Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:ldap_c7:install [15.07.2015 20:19. ] – [olcIdleTimeout] django
+++ centos:ldap_c7:install [20.11.2018 13:54. ] (aktuell) – [olcLogLevel] django
@@ Zeile 810: / Zeile 810: @@
 Wie auch schon beim vorangegangenem Beispiel legen wir uns eine passende ldif-Datei an, in der wir dann die Benennung des **baseDN** vornehmen.
-   # vim vim /etc/openldap/ldif/cn\=config_baseDN.ldif
+   # vim /etc/openldap/ldif/cn\=config_baseDN.ldif
 <file ldif /etc/openldap/ldif/cn=config_baseDN.ldif># Django : 2015-07-15
@@ Zeile 924: / Zeile 924: @@
 ==== olcIdleTimeout ====
-Mit Hilfe dieses Parameters wird definiert, nach wieviel Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
+Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden ein Klient-Verbindung mittels eines **unbind** erzwungen werden soll.
-Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 30 Sekunden zu.
+Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen Wert von 30 Sekunden zu.
    # vim /etc/openldap/ldif/cn\=config_olcIdleTimeout.ldif
@@ Zeile 950: / Zeile 950: @@
 Auch hier können wir überprüfen, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
-   # ldapsearch -W -x -D cn=config -b olcDatabase={2}hdb,cn=config
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
   Enter LDAP Password:
@@ Zeile 961: / Zeile 961: @@
 #
-# {2}hdb, config
+# config
-dn: olcDatabase={2}hdb,cn=config
+dn: cn=config
-objectClass: olcDatabaseConfig
+objectClass: olcGlobal
-objectClass: olcHdbConfig
+cn: config
-olcDatabase: {2}hdb
+olcArgsFile: /var/run/openldap/slapd.args
-olcDbDirectory: /var/lib/ldap
+olcIdleTimeout: 30
-olcDbIndex: objectClass eq,pres
-olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
-olcSuffix: dc=nausch,dc=org
-olcRootDN: cn=Manager,dc=nausch,dc=org
-olcRootPW: {SSHA}MwDWrwwRnw95zMtKA5bS/dpnEHUuOjh0
 # search result
@@ Zeile 978: / Zeile 973: @@
 # numResponses: 2
-# numEntries: 1</code>
+# numEntries: 1
+</code>
+==== olcTimeLimit ====
+Mit Hilfe dieses Parameters wird definiert, nach wie vielen Sekunden eine Suche im LDAP-Baum abgebrochen wird.
+Wir legen uns also eine passende Konfigurationsdatei an und weisem dem Parameter einen wert von 15 Sekunden zu.
+   # vim /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
+<file ldif /etc/openldap/ldif/cn=config_olcTimeLimit.ldif># Django : 2015-07-16
+# Definition der max. search-Zeit nach der die Suche im LDAP-Baum abgebrochen
+# wird.
+# https://dokuwiki.nausch.org/doku.php/centos:ldap_c7:install?&#olctimelimit
+dn: cn=config
+changetype: modify
+add: olcTimeLimit
+olcTimeLimit: 15
+</file>
+Die Änderung unserer OpenLDAP-Konfiguration, aktivieren wir wie folgt:
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_olcTimeLimit.ldif
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+Auch hier überprüfen wir, ob der zusätzliche Konfigurationsparameter richtig gesetzt wurde.
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcTimeLimit: 15
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1
+</code>
 ==== olcReferral ====
@@ Zeile 1022: / Zeile 1083: @@
 cn: config
 olcArgsFile: /var/run/openldap/slapd.args
+olcIdleTimeout: 30
 olcPidFile: /var/run/openldap/slapd.pid
-olcTLSCACertificatePath: /etc/openldap/certs
-olcTLSCertificateFile: "OpenLDAP Server"
-olcTLSCertificateKeyFile: /etc/openldap/certs/password
 olcReferral: ldap://openldap.dmz.nausch.org
+olcTimeLimit: 15
 # search result
@@ Zeile 1035: / Zeile 1095: @@
 # numEntries: 1</code>
+==== olcLogLevel ====
+FIXME
+http://www.openldap.org/doc/admin24/slapdconf2.html
+   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
+<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
+changetype: modify
+add: olcLogLevel
+olcLogLevel: stats</file>
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
+  SASL/EXTERNAL authentication started
+  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+  SASL SSF: 0
+  modifying entry "cn=config"
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+   # Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://openldap.dmz.nausch.org
+olcRequires: authc
+olcTimeLimit: 15
+olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
+olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
+olcTLSCipherSuite: HIGH
+olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
+olcTLSProtocolMin: 3.1
+olcLogLevel: stats
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1</code>
+   # vim /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif
+<file ldif /etc/openldap/ldif/cn=config_GLOBAL_olcLogLevel.ldif>dn: cn=config
+changetype: modify
+add: olcLogLevel
+olcLogLevel: none</file>
+   # ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif/cn\=config_GLOBAL_olcLogLevel.ldif
+<code>SASL/EXTERNAL authentication started
+SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
+SASL SSF: 0
+modifying entry "cn=config"</code>
+   # ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcGlobal)"
+  Enter LDAP Password:
+<code># extended LDIF
+#
+# LDAPv3
+# base <cn=config> with scope subtree
+# filter: (objectclass=olcGlobal)
+# requesting: ALL
+#
+# config
+dn: cn=config
+objectClass: olcGlobal
+cn: config
+olcArgsFile: /var/run/openldap/slapd.args
+olcDisallows: bind_anon
+olcIdleTimeout: 30
+olcPidFile: /var/run/openldap/slapd.pid
+olcReferral: ldap://openldap.dmz.nausch.org
+olcRequires: authc
+olcTimeLimit: 15
+olcTLSCACertificateFile: /etc/pki/tls/certs/CAcert_chain.pem
+olcTLSCACertificatePath: /etc/openldap/certs
+olcTLSCertificateFile: /etc/pki/tls/certs/openldap.dmz.nausch.org.pem
+olcTLSCertificateKeyFile: /etc/pki/tls/private/openldap_serverkey.pem
+olcTLSCipherSuite: HIGH
+olcTLSDHParamFile: /etc/pki/tls/private/dh_4096.pem
+olcTLSProtocolMin: 3.1
+olcLogLevel: stats
+olcLogLevel: none
+# search result
+search: 2
+result: 0 Success
+# numResponses: 2
+# numEntries: 1</code>
 ===== erste LDAP-Abfragen =====
@@ Zeile 1130: / Zeile 1303: @@
 ====== Links ======
-  * **⇒ [[centos:ldap_c7:data|Weiter zum Kapitel "Datenerstbefüllung des OpenLDAP Servers unter CentOS 7.x"]]**
+  * **⇒ [[centos:ldap_c7:ldaps|Weiter zum Kapitel "TLS-Absicherung des OpenLDAP-Servers - LDAPs-Konfiguration unter CentOS 7.x"]]**
   * **[[centos:ldap_c7:start|Zurück zum Kapitel >>OpenLDAP Server unter CentOS 7.x<<]]**
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
-~~DISCUSSION~~
-~~AUTOTWEET:~~