Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:ldap_centos_5

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

tachtler:ldap_centos_5 [2011/08/26 10:06]
127.0.0.1 Externe Bearbeitung
tachtler:ldap_centos_5 [2012/06/11 11:14] (aktuell)
klaus
Zeile 27: Zeile 27:
  
 In der Konfigurationsdatei ''/etc/openldap/ldap.conf'' wird die Basis-Domain für den LDAP-Client festgelegt. Dies ist die Standard-Konfigurationsdatei: In der Konfigurationsdatei ''/etc/openldap/ldap.conf'' wird die Basis-Domain für den LDAP-Client festgelegt. Dies ist die Standard-Konfigurationsdatei:
-<code>+<code ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 46: Zeile 46:
  
 Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/ldap.conf'' genügen, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/ldap.conf'' genügen, um grundsätzlich einen LDAP-Server zu betreiben:
-<code>+<code ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 65: Zeile 65:
  
 In der Konfigurationsdatei ''/etc/openldap/slapd.conf'' sind die Einträge für die Konfiguration des ''slapd'' Standalone-Servers enthalten. Der ''slapd'' beantwortet die LDAP Anfragen der Clients - es ist der LDAP-Server oder Verzeichnis-Server. Dies ist die Standard-Konfigurationsdatei: In der Konfigurationsdatei ''/etc/openldap/slapd.conf'' sind die Einträge für die Konfiguration des ''slapd'' Standalone-Servers enthalten. Der ''slapd'' beantwortet die LDAP Anfragen der Clients - es ist der LDAP-Server oder Verzeichnis-Server. Dies ist die Standard-Konfigurationsdatei:
-<code>+<code ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 162: Zeile 162:
  
 Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/sldap.conf'' sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/sldap.conf'' sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben:
-<code>+<code ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 339: Zeile 339:
  
 Die erste der beide //ACLs//  Die erste der beide //ACLs// 
-<code>+<code ini>
 access to attrs=userPassword access to attrs=userPassword
         by self write         by self write
Zeile 349: Zeile 349:
  
 Die zweite der beiden //ACLs// Die zweite der beiden //ACLs//
-<code>+<code ini>
 access to * access to *
         by self write         by self write
Zeile 360: Zeile 360:
  
 Um ein Passwort für den Eintrag ''rootpw'' mit der Verschlüsselungsmethode ''SSHA'', welche einem SHA-1 Algorithmus (FIPS 160-1) entspricht, zu generieren, wird das Programm ''/usr/sbin/slappasswd'' mit folgendem Befehl aufgerufen: Um ein Passwort für den Eintrag ''rootpw'' mit der Verschlüsselungsmethode ''SSHA'', welche einem SHA-1 Algorithmus (FIPS 160-1) entspricht, zu generieren, wird das Programm ''/usr/sbin/slappasswd'' mit folgendem Befehl aufgerufen:
-<code>+<code ini>
 # /usr/sbin/slappasswd -h {SSHA} # /usr/sbin/slappasswd -h {SSHA}
 New password:  New password: 
Zeile 391: Zeile 391:
   * keine Unterstütztung für ''IPv6''   * keine Unterstütztung für ''IPv6''
  
-<code>+<code ini>
 # Parameters to ulimit called right before starting slapd # Parameters to ulimit called right before starting slapd
 # - use this to change system limits for slapd # - use this to change system limits for slapd
Zeile 420: Zeile 420:
  
 Zuerst die komplette Konfigurationsdatei ''/etc/openldap/slapd.conf'': Zuerst die komplette Konfigurationsdatei ''/etc/openldap/slapd.conf'':
-<code>+<code ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 603: Zeile 603:
  
 Besonders zu beachten sind hier die Zeilen: Besonders zu beachten sind hier die Zeilen:
-<code>+<code ini>
 # Allow LDAPv2 client connections.  This is NOT the default. # Allow LDAPv2 client connections.  This is NOT the default.
 allow bind_v2 allow bind_v2
Zeile 615: Zeile 615:
  
 Desweiteren sind folgende Zeilen für die Benutzergesteuerten Sichten auf die Daten zuständig: Desweiteren sind folgende Zeilen für die Benutzergesteuerten Sichten auf die Daten zuständig:
-<code>+<code ini>
 # Tachtler # Tachtler
 # no default entry for: Access Control Lists (ACLs) # no default entry for: Access Control Lists (ACLs)
Zeile 630: Zeile 630:
 * //Hier werden folgende "Attribute" ausgeblendet - ''userPassword,shadowLastChange,shadowMax,shadowWarning''.// * //Hier werden folgende "Attribute" ausgeblendet - ''userPassword,shadowLastChange,shadowMax,shadowWarning''.//
  
-<code>+<code ini>
 ### Ersatzbenutzer ### Ersatzbenutzer
  
Zeile 645: Zeile 645:
 * //Hier werden die Benutzer ''Ersatzbenutzer''  und ''Manager'' so konfiguriert, dass nur sie selbst sich sehen und auch nur sie ihre Daten verändern können!// * //Hier werden die Benutzer ''Ersatzbenutzer''  und ''Manager'' so konfiguriert, dass nur sie selbst sich sehen und auch nur sie ihre Daten verändern können!//
  
-<code>+<code ini>
 ### Group, People ### Group, People
  
Zeile 664: Zeile 664:
 * //Hier werden per RegEx-Formulierung nur dem jeweiligen Benutzer erlaubt, seine eigenen Daten zu sehen und zu verändern. Globale Schreibrechte bleiben dem Benutzer ''Manager'' vorbehalten. Globale Leserechten dem Benutzer ''Ersatzbenutzer''. Alle Rechte zum schreiben und lesen basieren immer auf einer korrekten Authentifizierung mit dem entsprechenden benutzerbezogenen Passwort!// * //Hier werden per RegEx-Formulierung nur dem jeweiligen Benutzer erlaubt, seine eigenen Daten zu sehen und zu verändern. Globale Schreibrechte bleiben dem Benutzer ''Manager'' vorbehalten. Globale Leserechten dem Benutzer ''Ersatzbenutzer''. Alle Rechte zum schreiben und lesen basieren immer auf einer korrekten Authentifizierung mit dem entsprechenden benutzerbezogenen Passwort!//
  
-<code>+<code ini>
 ### Others  ### Others 
  
Zeile 686: Zeile 686:
  
 Hier das **komplette** Start-Script: Hier das **komplette** Start-Script:
-<code>+<code bash>
 #!/bin/bash #!/bin/bash
 # #
Zeile 1007: Zeile 1007:
 </code> </code>
  
-<code>+<code ini>
 ## Build the root node. ## Build the root node.
 dn: dc=tachtler,dc=net dn: dc=tachtler,dc=net
Zeile 1038: Zeile 1038:
  
 Mit folgendem Befehl werden nun die Daten aus der Datei ''/etc/openldap/ldif/tachtler.net.ldif'' in den //DIT// **D**irectory **I**nformation **T**ree eingestellt: Mit folgendem Befehl werden nun die Daten aus der Datei ''/etc/openldap/ldif/tachtler.net.ldif'' in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:
-<code>+<code ini>
 # slapadd -v -l /etc/openldap/ldif/tachtler.net.ldif # slapadd -v -l /etc/openldap/ldif/tachtler.net.ldif
 added: "dc=tachtler,dc=net" (00000001) added: "dc=tachtler,dc=net" (00000001)
Zeile 1080: Zeile 1080:
  
 Ein Suchanfrage zum Testen, ob die Datenmigration erfolgreich war, kann mit folgendem Befehl durchgeführt werden: Ein Suchanfrage zum Testen, ob die Datenmigration erfolgreich war, kann mit folgendem Befehl durchgeführt werden:
-<code>+<code ini>
 # ldapsearch -x -b "dc=tachtler,dc=net" "(objectclass=*)" # ldapsearch -x -b "dc=tachtler,dc=net" "(objectclass=*)"
  
Zeile 1175: Zeile 1175:
   * ''/etc/group''   * ''/etc/group''
 alle Benutzer und Gruppen herauszufiltern, welche eine Benutzer bzw. Gruppenkennung größer/gleich der Zahl ''500'' haben. Dies sind in der Regel alle tatsächlichen Benutzer und keine technischen Benutzer wie z.B. ''httpd'' usw. Diese sollen dann in den LDAP-Directory Server überführt werden. alle Benutzer und Gruppen herauszufiltern, welche eine Benutzer bzw. Gruppenkennung größer/gleich der Zahl ''500'' haben. Dies sind in der Regel alle tatsächlichen Benutzer und keine technischen Benutzer wie z.B. ''httpd'' usw. Diese sollen dann in den LDAP-Directory Server überführt werden.
 +
 ==== Vorbereitung ==== ==== Vorbereitung ====
  
 Zur Vorbereitung ist es notwenig, dass ein mitgeliefertes Script angepasst wird. Das Script ''/usr/share/openldap/migration/migrate_common.ph'' sollte an den entsprechenden Stellen wie folgt beschrieben angepasst werden: (Hier nur ein Auszug aus dem Script) Zur Vorbereitung ist es notwenig, dass ein mitgeliefertes Script angepasst wird. Das Script ''/usr/share/openldap/migration/migrate_common.ph'' sollte an den entsprechenden Stellen wie folgt beschrieben angepasst werden: (Hier nur ein Auszug aus dem Script)
-<code>+<code ini>
 ... ...
 # Default DNS domain # Default DNS domain
Zeile 1233: Zeile 1234:
   * ''/etc/openldap/ldif/group.ldif''   * ''/etc/openldap/ldif/group.ldif''
 in den //DIT// **D**irectory **I**nformation **T**ree eingestellt: in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:
-<code>+<code ini>
 # slapadd -v -l /etc/openldap/ldif/passwd.ldif  # slapadd -v -l /etc/openldap/ldif/passwd.ldif 
 added: "uid=klaus,ou=People,dc=tachtler,dc=net" (00000005) added: "uid=klaus,ou=People,dc=tachtler,dc=net" (00000005)
Zeile 1239: Zeile 1240:
 </code> </code>
 und und
-<code>+<code ini>
 # slapadd -v -l /etc/openldap/ldif/group.ldif  # slapadd -v -l /etc/openldap/ldif/group.ldif 
 added: "cn=klaus,ou=Group,dc=tachtler,dc=net" (00000007) added: "cn=klaus,ou=Group,dc=tachtler,dc=net" (00000007)
Zeile 1283: Zeile 1284:
  
 Zur Überprüfung ob die Migration korrekt funktioniert hat, kann folgender Befehl verwendet werden, welche die nachfolgende Ausgabe erzeugen sollte: Zur Überprüfung ob die Migration korrekt funktioniert hat, kann folgender Befehl verwendet werden, welche die nachfolgende Ausgabe erzeugen sollte:
-<code>+<code ini>
 # ldapsearch -x -b "uid=klaus,ou=People,dc=tachtler,dc=net" "(objectclass=*)" # ldapsearch -x -b "uid=klaus,ou=People,dc=tachtler,dc=net" "(objectclass=*)"
  
Zeile 1322: Zeile 1323:
  
 **1.** Eine einfache Suchabfrage mittels ''ldapsearch'' nach der ''uid'': **1.** Eine einfache Suchabfrage mittels ''ldapsearch'' nach der ''uid'':
-<code>+<code ini>
 # ldapsearch -x -LLL -H ldap://ldap.tachtler.net -b "dc=tachtler,dc=net" "uid=klaus" # ldapsearch -x -LLL -H ldap://ldap.tachtler.net -b "dc=tachtler,dc=net" "uid=klaus"
 dn: uid=klaus,ou=People,dc=tachtler,dc=net dn: uid=klaus,ou=People,dc=tachtler,dc=net
Zeile 1343: Zeile 1344:
  
 **2.** Eine einfache Suchabfrage mittels ''ldapsearch'' inclusive Anmeldung als "Benutzer" ''klaus'' nach der ''uid'': **2.** Eine einfache Suchabfrage mittels ''ldapsearch'' inclusive Anmeldung als "Benutzer" ''klaus'' nach der ''uid'':
-<code>+<code ini>
 # ldapsearch -x -LLL -H ldap://ldap.tachtler.net -b "dc=tachtler,dc=net" "uid=petra" -W -D "uid=klaus,ou=People,dc=tachtler,dc=net" # ldapsearch -x -LLL -H ldap://ldap.tachtler.net -b "dc=tachtler,dc=net" "uid=petra" -W -D "uid=klaus,ou=People,dc=tachtler,dc=net"
 Enter LDAP Password:  Enter LDAP Password: 
Zeile 1365: Zeile 1366:
  
 **3.** Ein einfacher Vergleich von Daten mittels ''ldapcompare'' auf die ''uidNumber'': **3.** Ein einfacher Vergleich von Daten mittels ''ldapcompare'' auf die ''uidNumber'':
-<code>+<code ini>
 # ldapcompare -x uid=klaus,ou=People,dc=tachtler,dc=net uidNumber:500 # ldapcompare -x uid=klaus,ou=People,dc=tachtler,dc=net uidNumber:500
 TRUE TRUE
 </code> </code>
 und mit einem falschen Wert: und mit einem falschen Wert:
-<code>+<code ini>
 # ldapcompare -x uid=klaus,ou=People,dc=tachtler,dc=net uidNumber:501 # ldapcompare -x uid=klaus,ou=People,dc=tachtler,dc=net uidNumber:501
 FALSE FALSE
Zeile 1385: Zeile 1386:
 ==== Benutzerauthentifizierung ==== ==== Benutzerauthentifizierung ====
  
-<code>+<code apache>
 AuthType Basic AuthType Basic
 AuthName "Beispielanwendung - example.com" AuthName "Beispielanwendung - example.com"
Zeile 1417: Zeile 1418:
  
 Zulassung aller User auf dem LDAP-Server. Zulassung aller User auf dem LDAP-Server.
- 
  
 :!: Um den Zugriff auf nur bestimmte Nutzer im LDAP zu begrenzen kann die **Zeile 6** wie folgt abgeändetr werden: :!: Um den Zugriff auf nur bestimmte Nutzer im LDAP zu begrenzen kann die **Zeile 6** wie folgt abgeändetr werden:
-<code>+<code apache>
 Require ldap-user klaus petra Require ldap-user klaus petra
 </code> </code>
Zeile 1427: Zeile 1427:
 :!: **WICHTIG**, nur zusätzliche Zeilen, sonst wie Benutzerauthentifizierung! :!: **WICHTIG**, nur zusätzliche Zeilen, sonst wie Benutzerauthentifizierung!
  
-<code>+<code apache>
 AuthType Basic AuthType Basic
 AuthName "phpLDAPadmin" AuthName "phpLDAPadmin"
Zeile 1454: Zeile 1454:
 :!: **WICHTIG**, nur zusätzliche Zeilen, sonst wie Gruppenauthentifizierung! :!: **WICHTIG**, nur zusätzliche Zeilen, sonst wie Gruppenauthentifizierung!
  
-<code>+<code apache>
 AuthType Basic AuthType Basic
 AuthName "phpLDAPadmin" AuthName "phpLDAPadmin"
Zeile 1560: Zeile 1560:
  
 Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/ldap.conf'' genügen, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/ldap.conf'' genügen, um grundsätzlich einen LDAP-Server zu betreiben:
-<code>+<code ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 1586: Zeile 1586:
  
 Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/sldap.conf'' sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben (**nur relevanter Ausschnitt**): Folgende Anpassungen der Konfigurationsdatei ''/etc/openldap/sldap.conf'' sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben (**nur relevanter Ausschnitt**):
-<code>+<code ini>
 ... ...
 # The next three lines allow use of TLS for encrypting connections using a # The next three lines allow use of TLS for encrypting connections using a
Zeile 1610: Zeile 1610:
  
 **1.** Eine einfache Suchabfrage mittels ''ldapsearch'' inklusive Anmeldung als "Ersatzbenutzer" ''Ersatzauthentifizierer'' nach der ''uid'': **1.** Eine einfache Suchabfrage mittels ''ldapsearch'' inklusive Anmeldung als "Ersatzbenutzer" ''Ersatzauthentifizierer'' nach der ''uid'':
-<code>+<code ini>
 # ldapsearch -d8 -x -LLL -H ldaps://ldap.tachtler.net -b "ou=People,dc=tachtler,dc=net" "uid=klaus" -W -D "cn=Ersatzauthentifizierer,dc=tachtler,dc=net" # ldapsearch -d8 -x -LLL -H ldaps://ldap.tachtler.net -b "ou=People,dc=tachtler,dc=net" "uid=klaus" -W -D "cn=Ersatzauthentifizierer,dc=tachtler,dc=net"
 Enter LDAP Password:  Enter LDAP Password: 
tachtler/ldap_centos_5.txt · Zuletzt geändert: 2012/06/11 11:14 von klaus