Note :

Intégrer la gestion des utilisateurs LDAP à Oracle Linux Automation Manager

Présentation

Oracle Linux Automation Manager permet aux administrateurs d'intégrer LDAP pour la gestion des utilisateurs à la source RBAC (Role-Based Access Control) interne existante. Une fois configurés, les utilisateurs qui se connectent avec un compte LDAP génèrent automatiquement un compte Oracle Linux Automation Manager et sont affectés à une organisation utilisateur ou administrateur standard.

Objectifs

Dans ce tutoriel, vous apprendrez à :

Préalables

Déployer Oracle Linux Automation Manager

Note : Si vous exécutez votre propre location, lisez les préalables du projet linux-virt-labs GitHub README.md et remplissez les conditions requises avant de déployer l'environnement de laboratoire.

  1. Ouvrez un terminal sur le Luna Desktop.

  2. Clonez le projet linux-virt-labs GitHub.

    git clone https://github.com/oracle-devrel/linux-virt-labs.git
    
  3. Accédez au répertoire de travail.

    cd linux-virt-labs/olam
    
  4. Installez les collections requises.

    ansible-galaxy collection install -r requirements.yml
    
  5. Mettez à jour la configuration de l'instance Oracle Linux.

    cat << EOF | tee instances.yml > /dev/null
    compute_instances:
      1:
        instance_name: "olam-node"
        type: "control"
      2:
        instance_name: "ipa-server"
        type: "server"
    use_freeipa: true
    olam_type: single
    EOF
    
  6. Sert à créer un fichier d'inventaire.

    cat << EOF | tee hosts > /dev/null
    localhost ansible_connection=local ansible_connection=local ansible_python_interpreter=/usr/bin/python3.6
    EOF
    
  7. Déployez l'environnement de l'exercice.

    ansible-playbook create_instance.yml -i hosts -e "@instances.yml"
    

    L'environnement de laboratoire gratuit nécessite la variable supplémentaire ansible_python_interpreter pour localhost, car il installe l'ensemble RPM pour la trousse SDK Oracle Cloud Infrastructure pour Python. L'emplacement d'installation de cet ensemble est sous les modules Python par défaut du système en fonction de votre version d'Oracle Linux. L'utilisation d'une variable d'inventaire évite d'avoir une incidence sur les lectures exécutées sur des hôtes autres que localhost.

    La forme de déploiement par défaut utilise l'unité centrale AMD. Vous pouvez modifier la forme des instances en transmettant une nouvelle définition de variable de forme sur la ligne de commande.

    Par exemple : -e instance_shape="VM.Standard3.Flex"

    De même, la version par défaut de l'image Oracle Linux utilise la variable os_version définie dans le fichier `default_vars.yml. Vous pouvez modifier cette valeur en transmettant la version principale d'Oracle Linux sur la ligne de commande.

    Par exemple : -e os_version="9"

    Important : Attendez que le livre de jeu s'exécute avec succès et atteignez la tâche Mettre en pause. À ce stade du livre de jeu, l'installation d'Oracle Linux est terminée et les instances sont prêtes. Notez la lecture précédente, qui imprime les adresses IP publiques et privées des noeuds qu'il déploie.

Vérifier l'existence du serveur IPA

  1. Ouvrez un terminal et connectez-vous via SSH à l'instance ipa-server.

    ssh oracle@<ip_address_of_node>
    
  2. Vérifiez que le service IPA est en cours d'exécution.

    sudo systemctl status ipa.service
    

    ipa.service tire parti de la commande ipactl, qui démarre ou arrête simultanément tous les composants individuels.

  3. Définissez les paramètres de localisation de terminal.

    Ce paramètre est une exigence de la commande ipactl.

    export LC_ALL="C.UTF-8"
    
  4. Vérifiez le statut à l'aide de l'interface de contrôle du serveur IPA.

    sudo ipactl status
    

    Tous les composants répertoriés doivent être en cours d'exécution pour que le serveur IPA fonctionne correctement.

Créer un compte de liaison

Le compte de liaison est un compte système qui permet un accès en lecture seule à l'ensemble de la structure LDAP. L'utilisation d'un compte de liaison plutôt que d'un compte d'utilisateur normal empêche l'accès à d'autres systèmes, et il ne possède aucun fichier. En outre, le compte de liaison n'a pas de droits spéciaux et ne peut pas écrire de données dans le serveur LDAP IPA.

  1. Créez un fichier de mise à jour.

    Selon la page de manuel ipa-LDAP-updater, le fichier de mise à jour décrit une entrée LDAP à ajouter ou à modifier, ainsi qu'un jeu d'opérations à effectuer sur cette entrée.

    tee olam-binddn.update << EOF 
    dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
    default:objectclass:account
    default:objectclass:simplesecurityobject
    default:uid:olam-bind
    only:userPassword:olamPassword123
    only:passwordExpirationTime:20380101000000Z
    only:nsIdleTimeout:0
    EOF
    

    Sélectionnez un mot de passe fort et sécurisé pour le compte d'utilisateur de liaison et une uid raisonnable. Les valeurs userPassword et uid ci-dessus sont fournies à des fins de démonstration uniquement dans l'environnement de laboratoire gratuit.

  2. Importez le fichier de mise à jour sur le serveur IPA.

    sudo ipa-ldap-updater olam-binddn.update
    
  3. Vérifiez que le nouveau compte de liaison existe.

    ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 
    
  4. Entrez le mot de passe du compte Directory Manager à l'invite.

    Le mot de passe est DMPassword1 dans l'environnement de laboratoire gratuit.

    Exemple de sortie :

    [oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
    Enter LDAP Password: 
    # extended LDIF
    #
    # LDAPv3
    # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
    # filter: uid=olam-bind
    # requesting: ALL
    #
       
    # olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
    dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
     m
    objectClass: account
    objectClass: simplesecurityobject
    objectClass: top
    uid: olam-bind
    userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
     UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
     aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
     mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
     pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
     XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
     SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
     kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
       
    # search result
    search: 2
    result: 0 Success
       
    # numResponses: 2
    # numEntries: 1
    

Créer un utilisateur

Oracle Linux Automation Manager crée un utilisateur administrateur par défaut lors de l'installation. Vous allez créer un utilisateur LDAP auquel les mêmes privilèges seront affectés.

  1. Authentifiez-vous manuellement sur le serveur IPA en obtenant un ticket Kerberos.

    kinit admin
    
  2. Entrez le mot de passe du compte d'administrateur prédéfini du serveur IPA.

    Le mot de passe est ADMPassword1 dans l'environnement de laboratoire gratuit.

  3. Créez un utilisateur sur le serveur IPA.

    ipa user-add olam_admin --first=OLAM --last=Administrator --password
    

    Transmettez le nom de connexion, le prénom et le nom de famille de l'utilisateur à la commande ipa user-add. Lors de l'enregistrement de ces détails dans le répertoire, IPA convertit automatiquement l'ensemble de la connexion de l'utilisateur en minuscules, ce qui rend les noms d'utilisateur en majuscules et minuscules impossibles.

  4. Entrez et vérifiez le mot de passe de votre choix à l'invite du compte olam_admin.

  5. Vérifiez que l'utilisateur existe en listant tous les comptes de serveur IPA.

    ipa user-find
    

    Les résultats affichent le compte admin du serveur IPA par défaut et le nouveau compte olam_admin.

Créer un groupe

Oracle Linux Automation Manager comporte trois types d'utilisateur, dont deux se traduisent par des groupes LDAP que vous devez créer. Ces groupes sont destinés aux types Administrateur de système et Vérificateur de système.

  1. Créez le groupe d'administrateurs.

    ipa group-add olam_administrators
    
  2. Créez le groupe de vérificateurs.

    ipa group-add olam_auditors
    
  3. Ajoutez le nouvel utilisateur au groupe d'administrateurs.

    ipa group-add-member olam_administrators --users=olam_admin
    

    Cela complète les étapes minimales requises sur le serveur IPA.

  4. Fermez la session ouverte sur le serveur IPA.

    exit
    

Installer les outils client LDAP

Oracle Linux Automation Manager n'installe pas la suite d'applications et d'outils de développement OpenLDAP par défaut. Les administrateurs peuvent utiliser ces outils pour accéder aux répertoires LDAP et les modifier à partir du terminal afin de tester leur configuration.

  1. Connectez-vous via SSH à l'instance olam-node à l'aide du terminal existant.

    ssh oracle@<ip_address_of_node>
    
  2. Installez l'ensemble d'outils OpenLDAP.

    sudo dnf -y install openldap-clients
    
  3. Connectez-vous et recherchez le serveur LDAP.

    ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
    
    • -D : Nom distinctif (DN) à lier au répertoire LDAP
    • -W : Invites pour une authentification simple
    • -H : Indique l'URI du serveur LDAP, qui se compose uniquement du protocole, de l'hôte et du port
  4. Entrez le mot de passe de l'utilisateur olam_admin à l'invite.

    La sortie retourne les résultats de la recherche si la connexion réussit.

  5. Fermez la session de terminal.

    exit
    

Se connecter à l'interface utilisateur Web d'Oracle Linux Automation Manager

  1. Configurez un tunnel SSH vers l'instance de noeud olam à l'aide du terminal existant.

    ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
    
    • -o ExitOnForwardFailure=yes : Attend la réussite de tous les transferts de port distant
    • -f : Exécute le tunnel SSH en arrière-plan
    • -L : Crée le tunnel sur le port 8444 sur le système local et 443 sur le système distant
    • sleep 300 : garde le tunnel distant ouvert pendant 5 minutes, en attente d'une connexion établie avant la fermeture automatique
  2. Ouvrez un navigateur Web et entrez l'URL.

    https://localhost:8444
    

    Note : Approuvez l'avertissement de sécurité en fonction du navigateur utilisé. Cliquez sur le bouton Avancé du navigateur Chrome, puis sur le lien Passer à localhost (non sécurisé).

  3. Connectez-vous à l'interface utilisateur Web d'Oracle Linux Automation Manager.

    Utilisez le nom d'utilisateur admin et le mot de passe admin dans l'environnement de laboratoire gratuit.

    olam2 - Connexion

  4. Une fois connecté, l'interface utilisateur Web s'affiche.

    olam2-webui

Ouvrir les paramètres LDAP

Un utilisateur doté du privilège Administrateur de système utilise la page Paramètres de l'interface utilisateur Web d'Oracle Linux Automation Manager pour ajouter d'autres paramètres d'authentification, tels que LDAP.

  1. Cliquez sur Paramètres au bas du menu de navigation pour afficher la page Paramètres.

    olam2-paramètres-page

    Cette page donne accès à d'autres paramètres d'authentification que vous utiliserez pour configurer l'accès au serveur LDAP.

  2. Cliquez sur le lien Paramètres LDAP dans la section Authentification.

    Cliquez sur ce lien pour afficher la page de configuration du serveur LDAP Par défaut. Au-delà du serveur LDAP par défaut, Oracle Linux Automation Manager vous permet de configurer cinq sources LDAP supplémentaires.

    olam2-ldap-details-page

Modifier le paramètre LDAP par défaut

  1. Faites défiler vers le bas de la page Détails par défaut et cliquez sur le bouton Modifier.

    olam2-ldap-default-edit

    La page est actualisée et permet désormais de modifier les différents champs. L'utilisation de Ctrl+V est recommandée lors du collage de vos entrées dans les différents champs de l'environnement de laboratoire gratuit.

  2. Entrez l'adresse du serveur LDAP dans le champ URI du serveur LDAP.

    ldap://ipa-server.lv.vcn.oraclevcn.com:389
    
  3. Entrez le mot de passe de l'utilisateur de liaison dans le champ Mot de passe de liaison LDAP.

    Le mot de passe est olamPassword123 dans l'environnement de laboratoire gratuit.

    olamPassword123
    

    Oracle Linux Automation Manager chiffre le champ de mot de passe après l'enregistrement des modifications de configuration. Vous pouvez toujours modifier le champ Mot de passe de liaison LDAP, mais l'interface utilisateur Web n'affiche plus le mot de passe initial entré.

  4. Cliquez sur le type de groupe et sélectionnez-le dans la liste déroulante Type de groupe LDAP.

    Dans l'environnement de laboratoire gratuit, le type de groupe LDAP est par défaut MemberDNGroupType, que vous utiliserez avec notre serveur LDAP.

    Les types de groupe LDAP pris en charge par Oracle Linux Automation Manager utilisent la bibliothèque django-auth-LDAP.

    Chaque type de groupe LDAP peut prendre différents paramètres. Consultez les classes init dans la documentation en amont django_auth_ldap pour déterminer les paramètres attendus.

  5. Entrez le nom distinctif (DN) dans le champ Nom distinctif de liaison LDAP pour l'utilisateur LDAP utilisé par Oracle Linux Automation Manager pour la connexion ou la liaison au serveur LDAP.

    Utilisez le compte d'utilisateur olam-bind créé précédemment.

    uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
    
  6. Entrez la clé qui stocke le nom de l'utilisateur dans le champ Modèle de nom distinctif d'utilisateur LDAP.

    uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
    
  7. Entrez le nom distinctif du groupe dans le champ Groupe requis LDAP pour permettre aux utilisateurs de ce groupe d'accéder à Oracle Linux Automation Manager.

    cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
    

    La page Modifier les détails doit ressembler à la capture d'écran de l'environnement de laboratoire gratuit à ce stade.

    olam2-ldap-detail-edits-one

  8. Entrez l'emplacement à rechercher pour les utilisateurs lors de l'authentification dans le champ Recherche d'utilisateurs LDAP.

    [
       "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
       "SCOPE_SUBTREE",
       "(uid=%(user)s)"
    ]
    

    olam2-ldap-user-search

  9. Dans le champ Recherche de groupe LDAP, entrez les groupes à rechercher et la façon de les rechercher.

    [
       "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "SCOPE_SUBTREE",
       "(objectClass=groupofNames)"
    ]
    

    olam2-ldap-group-search

  10. Entrez les attributs d'utilisateur dans la zone de texte Mappage des attributs d'utilisateur LDAP.

    {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
    }
    

    Lors de l'extraction d'utilisateurs, Oracle Linux Automation Manager obtient l'utilisateur par la clé last_name à partir de la clé sn.

    olam2-ldap-user-attrib-map

  11. Entrez les indicateurs de profil d'utilisateur dans le champ Indicateurs d'utilisateur LDAP par groupe.

    Ces profils affectent les utilisateurs LDAP en tant que superutilisateurs et auditeurs.

    {
       "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
    }
    

    Oracle Linux Automation Manager modifie le format de ce champ après avoir enregistré la configuration pour qu'elle corresponde à l'exemple illustré.

    olam2-ldap-user-flags-grp

  12. Lorsque vous avez terminé, cliquez sur le bouton Enregistrer.

Vérifier les paramètres d'authentification

Après avoir enregistré les paramètres LDAP, vous devriez pouvoir vous connecter à Oracle Linux Automation Manager en tant qu'utilisateur LDAP.

  1. Déconnectez-vous d'Oracle Linux Automation Manager.

    Cliquez sur l'utilisateur administrateur dans le coin supérieur droit de l'interface utilisateur Web et sélectionnez Déconnexion dans la liste de valeurs.

    olam2-déconnexion

  2. Connectez-vous à Oracle Linux Automation Manager avec le nom d'utilisateur olam_admin.

    Utilisez le mot de passe que vous avez affecté à l'utilisateur lors de la création du compte.

    olam2-login2

  3. Cliquez sur l'élément de menu Utilisateurs dans le menu de navigation.

    olam2-users-menu

  4. Assurez-vous que olam_admin existe dans la liste des utilisateurs.

    olam2-users-list

    Important : Oracle Linux Automation Manager ne synchronise pas automatiquement les utilisateurs; il les crée et les ajoute lors de la connexion initiale de l'utilisateur.

(Facultatif) Activer SSL/TLS

Le serveur IPA installe une autorité de certification auto-signée de auto-signature à l'aide de certutil pour générer des certificats. Ces certificats permettent de tester la communication SSL et TLS entre le client et le serveur. Les environnements de production doivent utiliser des certificats signés par une autorité de certification approuvée.

Le certificat AC auto-signé du serveur IPA se trouve dans le répertoire /etc/ipa/ca.crt du serveur IPA.

  1. Passez à la session de terminal ouverte connectée à l'instance olam-node.

  2. Copiez l'autorité de certification auto-signée du serveur IPA vers Oracle Linux Automation Manager.

    scp oracle@ipa-server:/etc/ipa/ca.crt ~/
    

    Entrez oracle comme mot de passe et ENTER si le terminal présente une invite de mot de passe dans l'environnement de laboratoire gratuit.

  3. Copiez le certificat AC auto-signé dans le répertoire Shared System Certificate du serveur Oracle Linux Automation Manager.

    sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
    
  4. Modifiez le responsable du fichier de certificat.

    sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt
    
  5. Mettez à jour la configuration du magasin de certificats SSL à l'échelle du système.

    sudo update-ca-trust
    
  6. Testez la connexion au serveur LDAP avec SSL.

    ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com
    
  7. Revenez au navigateur et, si nécessaire, connectez-vous à Oracle Linux Automation Manager en tant qu'utilisateur admin.

  8. Naviguez jusqu'aux paramètres et aux paramètres LDAP.

  9. Faites défiler l'affichage vers le bas et cliquez sur le bouton Modifier.

  10. Mettez à jour l'URI du serveur LDAP ou le TLS de début LDAP.

    Si vous choisissez de mettre à jour l'URI du serveur LDAP, modifiez le protocole de ldap:// à ldaps:// et le port de 389 à 636.

    olam2-ldap-ssl-uri

    Si vous mettez à jour LDAP Start TLS, activez/désactivez le commutateur à On.

    olam2-ldap-tls-toggle

    Important : LDAPS avec Oracle Linux Automation Manager ne fonctionne que lorsque l'une de ces options est activée, pas les deux. Par conséquent, si vous mettez à jour l'URI, n'activez pas la bascule, et vice versa.

  11. Faites défiler l'affichage vers le bas de la page et cliquez sur le bouton Enregistrer.

  12. Déconnectez-vous de l'interface utilisateur Web.

  13. Connectez-vous à Oracle Linux Automation Manager avec le nom d'utilisateur olam_admin et le mot de passe que vous avez affecté lors de la création du compte.

    olam2-login2

    Une fois connecté, vous avez confirmé le fonctionnement de la communication SSL/TLS entre Oracle Linux Automation Manager et le serveur LDAP. Si le temps le permet, modifiez à nouveau les paramètres LDAP et essayez l'autre option.

Étapes suivantes

Votre application Oracle Linux Automation Manager peut désormais authentifier ses utilisateurs auprès d'un serveur LDAP externe, ce qui permet une administration centrale des données d'identification de l'interface utilisateur Web et un contrôle d'accès. Consultez certaines de nos autres formations sur Oracle Linux Automation Manager en visitant la station de formation Oracle Linux.

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.