Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:ldap_c7:install [15.07.2015 14:10. ] – [olcIdleTimeout] django
+++ centos:ldap_c7:install [20.11.2018 13:54. ] (aktuell) – [olcLogLevel] django
@@ Zeile 6: / Zeile 6: @@
 LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server.
+Viele wertvolle Information und Konfigurationsbeispiele sind auf der Seite **[[http://www.openldap.org/doc/admin24/|OpenLDAP Software 2.4 Administrator's Guide]]** zu finden.
 ===== Installation =====
 ==== OpenLDAP - Server ====
@@ Zeile 804: / Zeile 805: @@
 </WRAP>
-==== olcReferral ====
-Mit der Directive **olcReferral** kann ein LDAP-Server dem anfragenden Client mitteilen an welchen Server sich wenden soll, sofern die Anfrage nicht selbst beantwortet werden kann oder weil die Anfrage fehlerhaft war.
-Zur Definition des **olcReferral** legen wir uns wieder eine zugehörige Datei an.
-   # vim /etc/openldap/ldif/cn\=config_olcReferral.ldif
-<file ldif /etc/openldap/ldif/cn=config_olcReferral.ldif># Django : 2015-07-15
-# setzen des zuständigen LDAP-Servers bei Anfagen, die entweder fehlerhaft ware,
-# oder die der Server nicht beantworten konnte.
-# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcreferral
-dn: cn=config
-changetype: modify
-add: olcReferral
-olcReferral: ldap://openldap.dmz.nausch.org
-</file>
-Die Konfigurationsänderungen aktivieren wir wie gehabt mit Aufruf des Befehls ldapmodify.
-   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcReferral.ldif
-  SASL/EXTERNAL authentication started
-  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
-  SASL SSF: 0
-  modifying entry "cn=config"
-Ob unsere Änderungen entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen.
-   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
-  Enter LDAP Password:
-<code># extended LDIF
-#
-# LDAPv3
-# base <cn=config> with scope subtree
-# filter: (objectclass=olcGlobal)
-# requesting: ALL
-#
-# config
-dn: cn=config
-objectClass: olcGlobal
-cn: config
-olcArgsFile: /var/run/openldap/slapd.args
-olcPidFile: /var/run/openldap/slapd.pid
-olcTLSCACertificatePath: /etc/openldap/certs
-olcTLSCertificateFile: "OpenLDAP Server"
-olcTLSCertificateKeyFile: /etc/openldap/certs/password
-olcReferral: ldap://openldap.dmz.nausch.org
-# search result
-search: 2
-result: 0 Success
-# numResponses: 2
-# numEntries: 1</code>
 ==== baseDN ====
@@ Zeile 863: / Zeile 810: @@
 Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen.
-   # vim vim /etc/openldap/ldif/cn\=config_baseDN.ldif
+   # vim /etc/openldap/ldif/cn\=config_baseDN.ldif
 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15
@@ Zeile 975: / Zeile 922: @@
 # numResponses: 2
 # numEntries: 1</code>
 ==== olcIdleTimeout ====
-Mit Hilfe dieses Parameters wird definiert, nach wieviel Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
+Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
-Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 30 Sekunden zu.
+Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen Wert von 30 Sekunden zu.
- # vim /etc/openldap/ldif/cn\=config_olcIdleTimeout.ldif
+   # vim /etc/openldap/ldif/cn\=config_olcIdleTimeout.ldif
 <file ldif /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif>
@@ Zeile 995: / Zeile 941: @@
 </file>
+Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+Auch hier können wir überprüfen, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <olcDatabase={2}hdb,cn=config> with scope subtree
+# filter: (objectclass=*)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcIdleTimeout: 30
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
+</code>
+==== olcTimeLimit ====
+Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden eine Suche im LDAP-Baum abgebrochen wird.
+Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 15 Sekunden zu.
+   # vim /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
+<file ldif /etc/openldap/ldif/cn=config_olcTimeLimit.ldif># Django : 2015-07-16
+# Definition der max. search-Zeit nach der die Suche im LDAP-Baum abgebrochen
+# wird.
+# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olctimelimit
+dn: cn=config
+changetype: modify
+add: olcTimeLimit
+olcTimeLimit: 15
+</file>
+Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+Auch hier überprüfen wir, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcTimeLimit: 15
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
+</code>
+==== olcReferral ====
+Mit der Directive **olcReferral** kann ein LDAP-Server dem anfragenden Client mitteilen an welchen Server sich wenden soll, sofern die Anfrage nicht selbst beantwortet werden kann oder weil die Anfrage fehlerhaft war.
+Zur Definition des **olcReferral** legen wir uns wieder eine zugehörige Datei an.
+   # vim /etc/openldap/ldif/cn\=config_olcReferral.ldif
+<file ldif /etc/openldap/ldif/cn=config_olcReferral.ldif># Django : 2015-07-15
+# setzen des zuständigen LDAP-Servers bei Anfagen, die entweder fehlerhaft ware,
+# oder die der Server nicht beantworten konnte.
+# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcreferral
+dn: cn=config
+changetype: modify
+add: olcReferral
+olcReferral: ldap://openldap.dmz.nausch.org
+</file>
+Die Konfigurationsänderungen aktivieren wir wie gehabt mit Aufruf des Befehls ldapmodify.
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcReferral.ldif
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+Ob unsere Änderungen entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen.
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://openldap.dmz.nausch.org
+olcTimeLimit: 15
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1</code>
+==== olcLogLevel ====
 FIXME
+http://www.openldap.org/doc/admin24/slapdconf2.html
+   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
+<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
+changetype: modify
+add: olcLogLevel
+olcLogLevel: stats</file>
-==== weitere Konfigurationsbeispiele und -schritte ====
-<WRAP center round todo 60%>
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
-Hier eine Liste der zusätzlichen Konfigurationsschritte einfügen!
-</WRAP>
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+   # Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://openldap.dmz.nausch.org
+olcRequires: authc
+olcTimeLimit: 15
+olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
+olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
+olcTLSCipherSuite: HIGH
+olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
+olcTLSProtocolMin: 3.1
+olcLogLevel: stats
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1</code>
+   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
+<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
+changetype: modify
+add: olcLogLevel
+olcLogLevel: none</file>
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
+<code>SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "cn=config"</code>
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://openldap.dmz.nausch.org
+olcRequires: authc
+olcTimeLimit: 15
+olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
+olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
+olcTLSCipherSuite: HIGH
+olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
+olcTLSProtocolMin: 3.1
+olcLogLevel: stats
+olcLogLevel: none
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1</code>
 ===== erste LDAP-Abfragen =====
@@ Zeile 1098: / Zeile 1298: @@
 Jul 15 13:30:42 vml000037 slapd[3620]: conn=1003 fd=11 closed</code>
-Bei den //**err=**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.
+Bei den //**err**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.
 Eine Auflistung der gängigen Rückmeldecodes ist [[http://web500gw.sourceforge.net/errors.html|hier]] zu finden.
 ====== Links ======
-  * **⇒ [[centos:ldap_c7:data|Weiter zum Kapitel "Datenerstbefüllung des OpenLDAP Servers unter CentOS 7.x"]]**
+  * **⇒ [[centos:ldap_c7:ldaps|Weiter zum Kapitel "TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x"]]**
   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
-~~DISCUSSION~~