Observação:

• Este tutorial está disponível em um ambiente de laboratório gratuito fornecido pela Oracle.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Integre o Gerenciamento de Usuários LDAP com o Oracle Linux Automation Manager

Introdução

O Oracle Linux Automation Manager permite que os administradores integrem LDAP para gerenciamento de usuários juntamente com a origem RBAC (controle de acesso baseado em função) interna existente. Depois de configurados, os usuários que efetuam log-in com uma conta LDAP geram automaticamente uma conta do Oracle Linux Automation Manager e são atribuídos a uma organização padrão de usuário ou administrador.

Objetivos

Neste tutorial, você aprenderá a:

• Criar e configurar contas e grupos no LDAP
  • Conta de bind
  • Conta de usuário
  • Grupo superusuário
  • Grupo system_auditor
• Configurar o Oracle Linux Automation Manager para usar o LDAP
• Verificar acesso LDAP
• Ativar LDAPS

Pré-requisitos

• Um sistema com o Oracle Linux Automation Manager instalado.
• Um servidor LDAP disponível, como o servidor de gerenciamento de identidades FreeIPA de código-fonte aberto.

Implantar o Oracle Linux Automation Manager

Observação: Se estiver em execução em sua própria tenancy, leia o projeto linux-virt-labs GitHub README.md e conclua os pré-requisitos antes de implantar o ambiente de laboratório.

1. Abra um terminal no Luna Desktop.

2. Clone o projeto linux-virt-labs GitHub.

   git clone https://github.com/oracle-devrel/linux-virt-labs.git
   

3. Altere para o diretório de trabalho.

   cd linux-virt-labs/olam
   

4. Instale as coleções necessárias.

   ansible-galaxy collection install -r requirements.yml
   

5. Atualize a configuração da instância do Oracle Linux.

   cat << EOF | tee instances.yml > /dev/null
   compute_instances:
     1:
       instance_name: "olam-node"
       type: "control"
     2:
       instance_name: "ipa-server"
       type: "server"
   use_freeipa: true
   EOF
   

6. Implante o ambiente de laboratório.

   ansible-playbook create_instance.yml -e ansible_python_interpreter="/usr/bin/python3.6" -e "@instances.yml"
   

   O ambiente de laboratório gratuito requer a variável extra ansible_python_interpreter porque instala o pacote RPM do SDK para Python do Oracle Cloud Infrastructure. O local para a instalação deste pacote está sob os módulos python3.6.

   A forma de implantação padrão usa a CPU AMD e o Oracle Linux 8. Para usar uma CPU Intel ou Oracle Linux 9, adicione -e instance_shape="VM.Standard3.Flex" ou -e os_version="9" ao comando de implantação.

   Importante: Aguarde a execução bem-sucedida do playbook e atinja a tarefa de pausa. A instalação do Oracle Linux Automation Manager está concluída neste estágio do manual e as instâncias estão prontas. Tome nota da reprodução anterior, que imprime os endereços IP públicos e privados dos nós que implanta.

Verificar se o Servidor IPA Existe

1. Abra um terminal e conecte-se via SSH à instância do ipa-server.

   ssh oracle@<ip_address_of_node>
   

2. Verifique se o serviço IPA está em execução.

   sudo systemctl status ipa.service
   

   O ipa.service aproveita o comando ipactl, que inicia ou interrompe simultaneamente todos os componentes individuais.

3. Defina as configurações de localização do terminal.

   Essa definição é um requisito do comando ipactl.

   export LC_ALL="C.UTF-8"
   

4. Verifique o status usando a interface de controle do servidor IPA.

   sudo ipactl status
   

   Todos os componentes listados devem estar em execução para que o servidor IPA funcione corretamente.

Criar uma Conta de Associação

A conta de bind é uma conta do sistema que permite acesso somente leitura a toda a estrutura LDAP. O uso de uma conta de bind em vez de uma conta de usuário regular impede o acesso a qualquer outro sistema e não possui nenhum arquivo. Além disso, a conta de bind não tem direitos especiais e não pode gravar nenhum dado no servidor LDAP IPA.

1. Criar um arquivo de atualização.

   De acordo com a página manual ipa-LDAP-updater, o arquivo de atualização descreve uma entrada LDAP a ser adicionada ou modificada e um conjunto de operações a serem executadas nessa entrada.

   tee olam-binddn.update << EOF 
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   default:objectclass:account
   default:objectclass:simplesecurityobject
   default:uid:olam-bind
   only:userPassword:olamPassword123
   only:passwordExpirationTime:20380101000000Z
   only:nsIdleTimeout:0
   EOF
   

   Selecione uma senha forte e segura para a conta de usuário de bind e um uid razoável. O userPassword e o uid acima são para fins de demonstração apenas dentro do ambiente de laboratório gratuito.

2. Importe o arquivo de atualização para o servidor IPA.

   sudo ipa-ldap-updater olam-binddn.update
   

3. Verifique se a nova conta de bind existe.

   ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W 
   

4. Informe a senha da conta do Directory Manager quando solicitado.

   A senha é DMPassword1 no ambiente de laboratório gratuito.

   Exemplo de Saída:

   [oracle@ipa-server ~]$ ldapsearch -D 'cn=Directory Manager' -x uid=olam-bind -W
   Enter LDAP Password: 
   # extended LDIF
   #
   # LDAPv3
   # base <dc=lv,dc=vcn,dc=oraclevcn,dc=com> (default) with scope subtree
   # filter: uid=olam-bind
   # requesting: ALL
   #
      
   # olam-bind, sysaccounts, etc, lv.vcn.oraclevcn.com
   dn: uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=co
    m
   objectClass: account
   objectClass: simplesecurityobject
   objectClass: top
   uid: olam-bind
   userPassword:: e1BCS0RGMl9TSEEyNTZ9QUFBSUFPTjJrZ295RVBRcmFtWkFydE5kRllNOVlkcmp
    UK2pVMkgwTm5qUUpxbHpJTUNxSUJOUXp4Z1F5emVqdk02Nk5jL2ZXMVNvelUyaGUwZDFJenFMN2Fk
    aExTaWFnc1kzVVFTbnBxL3RUdUo3VnBvU05GaXFpQWJTWktrcGZwR0REM0lNdCtKRWt1T2NBRk94d
    mFwS2tTUC9KS1FYUVprcGRjbzF0TlZDNHkzNEE4cFQ2UGtWM0pFcm4zdUNkdkVGZ2ZIM1Y4QWxiaG
    pQcm9HWU50aTdrMXRrM0ZkdFI0VlNGWW96SUcra2tUTkt1OE9tYVl3YXp6ZlV5VHBxeFFEMnBxRy9
    XYmxBdW02OURNcDA2RzVBZUJzRGlYOWpDWkZrenNwbllKQXdiQ015MTFXVXI0TFB5VzByejNac2V0
    SmE0dU9yS2NmOWhCZWpBV3NiRlNhQVR0MTU4V2FtN3Q2S21wNXU5em1yTm9oMVRCeEdqaG5Mb3dJN
    kdjcDF4a2p2VkNsYmhVSkQxZTRqS0lzTFJHc3JOclRKN3R0MitpbXZtSlRtR1FkRllsb1dr
      
   # search result
   search: 2
   result: 0 Success
      
   # numResponses: 2
   # numEntries: 1
   

Criar um Usuário

O Oracle Linux Automation Manager cria um usuário admin padrão durante a instalação. Você criará um usuário LDAP, que receberá os mesmos privilégios.

1. Autentique-se manualmente no servidor IPA obtendo um ticket do Kerberos.

   kinit admin
   

2. Digite a senha de conta admin predefinida do servidor IPA.

   A senha é ADMPassword1 no ambiente de laboratório gratuito.

3. Crie um usuário no servidor IPA.

   ipa user-add olam_admin --first=OLAM --last=Administrator --password
   

   Informe o log-in, o nome e o sobrenome do usuário para o comando ipa user-add. Ao salvar esses detalhes no diretório, o IPA converte automaticamente todo o login do usuário em letras minúsculas, tornando impossíveis nomes de usuário com maiúsculas e minúsculas.

4. Digite e verifique uma senha de sua escolha no prompt da conta olam_admin.

5. Verifique se o usuário existe listando todas as contas do servidor IPA.

   ipa user-find
   

   Os resultados mostram a conta admin padrão do servidor IPA e a recém-criada olam_admin.

Crie um Grupo

O Oracle Linux Automation Manager tem três tipos de usuário, dos quais dois são convertidos em grupos LDAP que você precisa criar. Esses grupos são para os tipos Administrador do Sistema e Auditor do Sistema.

1. Crie o grupo de administradores.

   ipa group-add olam_administrators
   

2. Crie o grupo de auditores.

   ipa group-add olam_auditors
   

3. Adicione o novo usuário ao grupo de administradores.

   ipa group-add-member olam_administrators --users=olam_admin
   

   Isso conclui as etapas minimamente necessárias no servidor IPA.

4. Feche a sessão aberta no servidor IPA.

   exit
   

Instalar as ferramentas de cliente LDAP

O Oracle Linux Automation Manager não instala o conjunto de aplicativos OpenLDAP e ferramentas de desenvolvimento por padrão. Os administradores podem usar essas ferramentas para acessar e modificar diretórios LDAP do terminal para ajudar a testar sua configuração.

1. Conecte-se via SSH à instância do nó olam usando o terminal existente.

   ssh oracle@<ip_address_of_node>
   

2. Instale o pacote de ferramentas OpenLDAP.

   sudo dnf -y install openldap-clients
   

3. Conecte e pesquise o servidor LDAP.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

   • -D: é o Nome Distinto (DN) a ser vinculado ao diretório LDAP
   • -W: solicita autenticação simples
   • -H: especifica o URI do servidor LDAP, que consiste apenas no protocolo, no host e na porta

4. Informe a senha do usuário olam_admin no prompt.

   A saída retornará os resultados da pesquisa se a conexão for bem-sucedida.

5. Feche a sessão do terminal.

   exit
   

Faça login no Oracle Linux Automation Manager WebUI

1. Configure um túnel SSH para a instância do nó olam usando o terminal existente.

   ssh -o ExitOnForwardFailure=yes -f -L 8444:localhost:443 oracle@<ip_address_of_node> sleep 300
   

   • -o ExitOnForwardFailure=yes: espera que todas as portas remotas sejam estabelecidas com sucesso
   • -f: executa o túnel SSH em segundo plano
   • -L: cria o túnel na porta 8444 no sistema local e 443 no sistema remoto
   • sleep 300: mantém o túnel remoto aberto por 5 minutos, aguardando uma conexão estabelecida antes de fechar automaticamente

2. Abra um navegador da Web e insira o URL.

   https://localhost:8444
   

   Observação: aprove o aviso de segurança com base no navegador usado. Clique no botão Avançado do navegador Chrome e, em seguida, no link Prosseguir para localhost (inseguro).

3. Faça login no Oracle Linux Automation Manager WebUI.

   Use o Nome de Usuário admin e a Senha admin no ambiente de laboratório gratuito.

   

4. Depois de fazer log-in, o WebUI é exibido.

   

Abrir as Definições LDAP

Um usuário com o privilégio Administrador do Sistema usa a página Definições do Oracle Linux Automation Manager WebUI para adicionar definições alternativas de Autenticação, como LDAP.

1. Clique em Configurações na parte inferior do menu de navegação para exibir a página Configurações.

   

   Esta página dá acesso a definições alternativas de Autenticação que você usará para configurar o acesso ao servidor LDAP.

2. Clique no link Definições LDAP na seção Autenticação.

   Clicar nesse link exibe a página de configuração do servidor LDAP Padrão. Além do servidor LDAP padrão, o Oracle Linux Automation Manager permite configurar cinco origens LDAP adicionais.

   

Editar a configuração LDAP padrão

1. Role até a parte inferior da página Detalhes Padrão e clique no botão Editar.

   

   A página é atualizada e agora permite a edição dos diferentes campos. O uso de Ctrl+V é recomendado ao colar suas entradas nos vários campos no ambiente de laboratório livre.

2. Informe o endereço do servidor LDAP no campo URI do Servidor LDAP.

   ldap://ipa-server.lv.vcn.oraclevcn.com:389
   

3. Informe a senha do usuário de bind no campo Senha de Bind LDAP.

   A senha é olamPassword123 no ambiente de laboratório gratuito.

   olamPassword123
   

   O Oracle Linux Automation Manager criptografa o campo de senha após salvar as alterações de configuração. Você ainda pode editar o campo Senha de Vínculo LDAP, mas WebUI não mostra mais a senha inicial informada.

4. Clique e selecione o tipo de grupo na lista suspensa Tipo de Grupo LDAP.

   No ambiente de laboratório gratuito, o Tipo de Grupo LDAP assume como padrão MemberDNGroupType, que você usará com nosso servidor LDAP.

   Os Tipos de Grupo LDAP suportados pelo Oracle Linux Automation Manager usam a django-auth-LDAP-library.

   Cada Tipo de Grupo LDAP pode ter parâmetros diferentes, portanto, observe as classes init na documentação upstream django_auth_ldap para determinar os parâmetros esperados.

5. Informe o Nome Distinto (DN) no campo DN de Bind LDAP para o usuário LDAP que o Oracle Linux Automation Manager usa para estabelecer conexão ou associação com o servidor LDAP.

   Use a conta de usuário olam-bind criada anteriormente.

   uid=olam-bind,cn=sysaccounts,cn=etc,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

6. Informe a chave que armazena o nome do usuário no campo Modelo DN do Usuário LDAP.

   uid=%(user)s,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

7. Informe o nome de distinção do grupo no campo Grupo de Exigências LDAP para permitir que os usuários desse grupo acessem o Oracle Linux Automation Manager.

   cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com
   

   A página Editar Detalhes deverá ser semelhante à captura de tela no ambiente de laboratório gratuito nesse estágio.

   

8. Informe o local para procurar usuários durante a autenticação no campo Pesquisa de Usuário LDAP.

   [
      "cn=users,cn=accounts,dc=lv,dc=1inuxvirt,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(uid=%(user)s)"
   ]
   

   

9. No campo Pesquisa de Grupo LDAP, informe quais grupos pesquisar e como pesquisá-los.

   [
      "cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
      "SCOPE_SUBTREE",
      "(objectClass=groupofNames)"
   ]
   

   

10. Informe os atributos do usuário no campo de texto Mapa de Atributos do Usuário LDAP.

    {
       "email": "mail",
       "first_name": "givenName",
       "last_name": "sn"
    }
    

    Ao recuperar usuários, o Oracle Linux Automation Manager obterá o usuário pela chave last_name da chave sn.

    

11. Informe os flags de perfil do usuário no campo Flags de Usuário LDAP por Grupo.

    Estes perfis atribuem os usuários LDAP como Superusuários e Auditores.

    {
       "is_superuser": "cn=olam_administrators,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com",
       "is_system_auditor": "cn=olam_auditors,cn=groups,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com"
    }
    

    O Oracle Linux Automation Manager altera o formato desse campo após salvar a configuração para corresponder ao exemplo mostrado.

    

12. Quando concluir, clique no botão Save.

Verificar as Definições de Autenticação

Depois de salvar as configurações LDAP, você poderá fazer log-in no Oracle Linux Automation Manager como um usuário LDAP.

1. Faça logout do Oracle Linux Automation Manager.

   Clique no usuário admin no canto superior direito do WebUI e selecione Logout na lista de valores.

   

2. Faça log-in no Oracle Linux Automation Manager com o Nome de Usuário olam_admin.

   Use a senha que você designou ao usuário durante a criação da conta.

   

3. Clique no item de menu Usuários no menu de navegação.

   

4. Certifique-se de que olam_admin exista na lista de usuários.

   

   Importante: o Oracle Linux Automation Manager não sincroniza usuários automaticamente, mas os cria e adiciona durante o login inicial do usuário.

(Opcional) Ativar SSL/TLS

O servidor IPA instala uma CA autoassinada selfsign usando certutil para gerar certificados. Esses certificados permitem testar a comunicação SSL e TLS entre o cliente e o servidor. Os ambientes de produção devem usar certificados assinados por uma Autoridade de Certificação (CA) confiável.

O certificado da CA autoassinado do servidor IPA está localizado no diretório /etc/ipa/ca.crt do servidor IPA.

1. Alterne para a sessão de terminal aberta conectada à instância do olam-node.

2. Copie a CA autoassinada do servidor IPA para o Oracle Linux Automation Manager.

   scp oracle@ipa-server:/etc/ipa/ca.crt ~/
   

   Digite oracle como senha e ENTER se o terminal apresentar um prompt de senha no ambiente de laboratório gratuito.

3. Copie o certificado da CA autoassinado para o diretório Certificado do Sistema Compartilhado do servidor Oracle Linux Automation Manager.

   sudo mv ~/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   

4. Altere a propriedade no arquivo de certificado.

   sudo chown root.root /etc/pki/ca-trust/source/anchors/ipa.crt
   

5. Atualize a configuração do armazenamento confiável em todo o sistema.

   sudo update-ca-trust
   

6. Teste a conexão com o servidor LDAP com SSL.

   ldapsearch -D uid=olam_admin,cn=users,cn=accounts,dc=lv,dc=vcn,dc=oraclevcn,dc=com -W -H ldaps://ipa-server.lv.vcn.oraclevcn.com
   

7. Volte para o navegador e, se necessário, faça log-in no Oracle Linux Automation Manager como usuário admin.

8. Navegue até Definições e Definições LDAP.

9. Role para baixo e clique no botão Editar.

10. Atualize o URI do Servidor LDAP ou o TLS Inicial do LDAP.

    Se você optar por atualizar o URI do Servidor LDAP, altere o protocolo de ldap:// para ldaps:// e a porta de 389 para 636.

    

    Se estiver atualizando o LDAP Start TLS, alterne a chave para Ativado.

    

    Importante: O LDAPS com o Oracle Linux Automation Manager só funciona ao ativar uma dessas opções, não ambas. Portanto, se você atualizar o URI, não ative a alternância e vice-versa.

11. Role até o fim da página e clique no botão Salvar.

12. Faça logout do WebUI.

13. Faça log-in no Oracle Linux Automation Manager com o Nome de Usuário olam_admin e a senha que você designou durante a criação da conta.

    

    Depois de fazer log-in, você confirmou que a comunicação SSL/TLS entre o Oracle Linux Automation Manager e o servidor LDAP está funcionando. Se o tempo permitir, edite as configurações de LDAP novamente e tente a outra opção.

Próximas Etapas

Seu Oracle Linux Automation Manager agora pode autenticar com sucesso seus usuários em um servidor LDAP externo, permitindo a administração central das credenciais WebUI e o controle de acesso. Confira alguns de nossos outros treinamentos do Oracle Linux Automation Manager visitando a Estação de Treinamento Oracle Linux.

Links Relacionados

• Guia de instalação do Oracle Linux Automation Manager
• Instalar o Servidor FreeIPA no Oracle Linux
• Documentação do Oracle Linux Automation Manager
• Treinamento do Oracle Linux Automation Manager
• Oracle Linux Training Station

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Integrate LDAP User Management with Oracle Linux Automation Manager

F75250-02

Copyright ©2022, Oracle and/or its affiliates.