Nota

• Questa esercitazione è disponibile in un ambiente di esercitazione pratica gratuito fornito da Oracle.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Integra la gestione degli utenti LDAP con Oracle Linux Automation Manager

Introduzione

Oracle Linux Automation Manager consente agli amministratori di integrare LDAP per la gestione degli utenti insieme all'origine RBAC (role-based access control) interna esistente. Una volta configurato, gli utenti che eseguono l'accesso con un account LDAP generano automaticamente un account Oracle Linux Automation Manager e vengono assegnati a un'organizzazione utente o amministratore standard.

Obiettivi

In questo tutorial imparerai come:

• Creare e configurare account e gruppi in LDAP
  • Account bind
  • Account utente
  • Gruppo superutente
  • Gruppo system_auditor
• Configurare Oracle Linux Automation Manager per l'uso di LDAP
• Verifica accesso LDAP
• Abilita LDAPS

Prerequisiti

• Un sistema con Oracle Linux Automation Manager installato.
• Server LDAP disponibile, ad esempio il server di gestione delle identità FreeIPA open source.

Distribuisci Oracle Linux Automation Manager

Nota: se è in esecuzione nella propria tenancy, leggere il progetto linux-virt-labs GitHub README.md e completare i prerequisiti prima di distribuire l'ambiente di esercitazione pratica.

1. Aprire un terminale sul Luna Desktop.

2. Duplica il progetto linux-virt-labs GitHub.

   git clone https://github.com/oracle-devrel/linux-virt-labs.git
   

3. Passare alla directory di lavoro.

   cd linux-virt-labs/olam
   

4. Installare le raccolte richieste.

   ansible-galaxy collection install -r requirements.yml
   

5. Aggiornare la configurazione dell'istanza Oracle Linux.

   cat << EOF | tee instances.yml > /dev/null
   compute_instances:
     1:
       instance_name: "olam-node"
       type: "control"
     2:
       instance_name: "ipa-server"
       type: "server"
   use_freeipa: true
   EOF
   

6. Implementa l'ambiente di laboratorio.

   ansible-playbook create_instance.yml -e ansible_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
   

   L'ambiente di laboratorio gratuito richiede la variabile aggiuntiva ansible_python_interpreter perché installa il pacchetto RPM per l'SDK Oracle Cloud Infrastructure per Python. La posizione dell'installazione di questo pacchetto si trova sotto i moduli python3.6.

   La forma di distribuzione predefinita utilizza la CPU AMD e Oracle Linux 8. Per utilizzare una CPU Intel o Oracle Linux 9, aggiungere -e instance_shape="VM.Standard3.Flex" o -e os_version="9" al comando di distribuzione.

   Importante: attendere la corretta esecuzione della guida e raggiungere il task di sospensione. L'installazione di Oracle Linux Automation Manager è stata completata in questa fase del playbook e le istanze sono pronte. Prendi nota della riproduzione precedente, che stampa gli indirizzi IP pubblici e privati dei nodi che distribuisce.

Verificare che il server IPA esista

1. Aprire un terminale e connettersi tramite SSH all'istanza ipa-server.

   ssh oracle@<ip_address_of_node>
   

2. Verificare che il servizio IPA sia in esecuzione.

   sudo systemctl status ipa.service
   

   Il comando ipa.service utilizza il comando ipactl, che avvia o arresta contemporaneamente tutti i singoli componenti.

3. Impostare le impostazioni di localizzazione del terminale.

   Questa impostazione è un requisito del comando ipactl.

   export LC_ALL="C.UTF-8"
   

4. Controllare lo stato utilizzando l'interfaccia di controllo del server IPA.

   sudo ipactl status
   

   Per il corretto funzionamento del server IPA, è necessario che tutti i componenti elencati siano in esecuzione.

Crea un account di associazione

Il conto bind è un account di sistema che consente l'accesso in sola lettura all'intera struttura LDAP. L'utilizzo di un account di autenticazione anziché di un account utente regolare impedisce l'accesso ad altri sistemi e non possiede alcun file. Inoltre, l'account bind non dispone di diritti speciali e non può scrivere dati nel server LDAP IPA.

1. Creare un file di aggiornamento.

   In base alla pagina manuale ipa-LDAP-updater, il file di aggiornamento descrive una voce LDAP da aggiungere o modificare e un set di operazioni da eseguire su tale voce.

   tee olam-binddn.update << EOF 
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   default:objectclass:account
   default:objectclass:simplesecurityobject
   default:uid:olam-bind
   only:userPassword:olamPassword123
   only:passwordExpirationTime:20380101000000Z
   only:nsIdleTimeout:0
   EOF
   

   Selezionare una password efficace e sicura per l'account utente di autenticazione e un uid ragionevole. I programmi userPassword e uid sopra riportati sono a scopo dimostrativo solo all'interno dell'ambiente di esercitazione gratuita.

2. Importare il file di aggiornamento nel server IPA.

   sudo ipa-ldap-updater olam-binddn.update
   

3. Verificare che il nuovo account di autenticazione esista.

   ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 
   

4. Quando richiesto, immettere la password per l'account Directory Manager.

   La password è DMPassword1 nell'ambiente di laboratorio gratuito.

   Output di esempio:

   [oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
   Enter LDAP Password: 
   # extended LDIF
   #
   # LDAPv3
   # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
   # filter: uid=olam-bind
   # requesting: ALL
   #
      
   # olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
    m
   objectClass: account
   objectClass: simplesecurityobject
   objectClass: top
   uid: olam-bind
   userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
    UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
    aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
    mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
    pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
    XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
    SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
    kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
      
   # search result
   search: 2
   result: 0 Success
      
   # numResponses: 2
   # numEntries: 1
   

Creare un utente

Oracle Linux Automation Manager crea un utente admin predefinito durante l'installazione. Verrà creato un utente LDAP a cui verranno assegnati gli stessi privilegi.

1. Autenticare manualmente al server IPA ottenendo un ticket Kerberos.

   kinit admin
   

2. Immettere la password dell'account admin predefinita del server IPA.

   La password è ADMPassword1 nell'ambiente di laboratorio gratuito.

3. Creare un utente nel server IPA.

   ipa user-add olam_admin --first=OLAM --last=Administrator --password
   

   Passare il login, il nome e il cognome dell'utente al comando ipa user-add. Quando si salvano questi dettagli nella directory, IPA converte automaticamente l'intero login utente in minuscolo, rendendo impossibile il nome utente in maiuscolo.

4. Immettere e verificare la password scelta al prompt per l'account olam_admin.

5. Verificare che l'utente esista elencando tutti gli account server IPA.

   ipa user-find
   

   I risultati mostrano l'account di amministrazione del server IPA predefinito admin e il nuovo olam_admin creato.

Creare un gruppo

Oracle Linux Automation Manager dispone di tre tipi di utente, di cui due traducono in gruppi LDAP che è necessario creare. Questi gruppi si riferiscono ai tipi System Administrator e System Auditor.

1. Creare il gruppo di amministratori.

   ipa group-add olam_administrators
   

2. Creare il gruppo di revisori.

   ipa group-add olam_auditors
   

3. Aggiungere il nuovo utente al gruppo di amministratori.

   ipa group-add-member olam_administrators --users=olam_admin
   

   In questo modo vengono completate le operazioni minime necessarie sul server IPA.

4. Chiudere la sessione aperta al server IPA.

   exit
   

Installazione degli strumenti client LDAP

Oracle Linux Automation Manager non installa la suite di applicazioni e strumenti di sviluppo OpenLDAP per impostazione predefinita. Gli amministratori possono utilizzare questi strumenti per accedere e modificare le directory LDAP dal terminale per verificare la propria configurazione.

1. Connettersi tramite SSH all'istanza olam-node utilizzando il terminale esistente.

   ssh oracle@<ip_address_of_node>
   

2. Installare il pacchetto OpenLDAP tools.

   sudo dnf -y install openldap-clients
   

3. Connettere e cercare il server LDAP.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

   • -D: è il nome distinto (DN) da associare alla directory LDAP
   • -W: richiede un'autenticazione semplice
   • -H: specifica l'URI del server LDAP, costituito solo dal protocollo, dall'host e dalla porta

4. Immettere la password per l'utente olam_admin al prompt.

   Se la connessione riesce, l'output restituisce i risultati della ricerca.

5. Chiudere la sessione terminale.

   exit
   

Eseguire il login a Oracle Linux Automation Manager WebUI

1. Configurare un tunnel SSH per l'istanza olam-node utilizzando il terminale esistente.

   ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
   

   • -o ExitOnForwardFailure=yes: attende l'avanzamento di tutte le porte remote
   • -f: esegue il tunnel SSH in background
   • -L: crea il tunnel sulla porta 8444 sul sistema locale e 443 sul sistema remoto
   • sleep 300: mantiene aperto il tunnel remoto per 5 minuti, in attesa di una connessione stabilita prima della chiusura automatica

2. Aprire un browser Web e immettere l'URL.

   https://localhost:8444
   

   Nota: approvare l'avvertenza di sicurezza in base al browser utilizzato. Fare clic sul pulsante Avanzate per il browser Chrome, quindi sul collegamento Procedi a localhost (non sicuro).

3. Eseguire il login a Oracle Linux Automation Manager WebUI.

   Utilizzare il nome utente admin e la password admin nell'ambiente di laboratorio gratuito.

   

4. Dopo aver eseguito il login, viene visualizzato il file WebUI.

   

Apri le impostazioni LDAP

Un utente con il privilegio Amministratore di sistema utilizza la pagina Impostazioni di Oracle Linux Automation Manager WebUI per aggiungere impostazioni di Autenticazione alternative, ad esempio LDAP.

1. Fare clic su Impostazioni nella parte inferiore del menu di navigazione per visualizzare la pagina Impostazioni.

   

   Questa pagina consente di accedere alle impostazioni di autenticazione alternative che verranno utilizzate per configurare l'accesso al server LDAP.

2. Fare clic sul collegamento Impostazioni LDAP nella sezione Autenticazione.

   Facendo clic su questo collegamento viene visualizzata la pagina di configurazione del server LDAP predefinito. Oltre al server LDAP predefinito, Oracle Linux Automation Manager consente di configurare cinque origini LDAP aggiuntive.

   

Modifica impostazione LDAP predefinita

1. Scorrere fino alla parte inferiore della pagina Dettagli predefiniti e fare clic sul pulsante Modifica.

   

   La pagina viene aggiornata e ora consente la modifica dei diversi campi. Si consiglia di utilizzare Ctrl+V quando si incollano le voci nei vari campi dell'ambiente di laboratorio gratuito.

2. Immettere l'indirizzo del server LDAP nel campo URI server LDAP.

   ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

3. Immettere la password per l'utente di autenticazione nel campo Password di autenticazione LDAP.

   La password è olamPassword123 nell'ambiente di laboratorio gratuito.

   olamPassword123
   

   Oracle Linux Automation Manager cifra il campo della password dopo aver salvato le modifiche alla configurazione. È comunque possibile modificare il campo Password autenticazione LDAP, ma in WebUI non viene più visualizzata la password iniziale immessa.

4. Fare clic e selezionare il tipo di gruppo dall'elenco a discesa Tipo di gruppo LDAP.

   Nell'ambiente di laboratorio gratuito, il valore predefinito di Tipo di gruppo LDAP è MemberDNGroupType, che verrà utilizzato con il server LDAP.

   I tipi di gruppo LDAP supportati da Oracle Linux Automation Manager utilizzano la libreria django-auth-LDAP.

   Ogni tipo di gruppo LDAP può assumere parametri diversi. Per determinare i parametri previsti, vedere le classi init nella documentazione a monte di django_auth_ldap.

5. Immettere il nome distinto (DN) nel campo DN di autenticazione LDAP per l'utente LDAP utilizzato da Oracle Linux Automation Manager per la connessione o l'associazione al server LDAP.

   Utilizzare l'account utente olam-bind creato in precedenza.

   uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

6. Immettere la chiave che memorizza il nome dell'utente nel campo Modello DN utente LDAP.

   uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

7. Immettere il nome del gruppo distinto nel campo Gruppo requisiti LDAP per consentire agli utenti all'interno del gruppo di accedere a Oracle Linux Automation Manager.

   cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   La pagina Modifica dettagli dovrebbe avere l'aspetto dello screenshot nell'ambiente di laboratorio gratuito in questa fase.

   

8. Immettere la posizione in cui cercare gli utenti durante l'autenticazione nel campo Ricerca utenti LDAP.

   [
      "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(uid=%(user)s)"
   ]
   

   

9. Nel campo Ricerca gruppo LDAP immettere i gruppi da cercare e le modalità di ricerca.

   [
      "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(objectClass=groupofNames)"
   ]
   

   

10. Immettere gli attributi utente nel campo di testo Mappa attributi utente LDAP.

    {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
    }
    

    Durante il recupero degli utenti, Oracle Linux Automation Manager trasferirà l'utente tramite il comando last_name dalla chiave sn.

    

11. Immettere i flag del profilo utente nel campo Flag utente LDAP per gruppo.

    Questi profili assegnano gli utenti LDAP come Superutenti e Auditor.

    {
       "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
    }
    

    Oracle Linux Automation Manager modifica il formato di questo campo dopo aver salvato la configurazione in modo che corrisponda all'esempio mostrato.

    

12. Al termine, fare clic sul pulsante Salva.

Verifica delle impostazioni di autenticazione

Dopo aver salvato le impostazioni LDAP, è possibile eseguire il login a Oracle Linux Automation Manager come utente LDAP.

1. Eseguire il logout da Oracle Linux Automation Manager.

   Fare clic sull'utente admin nell'angolo superiore destro del file WebUI e selezionare Logout dall'elenco di valori.

   

2. Eseguire il login a Oracle Linux Automation Manager con il nome utente olam_admin.

   Utilizzare la password assegnata all'utente durante la creazione dell'account.

   

3. Fare clic sulla voce di menu Utenti nel menu di navigazione.

   

4. Assicurarsi che olam_admin esista nella lista di utenti.

   

   Importante: Oracle Linux Automation Manager non sincronizza automaticamente gli utenti, ma li crea e li aggiunge durante il login iniziale dell'utente.

(Facoltativo) Abilitare SSL/TLS

Il server IPA installa un'autorità di certificazione self-sign utilizzando certutil per generare certificati. Questi certificati consentono di eseguire il test della comunicazione SSL e TLS tra client e server. Gli ambienti di produzione devono utilizzare certificati firmati da un'autorità di certificazione (CA) sicura.

Il certificato CA autofirmato del server IPA si trova nella directory /etc/ipa/ca.crt del server IPA.

1. Passare alla sessione del terminale aperto connessa all'istanza olam-node.

2. Copiare la CA autofirmata dal server IPA in Oracle Linux Automation Manager.

   scp oracle@ipa-server:/etc/ipa/ca.crt ~/
   

   Digitare oracle come password e ENTER se il terminale presenta una richiesta di password nell'ambiente di laboratorio gratuito.

3. Copiare il certificato CA autofirmato nella directory Shared System Certificate del server Oracle Linux Automation Manager.

   sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   

4. Modificare la proprietà nel file del certificato.

   sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt
   

5. Aggiornare la configurazione del truststore a livello di sistema.

   sudo update-ca-trust
   

6. Eseguire il test della connessione al server LDAP con SSL.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com
   

7. Tornare al browser e, se necessario, eseguire il login a Oracle Linux Automation Manager come utente admin.

8. Passare alle impostazioni e alle impostazioni LDAP.

9. Scorrere verso il basso e fare clic sul pulsante Modifica.

10. Aggiornare l'URI server LDAP o LDAP Start TLS.

    Se si sceglie di aggiornare l'URI del server LDAP, modificare il protocollo da ldap:// a ldaps:// e la porta da 389 a 636.

    

    Se si aggiorna LDAP Start TLS, attivare o disattivare lo switch su On.

    

    Importante: LDAPS con Oracle Linux Automation Manager funziona solo se si abilita una di queste opzioni, non entrambe. Pertanto, se si aggiorna l'URI, non abilitare l'attivazione e viceversa.

11. Scorrere verso la parte inferiore della pagina e fare clic sul pulsante Salva.

12. Eseguire il logout da WebUI.

13. Eseguire il login a Oracle Linux Automation Manager con il nome utente olam_admin e la password assegnati durante la creazione dell'account.

    

    Una volta eseguito il login, è stata confermata la comunicazione SSL/TLS tra Oracle Linux Automation Manager e il server LDAP. Se il tempo lo consente, modificare nuovamente le impostazioni LDAP e provare l'altra opzione.

Passi successivi

Oracle Linux Automation Manager ora può autenticare correttamente i propri utenti con un server LDAP esterno, consentendo l'amministrazione centrale delle credenziali WebUI e il controllo dell'accesso. Dai un'occhiata ad altri corsi di formazione su Oracle Linux Automation Manager visitando la Training Station di Oracle Linux.

Collegamenti correlati

• Guida all'installazione di Oracle Linux Automation Manager
• Installa il server FreeIPA su Oracle Linux
• Documentazione di Oracle Linux Automation Manager
• Formazione su Oracle Linux Automation Manager
• Stazione di formazione su Oracle Linux

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Integrate LDAP User Management with Oracle Linux Automation Manager

F75247-02

Copyright ©2022, Oracle and/or its affiliates.