Remarques :

• Ce tutoriel est disponible dans un environnement d'atelier gratuit fourni par Oracle.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Intégration de la gestion des utilisateurs LDAP à Oracle Linux Automation Manager

Introduction

Oracle Linux Automation Manager permet aux administrateurs d'intégrer LDAP pour la gestion des utilisateurs avec la source RBAC (contrôle d'accès basé sur les rôles) interne existante. Une fois configurés, les utilisateurs se connectant avec un compte LDAP génèrent automatiquement un compte Oracle Linux Automation Manager et sont affectés à une organisation utilisateur ou administrateur standard.

Objectifs

Dans ce tutoriel, vous allez apprendre à :

• Créer et configurer des comptes et des groupes dans LDAP
  • Compte bind
  • Compte user
  • Groupe superutilisateur
  • Groupe system_auditor
• Configurer Oracle Linux Automation Manager pour utiliser LDAP
• Vérifier l'accès LDAP
• Activer LDAPS

Prérequis

• Système sur lequel Oracle Linux Automation Manager est installé.
• Serveur LDAP disponible, tel que le serveur de gestion des identités FreeIPA open source.

Déployer Oracle Linux Automation Manager

Remarque : en cas d'exécution dans votre propre location, lisez le projet linux-virt-labs GitHub README.md et respectez les prérequis avant de déployer l'environnement d'atelier.

1. Ouvrez un terminal sur le bureau Luna.

2. Clonez le projet linux-virt-labs GitHub.

   git clone https://github.com/oracle-devrel/linux-virt-labs.git
   

3. Accédez au répertoire de travail.

   cd linux-virt-labs/olam
   

4. Installez les collections requises.

   ansible-galaxy collection install -r requirements.yml
   

5. Mettez à jour la configuration de l'instance Oracle Linux.

   cat << EOF | tee instances.yml > /dev/null
   compute_instances:
     1:
       instance_name: "olam-node"
       type: "control"
     2:
       instance_name: "ipa-server"
       type: "server"
   use_freeipa: true
   EOF
   

6. Déployez l'environnement d'exercice.

   ansible-playbook create_instance.yml -e ansible_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
   

   L'environnement d'atelier gratuit nécessite la variable supplémentaire ansible_python_interpreter car il installe le package RPM pour le kit SDK Oracle Cloud Infrastructure pour Python. L'emplacement d'installation de ce package se trouve sous les modules python3.6.

   La forme de déploiement par défaut utilise la CPU AMD et Oracle Linux 8. Pour utiliser une CPU Intel ou Oracle Linux 9, ajoutez -e instance_shape="VM.Standard3.Flex" ou -e os_version="9" à la commande de déploiement.

   Important : attendez que le playbook s'exécute correctement et atteignez la tâche de pause. L'installation d'Oracle Linux Automation Manager est terminée à ce stade du manuel et les instances sont prêtes. Notez la lecture précédente, qui imprime les adresses IP publiques et privées des noeuds qu'elle déploie.

Vérification de l'existence du serveur IPA

1. Ouvrez un terminal et connectez-vous via SSH à l'instance de serveur ipa.

   ssh oracle@<ip_address_of_node>
   

2. Vérifiez que le service IPA est en cours d'exécution.

   sudo systemctl status ipa.service
   

   ipa.service tire parti de la commande ipactl, qui démarre ou arrête simultanément tous les composants individuels.

3. Définissez les paramètres de localisation du terminal.

   Ce paramètre est une exigence de la commande ipactl.

   export LC_ALL="C.UTF-8"
   

4. Vérifiez le statut à l'aide de l'interface de contrôle du serveur IPA.

   sudo ipactl status
   

   Tous les composants répertoriés doivent être en cours d'exécution pour que le serveur IPA fonctionne correctement.

Créer un compte lié

Le compte de liaison est un compte système qui permet un accès en lecture seule à l'ensemble de la structure LDAP. L'utilisation d'un compte de liaison plutôt que d'un compte utilisateur standard empêche l'accès à d'autres systèmes et ne possède aucun fichier. En outre, le compte de liaison ne dispose d'aucun droit spécial et ne peut pas écrire de données dans le serveur LDAP IPA.

1. Créez un fichier de mise à jour.

   Dans la page de manuel ipa-LDAP-updater, le fichier de mise à jour décrit une entrée LDAP à ajouter ou modifier et un ensemble d'opérations à effectuer sur cette entrée.

   tee olam-binddn.update << EOF 
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   default:objectclass:account
   default:objectclass:simplesecurityobject
   default:uid:olam-bind
   only:userPassword:olamPassword123
   only:passwordExpirationTime:20380101000000Z
   only:nsIdleTimeout:0
   EOF
   

   Sélectionnez un mot de passe fort et sécurisé pour le compte utilisateur de liaison et un uid raisonnable. Le fichier userPassword et l'uid ci-dessus sont fournis à des fins de démonstration uniquement dans l'environnement d'atelier gratuit.

2. Importez le fichier de mise à jour sur le serveur IPA.

   sudo ipa-ldap-updater olam-binddn.update
   

3. Vérifiez que le nouveau compte de liaison existe.

   ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 
   

4. Entrez le mot de passe du compte Directory Manager lorsque vous y êtes invité.

   Le mot de passe est DMPassword1 dans l'environnement d'atelier gratuit.

   Exemple de sortie :

   [oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
   Enter LDAP Password: 
   # extended LDIF
   #
   # LDAPv3
   # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
   # filter: uid=olam-bind
   # requesting: ALL
   #
      
   # olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
    m
   objectClass: account
   objectClass: simplesecurityobject
   objectClass: top
   uid: olam-bind
   userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
    UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
    aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
    mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
    pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
    XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
    SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
    kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
      
   # search result
   search: 2
   result: 0 Success
      
   # numResponses: 2
   # numEntries: 1
   

Création d'un utilisateur

Oracle Linux Automation Manager crée un utilisateur admin par défaut lors de l'installation. Vous allez créer un utilisateur LDAP auquel les mêmes privilèges seront affectés.

1. Authentification manuelle sur le serveur IPA en obtenant un ticket Kerberos.

   kinit admin
   

2. Entrez le mot de passe de compte admin prédéfini du serveur IPA.

   Le mot de passe est ADMPassword1 dans l'environnement d'atelier gratuit.

3. Créez un utilisateur sur le serveur IPA.

   ipa user-add olam_admin --first=OLAM --last=Administrator --password
   

   Transmettez la connexion, le prénom et le nom de l'utilisateur à la commande ipa user-add. Lors de l'enregistrement de ces détails dans l'annuaire, IPA convertit automatiquement l'intégralité de la connexion utilisateur en minuscules, ce qui rend impossible les noms d'utilisateur en majuscules.

4. Entrez et vérifiez le mot de passe de votre choix à l'invite du compte olam_admin.

5. Vérifiez que l'utilisateur existe en répertoriant tous les comptes de serveur IPA.

   ipa user-find
   

   Les résultats indiquent le compte admin par défaut du serveur IPA et le nouveau compte olam_admin.

Création d'un groupe

Oracle Linux Automation Manager comporte trois types d'utilisateur, dont deux sont convertis en groupes LDAP que vous devez créer. Ces groupes concernent les types d'administrateur système et d'auditeur système.

1. Créez le groupe d'administrateurs.

   ipa group-add olam_administrators
   

2. Créez le groupe d'auditeurs.

   ipa group-add olam_auditors
   

3. Ajoutez le nouvel utilisateur au groupe d'administrateurs.

   ipa group-add-member olam_administrators --users=olam_admin
   

   Cela permet de réaliser les étapes minimales requises sur le serveur IPA.

4. Fermez la session ouverte sur le serveur IPA.

   exit
   

Installation des outils client LDAP

Oracle Linux Automation Manager n'installe pas par défaut la suite d'applications et d'outils de développement OpenLDAP. Les administrateurs peuvent utiliser ces outils pour accéder aux annuaires LDAP et les modifier à partir du terminal afin de tester leur configuration.

1. Connectez-vous via SSH à l'instance olam-node à l'aide du terminal existant.

   ssh oracle@<ip_address_of_node>
   

2. Installez le package d'outils OpenLDAP.

   sudo dnf -y install openldap-clients
   

3. Connectez le serveur LDAP et recherchez-le.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

   • -D : nom distinctif (DN) à lier à l'annuaire LDAP
   • -W : invites pour une authentification simple
   • -H : indique l'URI du serveur LDAP, qui se compose uniquement du protocole, de l'hôte et du port.

4. Entrez le mot de passe de l'utilisateur olam_admin à l'invite.

   La sortie renvoie les résultats de la recherche si la connexion a réussi.

5. Fermez la session de terminal.

   exit
   

Connectez-vous à Oracle Linux Automation Manager WebUI

1. Configurez un tunnel SSH vers l'instance olam-node à l'aide du terminal existant.

   ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
   

   • -o ExitOnForwardFailure=yes : attend que tous les transferts de port distant soient établis
   • -f : exécute le tunnel SSH en arrière-plan.
   • -L : crée le tunnel sur le port 8444 sur le système local et 443 sur le système distant.
   • sleep 300 : maintient le tunnel distant ouvert pendant 5 minutes, en attendant une connexion établie avant la fermeture automatique

2. Ouvrez un navigateur Web et saisissez l'URL.

   https://localhost:8444
   

   Remarque : approuvez l'avertissement de sécurité en fonction du navigateur utilisé. Cliquez sur le bouton Avancé du navigateur Chrome, puis sur le lien Passer à localhost (non sécurisé).

3. Connectez-vous à Oracle Linux Automation Manager WebUI.

   Utilisez le nom utilisateur admin et le mot de passe admin dans l'environnement d'atelier gratuit.

   

4. Une fois connecté, WebUI apparaît.

   

Ouvrir les paramètres LDAP

Un utilisateur disposant du privilège Administrateur système utilise la page Paramètres d'Oracle Linux Automation Manager WebUI pour ajouter d'autres paramètres d'authentification, tels que LDAP.

1. Cliquez sur Paramètres en bas du menu de navigation pour afficher la page Paramètres.

   

   Cette page donne accès à d'autres paramètres d'authentification que vous utiliserez pour configurer l'accès au serveur LDAP.

2. Cliquez sur le lien Paramètres LDAP sous la section Authentification.

   Cliquez sur ce lien pour afficher la page de configuration du serveur LDAP par défaut. Au-delà du serveur LDAP par défaut, Oracle Linux Automation Manager permet de configurer cinq sources LDAP supplémentaires.

   

Modification du paramètre LDAP par défaut

1. Faites défiler la page Détails par défaut vers le bas et cliquez sur le bouton Modifier.

   

   La page est actualisée et permet désormais de modifier les différents champs. L'utilisation de Ctrl+V est recommandée lors du collage de vos entrées dans les différents champs de l'environnement d'exercices gratuits.

2. Entrez l'adresse du serveur LDAP dans le champ URI du serveur LDAP.

   ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

3. Entrez le mot de passe de l'utilisateur de liaison dans le champ LDAP Bind Password.

   Le mot de passe est olamPassword123 dans l'environnement d'atelier gratuit.

   olamPassword123
   

   Oracle Linux Automation Manager chiffre le champ de mot de passe après avoir enregistré les modifications de configuration. Vous pouvez toujours modifier le champ Mot de passe de liaison LDAP, mais WebUI n'affiche plus le mot de passe initial saisi.

4. Cliquez sur le type de groupe et sélectionnez-le dans la liste déroulante Type de groupe LDAP.

   Dans l'environnement d'atelier gratuit, le type de groupe LDAP est défini par défaut sur MemberDNGroupType, que vous utiliserez avec notre serveur LDAP.

   Les types de groupe LDAP pris en charge par Oracle Linux Automation Manager utilisent la bibliothèque django-auth-LDAP-library.

   Chaque type de groupe LDAP peut prendre des paramètres différents. Consultez donc les classes init dans la documentation en amont django_auth_ldap pour déterminer les paramètres attendus.

5. Entrez le nom distinctif (DN) dans le champ DN de liaison LDAP de l'utilisateur LDAP qu'Oracle Linux Automation Manager utilise pour se connecter ou se lier au serveur LDAP.

   Utilisez le compte utilisateur olam-bind créé précédemment.

   uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

6. Entrez la clé qui stocke le nom de l'utilisateur dans le champ Modèle de nom distinctif utilisateur LDAP.

   uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

7. Entrez le nom de distinction de groupe dans le champ Groupe requis LDAP pour autoriser les utilisateurs de ce groupe à accéder à Oracle Linux Automation Manager.

   cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   La page Modifier les détails doit ressembler à la capture d'écran de l'environnement d'atelier gratuit à ce stade.

   

8. Entrez l'emplacement où rechercher les utilisateurs lors de l'authentification dans le champ Recherche d'utilisateur LDAP.

   [
      "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(uid=%(user)s)"
   ]
   

   

9. Dans le champ Recherche de groupe LDAP, entrez les groupes à rechercher et le mode de recherche.

   [
      "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(objectClass=groupofNames)"
   ]
   

   

10. Entrez les attributs utilisateur dans le champ de texte Mappage des attributs utilisateur LDAP.

    {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
    }
    

    Lors de l'extraction des utilisateurs, Oracle Linux Automation Manager obtient l'utilisateur via last_name à partir de la clé sn.

    

11. Entrez les indicateurs de profil utilisateur dans le champ Indicateurs utilisateur LDAP par groupe.

    Ces profils affectent les utilisateurs LDAP en tant que superutilisateurs et auditeurs.

    {
       "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
    }
    

    Oracle Linux Automation Manager modifie le format de ce champ après avoir enregistré la configuration pour qu'elle corresponde à l'exemple illustré.

    

12. Cliquez sur le bouton Save (Enregistrer).

Vérification des paramètres d'authentification

Après avoir enregistré les paramètres LDAP, vous devez pouvoir vous connecter à Oracle Linux Automation Manager en tant qu'utilisateur LDAP.

1. Déconnectez-vous d'Oracle Linux Automation Manager.

   Cliquez sur l'utilisateur admin dans l'angle supérieur droit de WebUI et sélectionnez Logout dans la liste de valeurs.

   

2. Connectez-vous à Oracle Linux Automation Manager avec le nom utilisateur olam_admin.

   Utilisez le mot de passe que vous avez affecté à l'utilisateur lors de la création du compte.

   

3. Cliquez sur l'option de menu Utilisateurs dans le menu de navigation.

   

4. Assurez-vous que olam_admin figure dans la liste des utilisateurs.

   

   Important : Oracle Linux Automation Manager ne synchronise pas automatiquement les utilisateurs, mais les crée et les ajoute lors de la connexion initiale de l'utilisateur.

(Facultatif) Activation de SSL/TLS

Le serveur IPA installe une autorité de certification autosignée selfsign à l'aide de certutil pour générer des certificats. Ces certificats permettent de tester la communication SSL et TLS entre le client et le serveur. Les environnements de production doivent utiliser des certificats signés par une autorité de certification (CA) sécurisée.

Le certificat CA auto-signé du serveur IPA se trouve dans le répertoire /etc/ipa/ca.crt sur le serveur IPA.

1. Basculez vers la session de terminal ouverte connectée à l'instance olam-node.

2. Copiez l'autorité de certification autosignée du serveur IPA vers Oracle Linux Automation Manager.

   scp oracle@ipa-server:/etc/ipa/ca.crt ~/
   

   Saisissez oracle en tant que mot de passe et ENTER si le terminal présente une invite de mot de passe dans l'environnement d'atelier gratuit.

3. Copiez le certificat CA auto-signé dans le répertoire Shared System Certificate du serveur Oracle Linux Automation Manager.

   sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   

4. Modifiez la propriété du fichier de certificat.

   sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt
   

5. Mettez à jour la configuration du truststore à l'échelle du système.

   sudo update-ca-trust
   

6. Testez la connexion au serveur LDAP avec SSL.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com
   

7. Revenez au navigateur et, si nécessaire, connectez-vous à Oracle Linux Automation Manager en tant qu'utilisateur admin.

8. Accédez à Paramètres et à Paramètres LDAP.

9. Faites défiler l'écran vers le bas et cliquez sur le bouton Modifier.

10. Mettez à jour l'URI du serveur LDAP ou le TLS de démarrage LDAP.

    Si vous choisissez de mettre à jour l'URI du serveur LDAP, remplacez le protocole ldap:// par ldaps:// et le port 389 par 636.

    

    Si vous mettez à jour LDAP Start TLS, basculez le commutateur sur On.

    

    Important : LDAPS avec Oracle Linux Automation Manager fonctionne uniquement lorsque vous activez l'une de ces options, pas les deux. Par conséquent, si vous mettez à jour l'URI, n'activez pas la bascule, et inversement.

11. Accédez au bas de la page et cliquez sur le bouton Enregistrer.

12. Déconnectez-vous de WebUI.

13. Connectez-vous à Oracle Linux Automation Manager avec le nom utilisateur olam_admin et le mot de passe que vous avez affectés lors de la création du compte.

    

    Une fois connecté, vous avez confirmé le fonctionnement de la communication SSL/TLS entre Oracle Linux Automation Manager et le serveur LDAP. Si le temps le permet, modifiez à nouveau les paramètres LDAP et essayez l'autre option.

Etapes suivantes

Oracle Linux Automation Manager peut désormais authentifier ses utilisateurs auprès d'un serveur LDAP externe, ce qui permet l'administration centrale des informations d'identification WebUI et le contrôle d'accès. Consultez certaines de nos autres formations Oracle Linux Automation Manager en consultant le centre de formation Oracle Linux.

Liens connexes

• Guide d'installation d'Oracle Linux Automation Manager
• Installation du serveur FreeIPA sur Oracle Linux
• Documentation d'Oracle Linux Automation Manager
• Formation Oracle Linux Automation Manager
• Centre de formation Oracle Linux

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Integrate LDAP User Management with Oracle Linux Automation Manager

F75246-02

Copyright ©2022, Oracle and/or its affiliates.