LDAP - Instalace

Instalace a počáteční konfigurace LDAP pro pozdější použití jako databáze uživatelů, skupin a počítačů.

Instalace LDAP serveru a základních příkazů

apt-get install slapd ldap-utils

(Budete vyzvání k výběru hesla administrátora LDAPu)

Kontrola nové databáze

Nyní nemusí být zřejmé, jaký obsah databáze se nám vlastně vytvořil, tedy ani přihlašovací jméno administrátora, na kterého bychom se mohli přihlásit v phpLDAPadminovi. Vypíšeme si tedy databázi offline: (Tedy bez přihlášení, přistupujeme přímo k databázi samotné)

slapcat

hdb_db_open: database "dc=nodomain": unclean shutdown detected; attempting recovery.
hdb_db_open: database "dc=nodomain": recovery skipped in read-only mode. Run manual
recovery if errors are encountered.
dn: dc=nodomain
objectClass: top
objectClass: dcObject
objectClass: organization
o: nodomain
dc: nodomain
structuralObjectClass: organization
entryUUID: 33f74728-d6c8-102f-9dcb-7dda35ead153
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20110227141833Z
entryCSN: 20110227141833.404608Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20110227141833Z

dn: cn=admin,dc=nodomain
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9WDIyVndDZUNDZWpTZVd4NEtWRFJvWm9zNXczbUs0TTc=
structuralObjectClass: organizationalRole
entryUUID: 33fa060c-d6c8-102f-9dcc-7dda35ead153
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20110227141833Z
entryCSN: 20110227141833.422676Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20110227141833Z

Instalace phpLDAPadmin

apt-get install phpldapadmin

Přizpůsobte konfiguraci phpLDAPadmina vaší LDAP databázi:

nano /etc/phpldapadmin/config.php

$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','base',array('dc=nodomain'));
$servers->setValue('login','bind_id','cn=admin,dc=nodomain');
//$servers->setValue('login','bind_pass','');

-- Zastaralé --

Založení databáze LDAP serveru

nano init.ldif

dn: dc=test
objectClass: dcObject
objectClass: organizationalUnit
dc: test
ou: test

dn: cn=admin,dc=test
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: {CLEAR}test

slapadd -f /etc/ldap/slapd.conf -l init.ldif

Nyní by se měly vypsat případné připomínky...jinak zkusíme databázi zase vypsat:

slapcat -f /etc/ldap/slapd.conf

bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=test".
dn: dc=test
objectClass: dcObject
objectClass: organizationalUnit
dc: test
ou: Test
structuralObjectClass: organizationalUnit
entryUUID: bb7464e2-d952-102f-8f5f-13f41afb5a0d
creatorsName:
createTimestamp: 20110302195513Z
entryCSN: 20110302195513.591354Z#000000#000#000000
modifiersName:
modifyTimestamp: 20110302195513Z

dn: cn=admin,dc=test
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e0NMRUFSfXRlc3Q=
structuralObjectClass: organizationalRole
entryUUID: bb937b52-d952-102f-8f60-13f41afb5a0d
creatorsName:
createTimestamp: 20110302195513Z
entryCSN: 20110302195513.795098Z#000000#000#000000
modifiersName:
modifyTimestamp: 20110302195513Z

Konfigurace: indexy

Přidáme: (Před direktivami nesmí být mezera!)

nano /etc/ldap/slapd.conf

# Pro kompatibilitu se starsimi programy
allow bind_v2
# Nastaveni idexu pro rychlejsi vyhledavani
index   objectClass             eq
index   cn                      pres,sub,eq
index   sn                      pres,sub,eq
index   uid                     pres,sub,eq
index   displayName             pres,sub,eq
index   default                 sub
index   uidNumber               eq
index   gidNumber               eq
index   mail,givenName          eq,subinitial
index   dc                      eq

Přeindexování databáze

/etc/init.d/slapd stop
slapindex
chown -R openldap:openldap /var/lib/ldap
/etc/init.d/slapd start

Nyní bude možné v LDAPu vyhledávat rychleji. Tento postup je vhodné zopakovat po přidání dalších direktiv index.

Konfigurace: SSL

Vytvořte CA podle návodu a nastavte jeho použití LDAPem:

nano /etc/ldap/slapd.conf

TLSCertificateFile      /etc/ldap/signedcert.pem # Nas verejny certifikat
TLSCertificateKeyFile   /etc/ldap/private.pem # Nas soukromy certifikat
TLSCACertificateFile    /etc/ldap/cacert.pem # Verejny certifikat CA

Ukázka slapd.conf

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
# Samba (Windowsove ucty)
include		/etc/ldap/schema/samba.schema

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

loglevel        none

modulepath	/usr/lib/ldap
moduleload	back_hdb

sizelimit 500
tool-threads 1

backend		hdb
database        hdb
suffix          "dc=test"

# Superuzivatel, potreba pro replikaci
# rootdn          "cn=system,cn=users,dc=test"

directory       "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index           objectClass eq
lastmod         on
checkpoint      512 30

# Prava (drive uvedena maji prednost - hvezdicka musi na konec!)

access to dn.base="" by * read

access to attrs=userPassword,shadowLastChange,SambaLMPassword,SambaNTPassword
        by dn="cn=admin,dc=test" write # Vychozi admin muze menit
        by dn.regex="^cn=([^,]+),cn=admins,ou=users,dc=test$" write # Je potomkem admins
        by set="[cn=admins,ou=users,dc=test]/memberUid & user/uid" write # Je ve skupine admins
        by anonymous auth # Neprihlaseni se timto heslem muzou prihlasovat
        by self write # Uzivatel si muze menit svoje heslo
        by * none # Ostatni heslo nevidi

access to *
        by dn="cn=admin,dc=test" write # Vychozi admin muze zapisovat kamkoli
        by dn.regex="^cn=([^,]+),cn=admins,ou=users,dc=test$" write # Je potomkem admins
        by set="[cn=admins,ou=users,dc=test]/memberUid & user/uid" write # Je ve skupine admins
        by * search # Prava pro vsechny (vychozi read)