OpenLDAP Server unter CentOS 6 und Rhel6. OpenLDAP Server unter CentOS 6.x installieren und einrichten

Transkript

1 OpenLDAP Server unter CentOS 6 und Rhel6 I) Grundinstallation des OpenLDAP Servers II) Datenerstbefüllung des OpenLDAP Servers III) Client-Authentification via annonymous bind IV) Client-Authentification mit technischem User V) SASL-Unterstützung am OpenLDAP-Server VI) Absicherung des OpenLDAP-Servers - LDAPS-Konfiguration VII Administration mit Hilfe von phpldapadmin Links Zurück zu >>Projekte und Themenkapitel<< Zurück zur Startseite OpenLDAP Server unter CentOS 6.x installieren und einrichten Zur zentralen Nutzerdatenverwaltung und -pflege bedienen wir uns eines LDAP-Verzeichnisdienstes, genauer gesagt dem OpenLDAP. LDAP ist ein Netzwerkprotokoll, dient zur Bereitstellung von Verzeichnisdiensten und vermittelt dabei die Kommunikation zwischen dem LDAP-Clients mit dem Directory Server. Installation OpenLDAP - Server Die Installation unseres OpenLDAP-Servers gestaltet sich recht einfach, das das notwendige Programmpaket openldap-servers als RPM aus dem Base-Repository unserer CentOS-Installation zur Verfügung gestellt wird. Die Installation selbst erfolgt mit dem Paketverwaltungs-Utility yum von CentOS 6. yum install openldap-servers -y Neben dem Server-Part openldap-server werden noch zwei Pakete welches zur Laufzeit des Servers benötigt werden installiert. Was uns die einzelnen Programmpakete mitbringen, erkunden wir bei Bedarf mit der Option qil beim Programm rpm. openldap-servers rpm -qil openldap-servers Name : openldap-servers Relocations: (not relocatable) Version : Vendor: CentOS Release : 15.el6_0.2 Build Date: Sat 25 Jun :30:55 PM CEST Install Date: Wed 26 Oct :52:08 PM CEST Build Host: c6b6.bsys.dev.centos.org

2 Group : System Environment/Daemons Source RPM: openldap el6_0.2.src.rpm Size : License: OpenLDAP and (Sleepycat and BSD) Signature : RSA/8, Wed 06 Jul :42:04 AM CEST, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem < URL : Summary : LDAP server Description : OpenLDAP is an open-source suite of LDAP (Lightweight Directory Access Protocol) applications and development tools. LDAP is a set of protocols for accessing directory services (usually phone book style information, but other information is possible) over the Internet, similar to the way DNS (Domain Name System) information is propagated over the Internet. This package contains the slapd server and related files. /etc/openldap/schema/collective.schema /etc/openldap/schema/corba.schema /etc/openldap/schema/core.ldif /etc/openldap/schema/core.schema /etc/openldap/schema/cosine.ldif /etc/openldap/schema/cosine.schema /etc/openldap/schema/duaconf.schema /etc/openldap/schema/dyngroup.schema /etc/openldap/schema/inetorgperson.ldif /etc/openldap/schema/inetorgperson.schema /etc/openldap/schema/java.schema /etc/openldap/schema/misc.schema /etc/openldap/schema/nis.ldif /etc/openldap/schema/nis.schema /etc/openldap/schema/openldap.ldif /etc/openldap/schema/openldap.schema /etc/openldap/schema/pmi.schema /etc/openldap/schema/ppolicy.schema /etc/openldap/schema/redhat /etc/openldap/schema/redhat/autofs.schema /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak /etc/openldap/slapd.d /etc/pki/tls/certs/slapd.pem /etc/rc.d/init.d/slapd /etc/sysconfig/ldap /usr/lib64/libslapd_db-4.8.so /usr/lib64/openldap /usr/lib64/openldap/accesslog-2.4.so.2 /usr/lib64/openldap/accesslog-2.4.so /usr/lib64/openldap/accesslog.la /usr/lib64/openldap/auditlog-2.4.so.2 /usr/lib64/openldap/auditlog-2.4.so /usr/lib64/openldap/auditlog.la /usr/lib64/openldap/collect-2.4.so.2 /usr/lib64/openldap/collect-2.4.so /usr/lib64/openldap/collect.la /usr/lib64/openldap/constraint-2.4.so.2 /usr/lib64/openldap/constraint-2.4.so /usr/lib64/openldap/constraint.la /usr/lib64/openldap/dds-2.4.so.2 /usr/lib64/openldap/dds-2.4.so /usr/lib64/openldap/dds.la /usr/lib64/openldap/deref-2.4.so.2 /usr/lib64/openldap/deref-2.4.so /usr/lib64/openldap/deref.la /usr/lib64/openldap/dyngroup-2.4.so.2 /usr/lib64/openldap/dyngroup-2.4.so /usr/lib64/openldap/dyngroup.la /usr/lib64/openldap/dynlist-2.4.so.2 /usr/lib64/openldap/dynlist-2.4.so /usr/lib64/openldap/dynlist.la /usr/lib64/openldap/memberof-2.4.so.2 /usr/lib64/openldap/memberof-2.4.so.2.5.2

3 /usr/lib64/openldap/memberof.la /usr/lib64/openldap/pcache-2.4.so.2 /usr/lib64/openldap/pcache-2.4.so /usr/lib64/openldap/pcache.la /usr/lib64/openldap/ppolicy-2.4.so.2 /usr/lib64/openldap/ppolicy-2.4.so /usr/lib64/openldap/ppolicy.la /usr/lib64/openldap/refint-2.4.so.2 /usr/lib64/openldap/refint-2.4.so /usr/lib64/openldap/refint.la /usr/lib64/openldap/retcode-2.4.so.2 /usr/lib64/openldap/retcode-2.4.so /usr/lib64/openldap/retcode.la /usr/lib64/openldap/rwm-2.4.so.2 /usr/lib64/openldap/rwm-2.4.so /usr/lib64/openldap/rwm.la /usr/lib64/openldap/seqmod-2.4.so.2 /usr/lib64/openldap/seqmod-2.4.so /usr/lib64/openldap/seqmod.la /usr/lib64/openldap/smbk5pwd-2.4.so.2 /usr/lib64/openldap/smbk5pwd-2.4.so /usr/lib64/openldap/smbk5pwd.la /usr/lib64/openldap/sssvlv-2.4.so.2 /usr/lib64/openldap/sssvlv-2.4.so /usr/lib64/openldap/sssvlv.la /usr/lib64/openldap/syncprov-2.4.so.2 /usr/lib64/openldap/syncprov-2.4.so /usr/lib64/openldap/syncprov.la /usr/lib64/openldap/translucent-2.4.so.2 /usr/lib64/openldap/translucent-2.4.so /usr/lib64/openldap/translucent.la /usr/lib64/openldap/unique-2.4.so.2 /usr/lib64/openldap/unique-2.4.so /usr/lib64/openldap/unique.la /usr/lib64/openldap/valsort-2.4.so.2 /usr/lib64/openldap/valsort-2.4.so /usr/lib64/openldap/valsort.la /usr/sbin/slapacl /usr/sbin/slapadd /usr/sbin/slapauth /usr/sbin/slapcat /usr/sbin/slapd /usr/sbin/slapd_db_archive /usr/sbin/slapd_db_checkpoint /usr/sbin/slapd_db_deadlock /usr/sbin/slapd_db_dump /usr/sbin/slapd_db_hotbackup /usr/sbin/slapd_db_load /usr/sbin/slapd_db_printlog /usr/sbin/slapd_db_recover /usr/sbin/slapd_db_sql /usr/sbin/slapd_db_stat /usr/sbin/slapd_db_upgrade /usr/sbin/slapd_db_verify /usr/sbin/slapdn /usr/sbin/slapindex /usr/sbin/slappasswd /usr/sbin/slapschema /usr/sbin/slaptest /usr/share/doc/openldap-servers /usr/share/doc/openldap-servers /db_config.example /usr/share/doc/openldap-servers /license.bdb-backend /usr/share/doc/openldap-servers /readme.migration /usr/share/doc/openldap-servers /readme.schema /usr/share/doc/openldap-servers /readme.smbk5pwd /usr/share/doc/openldap-servers /readme.upgrading /usr/share/doc/openldap-servers /allmail-en.png /usr/share/doc/openldap-servers /allusersgroup-en.png /usr/share/doc/openldap-servers /config_dit.png

4 /usr/share/doc/openldap-servers /config_local.png /usr/share/doc/openldap-servers /config_ref.png /usr/share/doc/openldap-servers /config_repl.png /usr/share/doc/openldap-servers /delta-syncrepl.png /usr/share/doc/openldap-servers /dual_dc.png /usr/share/doc/openldap-servers /guide.html /usr/share/doc/openldap-servers /intro_dctree.png /usr/share/doc/openldap-servers /intro_tree.png /usr/share/doc/openldap-servers /ldap-sync-refreshandpersist.png /usr/share/doc/openldap-servers /ldap-sync-refreshonly.png /usr/share/doc/openldap-servers /n-way-multi-master.png /usr/share/doc/openldap-servers /push-based-complete.png /usr/share/doc/openldap-servers /push-based-standalone.png /usr/share/doc/openldap-servers /refint.png /usr/share/doc/openldap-servers /set-following-references.png /usr/share/doc/openldap-servers /set-memberuid.png /usr/share/doc/openldap-servers /set-recursivegroup.png /usr/share/man/man5/slapd-bdb.5.gz /usr/share/man/man5/slapd-config.5.gz /usr/share/man/man5/slapd-dnssrv.5.gz /usr/share/man/man5/slapd-hdb.5.gz /usr/share/man/man5/slapd-ldap.5.gz /usr/share/man/man5/slapd-ldbm.5.gz /usr/share/man/man5/slapd-ldif.5.gz /usr/share/man/man5/slapd-meta.5.gz /usr/share/man/man5/slapd-monitor.5.gz /usr/share/man/man5/slapd-ndb.5.gz /usr/share/man/man5/slapd-null.5.gz /usr/share/man/man5/slapd-passwd.5.gz /usr/share/man/man5/slapd-perl.5.gz /usr/share/man/man5/slapd-relay.5.gz /usr/share/man/man5/slapd-shell.5.gz /usr/share/man/man5/slapd-sock.5.gz /usr/share/man/man5/slapd-sql.5.gz /usr/share/man/man5/slapd.access.5.gz /usr/share/man/man5/slapd.backends.5.gz /usr/share/man/man5/slapd.conf.5.gz /usr/share/man/man5/slapd.overlays.5.gz /usr/share/man/man5/slapd.plugin.5.gz /usr/share/man/man5/slapo-accesslog.5.gz /usr/share/man/man5/slapo-auditlog.5.gz /usr/share/man/man5/slapo-chain.5.gz /usr/share/man/man5/slapo-collect.5.gz /usr/share/man/man5/slapo-constraint.5.gz /usr/share/man/man5/slapo-dds.5.gz /usr/share/man/man5/slapo-dyngroup.5.gz /usr/share/man/man5/slapo-dynlist.5.gz /usr/share/man/man5/slapo-memberof.5.gz /usr/share/man/man5/slapo-pcache.5.gz /usr/share/man/man5/slapo-ppolicy.5.gz /usr/share/man/man5/slapo-refint.5.gz /usr/share/man/man5/slapo-retcode.5.gz /usr/share/man/man5/slapo-rwm.5.gz /usr/share/man/man5/slapo-sssvlv.5.gz /usr/share/man/man5/slapo-syncprov.5.gz /usr/share/man/man5/slapo-translucent.5.gz /usr/share/man/man5/slapo-unique.5.gz /usr/share/man/man5/slapo-valsort.5.gz /usr/share/man/man8/slapacl.8.gz /usr/share/man/man8/slapadd.8.gz /usr/share/man/man8/slapauth.8.gz /usr/share/man/man8/slapcat.8.gz /usr/share/man/man8/slapd.8.gz /usr/share/man/man8/slapdn.8.gz /usr/share/man/man8/slapindex.8.gz /usr/share/man/man8/slappasswd.8.gz /usr/share/man/man8/slapschema.8.gz /usr/share/man/man8/slaptest.8.gz /var/lib/ldap

5 /var/run/openldap libtool-ltdl rpm -qil libtool-ltdl Name : libtool-ltdl Relocations: (not relocatable) Version : Vendor: CentOS Release : 15.5.el6 Build Date: Tue 24 Aug :42:49 PM CEST Install Date: Wed 26 Oct :52:03 PM CEST Build Host: c6b2.bsys.dev.centos.org Group : System Environment/Libraries Source RPM: libtool el6.src.rpm Size : License: LGPLv2+ Signature : RSA/8, Sun 03 Jul :40:12 AM CEST, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem < URL : Summary : Runtime libraries for GNU Libtool Dynamic Module Loader Description : The libtool-ltdl package contains the GNU Libtool Dynamic Module Loader, a library that provides a consistent, portable interface which simplifies the process of using dynamic modules. These runtime libraries are needed by programs that link directly to the system-installed ltdl libraries; they are not needed by software built using the rest of the GNU Autotools (including GNU Autoconf and GNU Automake). /usr/lib64/libltdl.so.7 /usr/lib64/libltdl.so /usr/share/doc/libtool-ltdl /usr/share/doc/libtool-ltdl-2.2.6/copying.lib /usr/share/doc/libtool-ltdl-2.2.6/readme /usr/share/libtool make rpm -qil make Name : make Relocations: (not relocatable) Version : 3.81 Vendor: CentOS Release : 19.el6 Build Date: Thu 11 Nov :47:05 PM CET Install Date: Wed 26 Oct :52:05 PM CEST Build Host: c6b5.bsys.dev.centos.org Group : Development/Tools Source RPM: make el6.src.rpm Size : License: GPLv2+ Signature : RSA/8, Sun 03 Jul :44:38 AM CEST, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem < URL : Summary : A GNU tool which simplifies the build process for users Description : A GNU tool for controlling the generation of executables and other non-source files of a program from the program's source files. Make allows users to build and install packages without any significant knowledge about the details of the build process. The details about how the program should be built are provided for make in the program's makefile. /usr/bin/gmake /usr/bin/make /usr/share/doc/make-3.81 /usr/share/doc/make-3.81/authors /usr/share/doc/make-3.81/copying /usr/share/doc/make-3.81/news /usr/share/doc/make-3.81/readme /usr/share/info/make.info-1.gz /usr/share/info/make.info-2.gz /usr/share/info/make.info.gz /usr/share/locale/be/lc_messages/make.mo /usr/share/locale/da/lc_messages/make.mo /usr/share/locale/de/lc_messages/make.mo /usr/share/locale/es/lc_messages/make.mo /usr/share/locale/fi/lc_messages/make.mo

6 /usr/share/locale/fr/lc_messages/make.mo /usr/share/locale/ga/lc_messages/make.mo /usr/share/locale/gl/lc_messages/make.mo /usr/share/locale/he/lc_messages/make.mo /usr/share/locale/hr/lc_messages/make.mo /usr/share/locale/id/lc_messages/make.mo /usr/share/locale/ja/lc_messages/make.mo /usr/share/locale/ko/lc_messages/make.mo /usr/share/locale/nl/lc_messages/make.mo /usr/share/locale/pl/lc_messages/make.mo /usr/share/locale/pt_br/lc_messages/make.mo /usr/share/locale/ru/lc_messages/make.mo /usr/share/locale/rw/lc_messages/make.mo /usr/share/locale/sv/lc_messages/make.mo /usr/share/locale/tr/lc_messages/make.mo /usr/share/locale/uk/lc_messages/make.mo /usr/share/locale/vi/lc_messages/make.mo /usr/share/locale/zh_cn/lc_messages/make.mo /usr/share/man/man1/gmake.1.gz /usr/share/man/man1/make.1.gz OpenLDAP - Client Da wir auf unserem Server später auch auf Hilfsprogramme des openldap-clients zurückgreifen installieren wir auch dieses Paket. Auch dieses Paket wird mit Hilfe der Paketverwaltungshilfsprogarmmes yum installieren. yum install openldap-clients -y Was uns dieses Programmpaket mitbringf, ermitteln wir bei Bedarf mit der Option qil beim Programm rpm. rpm -qil openldap-clients Name : openldap-clients Relocations: (not relocatable) Version : Vendor: CentOS Release : 15.el6_0.2 Build Date: Sat 25 Jun :30:55 PM CEST Install Date: Wed 26 Oct :23:30 PM CEST Build Host: c6b6.bsys.dev.centos.org Group : Applications/Internet Source RPM: openldap el6_0.2.src.rpm Size : License: OpenLDAP Signature : RSA/8, Wed 06 Jul :42:03 AM CEST, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem < URL : Summary : LDAP client utilities Description : OpenLDAP is an open-source suite of LDAP (Lightweight Directory Access Protocol) applications and development tools. LDAP is a set of protocols for accessing directory services (usually phone book style information, but other information is possible) over the Internet, similar to the way DNS (Domain Name System) information is propagated over the Internet. The openldap-clients package contains the client programs needed for accessing and modifying OpenLDAP directories. /usr/bin/ldapadd /usr/bin/ldapcompare /usr/bin/ldapdelete /usr/bin/ldapexop /usr/bin/ldapmodify /usr/bin/ldapmodrdn /usr/bin/ldappasswd /usr/bin/ldapsearch /usr/bin/ldapurl /usr/bin/ldapwhoami /usr/share/man/man1/ldapadd.1.gz

7 /usr/share/man/man1/ldapcompare.1.gz /usr/share/man/man1/ldapdelete.1.gz /usr/share/man/man1/ldapexop.1.gz /usr/share/man/man1/ldapmodify.1.gz /usr/share/man/man1/ldapmodrdn.1.gz /usr/share/man/man1/ldappasswd.1.gz /usr/share/man/man1/ldapsearch.1.gz /usr/share/man/man1/ldapurl.1.gz /usr/share/man/man1/ldapwhoami.1.gz Konfiguration Bei der von CentOS 6.x mitgelieferten OpenLDAP Version 2.4.xx kann die Konfiguration des Server mit Hilfe von ldif-dateien erfolgen. Der Vorteil dieser Konfigurationsvariante gegenüber der frühren Konfiguration mit Hilfe einer zentralen Konfigurationsdatei /etc/openldap/slapd.conf besteht darin, dass Änderungen an der Konfiguration des OpenLDAP-Servers aktiv werden, ohne den Server selbst neu zu starten. Änderungen werden also quais on the fly aktiv. Vorbereitung Da wir bei der nachfolgenden Konfiguration mit einer frischen eigenen Installation beginnen wollen, werden wir die mitgelieferten Konfigurationsbeispiele erst einmal sichern und unsere Konfigurationspfade entsprechend vorbereiten. Als erstes sichern wir das originale Konfigurationsverzeichnis, damit wir bei Bedarf wieder darauf zurückgreifen können. Hierzu kopieren wir uns einfach den Inhalt des Verzeichnisses /etc/openldap/slapd.d/ unter einem anderen Namen ab. cp -ar /etc/openldap/slapd.d /etc/openldap/slapd.d.orig Als nächstes leeren wir das standardmäßig mitgelieferte Konfigurationsverzeichnis /etc/openldap/slapd.d. rm -rf /etc/openldap/slapd.d/* Im nächsten Schritt erstellen wir uns eine neue Konfigurationsdatei /etc/openldap/slapd.conf indem wir die mitgelieferte Backupdatei kopieren und unter dem richtigen Namen ablegen. cp /etc/openldap/slapd.conf.bak /etc/openldap/slapd.conf Anschließend passen wir noch die Dateiberechtigungen an: chown root:ldap /etc/openldap/slapd.conf Aus sichertstechnischen Gründen soll die Datei /etc/openldap/slapd.conf nur der Gruppe ldap zur Verfügung stehen. ls -l /etc/openldap/slapd.conf -rw-r root ldap 4327 Oct 26 13:35 /etc/openldap/slapd.conf Nachfolgend wollen wir nun auf die unterschiedlichen Konfigurationsverzeichnisse und -dateien im Detail eingehen. ldap.conf In der Konfigurationsdatei /etc/openldap/ldap.conf wird die Basis-Domain für den LDAP-Client festgelegt. Mit dem editor unserer Wahl bearbeiten wir nun diese Datei und tragen dort ein: BASE : Definition des standardmäßig abgefragten Teilbaums / Searchbase unter der Anfragen von dc=nausch, dc=org ausgeführt werden sollen.

8 URI : Definition des LDAP-Servers, der befragt werden soll. vim /etc/openldap/ldap.conf /etc/openldap/ldap.conf LDAP Defaults See ldap.conf(5) for details This file should be world readable but not world writable. BASE dc=example, dc=com URI ldap://ldap.example.com ldap://ldap-master.example.com:666 Django: BASE dc=nausch, dc=org Definition des standardmäßig abgefragten Teilbaums / Searchbase Anfragen werden unterhalb von dc=nausch, dc=org ausgeführt. URI ldap://ldap.dmz.nausch.org Definition des LDAP-Servers SIZELIMIT 12 TIMELIMIT 15 DEREF never DB_CONFIG Als Backend-Datenbank für unseren zentralen Verzeichnisdienst nutzen wir eine Berkeley DB, die sich im UNIXiden Umfeld bestens bewährt hat. Hierzu muss im Verzeichnis /var/lib/ldap/ eine entsprechend Konfigurationsdatei DB_CONFIG vorgehalten werden. Bei der Installation unseres openldap-servers RPM-Paketes wird uns eine entsprechende Musterkonfigurationsdatei bereits mitgeliefert. Diese muss nur noch an Ort und Stelle kopiert und die Benutzer- und Gruppenrechte angepasst werden. Als erstes kopieren wir uns die Vorlage Datei in unser Konfigurationsverzeichnis. cp /usr/share/doc/openldap-servers /db_config.example /var/lib/ldap/db_config Anschließend passen wir noch die Benutzer- und Gruppenrechte an. chown ldap:ldap /var/lib/ldap/db_config Eine weitere Bearbeitung der nun vorliegenden Konfigurationsdatei DB_CONFIG ist nicht notwendig, die Datei kann 1:1 so verwendet werden, wie diese aus dem RPM gefallen ist. /var/lib/ldap/db_config $OpenLDAP: pkg/ldap/servers/slapd/db_config,v /12/18 11:53:27 ghenry Exp $ Example DB_CONFIG file for use with slapd(8) BDB/HDB databases. See the Oracle Berkeley DB documentation < for detail description of DB_CONFIG syntax and semantics. Hints can also be found in the OpenLDAP Software FAQ < in particular: <

9 Note: most DB_CONFIG settings will take effect only upon rebuilding the DB environment. one 0.25 GB cache set_cachesize Data Directory set_data_dir db Transaction Log settings set_lg_regionmax set_lg_bsize set_lg_dir logs Note: special DB_CONFIG flags are no longer needed for "quick" slapadd(8) or slapindex(8) access (see their -q option). Master-Passwort erstellen Für den administrativen Zugriff wird ein eigenes Rootpasswort rootpw benötigt. Zur Generierung dieses Passwortes mit der Verschlüsselungsmethode SSHA - entsprechend einem SHA-1 Algorithmus (FIPS 160-1), nutzen wird das Programm /usr/sbin/slappasswd mit folgendem Befehl aufgerufen: /usr/sbin/slappasswd -h {SSHA} New password: Re-enter new password: {SSHA}MT/P3fPtBfI3E2bylGEFxv2/u1KxmVmO slapd.conf Die eigentliche Konfiguration unseres OpenLDAP-Daemons erfolgt mit Hilfe der Konfigurationsdatei slapd.conf im Verzeichnis /etc/openldap/, die wir uns im Kapitel Vorbereitung aus den Vorlagen des RPMs kopiert hatten. Die Konfigurationsdatei bearbeiten wir nun mit dem Editor unserer Wahl, z.b. vim. vim /etc/openldap/slapd.conf /etc/openldap/slapd.conf See slapd.conf(5) for details on configuration options. This file should NOT be world readable. Django : unbenutzte Schematas deaktiviert include /etc/openldap/schema/corba.schema Django : deaktiviert include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/duaconf.schema Django : deaktiviert include /etc/openldap/schema/dyngroup.schema Django : deaktiviert include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/java.schema Django : deaktiviert include /etc/openldap/schema/misc.schema Django : deaktiviert include /etc/openldap/schema/nis.schema include /etc/openldap/schema/openldap.schema Django : deaktiviert include /etc/openldap/schema/ppolicy.schema Django : deaktiviert include /etc/openldap/schema/collective.schema Django : deaktiviert Allow LDAPv2 client connections. This is NOT the default. allow bind_v2

10 Do not enable referrals until AFTER you have a working directory service AND an understanding of referrals. referral ldap://root.openldap.org Django : referral ldap://ldap.dmz.nausch.org pidfile argsfile /var/run/openldap/slapd.pid /var/run/openldap/slapd.args Django : Definition des Loglevels - Detaillierte Hinweise sind in der manpage zu slapd.conf unter loglevel zu finden. no default entry for: loglevel loglevel 256 Django : Definition der Idle-Timeout Detaillierte Hinweise sind in der manpage zu slapd.conf unter idletimeout zu finden. no default entry for: idletimeout idletimeout 15 Django : Definition des Passwort-Hashes Detaillierte Hinweise sind in der manpage zu slapd.conf unter password-hash zu finden. the default entry for password-hash is {SSHA} password-hash {SSHA} Load dynamic backend modules: Module syncprov.la is now statically linked with slapd and there is no need to load it here modulepath /usr/lib/openldap or /usr/lib64/openldap moduleload accesslog.la moduleload auditlog.la To load this module, you have to install openldap-server-sql first moduleload back_sql.la Following two modules can't be loaded simultaneously moduleload dyngroup.la moduleload dynlist.la moduleload lastmod.la moduleload pcache.la moduleload ppolicy.la moduleload refint.la moduleload retcode.la moduleload rwm.la moduleload translucent.la moduleload unique.la moduleload valsort.la Django : Detaillierte Hinweise sind in der manpage zu slapd.conf unter modulepath zu finden. The default is /usr/lib64/openldap modulepath /usr/lib64/openldap The next three lines allow use of TLS for encrypting connections using a dummy test certificate which you can generate by changing to /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on slapd.pem so that the ldap user or group can read it. Your client software may balk at self-signed certificates, however. TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt TLSCertificateFile /etc/pki/tls/certs/slapd.pem TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem Sample security restrictions Require integrity protection (prevent hijacking) Require 112-bit (3DES or better) encryption for updates Require 63-bit encryption for simple bind security ssf=1 update_ssf=112 simple_bind=64

11 Sample access control policy: Root DSE: allow anyone to read it Subschema (sub)entry DSE: allow anyone to read it Other DSEs: Allow self write access Allow authenticated users read access Allow anonymous users to authenticate Directives needed to implement policy: access to dn.base="" by * read access to dn.base="cn=subschema" by * read access to * by self write by users read by anonymous auth if no access controls are present, the default policy allows anyone and everyone to read anything but restricts updates to rootdn. (e.g., "access to * by * read") rootdn can always read and write EVERYTHING! Django : no default entry for: Access Control Lists (ACLs) access to attrs=userpassword by self write by dn="cn=manager,dc=nausch,dc=org" write by anonymous auth by * none access to * by self write by dn="cn=manager,dc=nausch,dc=org" write by * read ldbm and/or bdb database definitions Django : Make cn=config accessable database config rootdn "cn=config" rootpw {SSHA}MT/P3fPtBfI3E2bylGEFxv2/u1KxmVmO database bdb Django : default : suffix "dc=my-domain,dc=com" suffix "dc=nausch,dc=org" checkpoint Django : default : rootdn "cn=manager,dc=my-domain,dc=com" rootdn "cn=manager,dc=nausch,dc=org" Cleartext passwords, especially for the rootdn, should be avoided. See slappasswd(8) and slapd.conf(5) for details. Use of strong authentication encouraged. rootpw secret rootpw {crypt}ijfyncsnctbyg Django : rootpw {SSHA}MT/P3fPtBfI3E2bylGEFxv2/u1KxmVmO The database directory MUST exist prior to running slapd AND should only be accessible by the slapd and slap tools. Mode 700 recommended. directory /var/lib/ldap Django : no default entry for: mode mode 0600

12 Django : no default entry for: lastmod lastmod on Indices to maintain for this database index objectclass index ou,cn,mail,surname,givenname index uidnumber,gidnumber,loginshell index uid,memberuid index nismapname,nismapentry eq,pres eq,pres,sub eq,pres eq,pres,sub eq,pres,sub Replicas of this database replogfile /var/lib/ldap/openldap-master-replog replica host=ldap-1.example.com:389 starttls=critical bindmethod=sasl saslmech=gssapi authcid=host/ldap-master.example.com@example.com enable monitoring database monitor allow onlu rootdn to read the monitor Django : default : by dn.exact="cn=manager,dc=my-domain,dc=com" read access to * by dn.exact="cn=manager,dc=nausch,dc=org" read by * none Die Parameter sind in der Manpage der Konfigurationsdatei slapd.conf ausreichend beschrieben. man slapd.conf Auf die wichtigsten wollen wir noch kurz eingehen. idletimeout Der Wert für den Eintrag idletimeout setzte eine Ablaufzeit für offene Abfragen, welche noch nicht beendet wurden. Das Setzen dieses Wertes wird dringendst angeraten, da es sonst bei sehr vielen Abfragen zu einem Stillstand des LDAP-Servers kommen könnte. password-hash Dieser Wert setzt den Standard-Agorithmus SSHA für den Eintrag des Passwort-Hashes. ACLs 1) Die erste der beide ACLs definiert den Zugriff auf das Attribut userpassword nur für den Eigentümer einer Instanz des Objekts Manager mit Schreibrechten erlaubt sind. Weiterhin sind anonyme Anfragen zur Authentifizierung das Attribut userpassword vergleichen. Alle anderen Anfragen auf das Attribut userpassword werden nicht gestattet. access to attrs=userpassword by self write by dn="cn=manager,dc=nausch,dc=org" write by anonymous auth by * none Mit Hilfe der zweiten ACL wird festgelegt, daß der Zugriff auf alle Objekte - außer dem userpassword - vom Besitzer mit Schreibrechten durchgeführt werden dürfen. Alle anderen Anfragen sind mit Leserechten gestattet. access to * by self write by dn="cn=manager,dc=nausch,dc=org" write by * read rootpw Hier ist das LDAP-RootPasswort für den administrativen Zugang, welches wir uns eingangs im Abschnitt Master-Passwort erstellen erstellt hatten, anzugeben. mode Der Eintrag mode mit der entsprechenden Angabe 0600 legt fest, dass Dateien mit nur für den Eigentümer der Datei mit den Rechten rw angelegt werden. lastmode Durch das Setzen des Wertes on wird festgelegt, daß Einträge mit einem Datum zu versehen sind.

13 ldif Konfiguration Im nächsten Schritt werden wir nun unsere zuvor angelegt Konfigurationsdatei /etc/openldap/slapd.conf in das, im Abschnitt Konfiguration beschriebene Verzeichnis /etc/openldap/slapd.d, als ldif-dateien ablegen lassen. Hierzu benutzen wir das Programm slaptest. Mit folgendem Aufruf generieren wir die ldif- Verzeichnisstrukturen sowie die zugehörigen ldif-dateien. slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d bdb_db_open: database "dc=nausch,dc=org": db_open(/var/lib/ldap/id2entry.bdb) failed: No such file or directory (2). backend_startup_one (type=bdb, suffix="dc=nausch,dc=org"): bi_db_open failed! (2) slap_startup failed (test would succeed using the -u switch) Die gezeigten Fehlermeldungen sind leicht erklärbar. Es befinden sich aktuell noch keine Daten in der Berkely-Datenbank. Die Fehlermeldung kann also ignoroert werden und darf uns nicht weiter verunsichern Annschließend passen wir noch die Verzeichnis- und Dateirechte der gerade erzeigten Daten an: chown -R ldap:ldap /etc/openldap/slapd.d Durch das Konvertierend der slapd.conf Konfigurationsdatei mit Hilfe des Befehles slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d wurde nicht nur das neue Konfigurationsverzeichnis /etc/openldap/slapd.d mit Inhalten gefüllt, sondern auch in diesem Fall eine Berkely-Datenbankstruktur im Verzeichnis /var/lib/ldap angelegt. Diese Berkley- Datenbankstruktur wurde jedoch nicht vom slapd-daemon erstellt, und ist somit wieder zu entfernen, da es sonst zu unerwünschten Fehlern beim Starten und beim Betrieb des OpenLDAP-Server kömmen würde. Wir löschen alos dies Dateien mit folgendem Befehl. rm -f /var/lib/ldap/alock /var/lib/ldap/ db* Da wir zukünftig die weitere Konfiguration unseres OpenLDAP-Servers ausschließlich mit Hilfe der ldif- Dateien vornehmen wollen, werden wir nun unsere Konfigurationsdatei, die wir zum initialen Befüllen der ldif-verzeichnisse angelegt hatten, wieder stilllegen. Hierzu reicht es die vorhandenen alte Konfigurationsdatei einfach umzubenennen. mv /etc/openldap/slapd.conf /etc/openldap/slapd.conf.save_ rsyslog Damit unser LDAP-Server seine Meldungen auch sichtbar uns zur Verfügung stellt, lassen wir ihm diese ganz einfach in ein separates Logfile schreiben. Hierzu passen die Konfigurationsdatei /etc/rsyslog.conf entsprechend an und tragen eine entsprechende Regel unter der Sektion RULES ein. vim /etc/rsyslog.conf RULES... Django : Logging für OpenLDAP-Server aktiviert local4.* -/var/log/ldap.log... Anschließend müssen wir den rsyslog-daemon einmal durchstarten, damit er unsere Änderungen akzeptiert und umsetzt. service rsyslog restart Shutting down system logger: [ OK ]

14 Starting system logger: [ OK ] logrotate Bei einem unter Last stehendem OpenLDAP-Datenbankserver kann unter Umständen das zugehörige Logfile /var/log/ldap.log recht schnell anwachsen. Leider wir in dem RPM-Paket openldap-servers keine Konfigurationsdatei zur Rotation der Logdatei mitgeliefert, so dass wir uns diese kurz selbst erstellen. Hierzu benutzen wir den Editor unserer Wahl, z.b. vim. vim /etc/logrotate.d/ldap /etc/logrotate.d/ldap /var/log/ldap.log { rotate 4 weekly compress notifempty size 5M missingok create 0640 ldap ldap sharedscripts postrotate /bin/kill -HUP `cat /var/run/sldapd.pid 2> /dev/null` 2> /dev/null true endscript } Systemstart erster manueller Start Bevor wir nun unseren OpenLDAP-Server das erste mal starten, überprüfen wir noch mit einem configcheck ob der ldap-daemon mit unserem gerade erzeugten Konfigurationsparametern umgehen kann, oder ob es noch nicht entdeckte Fehler in der Konfiguration gibt. service slapd configtest Erfolgt keine Rückmeldung, so bedeutet dies, alles ist in bester Ordnung! Nun können wir unseren LDAP-Server das erste mal anstarten: service slapd start Starting slapd: [ OK ] Der erfolgreiche Start unseres slapd-daemon wird uns, Dank der Änderungen am Rsyslog, auch im Logfile /var/log/ldap.log auch entsprechend vermerkt. Oct 26 23:49:54 vml $OpenLDAP: slapd (Jun :27:10) $012011mockbuild@c6b6.bsys.dev.centos.org:/builddir/build/BUILD/openldap /openldap /build-servers/servers/slapd Oct 26 23:49:54 vml slapd[2024]: slapd starting Ob der Daemon läuft überprüfen wir am einfachsten mit folgender Abfrage: netstat -tulpen grep slapd tcp : :* LISTEN /slapd automatisches Starten des Dienste beim Systemstart Damit nun unser OpenLDAP-Datenbankserver beim Booten automatisch gestartet wird, nehmen wir noch folgende Konfigurationsschritte vor.

15 chkconfig slapd on Anschließend überprüfen wir noch unsere Änderung: chkconfig --list grep slapd slapd 0:off 1:off 2:on 3:on 4:on 5:on 6:off erste LDAP-Abfragen Mit nachfolgendem Befehl, kann eine erste Suchanfrage, gegen den OpenLDAP-Server durchgeführt werden, welche zwar ein leeres Ergbnis zurück liefern sollte, jedoch kann somit überprüft werden, ob grundsätzlich Abfragen möglich sind. ldapsearch -x -b "dc=nausch,dc=org" "(objectclass=*)" Als Ergebnis bekommen folgende Antwort. extended LDIF LDAPv3 base <dc=nausch,dc=org> with scope subtree filter: (objectclass=*) requesting: ALL search result search: 2 result: 32 No such object numresponses: 1 im Logfile des slapd-daemon wird unsere Anfrage entsprechend protokolliert. Oct 27 00:02:28 vml slapd[2024]: conn=4 fd=12 ACCEPT from IP=[::1]:54910 (IP=[::]:389) Oct 27 00:02:28 vml slapd[2024]: conn=4 op=0 BIND dn="" method=128 Oct 27 00:02:28 vml slapd[2024]: conn=4 op=0 RESULT tag=97 err=0 text= Oct 27 00:02:28 vml slapd[2024]: conn=4 op=1 SRCH base="dc=nausch,dc=org" scope=2 deref=0 filter="(objectclass=*)" Oct 27 00:02:28 vml slapd[2024]: conn=4 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text= Oct 27 00:02:28 vml slapd[2024]: conn=4 op=2 UNBIND Oct 27 00:02:28 vml slapd[2024]: conn=4 fd=12 closed Für den Zugriff auf den cn=config hatten wir bei der erstmaligen Konfiguration folgendes angegeben. Django : Make cn=config accessable database config rootdn "cn=config" rootpw {SSHA}MT/P3fPtBfI3E2bylGEFxv2/u1KxmVmO Mit Hilfe dieser Definition können wir nun ebenfalls die im *.LDIF-Format hinterlegten OpenLDAP- Server-Konfigurationen mit nachfolgendem Befehl abgefragt werden. Im folgenden Beispiel erfolgt die Abfrage des Konfigurationsabschnitt cn=config objectclass=olcglobal. ldapsearch -W -x -D cn=config -b cn=config "(objectclass=olcglobal)" Enter LDAP Password: extended LDIF LDAPv3 base <cn=config> with scope subtree filter: (objectclass=olcglobal)

16 requesting: ALL config dn: cn=config objectclass: olcglobal cn: config olcconfigfile: /etc/openldap/slapd.conf olcconfigdir: /etc/openldap/slapd.d olcallows: bind_v2 olcargsfile: /var/run/openldap/slapd.args olcattributeoptions: langolcauthzpolicy: none olcconcurrency: 0 olcconnmaxpending: 100 olcconnmaxpendingauth: 1000 olcgentlehup: FALSE olcidletimeout: 15 olcindexsubstrifmaxlen: 4 olcindexsubstrifminlen: 2 olcindexsubstranylen: 4 olcindexsubstranystep: 2 olcindexintlen: 4 olclocalssf: 71 olcloglevel: Stats olcpidfile: /var/run/openldap/slapd.pid olcreadonly: FALSE olcreferral: ldap://ldap.dmz.nausch.org olcreverselookup: FALSE olcsaslsecprops: noplain,noanonymous olcsockbufmaxincoming: olcsockbufmaxincomingauth: olcthreads: 16 olctlscrlcheck: none olctlsverifyclient: never olctoolthreads: 1 olcwritetimeout: 0 search result search: 2 result: 0 Success numresponses: 2 numentries: 1 Auch hier wird die Abfrage im Logfile des OpenLDAP-Servers protokolliert. Oct 27 00:04:46 vml slapd[2024]: conn=5 fd=12 ACCEPT from IP=[::1]:54911 (IP=[::]:389) Oct 27 00:04:46 vml slapd[2024]: conn=5 op=0 BIND dn="cn=config" method=128 Oct 27 00:04:46 vml slapd[2024]: conn=5 op=0 BIND dn="cn=config" mech=simple ssf=0 Oct 27 00:04:46 vml slapd[2024]: conn=5 op=0 RESULT tag=97 err=0 text= Oct 27 00:04:46 vml slapd[2024]: conn=5 op=1 SRCH base="cn=config" scope=2 deref=0 filter="(objectclass=olcglobal)" Oct 27 00:04:46 vml slapd[2024]: conn=5 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Oct 27 00:04:46 vml slapd[2024]: conn=5 op=2 UNBIND Oct 27 00:04:46 vml slapd[2024]: conn=5 fd=12 closed Nachfolgend wird der Konfigurationsabschnitt olcdatabase={0}config.ldif abgefragt: ldapsearch -W -x -D cn=config -b olcdatabase={0}config,cn=config Enter LDAP Password: extended LDIF LDAPv3

17 base <olcdatabase={0}config,cn=config> with scope subtree filter: (objectclass=*) requesting: ALL {0}config, config dn: olcdatabase={0}config,cn=config objectclass: olcdatabaseconfig olcdatabase: {0}config olcaccess: {0}to * by * none olcaddcontentacl: TRUE olclastmod: TRUE olcmaxderefdepth: 15 olcreadonly: FALSE olcrootdn: cn=config olcrootpw: {SSHA}MT/P3fPtBfI3E2bylGEFxv2/u1KxmVmO olcmonitoring: FALSE search result search: 2 result: 0 Success numresponses: 2 numentries: 1 Der Ausschnitt aus dem Logfile zeigt den erfolgreichen Abfrageversuch. Oct 26 23:54:58 vml slapd[2024]: conn=1 fd=12 ACCEPT from IP=[::1]:42483 (IP=[::]:389) Oct 26 23:54:58 vml slapd[2024]: conn=1 op=0 BIND dn="cn=config" method=128 Oct 26 23:54:58 vml slapd[2024]: conn=1 op=0 BIND dn="cn=config" mech=simple ssf=0 Oct 26 23:54:58 vml slapd[2024]: conn=1 op=0 RESULT tag=97 err=0 text= Oct 26 23:54:58 vml slapd[2024]: conn=1 op=1 SRCH base="olcdatabase={0}config,cn=config" scope=2 deref=0 filter="(objectclass=*)" Oct 26 23:54:58 vml slapd[2024]: conn=1 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Oct 26 23:54:58 vml slapd[2024]: conn=1 op=2 UNBIND Oct 26 23:54:58 vml slapd[2024]: conn=1 fd=12 closed Natürlich kann man auch den gesamten LDAP-Baum abfragen: ldapsearch -W -x -D cn=config -b cn=config Auch diese Abfrage, bei der wir auf Grund der Fülle an Informationen auf eine Ausgabe hier im Wiki verzichten, wird im Logfile protokolliert. Oct 27 00:07:22 vml slapd[2024]: conn=6 fd=13 ACCEPT from IP=[::1]:37073 (IP=[::]:389) Oct 27 00:07:22 vml slapd[2024]: conn=6 op=0 BIND dn="cn=config" method=128 Oct 27 00:07:22 vml slapd[2024]: conn=6 op=0 BIND dn="cn=config" mech=simple ssf=0 Oct 27 00:07:22 vml slapd[2024]: conn=6 op=0 RESULT tag=97 err=0 text= Oct 27 00:07:22 vml slapd[2024]: conn=6 op=1 SRCH base="cn=config" scope=2 deref=0 filter="(objectclass=*)" Oct 27 00:07:22 vml slapd[2024]: conn=6 op=1 SEARCH RESULT tag=101 err=0 nentries=10 text= Oct 27 00:07:22 vml slapd[2024]: conn=6 op=2 UNBIND Oct 27 00:07:22 vml slapd[2024]: conn=6 fd=13 closed Bei den err=-codes in der LDAP-Logdatei handelt es sich keineswegs nur um Error-Meldungen. Vielmehr werden hier viele Rückmeldungen in Zahlenwerte codiert, wie z.b. err=0 für O.K.. Eine Auflistung der gängigen Rückmeldecodes ist hier zu finden.

18 Links Zurück zum Kapitel >>OpenLDAP Server unter CentOS 6.x<< Zurück zu >>Projekte und Themenkapitel<< Zurück zur Startseite

19 Datenerstbefüllung des OpenLDAP Servers Nachdem wir die Grundinstallation des OpenLDAP Servers erfolgreich abgeschlossen haben, werden wir im nächsten Schritt unsere Berkely-Datenbank mit Inhalt befüllen. Diese Daten, die aus Distinguished Names (DN) und einem eindeutigen Objektnamen bestehen, müssen hierzu in den Directory Information Tree (DIT), einer hierarchischen Baumstruktur eingefügt werden. Directory Information Tree Zur Übernahme bereits bestehender Nutzer aus dem LINUX-Grundsystem (/etc/passwd, /etc/group) werden wir uns zunächst einen passenden DIT anlegen. Diese Informationen werden wir auch wieder in.ldif-dateien in einem zugehörigen Verzeichnis abgespeichert. vorbereitende Konfiguration Bevor wir nun im Detail beginnen werden unsere DIT zu erstellen, beenden wir erst einmal unseren eventuell noch laufenden slapd-dämon. service slapd status slapd (pid 2024) is running... service slapd stop Stopping slapd: [ OK ] Im ersten Schritt werden wir nun unser Unterverzeichnis für die.ldif Dateistrukturen unseres DIT anlegen. mkdir /etc/openldap/ldif Anschließend legen wir noch die Benutzer- und Gruppenrechte, sowie die Dateirechte entsprechend an. chown ldap.ldap /etc/openldap/ldif/ -R chmod 700 /etc/openldap/ldif/ -R Im letzten Schritt vor dem eigentlichem Erstellen der DIT erstellen wir uns noch eine Konfigurationsdatei für unsere verwendete Domäne nausch.org.ldif und legen diese im Verzeichnis /etc/openldap/ldif/ ab. vim /etc/openldap/ldif/nausch.org.ldif /etc/openldap/ldif/nausch.org.ldif Build the root node. dn: dc=nausch,dc=org dc: Nausch objectclass: dcobject objectclass: organizationalunit ou: nausch Dot org Build the Manager cn. dn: cn=manager,dc=nausch,dc=org cn: Manager objectclass: organizationalrole Build the People ou. dn: ou=people,dc=nausch,dc=org ou: People objectclass: organizationalunit

20 Build the Group ou. dn: ou=group,dc=nausch,dc=org ou: Group objectclass: organizationalunit Datenübernahme aus.ldif in die DIT Nachdem wir nun die vorbereitenden Aufgaben erledigt haben werden wir im nächsten Schritt die Daten aus der *.LDIF-Datei in den Directory Information Tree überführen. Hierzu benutzen wir nachfolgenden Befahlsaufruf: slapadd -v -l /etc/openldap/ldif/nausch.org.ldif added: "dc=nausch,dc=org" ( ) added: "cn=manager,dc=nausch,dc=org" ( ) _ 77.52% eta none elapsed none spd /s added: "ou=people,dc=nausch,dc=org" ( ) added: "ou=group,dc=nausch,dc=org" ( ) % eta none elapsed none fast! Closing DB... Bevor wir nun unseren OpenLDAP-Server wieder starten korrigieren wir noch die Nutzerrechte der neu angelegten Dateien im Verzeichnis /var/lib/ldap. chown ldap:ldap /var/lib/ldap/cn.bdb /var/lib/ldap/objectclass.bdb /var/lib/ldap/ou.bdb erster Test Damit wir den gerade durchgeführten Import in den DIT auch überprüfen können, müssen wir unseren OpenLDAP-Server wieder starten. service slapd start Starting slapd: [ OK ] Der erfolgreiche Start wurde im ldap-logfile /var/log/ldap.log auch entsprechend quittiert. Oct 27 11:58:43 vml $OpenLDAP: slapd (Jun :27:10) $012011mockbuild@c6b6.bsys.dev.centos.org:/builddir/build/BUILD/openldap /openldap /build-servers/servers/slapd Oct 27 11:58:43 vml slapd[8071]: slapd starting Ob nun das Anlegen der DIT erfolgreich war oder nicht, fragen wir nun mit folgender Suchanfrage ab. ldapsearch -x -b "dc=nausch,dc=org" "(objectclass=*)" extended LDIF LDAPv3 base <dc=nausch,dc=org> with scope subtree filter: (objectclass=*) requesting: ALL nausch.org dn: dc=nausch,dc=org dc: Nausch objectclass: dcobject objectclass: organizationalunit ou: nausch Dot org Manager, nausch.org dn: cn=manager,dc=nausch,dc=org cn: Manager objectclass: organizationalrole

21 People, nausch.org dn: ou=people,dc=nausch,dc=org ou: People objectclass: organizationalunit Group, nausch.org dn: ou=group,dc=nausch,dc=org ou: Group objectclass: organizationalunit search result search: 2 result: 0 Success numresponses: 5 numentries: 4 Im Logfile des slapd-daemon wird unsere erfolgreiche Abfrage entsprechend protokolliert. Oct 27 12:04:26 vml slapd[8071]: conn=4 fd=12 ACCEPT from IP=[::1]:56589 (IP=[::]:389) Oct 27 12:04:26 vml slapd[8071]: conn=4 op=0 BIND dn="" method=128 Oct 27 12:04:26 vml slapd[8071]: conn=4 op=0 RESULT tag=97 err=0 text= Oct 27 12:04:26 vml slapd[8071]: conn=4 op=1 SRCH base="dc=nausch,dc=org" scope=2 deref=0 filter="(objectclass=*)" Oct 27 12:04:26 vml slapd[8071]: conn=4 op=1 SEARCH RESULT tag=101 err=0 nentries=4 text= Oct 27 12:04:26 vml slapd[8071]: conn=4 op=2 UNBIND Oct 27 12:04:26 vml slapd[8071]: conn=4 fd=12 closed Benutzermigration mit Hilfe der migrationstools In den seltensten Fällen haben wir eine Installation ohne jegliche Benutzer; in der Regel befinden sich auf unserem LINUX-System bereits angelegte Nutzer mit Ihren Konten. Diesen Nutzer wird immer eine UserID (uid) ab 500 zugewiesen. Somit ist eine Unterscheidung zwischen realen Nutzern und technischen Nutzeraccounts relativ leicht möglich. Die hierzu erforderlichen Daten bekommen wir aus den beiden Dateien /etc/group und /etc/passwd. Installation Zur leichteren Übernahme der Nutzerdaten bedienen wir uns der Hilfsprogramme aus dem RPM-Paket migrationtools aus dem Base-Repository, welches wir nun zuerst installieren wollen. yum install migrationtools -y Was uns dieses RPM-Paket alles an Hilfsmittel mitbringt zeigt uns ein Blick in das Paket selbst. rpm -qil migrationtools Name : migrationtools Relocations: (not relocatable) Version : 47 Vendor: CentOS Release : 7.el6 Build Date: Tue 24 Aug :09:18 PM CEST Install Date: Thu 27 Oct :23:20 PM CEST Build Host: c6b2.bsys.dev.centos.org Group : System Environment/Daemons Source RPM: migrationtools-47-7.el6.src.rpm Size : License: BSD Signature : RSA/8, Sun 03 Jul :30:14 AM CEST, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem < URL : Summary : Migration scripts for LDAP Description : The MigrationTools are a set of Perl scripts for migrating users, groups,

22 aliases, hosts, netgroups, networks, protocols, RPCs, and services from existing nameservices (flat files, NIS, and NetInfo) to LDAP. /usr/share/doc/migrationtools-47 /usr/share/doc/migrationtools-47/readme /usr/share/doc/migrationtools-47/migration-tools.txt /usr/share/migrationtools /usr/share/migrationtools/migrate_aliases.pl /usr/share/migrationtools/migrate_all_netinfo_offline.sh /usr/share/migrationtools/migrate_all_netinfo_online.sh /usr/share/migrationtools/migrate_all_nis_offline.sh /usr/share/migrationtools/migrate_all_nis_online.sh /usr/share/migrationtools/migrate_all_nisplus_offline.sh /usr/share/migrationtools/migrate_all_nisplus_online.sh /usr/share/migrationtools/migrate_all_offline.sh /usr/share/migrationtools/migrate_all_online.sh /usr/share/migrationtools/migrate_automount.pl /usr/share/migrationtools/migrate_base.pl /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_fstab.pl /usr/share/migrationtools/migrate_group.pl /usr/share/migrationtools/migrate_hosts.pl /usr/share/migrationtools/migrate_netgroup.pl /usr/share/migrationtools/migrate_netgroup_byhost.pl /usr/share/migrationtools/migrate_netgroup_byuser.pl /usr/share/migrationtools/migrate_networks.pl /usr/share/migrationtools/migrate_passwd.pl /usr/share/migrationtools/migrate_profile.pl /usr/share/migrationtools/migrate_protocols.pl /usr/share/migrationtools/migrate_rpc.pl /usr/share/migrationtools/migrate_services.pl /usr/share/migrationtools/migrate_slapd_conf.pl Konfiguration Vor der Migration unserer Daten ist es noch notwendig, das mitgelieferte Hilfsprogramm migrate_common.ph unserer Produktivumgebung anzupassen. vim /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_common.ph $Id: migrate_common.ph,v /04/15 03:09:33 lukeh Exp $ Copyright (c) Luke Howard. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by Luke Howard. 4. The name of the other may not be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE LUKE HOWARD ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL LUKE HOWARD BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)

23 HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Common defines for MigrationTools Naming contexts. Key is $PROGRAM with migrate_ and.pl stripped off. $NETINFOBRIDGE = (-x "/usr/sbin/mkslapdconf"); if ($NETINFOBRIDGE) { $NAMINGCONTEXT{'aliases'} = "cn=aliases"; $NAMINGCONTEXT{'fstab'} = "cn=mounts"; $NAMINGCONTEXT{'passwd'} = "cn=users"; $NAMINGCONTEXT{'netgroup_byuser'} = "cn=netgroup.byuser"; $NAMINGCONTEXT{'netgroup_byhost'} = "cn=netgroup.byhost"; $NAMINGCONTEXT{'group'} = "cn=groups"; $NAMINGCONTEXT{'netgroup'} = "cn=netgroup"; $NAMINGCONTEXT{'hosts'} = "cn=machines"; $NAMINGCONTEXT{'networks'} = "cn=networks"; $NAMINGCONTEXT{'protocols'} = "cn=protocols"; $NAMINGCONTEXT{'rpc'} = "cn=rpcs"; $NAMINGCONTEXT{'services'} = "cn=services"; } else { $NAMINGCONTEXT{'aliases'} = "ou=aliases"; $NAMINGCONTEXT{'fstab'} = "ou=mounts"; $NAMINGCONTEXT{'passwd'} = "ou=people"; $NAMINGCONTEXT{'netgroup_byuser'} = "nismapname=netgroup.byuser"; $NAMINGCONTEXT{'netgroup_byhost'} = "nismapname=netgroup.byhost"; $NAMINGCONTEXT{'group'} = "ou=group"; $NAMINGCONTEXT{'netgroup'} = "ou=netgroup"; $NAMINGCONTEXT{'hosts'} = "ou=hosts"; $NAMINGCONTEXT{'networks'} = "ou=networks"; $NAMINGCONTEXT{'protocols'} = "ou=protocols"; $NAMINGCONTEXT{'rpc'} = "ou=rpc"; $NAMINGCONTEXT{'services'} = "ou=services"; } Default DNS domain Django : Domäne nausch.org angepasst default : $DEFAULT_MAIL_DOMAIN = "padl.com"; $DEFAULT_MAIL_DOMAIN = "nausch.org"; Default base Django : Domäne nausch.org angepasst default : $DEFAULT_BASE = "dc=padl,dc=com"; $DEFAULT_BASE = "dc=nausch,dc=org"; Turn this on for inetlocalmailreceipient sendmail support; add the following to sendmail.mc (thanks to Petr@Kristof.CZ): CUT HERE define(`confldap_default_spec',`-h "ldap.padl.com"')dnl LDAPROUTE_DOMAIN_FILE(`/etc/mail/ldapdomains')dnl FEATURE(ldap_routing)dnl CUT HERE where /etc/mail/ldapdomains contains names of ldap_routed domains (similiar to MASQUERADE_DOMAIN_FILE). $DEFAULT_MAIL_HOST = "mail.padl.com"; turn this on to support more general object clases such as person. $EXTENDED_SCHEMA = 0;