Knowledge base

Aktuelle Änderungen - Suchen:

Home

Windows

Gnome

LINUX

Android

MacOS

iOS

OS /

DebianLDAP

fest verdrahtete Datenbanken

  • config - Systemweite Konfiguration des LDAP-Servers
  • monitor - liefert Statusinformationen über LDAP

http://www.zytrax.com/books/ldap/ch6/#backend

Installation

  • Wenn LDAP schon mal installiert war / gerade installiert ist und eine ganz frische Installation gemacht werden soll, vorher folgende Schritte ausführen
    • aptitude -y purge slapd
    • Backups in /var/backups entfernen
    • /etc/ldap entfernen
  • FQDN Servernamen in etc/hosts (2. Spalte) mit vollem Domainnamen versehen, dann wird bei der Installation von slapd gleich eine Base-DN mit der Domain angelegt (z.B. dc=dalliclick,dc=de bei hosts-Eintrag <SERVERNAME>.dalliclick.de). Steht hier nur <SERVERNAME>, wird nur eine BaseDN dc=nodomain angelegt.
  • aptitude -y install slapd ldap-utils
    • Das Administrator-Passwort, das abgefragt wird ist für cn=admin, BaseDN

Nach der Installation gibt es 2 Datenbanken mit folgenden DNs:

  • Konfiguration : cn=config (Datenbankno. 0)
  • initiale Domaindatenbank: dc=example,dc=domain (Datenbankno.1)

entsprechend gibt es auch 2 verschiedene admins:

  • cn=admin,cn=config für Datenbank 0
  • cn=admin,dc=example,dc=domain für Datenbank 1
Bei der Installation bei Debian ist der Config-Admin nicht mit einem Passwort versehen. Das führt zu Problemen. Hier muss nach der Installation die Schritte wie unter Passwort für cn=admin,cn=config setzen beschrieben ausgeführt werden.

Konfiguration mit slapd.conf

Ab LDAP Rel. 2.3 hat LDAP zusätzlich zur Konfiguration mit slapd.conf auch eine online-Konfiguration. Bei Änderungen muß der Server nicht mehr neu gestartet werden. slapd.conf kann in das neue Format umgewandelt werden. Damit können alte LDAP-Installationen migriert werden, bzw. eine neue Konfiguration einfach erstellt werden.

  • Anlegen Datei /etc/ldap/slapd.conf mit folgendem minimalen Inhalt

database config
rootdn "cn=admin,cn=config"
rootpw <PASSWD>
pidfile /var/run/slapd/ldap.pid

Dann folgende Befehle:

service slapd stop
mv/rm slapd.d
mkdir slap.d
slaptest -f slapd.conf -F slapd.d
chown -R openldap:openldap slapd.d
chmod 0750 slapd.d
rm slapd.conf

service slapd start

siehe detailiert: http://www.zytrax.com/books/ldap/ch6/slapd-config.html#convert

Konfiguration

  • Pfad dynamische Config: /etc/ldap/slapd.d; Beschreibung der Struktur mit man slapd-config
  • Neukonfiguration: dpkg-reconfigure -plow slapd

Passwörter ändern

Infos für RootDN / RootPW auslesen

ldapsearch -H ldapi:// -LLL -Q -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" dn olcRootDN olcRootPW

Der Name des RootDN lautet cn=admin,cn=config ist also wie folgt für die DN-angabe zu verwenden: <ldap-command> -D cn=admin,cn=config

Passwort für cn=admin,cn=config setzen

  • Datei mit LDIF-modify Anweisungen erstellen
  • ldapadd -Y EXTERNAL -H ldapi:/// -f <DATEINAME>.ldif

Die Datei hat folgenden Inhalt:

dn: cn=config
changetype: modify

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: <slappasswd-Output>

Passwort für cn=admin,cn=config ändern

  • ldapmodify -Y EXTERNAL -H ldapi:/// -f <DATEINAME>.ldif

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: <slappasswd-Output>

Tools

slap

Offline-Tools; slapd sollte nicht laufen; nur auf der Maschine ausführbar, auf der auch der Server läuft; Einsatzzweck: Backup & Klonen

slapcatschreibt angegebene Datenbank in LDIF-Datei
slapaddliest angegebene LDIF-Datei in Datenbank
slapindexmanuelle indizierung der Datenbank; nötig z.B. wenn neues Index-Feld hinzugefügt wird; slapadd indiziert ab Ver. 2.3 automatisch
slaptesttestet Syntax von Konfigurationsdatenbank
testet Format von konfigurationsverzzeichnis slapd.d
wenn slapd.d nicht vorhanden ist, wird slapd.conf getestet
slapdntestet Konformität einer angegebenen DN gegen die vorhandenen Schemata
slappasswdErstellt Passwort mit angegebenem Hash-Algorithmus
slapaclprüft die Zugriffsberechtigung auf Attribute gemäß den eingestellten Zugriffsberechtigungen
slapauth?
slapschemaPrüft die Einträge einer Datenbank auf Konformität mit den vorhandenen Schemata

ldap-utils

Online-Tools; slapd muß laufen; können von beliebiger Maschine ausgeführt werden; verwenden ldap-Protokoll, Konfiguration über /etc/ldap/ldap.conf

ldappasswdErstellt ein Passwort für einen angegebenen LDAP-Eintrag
ldapmodifyModifiziert einen LDAP-Eintrag
ldapwhoamiermittelt Benutzerkennung
ldapcompare?
ldapsearchSucht in Verzeichnis nach Einträgen, die dem Filter entsprechen
ldapaddFügt Eintrag hinzu
ldapdeletelöscht Eintrag
ldapmodrdnBenennt Eintrag um

typische Aufgaben

Import/Export

Offline

  • Export - slapcat
  • Import - slapadd

Online

  • Export - ldapsearch -LLL > <DATEINAME>.ldif (-LLL gibt die Daten ohne Kommentare bereinigt so aus, daß sie mit ldapadd wieder eingefügt werden können
  • Import - ldapmodify oder ldapadd

Daten modifizieren ohne GUI

  • ldapsearch -LLL > <DATEINAME>.ldif (-LLL gibt die Daten ohne Kommentare bereinigt so aus, daß sie mit ldapadd wieder eingefügt werden können
  • ldif-Datei bearbeiten
  • ldapmodify -f <DATEINAME>.ldif -x -W -D cn=admin....

Suche einschränken

  1. BaseDN angeben: ldapsearch -b <BaseDN>
  2. Suchtiefe angeben: -s base,one,sub (Default)
    1. base: Nur BaseDN wird durchsucht
    2. one: nur eine Ebene unterhalb der BaseDN
    3. sub: alle Ebenen unterhalb der BaseDN
  3. Filter verknüpfen
    1. Syntax (<OPEARATOR> (filter1) (filter 2) (filter 3))
    2. Operator
      1. & : UND
      2. | : ODER
      3. ! : NICHT (nur mit einem Filter möglich)

Passwörter

Können mit slappasswd erzeugt werden. Bei Sonderzeichen muß das Passwort in Quotes eingeschlossen werden slappasswd -s 'GEHEIMNIS'. Das Ergebnis kann dann z.B. in eine LDIF-Datei kopiert werden.

powered by:PmWiki-Logo
Bearbeiten - Versionen - Druckansicht - Aktuelle Änderungen - Suchen
Zuletzt geändert am 01.04.2016 11:38 Uhr