Note:

• Este tutorial está disponible en un entorno de prácticas gratuito proporcionado por Oracle.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Integración de la gestión de usuarios de LDAP con Oracle Linux Automation Manager

Introducción

Oracle Linux Automation Manager permite a los administradores integrar LDAP para la gestión de usuarios junto con el origen RBAC (control de acceso basado en roles) interno existente. Una vez configurado, los usuarios que inician sesión con una cuenta LDAP generan automáticamente una cuenta de Oracle Linux Automation Manager y se asignan a una organización de usuario o administrador estándar.

Objetivos

En este tutorial, aprenderá a:

• Crear y configurar cuentas y grupos en LDAP
  • Cuenta bind
  • Cuenta de usuario
  • Grupo de superuser
  • Grupo system_auditor
• Configuración de Oracle Linux Automation Manager para utilizar LDAP
• Verificar acceso a LDAP
• Activar LDAPS

Requisitos

• Un sistema con Oracle Linux Automation Manager instalado.
• Servidor LDAP disponible, como el servidor de gestión de identidad FreeIPA de código abierto.

Despliegue de Oracle Linux Automation Manager

Nota: Si se ejecuta en su propio arrendamiento, lea el proyecto linux-virt-labs GitHub README.md y complete los requisitos antes de desplegar el entorno de prácticas.

1. Abra un terminal en el escritorio Luna.

2. Clone el proyecto linux-virt-labs GitHub.

   git clone https://github.com/oracle-devrel/linux-virt-labs.git
   

3. Cambie al directorio de trabajo.

   cd linux-virt-labs/olam
   

4. Instale las recopilaciones necesarias.

   ansible-galaxy collection install -r requirements.yml
   

5. Actualice la configuración de la instancia de Oracle Linux.

   cat << EOF | tee instances.yml > /dev/null
   compute_instances:
     1:
       instance_name: "olam-node"
       type: "control"
     2:
       instance_name: "ipa-server"
       type: "server"
   use_freeipa: true
   EOF
   

6. Despliegue el entorno de prácticas.

   ansible-playbook create_instance.yml -e ansible_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
   

   El entorno de prácticas gratuito necesita la variable adicional ansible_python_interpreter porque instala el paquete de RPM para el SDK para Python de Oracle Cloud Infrastructure. La ubicación de la instalación de este paquete está en los módulos python3.6.

   La unidad de despliegue por defecto utiliza la CPU AMD y Oracle Linux 8. Para utilizar una CPU de Intel u Oracle Linux 9, agregue -e instance_shape="VM.Standard3.Flex" o -e os_version="9" al comando de despliegue.

   Importante: Espere a que el cuaderno de estrategias se ejecute correctamente y alcance la tarea de pausa. La instalación de Oracle Linux Automation Manager se ha completado en esta etapa del manual y las instancias están listas. Tome nota de la reproducción anterior, que imprime las direcciones IP públicas y privadas de los nodos que despliega.

Verificación de que existe el servidor IPA

1. Abra un terminal y conéctese mediante SSH a la instancia de ipa-server.

   ssh oracle@<ip_address_of_node>
   

2. Verifique que el servicio IPA se esté ejecutando.

   sudo systemctl status ipa.service
   

   ipa.service aprovecha el comando ipactl, que inicia o detiene simultáneamente todos los componentes individuales.

3. Defina la configuración de localización de terminal.

   Esta configuración es un requisito del comando ipactl.

   export LC_ALL="C.UTF-8"
   

4. Compruebe el estado mediante la interfaz de control del servidor IPA.

   sudo ipactl status
   

   Todos los componentes mostrados deben estar en ejecución para que el servidor de IPA funcione correctamente.

Crear una cuenta de enlace

La cuenta de enlace es una cuenta del sistema que permite el acceso de solo lectura a toda la estructura LDAP. El uso de una cuenta de enlace en lugar de una cuenta de usuario normal impide el acceso a cualquier otro sistema y no es propietario de ningún archivo. Además, la cuenta de enlace no tiene derechos especiales y no puede escribir ningún dato en el servidor LDAP de IPA.

1. Cree un archivo de actualización.

   En la página del manual ipa-LDAP-updater, el archivo de actualización describe una entrada LDAP para agregar o modificar y un conjunto de operaciones para realizar en esa entrada.

   tee olam-binddn.update << EOF 
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   default:objectclass:account
   default:objectclass:simplesecurityobject
   default:uid:olam-bind
   only:userPassword:olamPassword123
   only:passwordExpirationTime:20380101000000Z
   only:nsIdleTimeout:0
   EOF
   

   Seleccione una contraseña segura y segura para la cuenta de usuario de enlace y un uid razonable. Los valores userPassword y uid anteriores se utilizan con fines de demostración únicamente en el entorno de prácticas gratuitas.

2. Importe el archivo de actualización al servidor de IPA.

   sudo ipa-ldap-updater olam-binddn.update
   

3. Verifique que existe la nueva cuenta de enlace.

   ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 
   

4. Introduzca la contraseña para la cuenta de Directory Manager cuando se le solicite.

   La contraseña es DMPassword1 en el entorno de prácticas gratuitas.

   Salida de ejemplo:

   [oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
   Enter LDAP Password: 
   # extended LDIF
   #
   # LDAPv3
   # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
   # filter: uid=olam-bind
   # requesting: ALL
   #
      
   # olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
    m
   objectClass: account
   objectClass: simplesecurityobject
   objectClass: top
   uid: olam-bind
   userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
    UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
    aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
    mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
    pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
    XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
    SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
    kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
      
   # search result
   search: 2
   result: 0 Success
      
   # numResponses: 2
   # numEntries: 1
   

Crear Usuario

Oracle Linux Automation Manager crea un usuario admin predeterminado durante la instalación. Creará un usuario LDAP, al que se le asignarán los mismos privilegios.

1. Autenticar manualmente en el servidor IPA mediante la obtención de un ticket de Kerberos.

   kinit admin
   

2. Introduzca la contraseña de la cuenta admin predefinida del servidor IPA.

   La contraseña es ADMPassword1 en el entorno de prácticas gratuitas.

3. Cree un usuario en el servidor de IPA.

   ipa user-add olam_admin --first=OLAM --last=Administrator --password
   

   Transfiera el inicio de sesión, el nombre y los apellidos del usuario al comando ipa user-add. Al guardar estos detalles en el directorio, IPA convierte automáticamente todo el inicio de sesión del usuario en minúsculas, lo que hace que los nombres de usuario en mayúsculas y minúsculas sean imposibles.

4. Introduzca y verifique una contraseña de su elección cuando se le solicite la cuenta olam_admin.

5. Verifique que el usuario existe mostrando todas las cuentas del servidor de IPA.

   ipa user-find
   

   Los resultados muestran la cuenta admin predeterminada del servidor IPA y la cuenta olam_admin recién creada.

Creación de un grupo

Oracle Linux Automation Manager tiene tres tipos de usuario, de los cuales dos se traducen en grupos LDAP que debe crear. Estos grupos son para los tipos Administrador del sistema y Auditor del sistema.

1. Cree el grupo de administradores.

   ipa group-add olam_administrators
   

2. Cree el grupo de auditores.

   ipa group-add olam_auditors
   

3. Agregue el nuevo usuario al grupo de administradores.

   ipa group-add-member olam_administrators --users=olam_admin
   

   Esto completa los pasos mínimos necesarios en el servidor IPA.

4. Cierre la sesión abierta en el servidor de IPA.

   exit
   

Instalación de las herramientas de cliente LDAP

Oracle Linux Automation Manager no instala el conjunto de aplicaciones y herramientas de desarrollo OpenLDAP por defecto. Los administradores pueden utilizar estas herramientas para acceder y modificar directorios LDAP desde el terminal para ayudar a probar su configuración.

1. Conéctese mediante SSH a la instancia de nodo olam mediante el terminal existente.

   ssh oracle@<ip_address_of_node>
   

2. Instale el paquete de herramientas OpenLDAP.

   sudo dnf -y install openldap-clients
   

3. Conecte y busque el servidor LDAP.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

   • -D: es el nombre distintivo (DN) que se enlaza al directorio LDAP
   • -W: peticiones de datos para autenticación simple
   • -H: especifica el URI del servidor LDAP, que consta solo del protocolo, el host y el puerto

4. Introduzca la contraseña para el usuario olam_admin en el indicador.

   La salida devuelve los resultados de la búsqueda si la conexión se realiza correctamente.

5. Cierre la sesión de terminal.

   exit
   

Conéctese a Oracle Linux Automation Manager WebUI

1. Configure un túnel SSH a la instancia del nodo olam mediante el terminal existente.

   ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
   

   • -o ExitOnForwardFailure=yes: espera a que todos los reenvíos de puertos remotos se establezcan correctamente
   • -f: ejecuta el túnel SSH en segundo plano
   • -L: crea el túnel en el puerto 8444 en el sistema local y 443 en el sistema remoto
   • sleep 300: mantiene abierto el túnel remoto durante 5 minutos, esperando una conexión establecida antes de cerrar automáticamente

2. Abra un explorador web e introduzca la URL.

   https://localhost:8444
   

   Nota: Apruebe la advertencia de seguridad según el explorador utilizado. Haga clic en el botón Avanzado del explorador Chrome y, a continuación, en el enlace Continuar con el host local (no seguro).

3. Conéctese a Oracle Linux Automation Manager WebUI.

   Utilice el nombre de usuario admin y la contraseña admin en el entorno de prácticas libres.

   

4. Después de conectarse, se muestra WebUI.

   

Abrir la configuración de LDAP

Un usuario con el privilegio Administrador del sistema utiliza la página Configuración de Oracle Linux Automation Manager WebUI para agregar valores de Autenticación alternativos, como LDAP.

1. Haga clic en Configuración en la parte inferior del menú de navegación para mostrar la página Configuración.

   

   Esta página proporciona acceso a la configuración de Authentication alternativa que utilizará para configurar el acceso al servidor LDAP.

2. Haga clic en el enlace Configuración de LDAP en la sección Autenticación.

   Al hacer clic en este enlace, se muestra la página de configuración del servidor LDAP por defecto. Más allá del servidor LDAP por defecto, Oracle Linux Automation Manager permite configurar cinco orígenes de LDAP adicionales.

   

Edición de la configuración predeterminada de LDAP

1. Desplácese hasta la parte inferior de la página Detalles por defecto y haga clic en el botón Editar.

   

   La página se refresca y ahora permite editar los diferentes campos. Se recomienda utilizar Ctrl+V al pegar las entradas en los distintos campos del entorno de prácticas libre.

2. Introduzca la dirección del servidor LDAP en el campo LDAP Server URI (URI de servidor LDAP).

   ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

3. Introduzca la contraseña para el usuario de enlace en el campo LDAP Bind Password (Contraseña de enlace de LDAP).

   La contraseña es olamPassword123 en el entorno de prácticas gratuitas.

   olamPassword123
   

   Oracle Linux Automation Manager cifra el campo de contraseña después de guardar los cambios de configuración. Puede seguir editando el campo LDAP Bind Password (Contraseña de enlace de LDAP), pero WebUI ya no muestra la contraseña inicial introducida.

4. Haga clic y seleccione el tipo de grupo en la lista desplegable LDAP Group Type (Tipo de grupo LDAP) de valores.

   En el entorno de prácticas libres, el valor predeterminado de LDAP Group Type es MemberDNGroupType, que utilizará con nuestro servidor LDAP.

   Los tipos de grupo LDAP que admite Oracle Linux Automation Manager utilizan django-auth-LDAP-library.

   Cada tipo de grupo LDAP puede tener diferentes parámetros, por lo que debe consultar las clases init en la documentación ascendente de django_auth_ldap para determinar los parámetros esperados.

5. Introduzca el nombre distintivo (DN) en el campo LDAP Bind DN para el usuario de LDAP que utiliza Oracle Linux Automation Manager para conectarse o enlazarse al servidor LDAP.

   Utilice la cuenta de usuario olam-bind creada anteriormente.

   uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

6. Introduzca la clave que almacena el nombre del usuario en el campo Plantilla de DN de Usuario de LDAP.

   uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

7. Introduzca el nombre distintivo de grupo en el campo Grupo de requisitos de LDAP para permitir a los usuarios de ese grupo acceder a Oracle Linux Automation Manager.

   cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   La página Edit Details se debe parecer a la captura de pantalla del entorno de prácticas gratuito en esta etapa.

   

8. Introduzca la ubicación en la que buscar usuarios al autenticarse en el campo LDAP User Search (Búsqueda de usuarios de LDAP).

   [
      "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(uid=%(user)s)"
   ]
   

   

9. En el campo LDAP Group Search (Búsqueda de grupos LDAP), introduzca qué grupos buscar y cómo buscarlos.

   [
      "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(objectClass=groupofNames)"
   ]
   

   

10. Introduzca los atributos de usuario en el campo de texto LDAP User Attribute Map (Asignación de atributos de usuario de LDAP).

    {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
    }
    

    Al recuperar usuarios, Oracle Linux Automation Manager obtendrá el usuario mediante last_name desde la clave sn.

    

11. Introduzca los indicadores de perfil de usuario en el campo LDAP User Flags by Group (Indicadores de usuario por grupo de LDAP).

    Estos perfiles asignan los usuarios de LDAP como Superusers y Auditors.

    {
       "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
    }
    

    Oracle Linux Automation Manager modifica el formato de este campo después de guardar la configuración para que coincida con el ejemplo mostrado.

    

12. Haga clic en el botón Save cuando termine.

Verificación de la configuración de autenticación

Después de guardar la configuración de LDAP, debe poder iniciar sesión en Oracle Linux Automation Manager como usuario de LDAP.

1. Desconéctese de Oracle Linux Automation Manager.

   Haga clic en el usuario admin en la esquina superior derecha de WebUI y seleccione Cerrar sesión en la lista de valores.

   

2. Conéctese a Oracle Linux Automation Manager con el nombre de usuario olam_admin.

   Utilice la contraseña que ha asignado al usuario durante la creación de la cuenta.

   

3. Haga clic en la opción de menú Users (Usuarios) en el menú de navegación.

   

4. Asegúrese de que olam_admin existe en la lista de usuarios.

   

   Importante: Oracle Linux Automation Manager no sincroniza usuarios automáticamente, sino que los crea y agrega durante la conexión inicial del usuario.

(Opcional) Activación de SSL/TLS

El servidor IPA instala una CA autofirmada selfsign mediante certutil para generar certificados. Estos certificados permiten probar la comunicación SSL y TLS entre el cliente y el servidor. Los entornos de producción deben utilizar certificados firmados por una autoridad de certificación (CA) de confianza.

El certificado de CA autofirmado del servidor IPA se encuentra en el directorio /etc/ipa/ca.crt del servidor IPA.

1. Cambie a la sesión de terminal abierta conectada a la instancia olam-node.

2. Copie la CA autofirmada del servidor IPA en Oracle Linux Automation Manager.

   scp oracle@ipa-server:/etc/ipa/ca.crt ~/
   

   Escriba oracle como contraseña y ENTER si el terminal presenta una petición de contraseña en el entorno de prácticas libre.

3. Copie el certificado de CA autofirmado en el directorio Shared System Certificate del servidor de Oracle Linux Automation Manager.

   sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   

4. Cambie la propiedad en el archivo de certificado.

   sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt
   

5. Actualice la configuración del almacén de confianza en todo el sistema.

   sudo update-ca-trust
   

6. Pruebe la conexión al servidor LDAP con SSL.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com
   

7. Vuelva al explorador y, si es necesario, conéctese a Oracle Linux Automation Manager como usuario admin.

8. Vaya a Settings (Configuración) y LDAP settings (Configuración de LDAP).

9. Desplácese hacia abajo y haga clic en el botón Editar.

10. Actualice el URI del servidor LDAP o el TLS de inicio de LDAP.

    Si decide actualizar el URI del servidor LDAP, cambie el protocolo de ldap:// a ldaps:// y el puerto de 389 a 636.

    

    Si está actualizando LDAP Start TLS, cambie el conmutador a On (Activado).

    

    Importante: LDAPS con Oracle Linux Automation Manager solo funciona al activar una de estas opciones, no ambas. Por lo tanto, si actualiza el URI, no active el conmutador y viceversa.

11. Desplácese hasta la parte inferior de la página y haga clic en el botón Guardar.

12. Desconéctese de WebUI.

13. Conéctese a Oracle Linux Automation Manager con el nombre de usuario olam_admin y la contraseña que asignó durante la creación de la cuenta.

    

    Una vez conectado, confirmó que la comunicación SSL/TLS entre Oracle Linux Automation Manager y el servidor LDAP está funcionando. Si el tiempo lo permite, vuelva a editar la configuración de LDAP y pruebe con la otra opción.

Pasos Siguientes

Oracle Linux Automation Manager ahora puede autenticar correctamente a sus usuarios en un servidor LDAP externo, lo que permite la administración central de las credenciales WebUI y el control de acceso. Consulte algunos de nuestros otros cursos de formación sobre Oracle Linux Automation Manager visitando Oracle Linux Training Station.

Enlaces relacionados

• Guía de instalación de Oracle Linux Automation Manager
• Instalar el servidor FreeIPA en Oracle Linux
• Documentación de Oracle Linux Automation Manager
• Formación sobre Oracle Linux Automation Manager
• Oracle Linux Training Station

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Integrate LDAP User Management with Oracle Linux Automation Manager

F75245-02

Copyright ©2022, Oracle and/or its affiliates.