Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:open_ldap_server [25.09.2009 13:05. ] – django | centos:open_ldap_server [20.04.2018 10:25. ] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== OpenLDAP installieren und einrichten ====== | ||
+ | Zur zentralen Nutzerdatenpflege bedienen wir uns eines LDAP (( Lightweight Directory Access Protocols ))-Verzeichnisdienstes, | ||
+ | LDAP ist ein Netzwerkprotokoll, | ||
+ | ===== Installation ===== | ||
+ | Zu erst installieren wir die benötigten Pakete und Programme. | ||
+ | |||
+ | # yum install compat-openldap.i386 openldap-clients.i386 openldap-servers.i386 openldap-servers-sql.i386 | ||
+ | ===== Konfiguration ===== | ||
+ | ==== Master-Passwort erstellen ==== | ||
+ | Zur Generierung des Passwortes für den Eintrag rootpw mit der Verschlüsselungsmethode SSHA - entsprechend einem SHA-1 Algorithmus (FIPS 160-1), nutzen wird das Programm **/ | ||
+ | # / | ||
+ | New password: | ||
+ | | ||
+ | | ||
+ | ==== Berechtigungen der Konfigurationsdatei kontrollieren ==== | ||
+ | Aus sichertstechnischen Gründen soll die Datei **/ | ||
+ | # ls -l / | ||
+ | | ||
+ | Bei Bedarf passen wir die Berechtigungen passend an. | ||
+ | # chown root:ldap slapd.conf | ||
+ | # chmod 640 slapd.conf | ||
+ | # ls -l / | ||
+ | | ||
+ | ===== Systemanpassungen ===== | ||
+ | ==== Syslog anpassen ==== | ||
+ | Damit unser LDAP-Server seine Meldungen auch sichtbar uns zur Verfügung stellt, lassen wir seine Meldungen ganz einfach in ein separates Logfile schreiben. Hierzu passen die Konfigurationsdatei **/ | ||
+ | # Save boot messages also to boot.log | ||
+ | | ||
+ | Anschließend den syslog-daemon neu durchstarten: | ||
+ | # service syslog restart | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | Das war's. | ||
+ | ===== Administration ===== | ||
+ | Zur Administration unseres LDAP-Servers bedienen wir uns des PHP-Projektes [[http:// | ||
+ | ====== Client-Konfiguration ====== | ||
+ | Bei den betreffenden Clients wollen wir nun die Authentifizierung der einzelnen User nicht mehr gegen die lokale **/ | ||
+ | ===== Paketinstallation ===== | ||
+ | Auf der Clientseite benötigen wir das Pakete **openldap**, | ||
+ | < | ||
+ | ===== Konfiguration ===== | ||
+ | ==== Anonymous Bind - Variante ==== | ||
+ | In der einfachen Variante konfigurieren wir unseren Klienten so, dass er sich via //anonymous bind// an unseren LDAP-Server wenden kann. | ||
+ | |||
+ | Auf allen Client-Rechnern müssen sowohl / | ||
+ | < | ||
+ | ldap.domain.de | ||
+ | base dc=domain, | ||
+ | ldap_version 3 | ||
+ | timelimit 120 | ||
+ | bind_timelimit 120 | ||
+ | idle_timelimit 3600 | ||
+ | nss_initgroups_ignoreusers root, | ||
+ | uri ldap:// | ||
+ | ssl no | ||
+ | tls_cacertdir / | ||
+ | pam_password md5 | ||
+ | </ | ||
+ | < | ||
+ | BASE dc=domain, | ||
+ | URI ldap:// | ||
+ | TLS_CACERTDIR / | ||
+ | </ | ||
+ | Am einfachsten geht dies mit dem dem // | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Weiterhin müssen wir auf allen Client-Rechnern, | ||
+ | |||
+ | Entweder wir editieren die Konfigurationsdatei von Hand, oder wir nutzen abermals das // | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Wenn die Datei **/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | mit **ldap** | ||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | Damit wir nun nicht für jeden unserer User ein Homeverzeichnis manuell auf dem Client-Rechner einrichten müssen, nutzen wir wieder die bequeme Art über **system-config-authentication**. Auf dem Reiter **// | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Voila, das war's schon. | ||
+ | ==== Bind-Variante mit technischem User ==== | ||
+ | In abgesicherten Umgebungen wird der Zugriff auf den LDAP-Server nicht von jedermann ohne Passwort, auch //anonymous bind// genannt unterbunden. Stattdessen muss ich der Klient bei den Anfragen eines technischen Users bedienen, der auch ein Passwort benutzt, welches dem LDAP-Server bekannt ist. | ||
+ | |||
+ | Auf den Klient-Rechnern müssen nun in der **/ | ||
+ | # egrep -v ' | ||
+ | < | ||
+ | ldap_version 3 | ||
+ | binddn cn=technical_user, | ||
+ | bindpw Ohne-Hirn-und-Verstand! | ||
+ | timelimit 120 | ||
+ | bind_timelimit 120 | ||
+ | idle_timelimit 3600 | ||
+ | nss_initgroups_ignoreusers root, | ||
+ | uri ldap:// | ||
+ | ssl no | ||
+ | tls_cacertdir / | ||
+ | pam_password md5</ | ||
+ | |||
+ | ===== Clienttest ===== | ||
+ | Die erfolgreiche Konfiguration unseres Rechners überprüfen wir so: | ||
+ | - Mit **getent** lassen wir uns die Informationen eines Users anzeigen, der sowohl in der /etc/shadow wie auch im zentralen LDAP-Verzeichnisdienst hinterlegt ist. Wenn alles gut gelaufen ist, werden uns zwei Einträge präsentiert. < | ||
+ | django: | ||
+ | django: | ||
+ | - Dann loggen wir uns einfach mit einem " | ||
+ | |||