centos:ldap_c7:install

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:ldap_c7:install [15.07.2015 12:32. ] – [baseDN] djangocentos:ldap_c7:install [20.11.2018 13:54. ] (aktuell) – [olcLogLevel] django
Zeile 6: Zeile 6:
 LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server. LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server.
  
 +Viele wertvolle Information und Konfigurationsbeispiele sind auf der Seite **[[http://www.openldap.org/doc/admin24/|OpenLDAP Software 2.4 Administrator's Guide]]** zu finden.
 ===== Installation ===== ===== Installation =====
 ==== OpenLDAP - Server ==== ==== OpenLDAP - Server ====
Zeile 741: Zeile 742:
 Wie bei der **[[centos:ldap_c7:install?&#vorbereitende_konfiguration|vorbereitenden Konfiguration]]** bereits erwähnt, erfolgt die eigentliche Konfiguration an Hand von einzelnen **[[https://de.wikipedia.org/wiki/LDAP_Data_Interchange_Format|ldif]]**-Dateien.  Wie bei der **[[centos:ldap_c7:install?&#vorbereitende_konfiguration|vorbereitenden Konfiguration]]** bereits erwähnt, erfolgt die eigentliche Konfiguration an Hand von einzelnen **[[https://de.wikipedia.org/wiki/LDAP_Data_Interchange_Format|ldif]]**-Dateien. 
  
 +Mit unter hilfreiche Zusatzinformationen bei der Konfiguration findet man unter anderem auf der Seite vom **[[https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04384.html|M 4.384 Sichere Konfiguration von OpenLDAP]]** vom **[[https://www.bsi.bund.de|BSI]]**. 
  
  
Zeile 802: Zeile 804:
  
 </WRAP> </WRAP>
 +
  
 ==== baseDN ==== ==== baseDN ====
Zeile 807: Zeile 810:
  
 Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen. Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen.
-   # vim /etc/openldap/ldif/cn=config_baseDN.ldif+   # vim /etc/openldap/ldif/cn\=config_baseDN.ldif
  
 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15
-# setzen eines Passworts für den administrativen Zugang +# setzen eines baseDN, der Wurzelknoten unseres Verzeichnisbaums 
-# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#master-passwort_erstellen+# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#basedn
  
 +dn: olcDatabase={1}monitor,cn=config
 +changetype: modify
 +replace: olcAccess
 +olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=nausch,dc=org" read by * none
 +
 +dn: olcDatabase={2}hdb,cn=config
 +changetype: modify
 +replace: olcSuffix
 +olcSuffix: dc=nausch,dc=org
 +
 +dn: olcDatabase={2}hdb,cn=config
 +changetype: modify
 +replace: olcRootDN
 +olcRootDN: cn=Manager,dc=nausch,dc=org
 </file> </file>
  
 +Mittels **ldapmodify** führen wir nun die Änderungen unserer ldif-Datei aus.
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_baseDN.ldif
  
 +<code>SASL/EXTERNAL authentication started
 +SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +SASL SSF: 0
 +modifying entry "olcDatabase={1}monitor,cn=config"
  
 +modifying entry "olcDatabase={2}hdb,cn=config"
  
-==== weitere Konfigurationsbeispiele und -schritte ====+modifying entry "olcDatabase={2}hdb,cn=config" 
 +</code>
  
-<WRAP center round todo 60%> +Zum Überprüfen, ob unsere Änderungen auch wirklich entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen. 
-Hier eine Liste der zusätzlichen Konfigurationsschritte einfügen!  +   #  ldapsearch -W -x -D cn=config -b cn=config | grep -b1 cn=Manager
-</WRAP>+
  
 +   Enter LDAP Password:
 +
 +<html><pre class="code">
 +<font style="color: rgb(29, 180, 29)">62503-</font><font style="color: rgb(0, 0, 0)">olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external</font>
 +<font style="color: rgb(29, 180, 29)">62582: </font><font style="color: rgb(0, 0, 0)"></font>,cn=auth" read by dn.base="<font style="color: rgb(255, 84, 84)"><b>cn=Manager</b></font><font style="color: rgb(0, 0, 0)">,dc=nausch,dc=org" read by * none</font>
 +<font style="color: rgb(29, 180, 29)">62654-
 +--
 +62897-</font><font style="color: rgb(0, 0, 0)">olcSuffix: dc=nausch,dc=org</font>
 +<font style="color: rgb(29, 180, 29)">62925:</font><font style="color: rgb(0, 0, 0)">olcRootDN: </font><font style="color: rgb(255, 84, 84)"><b>cn=Manager</b></font><font style="color: rgb(0, 0, 0)">,dc=nausch,dc=org</font>
 +<font style="color: rgb(29, 180, 29)">62964-</font>
 +</pre></html>
 +
 +==== Manager-Passwort ====
 +Wie auch schon beim Erstellen des **[[centos:ldap_c7:install?&#master-passwort_erstellen|Master-Passwortes]]** werden wir nun für den gerade angelegten //**Manager**// ein separates Passwort vergeben und so den Zugriff absichern.
 +
 +Zur Generierung dieses Passwortes mit der Verschlüsselungsmethode SSHA - entsprechend einem SHA-1 Algorithmus (FIPS 160-1), verwenden wir wieder das Programm **/usr/sbin/slappasswd** mit folgendem Befehl aufgerufen: 
 +   # /usr/sbin/slappasswd -h {SSHA}
 +
 +   New password: 
 +   Re-enter new password: 
 +   {SSHA}MwDWrwwRnw95zMtKA5bS/dpnEHUuOjh0
 +
 +Dieses gekryptete Passwort hinterlegen wir nun in einer passenden ldif-Datei.
 +   # vim /etc/openldap/ldif/cn\=config_Manager_olcRootPW.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_Manager_olcRootPW.ldif># Django : 2015-07-15
 +# setzen eines Passworts für den Manager
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#manager-passwort
 +
 +dn: olcDatabase={2}hdb,cn=config
 +changetype: modify
 +add: olcRootPW
 +olcRootPW: {SSHA}MwDWrwwRnw95zMtKA5bS/dpnEHUuOjh0
 +</file>
 +
 +Die Konfigurationsänderungen werden wie gehabt mit Aufruf des Befehls **ldapmodify** aktiviert.
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_Manager_olcRootPW.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "olcDatabase={2}hdb,cn=config"
 +
 +Ob unsere Änderungen auch wirklich entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen. 
 +
 +   #  ldapsearch -W -x -D cn=config -b olcDatabase={2}hdb,cn=config
 +
 +  Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <olcDatabase={2}hdb,cn=config> with scope subtree
 +# filter: (objectclass=*)
 +# requesting: ALL
 +#
 +
 +# {2}hdb, config
 +dn: olcDatabase={2}hdb,cn=config
 +objectClass: olcDatabaseConfig
 +objectClass: olcHdbConfig
 +olcDatabase: {2}hdb
 +olcDbDirectory: /var/lib/ldap
 +olcDbIndex: objectClass eq,pres
 +olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
 +olcSuffix: dc=nausch,dc=org
 +olcRootDN: cn=Manager,dc=nausch,dc=org
 +olcRootPW: {SSHA}MwDWrwwRnw95zMtKA5bS/dpnEHUuOjh0
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
 +
 +==== olcIdleTimeout ====
 +Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
 +
 +Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen Wert von 30 Sekunden zu.
 +   # vim /etc/openldap/ldif/cn\=config_olcIdleTimeout.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif>
 +# Django : 2015-07-15
 +# Definition der max. idle-Zeit nach der die Trennung der Verbindung zum
 +# Klient durch einen *unbind* erzwungen werden soll.
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcidletimeout
 +
 +dn: cn=config
 +changetype: modify
 +add: olcIdleTimeout
 +olcIdleTimeout: 30
 +</file>
 +
 +Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Auch hier können wir überprüfen, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <olcDatabase={2}hdb,cn=config> with scope subtree
 +# filter: (objectclass=*)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1
 +</code>
 +
 +==== olcTimeLimit ====
 +Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden eine Suche im LDAP-Baum abgebrochen wird.
 +
 +Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 15 Sekunden zu.
 +   # vim /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_olcTimeLimit.ldif># Django : 2015-07-16
 +# Definition der max. search-Zeit nach der die Suche im LDAP-Baum abgebrochen 
 +# wird.
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olctimelimit
 +
 +dn: cn=config
 +changetype: modify
 +add: olcTimeLimit
 +olcTimeLimit: 15
 +</file>
 +
 +Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Auch hier überprüfen wir, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcTimeLimit: 15
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1
 +</code>
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +==== olcReferral ====
 +Mit der Directive **olcReferral** kann ein LDAP-Server dem anfragenden Client mitteilen an welchen Server sich wenden soll, sofern die Anfrage nicht selbst beantwortet werden kann oder weil die Anfrage fehlerhaft war. 
 +
 +Zur Definition des **olcReferral** legen wir uns wieder eine zugehörige Datei an.
 +   # vim /etc/openldap/ldif/cn\=config_olcReferral.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_olcReferral.ldif># Django : 2015-07-15
 +# setzen des zuständigen LDAP-Servers bei Anfagen, die entweder fehlerhaft ware,
 +# oder die der Server nicht beantworten konnte.
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcreferral
 +
 +dn: cn=config
 +changetype: modify
 +add: olcReferral
 +olcReferral: ldap://openldap.dmz.nausch.org
 +</file>
 +
 +Die Konfigurationsänderungen aktivieren wir wie gehabt mit Aufruf des Befehls ldapmodify.
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcReferral.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Ob unsere Änderungen entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen. 
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcTimeLimit: 15
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
 +
 +==== olcLogLevel ====
 +
 +FIXME
 +
 +http://www.openldap.org/doc/admin24/slapdconf2.html
 +
 +
 +   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
 +changetype: modify
 +add: olcLogLevel
 +olcLogLevel: stats</file>
 +
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +   # Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcDisallows: bind_anon
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcRequires: authc
 +olcTimeLimit: 15
 +olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
 +olcTLSCACertificatePath: /etc/openldap/certs
 +olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
 +olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
 +olcTLSCipherSuite: HIGH
 +olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
 +olcTLSProtocolMin: 3.1
 +olcLogLevel: stats
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
 +
 +
 +   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
 +changetype: modify
 +add: olcLogLevel
 +olcLogLevel: none</file>
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
 +<code>SASL/EXTERNAL authentication started
 +SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +SASL SSF: 0
 +modifying entry "cn=config"</code>
 +
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password: 
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcDisallows: bind_anon
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcRequires: authc
 +olcTimeLimit: 15
 +olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
 +olcTLSCACertificatePath: /etc/openldap/certs
 +olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
 +olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
 +olcTLSCipherSuite: HIGH
 +olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
 +olcTLSProtocolMin: 3.1
 +olcLogLevel: stats
 +olcLogLevel: none
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
  
 ===== erste LDAP-Abfragen ===== ===== erste LDAP-Abfragen =====
Zeile 913: Zeile 1298:
 Jul 15 13:30:42 vml000037 slapd[3620]: conn=1003 fd=11 closed</code> Jul 15 13:30:42 vml000037 slapd[3620]: conn=1003 fd=11 closed</code>
  
-Bei den //**err=**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.+Bei den //**err**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.
  
 Eine Auflistung der gängigen Rückmeldecodes ist [[http://web500gw.sourceforge.net/errors.html|hier]] zu finden. Eine Auflistung der gängigen Rückmeldecodes ist [[http://web500gw.sourceforge.net/errors.html|hier]] zu finden.
  
 ====== Links ====== ====== Links ======
-  * **⇒ [[centos:ldap_c7:data|Weiter zum Kapitel "Datenerstbefüllung des OpenLDAP Servers unter CentOS 7.x"]]**+  * **⇒ [[centos:ldap_c7:ldaps|Weiter zum Kapitel "TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x"]]**
   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~+
  • centos/ldap_c7/install.1436963527.txt.gz
  • Zuletzt geändert: 15.07.2015 12:32.
  • von django