Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:ldap_centos_5

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

tachtler:ldap_centos_5 [2011/08/26 10:06]
127.0.0.1 Externe Bearbeitung
tachtler:ldap_centos_5 [2012/06/11 11:14] (aktuell)
klaus
Zeile 27: Zeile 27:
  
 In der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ wird die Basis-Domain für den LDAP-Client festgelegt. Dies ist die Standard-Konfigurationsdatei:​ In der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ wird die Basis-Domain für den LDAP-Client festgelegt. Dies ist die Standard-Konfigurationsdatei:​
-<​code>​+<​code ​ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 46: Zeile 46:
  
 Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ genügen, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ genügen, um grundsätzlich einen LDAP-Server zu betreiben:
-<​code>​+<​code ​ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 65: Zeile 65:
  
 In der Konfigurationsdatei ''/​etc/​openldap/​slapd.conf''​ sind die Einträge für die Konfiguration des ''​slapd''​ Standalone-Servers enthalten. Der ''​slapd''​ beantwortet die LDAP Anfragen der Clients - es ist der LDAP-Server oder Verzeichnis-Server. Dies ist die Standard-Konfigurationsdatei:​ In der Konfigurationsdatei ''/​etc/​openldap/​slapd.conf''​ sind die Einträge für die Konfiguration des ''​slapd''​ Standalone-Servers enthalten. Der ''​slapd''​ beantwortet die LDAP Anfragen der Clients - es ist der LDAP-Server oder Verzeichnis-Server. Dies ist die Standard-Konfigurationsdatei:​
-<​code>​+<​code ​ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 162: Zeile 162:
  
 Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​sldap.conf''​ sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​sldap.conf''​ sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben:
-<​code>​+<​code ​ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 339: Zeile 339:
  
 Die erste der beide //​ACLs// ​ Die erste der beide //​ACLs// ​
-<​code>​+<​code ​ini>
 access to attrs=userPassword access to attrs=userPassword
         by self write         by self write
Zeile 349: Zeile 349:
  
 Die zweite der beiden //ACLs// Die zweite der beiden //ACLs//
-<​code>​+<​code ​ini>
 access to * access to *
         by self write         by self write
Zeile 360: Zeile 360:
  
 Um ein Passwort für den Eintrag ''​rootpw''​ mit der Verschlüsselungsmethode ''​SSHA'',​ welche einem SHA-1 Algorithmus (FIPS 160-1) entspricht, zu generieren, wird das Programm ''/​usr/​sbin/​slappasswd''​ mit folgendem Befehl aufgerufen: Um ein Passwort für den Eintrag ''​rootpw''​ mit der Verschlüsselungsmethode ''​SSHA'',​ welche einem SHA-1 Algorithmus (FIPS 160-1) entspricht, zu generieren, wird das Programm ''/​usr/​sbin/​slappasswd''​ mit folgendem Befehl aufgerufen:
-<​code>​+<​code ​ini>
 # /​usr/​sbin/​slappasswd -h {SSHA} # /​usr/​sbin/​slappasswd -h {SSHA}
 New password: ​ New password: ​
Zeile 391: Zeile 391:
   * keine Unterstütztung für ''​IPv6''​   * keine Unterstütztung für ''​IPv6''​
  
-<​code>​+<​code ​ini>
 # Parameters to ulimit called right before starting slapd # Parameters to ulimit called right before starting slapd
 # - use this to change system limits for slapd # - use this to change system limits for slapd
Zeile 420: Zeile 420:
  
 Zuerst die komplette Konfigurationsdatei ''/​etc/​openldap/​slapd.conf'':​ Zuerst die komplette Konfigurationsdatei ''/​etc/​openldap/​slapd.conf'':​
-<​code>​+<​code ​ini>
 # #
 # See slapd.conf(5) for details on configuration options. # See slapd.conf(5) for details on configuration options.
Zeile 603: Zeile 603:
  
 Besonders zu beachten sind hier die Zeilen: Besonders zu beachten sind hier die Zeilen:
-<​code>​+<​code ​ini>
 # Allow LDAPv2 client connections. ​ This is NOT the default. # Allow LDAPv2 client connections. ​ This is NOT the default.
 allow bind_v2 allow bind_v2
Zeile 615: Zeile 615:
  
 Desweiteren sind folgende Zeilen für die Benutzergesteuerten Sichten auf die Daten zuständig: Desweiteren sind folgende Zeilen für die Benutzergesteuerten Sichten auf die Daten zuständig:
-<​code>​+<​code ​ini>
 # Tachtler # Tachtler
 # no default entry for: Access Control Lists (ACLs) # no default entry for: Access Control Lists (ACLs)
Zeile 630: Zeile 630:
 * //Hier werden folgende "​Attribute"​ ausgeblendet - ''​userPassword,​shadowLastChange,​shadowMax,​shadowWarning''​.//​ * //Hier werden folgende "​Attribute"​ ausgeblendet - ''​userPassword,​shadowLastChange,​shadowMax,​shadowWarning''​.//​
  
-<​code>​+<​code ​ini>
 ### Ersatzbenutzer ### Ersatzbenutzer
  
Zeile 645: Zeile 645:
 * //Hier werden die Benutzer ''​Ersatzbenutzer'' ​ und ''​Manager''​ so konfiguriert,​ dass nur sie selbst sich sehen und auch nur sie ihre Daten verändern können!// * //Hier werden die Benutzer ''​Ersatzbenutzer'' ​ und ''​Manager''​ so konfiguriert,​ dass nur sie selbst sich sehen und auch nur sie ihre Daten verändern können!//
  
-<​code>​+<​code ​ini>
 ### Group, People ### Group, People
  
Zeile 664: Zeile 664:
 * //Hier werden per RegEx-Formulierung nur dem jeweiligen Benutzer erlaubt, seine eigenen Daten zu sehen und zu verändern. Globale Schreibrechte bleiben dem Benutzer ''​Manager''​ vorbehalten. Globale Leserechten dem Benutzer ''​Ersatzbenutzer''​. Alle Rechte zum schreiben und lesen basieren immer auf einer korrekten Authentifizierung mit dem entsprechenden benutzerbezogenen Passwort!// * //Hier werden per RegEx-Formulierung nur dem jeweiligen Benutzer erlaubt, seine eigenen Daten zu sehen und zu verändern. Globale Schreibrechte bleiben dem Benutzer ''​Manager''​ vorbehalten. Globale Leserechten dem Benutzer ''​Ersatzbenutzer''​. Alle Rechte zum schreiben und lesen basieren immer auf einer korrekten Authentifizierung mit dem entsprechenden benutzerbezogenen Passwort!//
  
-<​code>​+<​code ​ini>
 ### Others ​ ### Others ​
  
Zeile 686: Zeile 686:
  
 Hier das **komplette** Start-Script:​ Hier das **komplette** Start-Script:​
-<​code>​+<​code ​bash>
 #!/bin/bash #!/bin/bash
 # #
Zeile 1007: Zeile 1007:
 </​code>​ </​code>​
  
-<​code>​+<​code ​ini>
 ## Build the root node. ## Build the root node.
 dn: dc=tachtler,​dc=net dn: dc=tachtler,​dc=net
Zeile 1038: Zeile 1038:
  
 Mit folgendem Befehl werden nun die Daten aus der Datei ''/​etc/​openldap/​ldif/​tachtler.net.ldif''​ in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:​ Mit folgendem Befehl werden nun die Daten aus der Datei ''/​etc/​openldap/​ldif/​tachtler.net.ldif''​ in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:​
-<​code>​+<​code ​ini>
 # slapadd -v -l /​etc/​openldap/​ldif/​tachtler.net.ldif # slapadd -v -l /​etc/​openldap/​ldif/​tachtler.net.ldif
 added: "​dc=tachtler,​dc=net"​ (00000001) added: "​dc=tachtler,​dc=net"​ (00000001)
Zeile 1080: Zeile 1080:
  
 Ein Suchanfrage zum Testen, ob die Datenmigration erfolgreich war, kann mit folgendem Befehl durchgeführt werden: Ein Suchanfrage zum Testen, ob die Datenmigration erfolgreich war, kann mit folgendem Befehl durchgeführt werden:
-<​code>​+<​code ​ini>
 # ldapsearch -x -b "​dc=tachtler,​dc=net"​ "​(objectclass=*)"​ # ldapsearch -x -b "​dc=tachtler,​dc=net"​ "​(objectclass=*)"​
  
Zeile 1175: Zeile 1175:
   * ''/​etc/​group''​   * ''/​etc/​group''​
 alle Benutzer und Gruppen herauszufiltern,​ welche eine Benutzer bzw. Gruppenkennung größer/​gleich der Zahl ''​500''​ haben. Dies sind in der Regel alle tatsächlichen Benutzer und keine technischen Benutzer wie z.B. ''​httpd''​ usw. Diese sollen dann in den LDAP-Directory Server überführt werden. alle Benutzer und Gruppen herauszufiltern,​ welche eine Benutzer bzw. Gruppenkennung größer/​gleich der Zahl ''​500''​ haben. Dies sind in der Regel alle tatsächlichen Benutzer und keine technischen Benutzer wie z.B. ''​httpd''​ usw. Diese sollen dann in den LDAP-Directory Server überführt werden.
 +
 ==== Vorbereitung ==== ==== Vorbereitung ====
  
 Zur Vorbereitung ist es notwenig, dass ein mitgeliefertes Script angepasst wird. Das Script ''/​usr/​share/​openldap/​migration/​migrate_common.ph''​ sollte an den entsprechenden Stellen wie folgt beschrieben angepasst werden: (Hier nur ein Auszug aus dem Script) Zur Vorbereitung ist es notwenig, dass ein mitgeliefertes Script angepasst wird. Das Script ''/​usr/​share/​openldap/​migration/​migrate_common.ph''​ sollte an den entsprechenden Stellen wie folgt beschrieben angepasst werden: (Hier nur ein Auszug aus dem Script)
-<​code>​+<​code ​ini>
 ... ...
 # Default DNS domain # Default DNS domain
Zeile 1233: Zeile 1234:
   * ''/​etc/​openldap/​ldif/​group.ldif''​   * ''/​etc/​openldap/​ldif/​group.ldif''​
 in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:​ in den //DIT// **D**irectory **I**nformation **T**ree eingestellt:​
-<​code>​+<​code ​ini>
 # slapadd -v -l /​etc/​openldap/​ldif/​passwd.ldif ​ # slapadd -v -l /​etc/​openldap/​ldif/​passwd.ldif ​
 added: "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​ (00000005) added: "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​ (00000005)
Zeile 1239: Zeile 1240:
 </​code>​ </​code>​
 und und
-<​code>​+<​code ​ini>
 # slapadd -v -l /​etc/​openldap/​ldif/​group.ldif ​ # slapadd -v -l /​etc/​openldap/​ldif/​group.ldif ​
 added: "​cn=klaus,​ou=Group,​dc=tachtler,​dc=net"​ (00000007) added: "​cn=klaus,​ou=Group,​dc=tachtler,​dc=net"​ (00000007)
Zeile 1283: Zeile 1284:
  
 Zur Überprüfung ob die Migration korrekt funktioniert hat, kann folgender Befehl verwendet werden, welche die nachfolgende Ausgabe erzeugen sollte: Zur Überprüfung ob die Migration korrekt funktioniert hat, kann folgender Befehl verwendet werden, welche die nachfolgende Ausgabe erzeugen sollte:
-<​code>​+<​code ​ini>
 # ldapsearch -x -b "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​ "​(objectclass=*)"​ # ldapsearch -x -b "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​ "​(objectclass=*)"​
  
Zeile 1322: Zeile 1323:
  
 **1.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ nach der ''​uid'':​ **1.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ nach der ''​uid'':​
-<​code>​+<​code ​ini>
 # ldapsearch -x -LLL -H ldap://​ldap.tachtler.net -b "​dc=tachtler,​dc=net"​ "​uid=klaus"​ # ldapsearch -x -LLL -H ldap://​ldap.tachtler.net -b "​dc=tachtler,​dc=net"​ "​uid=klaus"​
 dn: uid=klaus,​ou=People,​dc=tachtler,​dc=net dn: uid=klaus,​ou=People,​dc=tachtler,​dc=net
Zeile 1343: Zeile 1344:
  
 **2.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ inclusive Anmeldung als "​Benutzer"​ ''​klaus''​ nach der ''​uid'':​ **2.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ inclusive Anmeldung als "​Benutzer"​ ''​klaus''​ nach der ''​uid'':​
-<​code>​+<​code ​ini>
 # ldapsearch -x -LLL -H ldap://​ldap.tachtler.net -b "​dc=tachtler,​dc=net"​ "​uid=petra"​ -W -D "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​ # ldapsearch -x -LLL -H ldap://​ldap.tachtler.net -b "​dc=tachtler,​dc=net"​ "​uid=petra"​ -W -D "​uid=klaus,​ou=People,​dc=tachtler,​dc=net"​
 Enter LDAP Password: ​ Enter LDAP Password: ​
Zeile 1365: Zeile 1366:
  
 **3.** Ein einfacher Vergleich von Daten mittels ''​ldapcompare''​ auf die ''​uidNumber'':​ **3.** Ein einfacher Vergleich von Daten mittels ''​ldapcompare''​ auf die ''​uidNumber'':​
-<​code>​+<​code ​ini>
 # ldapcompare -x uid=klaus,​ou=People,​dc=tachtler,​dc=net uidNumber:​500 # ldapcompare -x uid=klaus,​ou=People,​dc=tachtler,​dc=net uidNumber:​500
 TRUE TRUE
 </​code>​ </​code>​
 und mit einem falschen Wert: und mit einem falschen Wert:
-<​code>​+<​code ​ini>
 # ldapcompare -x uid=klaus,​ou=People,​dc=tachtler,​dc=net uidNumber:​501 # ldapcompare -x uid=klaus,​ou=People,​dc=tachtler,​dc=net uidNumber:​501
 FALSE FALSE
Zeile 1385: Zeile 1386:
 ==== Benutzerauthentifizierung ==== ==== Benutzerauthentifizierung ====
  
-<​code>​+<​code ​apache>
 AuthType Basic AuthType Basic
 AuthName "​Beispielanwendung - example.com"​ AuthName "​Beispielanwendung - example.com"​
Zeile 1417: Zeile 1418:
  
 Zulassung aller User auf dem LDAP-Server. Zulassung aller User auf dem LDAP-Server.
- 
  
 :!: Um den Zugriff auf nur bestimmte Nutzer im LDAP zu begrenzen kann die **Zeile 6** wie folgt abgeändetr werden: :!: Um den Zugriff auf nur bestimmte Nutzer im LDAP zu begrenzen kann die **Zeile 6** wie folgt abgeändetr werden:
-<​code>​+<​code ​apache>
 Require ldap-user klaus petra Require ldap-user klaus petra
 </​code>​ </​code>​
Zeile 1427: Zeile 1427:
 :!: **WICHTIG**,​ nur zusätzliche Zeilen, sonst wie Benutzerauthentifizierung! :!: **WICHTIG**,​ nur zusätzliche Zeilen, sonst wie Benutzerauthentifizierung!
  
-<​code>​+<​code ​apache>
 AuthType Basic AuthType Basic
 AuthName "​phpLDAPadmin"​ AuthName "​phpLDAPadmin"​
Zeile 1454: Zeile 1454:
 :!: **WICHTIG**,​ nur zusätzliche Zeilen, sonst wie Gruppenauthentifizierung! :!: **WICHTIG**,​ nur zusätzliche Zeilen, sonst wie Gruppenauthentifizierung!
  
-<​code>​+<​code ​apache>
 AuthType Basic AuthType Basic
 AuthName "​phpLDAPadmin"​ AuthName "​phpLDAPadmin"​
Zeile 1560: Zeile 1560:
  
 Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ genügen, um grundsätzlich einen LDAP-Server zu betreiben: Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​ldap.conf''​ genügen, um grundsätzlich einen LDAP-Server zu betreiben:
-<​code>​+<​code ​ini>
 # #
 # LDAP Defaults # LDAP Defaults
Zeile 1586: Zeile 1586:
  
 Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​sldap.conf''​ sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben (**nur relevanter Ausschnitt**):​ Folgende Anpassungen der Konfigurationsdatei ''/​etc/​openldap/​sldap.conf''​ sind notwendig, um grundsätzlich einen LDAP-Server zu betreiben (**nur relevanter Ausschnitt**):​
-<​code>​+<​code ​ini>
 ... ...
 # The next three lines allow use of TLS for encrypting connections using a # The next three lines allow use of TLS for encrypting connections using a
Zeile 1610: Zeile 1610:
  
 **1.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ inklusive Anmeldung als "​Ersatzbenutzer"​ ''​Ersatzauthentifizierer''​ nach der ''​uid'':​ **1.** Eine einfache Suchabfrage mittels ''​ldapsearch''​ inklusive Anmeldung als "​Ersatzbenutzer"​ ''​Ersatzauthentifizierer''​ nach der ''​uid'':​
-<​code>​+<​code ​ini>
 # ldapsearch -d8 -x -LLL -H ldaps://​ldap.tachtler.net -b "​ou=People,​dc=tachtler,​dc=net"​ "​uid=klaus"​ -W -D "​cn=Ersatzauthentifizierer,​dc=tachtler,​dc=net"​ # ldapsearch -d8 -x -LLL -H ldaps://​ldap.tachtler.net -b "​ou=People,​dc=tachtler,​dc=net"​ "​uid=klaus"​ -W -D "​cn=Ersatzauthentifizierer,​dc=tachtler,​dc=net"​
 Enter LDAP Password: ​ Enter LDAP Password: ​
tachtler/ldap_centos_5.txt · Zuletzt geändert: 2012/06/11 11:14 von klaus