Ziel

• Wir wollen einen Apache2 Webserver aufsetzen
• Diesen wollen wir mit Ldap gegen die Domain authentfizieren

Aus dem Debian Template einen Klon erstellen

• Name: webserver
• Netz: dmz
• HOSTS: webserver.lab34.linuggs.de
• IPv4: 172.26.55.2/24
• GWv4: 172.26.55.1
• NSv4: 172.26.54.2
• DOM: lab34.linuggs.de
• HOSTS: webserver.lab34.linuggs.de
• IPv6: 2a02:24d8:71:3037::2/64
• GWv6: 2a02:24d8:71:3037::1
• NSv6: 2a02:24d8:71:3036::2
• DOM: lab34.linuggs.de

Auf dem Domaincontroller

• A-Record eintragen
• AAAA-Record eintragen
• PTR-Record automatisch erstellen lassen

Installation verschiedener Pakete

• sudo apt-get install apache2 mariadb-server php php-intl php-mbstring php-xml php-apcu php-curl php-mysql unzip php-ldap

Zum Testen

Install Test

apt install ldap-utils

Connection Test

• ldapsearch -x -H ldap://172.26.54.2 -D "cn=administrator,cn=users,dc=lab34,dc=linuggs,dc=de" -b "dc=lab34,dc=linuggs,dc=de" -w 123Start$

Auf dem DC

• Gruppe nuxtuxer anlegen
• User kit anlegen und in die Gruppe hinzufügen
• User webservice anlegen
• Diesen nutzen wir zum LDAP binden

Wieder zurück

• ldapsearch -x -H ldap://172.26.54.2 -D "cn=webservice,cn=users,dc=lab34,dc=linuggs,dc=de" -b "dc=lab34,dc=linuggs,dc=de" -w 12345-Xinux

Verlinken der Module

a2enmod authnz_ldap

ldap anbinden

Verlinken der Module

• a2enmod authnz_ldap

Wir bearbeiten die Datei

/etc/apache2/sites-enabled/000-default.conf

Alle dürfen

<VirtualHost *:80>
        ServerAdmin technik@lab34.linuggs.de
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        # LDAP anbinden
        <Directory /var/www/html>
                   AuthType Basic
                   AuthBasicProvider ldap
                   AuthName "LDAP-AUTHENTIFIKATION"
                   AuthLDAPURL ldap://win2022.lab34.linuggs.de/dc=lab34,dc=linuggs,dc=de?sAMAccountName?sub
                   AuthLDAPBindDN "cn=webservice,cn=users,dc=lab34,dc=linuggs,dc=de"
                   AuthLDAPBindPassword "12345-Xinux"
                   Require valid-user
        </Directory>
</VirtualHost>

Nur gewisse Gruppe dürfen

<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        # LDAP anbinden
        <Directory /var/www/html>
                   AuthType Basic
                   AuthBasicProvider ldap
                   AuthName "LDAP-AUTHENTIFIKATION"
                   AuthLDAPURL ldap://win2022.lab34.linuggs.de/dc=lab34,dc=linuggs,dc=de?sAMAccountName?sub
                   AuthLDAPBindDN "cn=webservice,cn=users,dc=lab34,dc=linuggs,dc=de"
                   AuthLDAPBindPassword "12345-Xinux"
                   Require ldap-group cn=nuxtuxer,cn=users,dc=lab34,dc=linuggs,dc=de
                
        </Directory>

Auf https umstellen

• sudo cp fullchain.pem privkey.pem /etc/apache2/
• sudo a2enmod ssl

Wir bearbeiten die Datei

• sudo vi /etc/apache2/sites-enabled/000-default.conf

<IfModule mod_ssl.c>
	<VirtualHost _default_:443>
        ServerAdmin technik@lab34.linuggs.de
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        # LDAP anbinden
        <Directory /var/www/html>
               AuthType Basic
               AuthBasicProvider ldap
               AuthName "LDAP-AUTHENTIFIKATION"
               AuthLDAPURL ldap://win2022.lab34.linuggs.de/dc=lab34,dc=linuggs,dc=de?sAMAccountName?sub
               AuthLDAPBindDN "cn=webservice,cn=users,dc=lab34,dc=linuggs,dc=de"
               AuthLDAPBindPassword "12345-Xinux"
               Require valid-user
               SSLEngine on
               SSLCertificateFile /etc/apache2/fullchain.pem
               SSLCertificateKeyFile /etc/apache2/privkey.pem
	  </Directory>
 </VirtualHost>
</IfModule>

Reload

• sudo systemctl restart apache2