Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:ldap_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:ldap_archlinux [2022/03/28 14:53] klaustachtler:ldap_archlinux [2023/04/10 08:16] (aktuell) – [/etc/ssl/openssl.cnf] klaus
Zeile 354: Zeile 354:
 Um einen Open**LDAP**-Server, welcher als Dienst/Daemon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann: Um einen Open**LDAP**-Server, welcher als Dienst/Daemon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann:
 <code> <code>
-# systemctl enable --now slapd.service+# systemctl enable slapd.service
 Created symlink /etc/systemd/system/multi-user.target.wants/slapd.service → /usr/lib/systemd/system/slapd.service. Created symlink /etc/systemd/system/multi-user.target.wants/slapd.service → /usr/lib/systemd/system/slapd.service.
 </code> </code>
Zeile 1936: Zeile 1936:
   * das **CRT (Certificate)** selbst, welcher von der **Certificate Authority (CA)** ausgestellt wird   * das **CRT (Certificate)** selbst, welcher von der **Certificate Authority (CA)** ausgestellt wird
  
-Zur Erstellung eines **Self-Signed-Certificate** und zur Erstellung der oben genannten Komponenten, wird das RPM-Paket +Zur Erstellung eines **Self-Signed-Certificate** und zur Erstellung der oben genannten Komponenten, wird das Paket 
   * **''openssl''**   * **''openssl''**
 benötigt, welches i.d.R. bereits installiert sein sollte. benötigt, welches i.d.R. bereits installiert sein sollte.
Zeile 1966: Zeile 1966:
 </code> </code>
  
-* //Danke an Stefan Mayr für den Hinweis das Zertifikat mit **S**ubject **A**lternative **N**ames auszusattten → Hintergrund: [[https://www.rfc-editor.org/rfc/rfc6125#section-6.6.4|Representation and Verification of Domain-Based Application Service+* //Danke an Stefan Mayr für den Hinweis das Zertifikat mit **S**ubject **A**lternative **N**ames auszustatten → Hintergrund: [[https://www.rfc-editor.org/rfc/rfc6125#section-6.6.4|Representation and Verification of Domain-Based Application Service
  Identity within Internet Public Key Infrastructure Using X.509 (PKIX)  Identity within Internet Public Key Infrastructure Using X.509 (PKIX)
      Certificates in the Context of Transport Layer Security (TLS) - Section 6.4.4]]//      Certificates in the Context of Transport Layer Security (TLS) - Section 6.4.4]]//
Zeile 1973: Zeile 1973:
 Zur Erstellung einer eigene **Certificate Authority (CA)** kann ein Script, welches bei der Installation von ''openssl'' mitgeliefert wird und sich im Verzeichnis ''/etc/ssl/misc/'' befindet, genutzt werden. Der Name des Scripts lautet  Zur Erstellung einer eigene **Certificate Authority (CA)** kann ein Script, welches bei der Installation von ''openssl'' mitgeliefert wird und sich im Verzeichnis ''/etc/ssl/misc/'' befindet, genutzt werden. Der Name des Scripts lautet 
   * **''/etc/ssl/misc/CA.pl''**.   * **''/etc/ssl/misc/CA.pl''**.
 +
 +:!: **HINWEIS** - **Um Subject Alternative Names hinzufügen zu können, muss nachfolgende __zweite__ Ergänzung abgeändert werden, das sonst die '' -extensions v3_req'' __NICHT__ angezogen wird!**
  
 :!: **HINWEIS** - **Die zu erstellende Certificate Authority (CA) hat __standardmässig__ eine Laufzeit von __3 Jahren__ !!!** :!: **HINWEIS** - **Die zu erstellende Certificate Authority (CA) hat __standardmässig__ eine Laufzeit von __3 Jahren__ !!!**
Zeile 1990: Zeile 1992:
 my $CADAYS = "-days 28403"; # 27.03.2022 - 31.12.2099 my $CADAYS = "-days 28403"; # 27.03.2022 - 31.12.2099
 ... ...
 +...
 +...
 +} elsif ($WHAT eq '-sign' ) {
 +    $RET = run("$CA -policy policy_anything -out $NEWCERT"
 +            # Tachtler
 +            # default: . " -infiles $NEWREQ $EXTRA{ca}");
 +            . " -extensions v3_req -infiles $NEWREQ $EXTRA{ca}");
 +    print "Signed certificate is in $NEWCERT\n" if $RET == 0;
 +... 
 </code> </code>
  
Zeile 2189: Zeile 2200:
  
 <code> <code>
-# /etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req+# /etc/ssl/misc/CA.pl -sign -extra-ca
 </code> </code>
 <code perl> <code perl>
-# /etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req+# /etc/ssl/misc/CA.pl -sign -extra-ca
 ==== ====
 openssl ca  -policy policy_anything -out newcert.pem -extensions=v3_req -infiles newreq.pem openssl ca  -policy policy_anything -out newcert.pem -extensions=v3_req -infiles newreq.pem
Zeile 2231: Zeile 2242:
 </code> </code>
  
-Durch ausführen des Skriptes mit nachfolgendem Aufrufparameter ''/etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req'' ist eine weitere neue Dateien unter+Durch ausführen des Skriptes mit nachfolgendem Aufrufparameter ''/etc/ssl/misc/CA.pl -sign -extra-ca'' ist eine weitere neue Dateien unter
   * ''/etc/ssl''   * ''/etc/ssl''
 entstanden, welche mit nachfolgendem Befehl aufgelistet werden kann: entstanden, welche mit nachfolgendem Befehl aufgelistet werden kann:
Zeile 2848: Zeile 2859:
  
 :!: **HINWEIS** - Die Ausgabe kann durch drücken der Tastenkombination **[Strg/Ctrl]** und **[c]** beendet werden. :!: **HINWEIS** - Die Ausgabe kann durch drücken der Tastenkombination **[Strg/Ctrl]** und **[c]** beendet werden.
 +
 +Auch in der globalen Zertifikats-Konfigurationsdatei 
 +  * ''/etc/ca-certificates/extracted/ca-bundle.trust.crt''
 +sollte das Zertifikat nun enthalten sein, was mit nachfolgendem Befehl überprüft werden kann:
 +<code>
 +# grep "Klaus Tachtler (CA)" /etc/ca-certificates/extracted/ca-bundle.trust.crt
 +# Klaus Tachtler (CA)
 +</code>
 +
 +:!: **HINWEIS** - **Gefunden wurde das Self-Signed-Certificate __nur__, wenn eine Ausgabe erfolgt!**
  
 :!: **HINWEIS** - Falls es **Probleme bei der DNS Namensauflösung** geben sollte, kann die Konfiguration unter nachfolgenden internen Link Abhilfe schaffen: :!: **HINWEIS** - Falls es **Probleme bei der DNS Namensauflösung** geben sollte, kann die Konfiguration unter nachfolgenden internen Link Abhilfe schaffen:
Zeile 4349: Zeile 4370:
 Nachfolgender Befehl erstellt eine Datei im **LDIF**-Format mit allen Konfigurationen des [[https://www.openldap.org|OpenLDAP]]-Servers: Nachfolgender Befehl erstellt eine Datei im **LDIF**-Format mit allen Konfigurationen des [[https://www.openldap.org|OpenLDAP]]-Servers:
 <code> <code>
-# slapcat -vF /etc/openldap/slapd.d/ -n 0 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-conf-$(date '+%F_%Y_%m_%d').ldif"+sudo -u ldap slapcat -vF /etc/openldap/slapd.d/ -n 0 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-conf-$(date '+%F_%H_%M_%S').ldif"
 </code> </code>
 <code ldif> <code ldif>
-# slapcat -vF /etc/openldap/slapd.d/ -n 0 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-conf-$(date '+%F_%Y_%m_%d).ldif"+sudo -u ldap slapcat -vF /etc/openldap/slapd.d/ -n 0 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-conf-$(date '+%F_%H_%M_%S').ldif"
 # id=00000001 # id=00000001
 # id=00000002 # id=00000002
Zeile 4370: Zeile 4391:
 # ls -l /var/lib/openldap/openldap-backup # ls -l /var/lib/openldap/openldap-backup
 total 40 total 40
--rw-r--r-- 1 root root 40658 Mar 28 14:04 server-ldap-mdb-conf-2022-03-28_14_04_01.ldif+-rw-r--r-- 1 ldap ldap 40658 Mar 28 15:14 vml030-ldap-mdb-conf-2022-03-28_15_14_26.ldif
 </code> </code>
  
Zeile 4377: Zeile 4398:
 Nachfolgender Befehl erstellt eine Datei im **LDIF**-Format mit allen Daten des [[https://www.openldap.org|OpenLDAP]]-Servers: Nachfolgender Befehl erstellt eine Datei im **LDIF**-Format mit allen Daten des [[https://www.openldap.org|OpenLDAP]]-Servers:
 <code> <code>
-# slapcat -vl "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-data-$(date '+%F_%Y_%m_%d').ldif"+sudo -u ldap slapcat -v -n 1 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-data-$(date '+%F_%H_%M_%S').ldif"
 </code> </code>
 <code ldif> <code ldif>
-# slapcat -vl "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-data-$(date '+%F_%Y_%m_%d').ldif"+sudo -u ldap slapcat -v -n 1 -l "/var/lib/openldap/openldap-backup/$(hostname)-ldap-mdb-data-$(date '+%F_%H_%M_%S').ldif"
 # id=00000001 # id=00000001
 # id=00000002 # id=00000002
Zeile 4392: Zeile 4413:
 # id=0000000a # id=0000000a
 # id=0000000b # id=0000000b
-# id=0000000c 
-# id=0000000d 
-# id=0000000e 
 </code> </code>
  
Zeile 4401: Zeile 4419:
 # ls -l /var/lib/openldap/openldap-backup # ls -l /var/lib/openldap/openldap-backup
 total 48 total 48
--rw-r--r-- 1 root root 40658 Mar 28 14:39 vml030-ldap-mdb-conf-2022-03-28_14_39_53.ldif +-rw-r--r-- 1 ldap ldap 40658 Mar 28 15:14 vml030-ldap-mdb-conf-2022-03-28_15_14_26.ldif 
--rw-r--r-- 1 root root  7808 Mar 28 14:40 vml030-ldap-mdb-data-2022-03-28_14_40_00.ldif+-rw-r--r-- 1 ldap ldap  7808 Mar 28 15:15 vml030-ldap-mdb-data-2022-03-28_15_15_21.ldif
 </code> </code>
  
Zeile 4422: Zeile 4440:
 <code> <code>
 # systemctl status slapd.service # systemctl status slapd.service
-● slapd.service - OpenLDAP Server Daemon +○ slapd.service - OpenLDAP Server Daemon 
-     Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor pre> +     Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor preset: disabled) 
-     Active: active (running) since Mon 2022-03-28 13:41:27 CEST; 33min ago+     Active: inactive (dead) since Mon 2022-03-28 15:16:06 CEST; 3s ago
        Docs: man:slapd        Docs: man:slapd
              man:slapd-config              man:slapd-config
              man:slapd-mdb              man:slapd-mdb
-   Main PID: 426 (slapd) +    Process2594 ExecStart=/usr/lib/slapd -d 0 -u ldap -g ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS (code=exited, status=> 
-      Tasks: 2 (limit: 2340) +   Main PID2594 (code=exited, status=0/SUCCESS) 
-     Memory12.7M +        CPU15ms
-        CPU: 29ms +
-     CGroup: /system.slice/slapd.service +
-             └─426 /usr/lib/slapd -d 0 -u ldap -g ldap -h "ldap:/// ldapi:/// l>+
  
-Mar 28 13:41:27 server systemd[1]: Starting OpenLDAP Server Daemon..+Mar 28 15:11:29 server slapd[2594]: slapd starting 
-Mar 28 13:41:27 server slapd[426]: @(#) $OpenLDAP: slapd 2.6.1 (Jan 20 2022 19:> +Mar 28 15:11:29 server systemd[1]: Started OpenLDAP Server Daemon. 
-                                           openldap +Mar 28 15:16:06 server slapd[2594]: daemonshutdown requested and initiated. 
-Mar 28 13:41:27 server slapd[426]: slapd starting +Mar 28 15:16:06 server slapd[2594]: slapd shutdown: waiting for 0 operations/tasks to finish 
-Mar 28 13:41:27 server systemd[1]: Started OpenLDAP Server Daemon.+Mar 28 15:16:06 server systemd[1]: Stopping OpenLDAP Server Daemon..
 +Mar 28 15:16:06 server slapd[2594]: DIGEST-MD5 common mech free 
 +Mar 28 15:16:06 server slapd[2594]: DIGEST-MD5 common mech free 
 +Mar 28 15:16:06 server slapd[2594]: slapd stopped. 
 +Mar 28 15:16:06 server systemd[1]: slapd.service: Deactivated successfully. 
 +Mar 28 15:16:06 server systemd[1]: Stopped OpenLDAP Server Daemon.
 </code> </code>
  
Zeile 4464: Zeile 4484:
 Nachfolgender Befehl stellt alle Konfigurationen des [[https://www.openldap.org/|OpenLDAP]]-Servers wieder her: Nachfolgender Befehl stellt alle Konfigurationen des [[https://www.openldap.org/|OpenLDAP]]-Servers wieder her:
 <code> <code>
-# slapadd -v -n 0 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-conf-2022-03-28_14_39_53.ldif+sudo -u ldap slapadd -v -n 0 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-conf-2022-03-28_15_14_26.ldif
 </code> </code>
 <code ldif> <code ldif>
-# slapadd -v -n 0 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-conf-2022-03-28_14_39_53.ldif+sudo -u ldap slapadd -v -n 0 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-conf-2022-03-28_15_14_26.ldif
 added: "cn=config" (00000001) added: "cn=config" (00000001)
 added: "cn=module{0},cn=config" (00000001) added: "cn=module{0},cn=config" (00000001)
Zeile 4484: Zeile 4504:
 ==== LDAP-Server: Restore - Daten ==== ==== LDAP-Server: Restore - Daten ====
  
-Nachfolgender Befehl stellt alle Daten des [[https://www.openldap.org/|OpenLDAP]]-Servers weider her:+Nachfolgender Befehl stellt alle Daten des [[https://www.openldap.org/|OpenLDAP]]-Servers wieder her:
 <code> <code>
-# /var/lib/openldap/openldap-backup/server-ldap-mdb-data-2022-03-28_14_40_00.ldif+sudo -u ldap slapadd -v -n 1 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-data-2022-03-28_15_15_21.ldif
 </code> </code>
-</code ldif>+<code ldif> 
 +# sudo -u ldap slapadd -v -n 1 -F /etc/openldap/slapd.d -l /var/lib/openldap/openldap-backup/server-ldap-mdb-data-2022-03-28_15_15_21.ldif 
 +added: "dc=tachtler,dc=net" (00000001) 
 +added: "ou=People,dc=tachtler,dc=net" (00000002) 
 +added: "ou=Group,dc=tachtler,dc=net" (00000003) 
 +added: "cn=root,ou=Group,dc=tachtler,dc=net" (00000004) 
 +added: "cn=klaus,ou=Group,dc=tachtler,dc=net" (00000005) 
 +added: "cn=petra,ou=Group,dc=tachtler,dc=net" (00000006) 
 +added: "cn=lena,ou=Group,dc=tachtler,dc=net" (00000007) 
 +added: "cn=luis,ou=Group,dc=tachtler,dc=net" (00000008) 
 +added: "uid=root,ou=People,dc=tachtler,dc=net" (00000009) 
 +added: "uid=klaus,ou=People,dc=tachtler,dc=net" (0000000a) 
 +added: "cn=Ersatzbenutzer,dc=tachtler,dc=net" (0000000b) 
 +Closing DB...
 </code> </code>
  
Zeile 4503: Zeile 4536:
 <code> <code>
 # ps auxwf | grep slapd # ps auxwf | grep slapd
-ldap         426  0.0  0.7 1087044 15840 ?       Ssl  13:41   0:00 /usr/lib/slapd -d 0 -u ldap -g ldap -h ldap:/// ldapi:/// ldaps:/// +root        2733  0.0  0.1   6992  2424 pts/0    S+   15:21   0:00                      \_ grep slapd 
-root         657  0.0  0.1   6992  2708 pts/0    S+   14:21   0:00                      \_ grep slapd+ldap        2728  0.0  0.7 1087044 16092 ?       Ssl  15:21   0:00 /usr/lib/slapd -d 0 -u ldap -g ldap -h ldap:/// ldapi:/// ldaps:///
 </code> </code>
 und nachfolgender Befehl: und nachfolgender Befehl:
 <code> <code>
 # ss -tulpen | grep slapd # ss -tulpen | grep slapd
-tcp   LISTEN 0      2048                  0.0.0.0:636       0.0.0.0:   users:(("slapd",pid=426,fd=10)) ino:13263 sk:3 cgroup:/system.slice/slapd.service <->             +tcp   LISTEN 0      2048                  0.0.0.0:389       0.0.0.0:   users:(("slapd",pid=2728,fd=7)) ino:32948 sk:3 cgroup:/system.slice/slapd.service <->             
-tcp   LISTEN 0      2048                  0.0.0.0:389       0.0.0.0:   users:(("slapd",pid=426,fd=7)) ino:13258 sk:cgroup:/system.slice/slapd.service <->              +tcp   LISTEN 0      2048                  0.0.0.0:636       0.0.0.0:   users:(("slapd",pid=2728,fd=10)) ino:32953 sk:cgroup:/system.slice/slapd.service <->            
-tcp   LISTEN 0      2048                     [::]:636          [::]:   users:(("slapd",pid=426,fd=11)) ino:13264 sk:6 cgroup:/system.slice/slapd.service v6only:1 <->    +tcp   LISTEN 0      2048                     [::]:389          [::]:   users:(("slapd",pid=2728,fd=8)) ino:32949 sk:6 cgroup:/system.slice/slapd.service v6only:1 <->    
-tcp   LISTEN 0      2048                     [::]:389          [::]:   users:(("slapd",pid=426,fd=8)) ino:13259 sk:cgroup:/system.slice/slapd.service v6only:1 <->+tcp   LISTEN 0      2048                     [::]:636          [::]:   users:(("slapd",pid=2728,fd=11)) ino:32954 sk:cgroup:/system.slice/slapd.service v6only:1 <->
 </code> </code>
 bzw. nachfolgender Befehl: bzw. nachfolgender Befehl:
Zeile 4519: Zeile 4552:
 ● slapd.service - OpenLDAP Server Daemon ● slapd.service - OpenLDAP Server Daemon
      Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor pre>      Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor pre>
-     Active: active (running) since Mon 2022-03-28 14:41:27 CEST; 40min ago+     Active: active (running) since Mon 2022-03-28 15:21:42 CEST; 37s ago
        Docs: man:slapd        Docs: man:slapd
              man:slapd-config              man:slapd-config
              man:slapd-mdb              man:slapd-mdb
-   Main PID: 426 (slapd)+   Main PID: 2728 (slapd)
       Tasks: 2 (limit: 2340)       Tasks: 2 (limit: 2340)
-     Memory: 12.6M +     Memory: 3.7M 
-        CPU: 29ms+        CPU: 19ms
      CGroup: /system.slice/slapd.service      CGroup: /system.slice/slapd.service
-             └─426 /usr/lib/slapd -d 0 -u ldap -g ldap -h "ldap:/// ldapi:/// l>+             └─2728 /usr/lib/slapd -d 0 -u ldap -g ldap -h "ldap:/// ldapi:/// >
  
-Mar 28 13:41:27 server systemd[1]: Starting OpenLDAP Server Daemon... +Mar 28 15:21:42 server systemd[1]: Starting OpenLDAP Server Daemon... 
-Mar 28 13:41:27 server slapd[426]: @(#) $OpenLDAP: slapd 2.6.1 (Jan 20 2022 19:+Mar 28 15:21:42 server slapd[2728]: @(#) $OpenLDAP: slapd 2.6.1 (Jan 20 2022 19> 
-                                           openldap +                                            openldap 
-Mar 28 13:41:27 server slapd[426]: slapd starting +Mar 28 15:21:42 server slapd[2728]: slapd starting 
-Mar 28 13:41:27 server systemd[1]: Started OpenLDAP Server Daemon.+Mar 28 15:21:42 server systemd[1]: Started OpenLDAP Server Daemon.
 </code> </code>
  
tachtler/ldap_archlinux.1648471996.txt.gz · Zuletzt geändert: 2022/03/28 14:53 von klaus