Kategorie: LDAP

LDAP - Instalace

Instalace a počáteční konfigurace LDAP pro pozdější použití jako databáze uživatelů, skupin a počítačů.

Instalace LDAP serveru a základních příkazů

apt-get install slapd ldap-utils
(Budete vyzvání k výběru hesla administrátora LDAPu)

Kontrola nové databáze

Nyní nemusí být zřejmé, jaký obsah databáze se nám vlastně vytvořil, tedy ani přihlašovací jméno administrátora, na kterého bychom se mohli přihlásit v phpLDAPadminovi. Vypíšeme si tedy databázi offline: (Tedy bez přihlášení, přistupujeme přímo k databázi samotné)
slapcat
hdb_db_open: database "dc=nodomain": unclean shutdown detected; attempting recovery.
hdb_db_open: database "dc=nodomain": recovery skipped in read-only mode. Run manual
recovery if errors are encountered.
dn: dc=nodomain
objectClass: top
objectClass: dcObject
objectClass: organization
o: nodomain
dc: nodomain
structuralObjectClass: organization
entryUUID: 33f74728-d6c8-102f-9dcb-7dda35ead153
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20110227141833Z
entryCSN: 20110227141833.404608Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20110227141833Z

dn: cn=admin,dc=nodomain
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9WDIyVndDZUNDZWpTZVd4NEtWRFJvWm9zNXczbUs0TTc=
structuralObjectClass: organizationalRole
entryUUID: 33fa060c-d6c8-102f-9dcc-7dda35ead153
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20110227141833Z
entryCSN: 20110227141833.422676Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20110227141833Z

Instalace phpLDAPadmin

apt-get install phpldapadmin
Přizpůsobte konfiguraci phpLDAPadmina vaší LDAP databázi:
nano /etc/phpldapadmin/config.php
$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','base',array('dc=nodomain'));
$servers->setValue('login','bind_id','cn=admin,dc=nodomain');
//$servers->setValue('login','bind_pass','');

-- Zastaralé --

Založení databáze LDAP serveru

nano init.ldif
dn: dc=test
objectClass: dcObject
objectClass: organizationalUnit
dc: test
ou: test

dn: cn=admin,dc=test
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: {CLEAR}test
slapadd -f /etc/ldap/slapd.conf -l init.ldif
Nyní by se měly vypsat případné připomínky...jinak zkusíme databázi zase vypsat:
slapcat -f /etc/ldap/slapd.conf
bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=test".
dn: dc=test
objectClass: dcObject
objectClass: organizationalUnit
dc: test
ou: Test
structuralObjectClass: organizationalUnit
entryUUID: bb7464e2-d952-102f-8f5f-13f41afb5a0d
creatorsName:
createTimestamp: 20110302195513Z
entryCSN: 20110302195513.591354Z#000000#000#000000
modifiersName:
modifyTimestamp: 20110302195513Z

dn: cn=admin,dc=test
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e0NMRUFSfXRlc3Q=
structuralObjectClass: organizationalRole
entryUUID: bb937b52-d952-102f-8f60-13f41afb5a0d
creatorsName:
createTimestamp: 20110302195513Z
entryCSN: 20110302195513.795098Z#000000#000#000000
modifiersName:
modifyTimestamp: 20110302195513Z

Konfigurace: indexy

Přidáme: (Před direktivami nesmí být mezera!)
nano /etc/ldap/slapd.conf
# Pro kompatibilitu se starsimi programy
allow bind_v2
# Nastaveni idexu pro rychlejsi vyhledavani
index  objectClass       eq
index  cn           pres,sub,eq
index  sn           pres,sub,eq
index  uid           pres,sub,eq
index  displayName       pres,sub,eq
index  default         sub
index  uidNumber        eq
index  gidNumber        eq
index  mail,givenName     eq,subinitial
index  dc           eq

Přeindexování databáze

/etc/init.d/slapd stop
slapindex
chown -R openldap:openldap /var/lib/ldap
/etc/init.d/slapd start
Nyní bude možné v LDAPu vyhledávat rychleji. Tento postup je vhodné zopakovat po přidání dalších direktiv index.

Konfigurace: SSL

Vytvořte CA podle návodu a nastavte jeho použití LDAPem:
nano /etc/ldap/slapd.conf
TLSCertificateFile   /etc/ldap/signedcert.pem # Nas verejny certifikat
TLSCertificateKeyFile  /etc/ldap/private.pem # Nas soukromy certifikat
TLSCACertificateFile  /etc/ldap/cacert.pem # Verejny certifikat CA

Ukázka slapd.conf

include     /etc/ldap/schema/core.schema
include     /etc/ldap/schema/cosine.schema
include     /etc/ldap/schema/nis.schema
include     /etc/ldap/schema/inetorgperson.schema
# Samba (Windowsove ucty)
include		/etc/ldap/schema/samba.schema

pidfile     /var/run/slapd/slapd.pid
argsfile    /var/run/slapd/slapd.args

loglevel    none

modulepath	/usr/lib/ldap
moduleload	back_hdb

sizelimit 500
tool-threads 1

backend		hdb
database    hdb
suffix     "dc=test"

# Superuzivatel, potreba pro replikaci
# rootdn     "cn=system,cn=users,dc=test"

directory    "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index      objectClass eq
lastmod     on
checkpoint   512 30

# Prava (drive uvedena maji prednost - hvezdicka musi na konec!)

access to dn.base="" by * read

access to attrs=userPassword,shadowLastChange,SambaLMPassword,SambaNTPassword
    by dn="cn=admin,dc=test" write # Vychozi admin muze menit
    by dn.regex="^cn=([^,]+),cn=admins,ou=users,dc=test$" write # Je potomkem admins
    by set="[cn=admins,ou=users,dc=test]/memberUid & user/uid" write # Je ve skupine admins
    by anonymous auth # Neprihlaseni se timto heslem muzou prihlasovat
    by self write # Uzivatel si muze menit svoje heslo
    by * none # Ostatni heslo nevidi

access to *
    by dn="cn=admin,dc=test" write # Vychozi admin muze zapisovat kamkoli
    by dn.regex="^cn=([^,]+),cn=admins,ou=users,dc=test$" write # Je potomkem admins
    by set="[cn=admins,ou=users,dc=test]/memberUid & user/uid" write # Je ve skupine admins
    by * search # Prava pro vsechny (vychozi read)

Instalace schémat

Pro instalace schémat schémata nahrejte do adresáře
/etc/ldap/schema/
a připište do konfiguračního souboru slapd.conf. Nakonec je třeba restartovat LDAP
/etc/init.d/slapd restart
Schémata většinou najdete v balíčcích s dokumentací k příslušným programům. Přesto některá dávám tady ke stažení: Stáhnout LDAPová schémata

Komentáře


Nebyly přidány žádné komentáře.