést doménu, jak si widle žádají :-(

ssh "LM\malyl"@ubuntu.domena.cz

Po prvním přihlášení se v /home vztvoří adresář dle názvu domény a v něm uživatelův adresář.

OpenFire with AD on Ubuntu

Bohužel v repository Ubuntu OpenFire balíček bohužel není. Ale dá se použít oficiální balík vydávaný autorem aplikace určený pro Debian.

Install package:
apt-get install sun-java6-jre (kvuli zavislostem)
dpkg -i openfire_3.6.3_all.deb

http://jabber.firma.cz:9090
https://jabber.firma.cz:9091

Zaloložení databáze:
mysql -u root -p mysql
create database openfire;
GRANT USAGE ON openfire.* TO openfire@localhost IDENTIFIED BY 'zaabr';
GRANT SELECT, INSERT, UPDATE, CREATE, DELETE, DROP ON openfire.* TO openfire@localhost;
FLUSH PRIVILEGES;

AD vs LDAP:
Pro propojení Jabber serveru s AD je třeba založit usera, který je Domain Userem. Jabber data y AD pouze čte.

Nevěděl jsem jak si ověřit LDAP tvar usera. Bylo mi doporuřeno dsquery.

run cmd.exe
dsquery user -name Jabb*
"CN=Jabber,DC=domain,DC=cz"

LDAP nastaveni v OpenFire Adminu:
M$ AD
host: 192.168.10.42
port: 389
Admin: CN=Jabber,DC=domena,DC=cz
Heslo: ******

Mapování uživatelů: default
sAMAccountName
(objectClass=organizationalPerson)

Mapování skupin: default
cn
member
description
(objectClass=group)

Při nastavení certifikatu SSL se vše dělá automaticky, jen je třeba znát Country Code

Celková instalace je velmi rychlá a jednoduchá.