centos:ldap_c7:install

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:ldap_c7:install [15.07.2015 14:15. ] – [olcIdleTimeout] djangocentos:ldap_c7:install [20.11.2018 13:54. ] (aktuell) – [olcLogLevel] django
Zeile 6: Zeile 6:
 LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server. LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server.
  
 +Viele wertvolle Information und Konfigurationsbeispiele sind auf der Seite **[[http://www.openldap.org/doc/admin24/|OpenLDAP Software 2.4 Administrator's Guide]]** zu finden.
 ===== Installation ===== ===== Installation =====
 ==== OpenLDAP - Server ==== ==== OpenLDAP - Server ====
Zeile 804: Zeile 805:
 </WRAP> </WRAP>
  
-==== olcReferral ==== 
-Mit der Directive **olcReferral** kann ein LDAP-Server dem anfragenden Client mitteilen an welchen Server sich wenden soll, sofern die Anfrage nicht selbst beantwortet werden kann oder weil die Anfrage fehlerhaft war.  
- 
-Zur Definition des **olcReferral** legen wir uns wieder eine zugehörige Datei an. 
-   # vim /etc/openldap/ldif/cn\=config_olcReferral.ldif 
- 
-<file ldif /etc/openldap/ldif/cn=config_olcReferral.ldif># Django : 2015-07-15 
-# setzen des zuständigen LDAP-Servers bei Anfagen, die entweder fehlerhaft ware, 
-# oder die der Server nicht beantworten konnte. 
-# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcreferral 
- 
-dn: cn=config 
-changetype: modify 
-add: olcReferral 
-olcReferral: ldap://openldap.dmz.nausch.org 
-</file> 
- 
-Die Konfigurationsänderungen aktivieren wir wie gehabt mit Aufruf des Befehls ldapmodify. 
-   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcReferral.ldif 
- 
-  SASL/EXTERNAL authentication started 
-  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 
-  SASL SSF: 0 
-  modifying entry "cn=config" 
- 
-Ob unsere Änderungen entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen.  
-   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)" 
- 
-  Enter LDAP Password: 
-<code># extended LDIF 
-# 
-# LDAPv3 
-# base <cn=config> with scope subtree 
-# filter: (objectclass=olcGlobal) 
-# requesting: ALL 
-# 
- 
-# config 
-dn: cn=config 
-objectClass: olcGlobal 
-cn: config 
-olcArgsFile: /var/run/openldap/slapd.args 
-olcPidFile: /var/run/openldap/slapd.pid 
-olcTLSCACertificatePath: /etc/openldap/certs 
-olcTLSCertificateFile: "OpenLDAP Server" 
-olcTLSCertificateKeyFile: /etc/openldap/certs/password 
-olcReferral: ldap://openldap.dmz.nausch.org 
- 
-# search result 
-search: 2 
-result: 0 Success 
- 
-# numResponses: 2 
-# numEntries: 1</code> 
  
 ==== baseDN ==== ==== baseDN ====
Zeile 863: Zeile 810:
  
 Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen. Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen.
-   # vim vim /etc/openldap/ldif/cn\=config_baseDN.ldif+   # vim /etc/openldap/ldif/cn\=config_baseDN.ldif
  
 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15
Zeile 976: Zeile 923:
 # numEntries: 1</code> # numEntries: 1</code>
  
 +==== olcIdleTimeout ====
 +Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
  
 +Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen Wert von 30 Sekunden zu.
 +   # vim /etc/openldap/ldif/cn\=config_olcIdleTimeout.ldif
  
-==== weitere Konfigurationsbeispiele und -schritte ====+<file ldif /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif> 
 +# Django : 2015-07-15 
 +# Definition der max. idle-Zeit nach der die Trennung der Verbindung zum 
 +# Klient durch einen *unbind* erzwungen werden soll. 
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcidletimeout
  
-<WRAP center round todo 60%> +dn: cn=config 
-Hier eine Liste der zusätzlichen Konfigurationsschritte einfügen!  +changetype: modify 
-</WRAP>+add: olcIdleTimeout 
 +olcIdleTimeout: 30 
 +</file>
  
 +Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn=config_olcIdleTimeout.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Auch hier können wir überprüfen, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <olcDatabase={2}hdb,cn=config> with scope subtree
 +# filter: (objectclass=*)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1
 +</code>
 +
 +==== olcTimeLimit ====
 +Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden eine Suche im LDAP-Baum abgebrochen wird.
 +
 +Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 15 Sekunden zu.
 +   # vim /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_olcTimeLimit.ldif># Django : 2015-07-16
 +# Definition der max. search-Zeit nach der die Suche im LDAP-Baum abgebrochen 
 +# wird.
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olctimelimit
 +
 +dn: cn=config
 +changetype: modify
 +add: olcTimeLimit
 +olcTimeLimit: 15
 +</file>
 +
 +Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Auch hier überprüfen wir, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcTimeLimit: 15
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1
 +</code>
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +==== olcReferral ====
 +Mit der Directive **olcReferral** kann ein LDAP-Server dem anfragenden Client mitteilen an welchen Server sich wenden soll, sofern die Anfrage nicht selbst beantwortet werden kann oder weil die Anfrage fehlerhaft war. 
 +
 +Zur Definition des **olcReferral** legen wir uns wieder eine zugehörige Datei an.
 +   # vim /etc/openldap/ldif/cn\=config_olcReferral.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_olcReferral.ldif># Django : 2015-07-15
 +# setzen des zuständigen LDAP-Servers bei Anfagen, die entweder fehlerhaft ware,
 +# oder die der Server nicht beantworten konnte.
 +# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olcreferral
 +
 +dn: cn=config
 +changetype: modify
 +add: olcReferral
 +olcReferral: ldap://openldap.dmz.nausch.org
 +</file>
 +
 +Die Konfigurationsänderungen aktivieren wir wie gehabt mit Aufruf des Befehls ldapmodify.
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcReferral.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +Ob unsere Änderungen entsprechend unserer ldif-Datei angelegt und geändert wurden, können wir wie folgt überprüfen. 
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcTimeLimit: 15
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
 +
 +==== olcLogLevel ====
 +
 +FIXME
 +
 +http://www.openldap.org/doc/admin24/slapdconf2.html
 +
 +
 +   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
 +changetype: modify
 +add: olcLogLevel
 +olcLogLevel: stats</file>
 +
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
 +
 +  SASL/EXTERNAL authentication started
 +  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +  SASL SSF: 0
 +  modifying entry "cn=config"
 +
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +   # Enter LDAP Password:
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcDisallows: bind_anon
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcRequires: authc
 +olcTimeLimit: 15
 +olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
 +olcTLSCACertificatePath: /etc/openldap/certs
 +olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
 +olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
 +olcTLSCipherSuite: HIGH
 +olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
 +olcTLSProtocolMin: 3.1
 +olcLogLevel: stats
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
 +
 +
 +   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
 +
 +<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
 +changetype: modify
 +add: olcLogLevel
 +olcLogLevel: none</file>
 +
 +   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
 +<code>SASL/EXTERNAL authentication started
 +SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 +SASL SSF: 0
 +modifying entry "cn=config"</code>
 +
 +
 +   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
 +
 +  Enter LDAP Password: 
 +<code># extended LDIF
 +#
 +# LDAPv3
 +# base <cn=config> with scope subtree
 +# filter: (objectclass=olcGlobal)
 +# requesting: ALL
 +#
 +
 +# config
 +dn: cn=config
 +objectClass: olcGlobal
 +cn: config
 +olcArgsFile: /var/run/openldap/slapd.args
 +olcDisallows: bind_anon
 +olcIdleTimeout: 30
 +olcPidFile: /var/run/openldap/slapd.pid
 +olcReferral: ldap://openldap.dmz.nausch.org
 +olcRequires: authc
 +olcTimeLimit: 15
 +olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
 +olcTLSCACertificatePath: /etc/openldap/certs
 +olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
 +olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
 +olcTLSCipherSuite: HIGH
 +olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
 +olcTLSProtocolMin: 3.1
 +olcLogLevel: stats
 +olcLogLevel: none
 +
 +# search result
 +search: 2
 +result: 0 Success
 +
 +# numResponses: 2
 +# numEntries: 1</code>
  
 ===== erste LDAP-Abfragen ===== ===== erste LDAP-Abfragen =====
Zeile 1073: Zeile 1298:
 Jul 15 13:30:42 vml000037 slapd[3620]: conn=1003 fd=11 closed</code> Jul 15 13:30:42 vml000037 slapd[3620]: conn=1003 fd=11 closed</code>
  
-Bei den //**err=**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.+Bei den //**err**-Codes// in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.B. **err=0** für **O.K.**.
  
 Eine Auflistung der gängigen Rückmeldecodes ist [[http://web500gw.sourceforge.net/errors.html|hier]] zu finden. Eine Auflistung der gängigen Rückmeldecodes ist [[http://web500gw.sourceforge.net/errors.html|hier]] zu finden.
  
 ====== Links ====== ====== Links ======
-  * **⇒ [[centos:ldap_c7:data|Weiter zum Kapitel "Datenerstbefüllung des OpenLDAP Servers unter CentOS 7.x"]]**+  * **⇒ [[centos:ldap_c7:ldaps|Weiter zum Kapitel "TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x"]]**
   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~+
  • centos/ldap_c7/install.1436969712.txt.gz
  • Zuletzt geändert: 15.07.2015 14:15.
  • von django