Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:ldap_centos_7 [2014/11/29 08:36] – [LDIF: Indizes] klaus
+++ tachtler:ldap_centos_7 [2022/03/23 20:55] (aktuell) – [Konfigurationsdateien] klaus
@@ Zeile 15: / Zeile 15: @@
 Zur Installation eines Open**LDAP**-Servers wird nachfolgendes Paket benötigt:
   * **''openldap-servers''** - ist im ''base''-Repository von [[http://www.centos.org|CentOS]] enthalten
-installiert werden.
 Mit nachfolgendem Befehl, wird das Pakete **''openldap-servers''** installiert:
@@ Zeile 853: / Zeile 852: @@
 Nachdem der [[http://www.openldap.org|OpenLDAP]]-Server nun am laufen ist, kann mit der individuellen Konfiguration begonnen werden.
-Bevor mit der Konfiguration begonnen werden sollte, soll hier ein Verzeichnis, wie nachfolgend dargestellt, mit nachfolgendem Befehl angelegt werden, **welches die einzelnen LDIF-Dateien aufnehemen soll, die zur Konfiguration erstellt werden sollen**:
+Bevor mit der Konfiguration begonnen werden sollte, soll hier ein Verzeichnis, wie nachfolgend dargestellt, mit nachfolgendem Befehl angelegt werden, **welches die einzelnen LDIF-Dateien aufnehmen soll, die zur Konfiguration erstellt werden sollen**:
 <code>
 # mkdir /etc/openldap/ldif
@@ Zeile 2766: / Zeile 2765: @@
 homeDirectory: /home/luis
 gecos: Luis Tachtler
+</code>
+und
+<code ini>
+# cat /etc/openldap/ldif/group.ldif
+dn: cn=root,ou=Group,dc=tachtler,dc=net
+objectClass: posixGroup
+objectClass: top
+cn: root
+userPassword: {crypt}x
+gidNumber: 0
+dn: cn=klaus,ou=Group,dc=tachtler,dc=net
+objectClass: posixGroup
+objectClass: top
+cn: klaus
+userPassword: {crypt}x
+gidNumber: 1000
+dn: cn=petra,ou=Group,dc=tachtler,dc=net
+objectClass: posixGroup
+objectClass: top
+cn: petra
+userPassword: {crypt}x
+gidNumber: 1001
+dn: cn=lena,ou=Group,dc=tachtler,dc=net
+objectClass: posixGroup
+objectClass: top
+cn: lena
+userPassword: {crypt}x
+gidNumber: 1002
+dn: cn=luis,ou=Group,dc=tachtler,dc=net
+objectClass: posixGroup
+objectClass: top
+cn: luis
+userPassword: {crypt}x
+gidNumber: 1003
+</code>
+Nachfolgende Anpassungen **__können__** erfolgen, falls weitere Attribute, wie z.B. **mail** gewünscht werden, dann muss die **''objectClass''** von
+  * ''account''
+auf
+  * ''inetOrgPerson''
+abgeändert werden und ein weiteres Attribut
+  * ''sn''
+ergänzt werden.
+Zusätzlich kann dann entsprechend das Attribut **''mail''** ebenfalls noch ergänzt werden!
+Nachfolgend zeigt die Änderungen der **''objectClass''** - ''account'' auf ''inetOrgPerson'' und die Ergänzung des Attributs ''sn'' und ''mail'':
+<code ini>
+# cat /etc/openldap/ldif/passwd.ldif
+dn: uid=root,ou=People,dc=tachtler,dc=net
+uid: root
+cn: root
+sn: root
+objectClass: inetOrgPerson
+objectClass: posixAccount
+objectClass: top
+objectClass: shadowAccount
+userPassword: {crypt}$6$7DasisteinGeheimnis
+shadowLastChange: 16383
+shadowMin: 0
+shadowMax: 99999
+shadowWarning: 7
+loginShell: /bin/bash
+uidNumber: 0
+gidNumber: 0
+homeDirectory: /root
+gecos: root
+mail: root@tachtler.net
+dn: uid=klaus,ou=People,dc=tachtler,dc=net
+uid: klaus
+cn: Klaus Tachtler
+sn: Tachtler
+objectClass: inetOrgPerson
+objectClass: posixAccount
+objectClass: top
+objectClass: shadowAccount
+userPassword: {crypt}$6$7DasisteinGeheimnis
+shadowLastChange: 16383
+shadowMin: 0
+shadowMax: 99999
+shadowWarning: 7
+loginShell: /bin/bash
+uidNumber: 1000
+gidNumber: 1000
+homeDirectory: /home/klaus
+gecos: Klaus Tachtler
+mail: klaus@tachtler.net
+dn: uid=petra,ou=People,dc=tachtler,dc=net
+uid: petra
+cn: Petra Tachtler
+sn: Tachtler
+objectClass: inetOrgPerson
+objectClass: posixAccount
+objectClass: top
+objectClass: shadowAccount
+userPassword: {crypt}$6$7DasisteinGeheimnis
+shadowLastChange: 16383
+shadowMin: 0
+shadowMax: 99999
+shadowWarning: 7
+loginShell: /bin/bash
+uidNumber: 1001
+gidNumber: 1001
+homeDirectory: /home/petra
+gecos: Petra Tachtler
+mail: petra@tachtler.net
+dn: uid=lena,ou=People,dc=tachtler,dc=net
+uid: lena
+cn: Lena Tachtler
+sn: Tachtler
+objectClass: inetOrgPerson
+objectClass: posixAccount
+objectClass: top
+objectClass: shadowAccount
+userPassword: {crypt}$6$7DasisteinGeheimnis
+shadowLastChange: 16383
+shadowMin: 0
+shadowMax: 99999
+shadowWarning: 7
+loginShell: /bin/bash
+uidNumber: 1002
+gidNumber: 1002
+homeDirectory: /home/lena
+gecos: Lena Tachtler
+mail: lena@tachtler.net
+dn: uid=luis,ou=People,dc=tachtler,dc=net
+uid: luis
+cn: Luis Tachtler
+sn: Tachtler
+objectClass: inetOrgPerson
+objectClass: posixAccount
+objectClass: top
+objectClass: shadowAccount
+userPassword: {crypt}$6$7DasisteinGeheimnis
+shadowLastChange: 16383
+shadowMin: 0
+shadowMax: 99999
+shadowWarning: 7
+loginShell: /bin/bash
+uidNumber: 1003
+gidNumber: 1003
+homeDirectory: /home/luis
+gecos: Luis Tachtler
+mail: luis@tachtler.net
 </code>
@@ Zeile 2931: / Zeile 3084: @@
 uid: root
 cn: root
-objectClass: account
+sn: root
+objectClass: inetOrgPerson
 objectClass: posixAccount
 objectClass: top
 objectClass: shadowAccount
 userPassword:: e2NyeXB0fSDasisteinGeheimnis
- dGhHVnRlRS4=
 shadowLastChange: 16383
 shadowMin: 0
@@ Zeile 2946: / Zeile 3099: @@
 homeDirectory: /root
 gecos: root
+mail: root@tachtler.net
 # klaus, People, tachtler.net
@@ Zeile 2951: / Zeile 3105: @@
 uid: klaus
 cn: Klaus Tachtler
-objectClass: account
+sn: Tachtler
+objectClass: inetOrgPerson
 objectClass: posixAccount
 objectClass: top
 objectClass: shadowAccount
 userPassword:: e2NyeXB0fSDasisteinGeheimnis
- L3QuTFlNeTE=
 shadowLastChange: 16383
 shadowMin: 0
@@ Zeile 2966: / Zeile 3120: @@
 homeDirectory: /home/klaus
 gecos: Klaus Tachtler
+mail: klaus@tachtler.net
 # petra, People, tachtler.net
 dn: uid=petra,ou=People,dc=tachtler,dc=net
 uid: petra
-cn: Petra Tachtler
+sn: Tachtler
-objectClass: account
+objectClass: inetOrgPerson
 objectClass: posixAccount
 objectClass: top
@@ Zeile 2985: / Zeile 3140: @@
 homeDirectory: /home/petra
 gecos: Petra Tachtler
+mail: petra@tachtler.net
 # lena, People, tachtler.net
 dn: uid=lena,ou=People,dc=tachtler,dc=net
 uid: lena
-cn: Lena Tachtler
+sn: Tachtler
-objectClass: account
+objectClass: inetOrgPerson
 objectClass: posixAccount
 objectClass: top
@@ Zeile 3004: / Zeile 3160: @@
 homeDirectory: /home/lena
 gecos: Lena Tachtler
+mail: lena@tachtler.net
 # luis, People, tachtler.net
 dn: uid=luis,ou=People,dc=tachtler,dc=net
 uid: luis
-cn: Luis Tachtler
+sn: Tachtler
-objectClass: account
+objectClass: inetOrgPerson
 objectClass: posixAccount
 objectClass: top
@@ Zeile 3023: / Zeile 3180: @@
 homeDirectory: /home/luis
 gecos: Luis Tachtler
+mail: luis@tachtler.net
 # search result
@@ Zeile 3200: / Zeile 3358: @@
 </code>
-===== Indizes definieren =====
+===== Indizes =====
 Um die einzelnen im //DIT// **D**irectory **I**nformation **T**ree enthaltenen Index Felder anpassen zu können, sollen zuerst die existierende Indizierung von Feldern mit nachfolgendem Befehl aufgelistet werden, um diese Informationen als Grundlage für Anpassungen verwenden zu können:
@@ Zeile 3250: / Zeile 3408: @@
 | ''uidNumber,gidNumber,loginShell'' | ''eq,pres''     | ''eq''=gleich, ''pres''=Anzeige                  |
 | ''uid,memberUid''                  | ''eq,pres,sub'' | ''eq''=gleich, ''pres''=Anzeige, ''sub''=Teilzeichenkette |
-| ''sn''                             | ''eq,pres,sub'' | ''eq''=gleich, ''pres''=Anzeige, ''sub''=Teilzeichenkette |
 | ''nisMapName,nisMapEntry''         | ''eq,pres,sub'' | ''eq''=gleich, ''pres''=Anzeige, ''sub''=Teilzeichenkette |
 | ''uniqueMember''                   | ''eq,pres''     | ''eq''=gleich, ''pres''=Anzeige                  |
+Falls ein Zugriff **z.B.** auf das Feld **''uid''** erfolgt und **__kein__ Index** für dieses Feld definiert wurde, ist nachfolgender Hinweis in der LOG-Datei
+  * ''/var/log/slapd.log''
+zu finden:
+<code>
+Nov 28 11:08:13 server30 slapd[1362]: <= bdb_equality_candidates: (uid) not indexed
+</code>
 ==== LDIF: Indizes ====
@@ Zeile 3272: / Zeile 3436: @@
 olcDbIndex: uidNumber,gidNumber,loginShell eq,pres
 olcDbIndex: uid,memberUid eq,pres,sub
-olcDbIndex: sn pres,eq,sub
 olcDbIndex: nisMapName,nisMapEntry eq,pres,sub
 olcDbIndex: uniqueMember eq,pres
@@ Zeile 3281: / Zeile 3444: @@
 Abschließend wird mit nachfolgendem Befehl der Inhalt der LDIF-Datei **im laufendem Betrieb des [[http://www.openldap.org|OpenLDAP]]-Servers** der **Konfiguration des [[http://www.openldap.org|OpenLDAP]]-Servers** hinzugefügt:
 <code>
 # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_DbIndex.ldif
+SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "olcDatabase={2}hdb,cn=config"
 </code>
@@ Zeile 3287: / Zeile 3455: @@
 <code>
 # ldapsearch -W -x -D cn=config -b olcDatabase={2}hdb,cn=config
+Enter LDAP Password:
+# extended LDIF
+#
+# LDAPv3
+# base <olcDatabase={2}hdb,cn=config> with scope subtree
+# filter: (objectclass=*)
+# requesting: ALL
+#
+# {2}hdb, config
+dn: olcDatabase={2}hdb,cn=config
+objectClass: olcDatabaseConfig
+objectClass: olcHdbConfig
+olcDatabase: {2}hdb
+olcDbDirectory: /var/lib/ldap
+olcSuffix: dc=tachtler,dc=net
+olcRootDN: cn=Manager,dc=tachtler,dc=net
+olcRootPW: {SSHA}kcSCl+lZ9mAJdDv925XRLQyOJfBNesR3
+olcDbIndex: objectClass eq,pres
+olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
+olcDbIndex: uidNumber,gidNumber,loginShell eq,pres
+olcDbIndex: uid,memberUid eq,pres,sub
+olcDbIndex: nisMapName,nisMapEntry eq,pres,sub
+olcDbIndex: uniqueMember eq,pres
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
 </code>
@@ Zeile 3315: / Zeile 3514: @@
 olcDbIndex: objectClass eq,pres
 olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
+olcDbIndex: uidNumber,gidNumber,loginShell eq,pres
+olcDbIndex: uid,memberUid eq,pres,sub
+olcDbIndex: nisMapName,nisMapEntry eq,pres,sub
+olcDbIndex: uniqueMember eq,pres
 olcSuffix: dc=tachtler,dc=net
 olcRootDN: cn=Manager,dc=tachtler,dc=net
@@ Zeile 3486: / Zeile 3689: @@
 olcDbIndex: objectClass eq,pres
 olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
+olcDbIndex: uidNumber,gidNumber,loginShell eq,pres
+olcDbIndex: uid,memberUid eq,pres,sub
+olcDbIndex: nisMapName,nisMapEntry eq,pres,sub
+olcDbIndex: uniqueMember eq,pres
 olcSuffix: dc=tachtler,dc=net
 olcRootDN: cn=Manager,dc=tachtler,dc=net
@@ Zeile 3553: / Zeile 3760: @@
 homeDirectory: /home/petra
 gecos: Petra Tachtler
+</code>
+===== Log-Schreibung =====
+Um beim [[http://www.openldap.org|OpenLDAP]] die LOG-Schreibung zu aktivieren oder zu deaktivieren sind nachfolgende Schritte notwendig.
+==== LDIF: olcLogLevel ====
+:!: **HINWEIS** - Damit der Parameter überhaupt verändert werden kann muss dieser zuerst einmal angelegt werden.
+Der Parameter ''olcLogLevel'' setzt nach dem angegebenen Wert die Gesprächigkeit der LOG-Schreibung.
+Mit nachfolgendem Befehl soll nun eine LDIF-Datei in nachfolgendem Verzeichnis, mit nachfolgendem Namen und nachfolgendem Inhalt erstellt werden.
+^ LDIF-Datei                                               ^ Verwendungszweck                              ^
+| ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif'' | Setzen des LOG-Level auf **state** (Standard) |
+<code>
+# touch /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
+</code>
+Die LDIF-Datei ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif'' soll nachfolgenden Inhalt bekommen:
+<code ini>
+dn: cn=config
+changetype: modify
+add: olcLogLevel
+olcLogLevel: stats
+</code>
+Abschließend wird mit nachfolgendem Befehl der Inhalt der LDIF-Datei **im laufendem Betrieb des [[http://www.openldap.org|OpenLDAP]]-Servers** der **Konfiguration des [[http://www.openldap.org|OpenLDAP]]-Servers** hinzugefügt:
+<code>
+# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
+SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "cn=config"
+</code>
+Um überprüfen zu können, ob alle Änderungen erfolgreich durchgeführt wurden, kann nachfolgender Befehl genutzt werden und sollte eine Ausgabe wie nachfolgende zur Anzeige bringen:
+<code>
+# extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 15
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://ldap.idmz.tachtler.net
+olcRequires: authc
+olcTLSCACertificateFile: /etc/pki/openldap/certs/CAcert.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/openldap/certs/cert.pem
+olcTLSCertificateKeyFile: /etc/pki/openldap/private/key.pem
+olcTLSCipherSuite: HIGH
+olcTLSProtocolMin: 3.1
+olcLogLevel: state
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
+</code>
+==== Log-Schreibung ausschalten ====
+Um beim [[http://www.openldap.org|OpenLDAP]] die LOG-Schreibung zu deaktivieren sind nachfolgende Schritte notwendig.
+Mit nachfolgendem Befehl soll nun eine LDIF-Datei in nachfolgendem Verzeichnis, mit nachfolgendem Namen und nachfolgendem Inhalt erstellt werden.
+^ LDIF-Datei                                               ^ Verwendungszweck                             ^
+| ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_off.ldif'' | Setzen des LOG-Level auf **none**        |
+<code>
+# touch /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_off.ldif
+</code>
+Die LDIF-Datei ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_off.ldif'' soll nachfolgenden Inhalt bekommen:
+<code ini>
+dn: cn=config
+changetype: modify
+delete: olcLogLevel
+olcLogLevel: stats
+-
+add: olcLogLevel
+olcLogLevel: none
+</code>
+Abschließend wird mit nachfolgendem Befehl der Inhalt der LDIF-Datei **im laufendem Betrieb des [[http://www.openldap.org|OpenLDAP]]-Servers** der **Konfiguration des [[http://www.openldap.org|OpenLDAP]]-Servers** hinzugefügt:
+<code>
+# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel_off.ldif
+SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "cn=config"
+</code>
+Um überprüfen zu können, ob alle Änderungen erfolgreich durchgeführt wurden, kann nachfolgender Befehl genutzt werden und sollte eine Ausgabe wie nachfolgende zur Anzeige bringen:
+<code>
+# extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 15
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://ldap.idmz.tachtler.net
+olcRequires: authc
+olcTLSCACertificateFile: /etc/pki/openldap/certs/CAcert.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/openldap/certs/cert.pem
+olcTLSCertificateKeyFile: /etc/pki/openldap/private/key.pem
+olcTLSCipherSuite: HIGH
+olcTLSProtocolMin: 3.1
+olcLogLevel: none
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
+</code>
+==== Log-Schreibung einschalten ====
+Um beim [[http://www.openldap.org|OpenLDAP]] die LOG-Schreibung zu aktivieren sind nachfolgende Schritte notwendig.
+Mit nachfolgendem Befehl soll nun eine LDIF-Datei in nachfolgendem Verzeichnis, mit nachfolgendem Namen und nachfolgendem Inhalt erstellt werden.
+^ LDIF-Datei                                                       ^ Verwendungszweck                     ^
+| ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_dafault.ldif'' | Setzen des LOG-Level auf **state**   |
+<code>
+# touch /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_default.ldif
+</code>
+Die LDIF-Datei ''/etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel_default.ldif'' soll nachfolgenden Inhalt bekommen:
+<code ini>
+dn: cn=config
+changetype: modify
+delete: olcLogLevel
+olcLogLevel: none
+-
+add: olcLogLevel
+olcLogLevel: stats
+</code>
+Abschließend wird mit nachfolgendem Befehl der Inhalt der LDIF-Datei **im laufendem Betrieb des [[http://www.openldap.org|OpenLDAP]]-Servers** der **Konfiguration des [[http://www.openldap.org|OpenLDAP]]-Servers** hinzugefügt:
+<code>
+# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel_default.ldif
+SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "cn=config"
+</code>
+Um überprüfen zu können, ob alle Änderungen erfolgreich durchgeführt wurden, kann nachfolgender Befehl genutzt werden und sollte eine Ausgabe wie nachfolgende zur Anzeige bringen:
+<code>
+# extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 15
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://ldap.idmz.tachtler.net
+olcRequires: authc
+olcTLSCACertificateFile: /etc/pki/openldap/certs/CAcert.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/openldap/certs/cert.pem
+olcTLSCertificateKeyFile: /etc/pki/openldap/private/key.pem
+olcTLSCipherSuite: HIGH
+olcTLSProtocolMin: 3.1
+olcLogLevel: state
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
 </code>