17 Lösungsansätze mit Overlays



Ähnliche Dokumente
Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Internationales Altkatholisches Laienforum

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil C3:

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

LDAP. Universität zu Köln IT-Zertifikat Allgemeine Technologien 1 Dozentin: Susanne Kurz M.A Referent: Branko Dragoljic

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Dokumentation IBIS Monitor

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

teamsync Kurzanleitung

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Schritt 1. Anmelden. Klicken Sie auf die Schaltfläche Anmelden

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Workflows verwalten. Tipps & Tricks

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

How to install freesshd

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Magento MultiStore einrichten unter ispcp

Klicke auf den Button "Hinzufügen" und wähle die Option " ", um einen neuen -account

Lehrer: Einschreibemethoden

Abwesenheitsnotiz im Exchange Server 2010

StudyDeal Accounts auf

Fotogalerie mit PWGallery in Joomla (3.4.0) erstellen

Anleitung über den Umgang mit Schildern

Der Product Activation Manager (PAM) dient dazu Software-Lizenzen anzuzeigen, zu verwalten und abzurufen.

Einrichten von LDAP. 1. Erstellen der Haupt-Konfigurationsdatei ldapmaster:~ # cat /etc/openldap/slapd.conf grep -v ^# uniq

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Arbeiten mit Workflows Installationsleitfaden Zur Installation des d3 Workflows

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Menü auf zwei Module verteilt (Joomla 3.4.0)

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Tutorial Einrichtung eines lokalen MySQL-Servers für den Offline-Betrieb unter LiveView

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Installationsanleitung des VPN-Clients

BEDIENUNG ABADISCOVER

Tutorial -

Drucken aus der Anwendung

AutoCAD Dienstprogramm zur Lizenzübertragung

Professionelle Seminare im Bereich MS-Office

Anleitung Postfachsystem Inhalt

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

ZAHLUNGSAVIS. Im Zahlungsprogrammteil automatisch erstellen

STRATO Mail Einrichtung Mozilla Thunderbird

podcast TUTORIAL Zugriff auf das Bildarchiv der Bergischen Universität Wuppertal über den BSCW-Server

White Paper - Umsatzsteuervoranmeldung Österreich ab 01/2012

Wordpress: Blogbeiträge richtig löschen, archivieren und weiterleiten

Kapitel 7 - Wägungen

WinVetpro im Betriebsmodus Laptop

Kurzanleitung der Gevopa Plattform

Hinweise zur Nutzung des E-Learning Systems Blackboard (Teil 4): Teil I: Informationen über andere Beteiligte des Kurses

Handbuch. TMBackup R3

Norman Security Portal - Quickstart Guide

Konfiguration der tiptel Yeastar MyPBX IP-Telefonanlagen mit Peoplefone Business SIP Trunk

f Link Datenbank installieren und einrichten

Anleitung zur Installation von PGP auf MacOSx

Einrichtungsanleitungen für Domains, Benutzer, Mailboxen und Öffentliche Ordner im ControlPanel

Erstellen eigener HTML Seiten auf ewon

Hinweise zur Datensicherung für die - Prüfmittelverwaltung - Inhalt

Mailkonto einrichten Outlook 2010 (IMAP)

I Serverkalender in Thunderbird einrichten

Lizenzen auschecken. Was ist zu tun?

2. Einrichtung der Verbindung zum Novell-NetStorage-Server

Nutzung von GiS BasePac 8 im Netzwerk

Guide DynDNS und Portforwarding

Windows Server 2012 RC2 konfigurieren

NOXON Connect Bedienungsanleitung Manual

Sourcecodeverwaltung

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

ecall sms & fax-portal

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Vorbereitung auf die SEPA-Umstellung

Medea3 Print-Client (m3_print)

Enigmail Konfiguration

Benachrichtigungsmöglichkeiten in SMC 2.6

Benutzerhandbuch - Elterliche Kontrolle

Internetkommunikation I WS 2005 / Fachhochschule Bonn-Rhein-Sieg. LDAP und Adressbuch. Mail-Client, Handy, PDA-Adressbuch gespeist aus LDAP

Einrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications

1 Mathematische Grundlagen

Neuinstallation Einzelplatzversion

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

BENUTZERHANDBUCH FHD FORMATTER SOFTWARE. Rev. 105/Mac

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Anleitung zur Einrichtung eines POP 3 -Postfaches als Schiedsperson oder Friedensrichter mit Microsoft Outlook Express

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Windows Vista Security

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Kapitel 3 Bilder farblich verändern - Arbeiten mit Objekten

Transkript:

175 17 Lösungsansätze mit Overlays Im Abschnitt 11.1.2 auf Seite 87 wurden Overlays vorgestellt, deren Einsatz dann auch in unterschiedlichen Konfigurationsbeispielen vorgestellt wird. In diesem Kapitel beschreiben wir nun einige Aufgaben und deren Lösungsansätze, die mit einem Overlay realisiert werden können, aber bisher noch nicht beschrieben wurden. 17.1 Dynamische Einträge erstellen, darstellen und verwalten Stellen wir uns folgendes Szenario vor: In einem Unternehmen werden die Netzwerkadressen durch einen DHCPD dynamisch vergeben, die Leases werden in einem Verzeichnisdienst als dynamic Entries hinterlegt. Als Attributtyp für die Internetadresse wird iphostnumber verwendet. Die Aufgabe ist nun, festzustellen, welche Hosts zu einer gegebenen Zeit im Netz vorhanden sind. Die Lösung kann mit den beiden Overlays dds und dynlist realisiert werden. Das Overlay dds wurde schon in Abschnitt 11.4.3 auf Seite 104 beschrieben. Zuerst soll einmal das Ergebnis präsentiert werden: ldapsearch -LLL -Y digest-md5 -H ldap://localhost:9004 \ -b cn=mydynamichosts,o=avci,c=de -s base \ (objectclass=groupofurls) iphostnumber SASL/DIGEST-MD5 authentication started Please enter your password: SASL username: dieter SASL SSF: 128 SASL data security layer installed. dn: cn=dynamicgroup,o=avci,c=de Das ist z.b. mit ISC-DHCP und der Erweiterung für LDAP-Support möglich, obwohl dann andere Attributtypen benutzt werden. Listing 17.1 Suchergebnis dn: cn=mydynamichosts,o=avci,c=de iphostnumber: 192.168.100.31 iphostnumber: 192.168.100.32 iphostnumber: 192.168.100.33 iphostnumber: 192.168.100.56

176 17 Lösungsansätze mit Overlays Und dies ist das Suchergebnis eines Host-Eintrags: ldapsearch -LLL -Y digest-md5 -H ldap://localhost:9004 \ -b ou=myhosts,o=avci,c=de -s one cn=klm "*" + SASL/DIGEST-MD5 authentication started Please enter your password: SASL username: dieter SASL SSF: 128 SASL data security layer installed. dn: cn=klm,ou=myhosts,o=avci,c=de uid: klm cn: klm iphostnumber: 192.168.100.56 objectclass: account objectclass: iphost objectclass: dynamicobject entryttl: 7200 entryexpiretimestamp: 20070620193636Z structuralobjectclass: account entryuuid: 89b7e07c-b3a0-102b-9faa-77ec14ffb1df creatorsname: cn=admin,o=avci,c=de createtimestamp: 20070620173636Z entrycsn: 20070620173636.022652Z#000000#000#000000 modifiersname: cn=admin,o=avci,c=de modifytimestamp: 20070620173636Z entrydn: cn=klm,ou=myhosts,o=avci,c=de subschemasubentry: cn=subschema hassubordinates: FALSE Aus diesem Listing wird ersichtlich, dass vier Hosts zur Zeit online sind, Host cn=klm mit der Adresse 192.168.100.56 hat eine Time To Live von 7200 Sekunden und wird um 19:36 UTC wieder entfernt; dies sagen uns die operationalen Attribute entryttl und entryexpiretimestamp. Der Eintrag ou=myhosts,o=avci,c=de muss natürlich vorhanden sein, die einzelnen Host-Einträge werden zur Laufzeit dynamisch hinzugefügt, es dürfen also keine statischen Einträge sein. Die slapd.conf enthält die im folgenden Listing gezeigten Parameter: Listing 17.2 dynamic Host slapd.conf include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/dyngroup.schema pidfile /var/run/slapd.pid argsfile /var/run/slapd.args modulepath /usr/libexec/openldap

17.1 Dynamische Einträge erstellen, darstellen und verwalten 177 moduleload dds.la moduleload dynlist.la access to dn.base="" by * read access to dn.base="cn=subschema" by * read access to * by self write by users read by anonymous auth database config rootdn cn=config rootpw geheim database hdb suffix "o=avci,c=de" rootdn "cn=admin,o=avci,c=de" rootpw strenggeheim checkpoint 1024 5 cachesize 2000 idlcachesize 6000 directory /var/lib/openldap/ldap/ index objectclass eq index default pres,eq index mail,telephonenumber index cn,sn,uid eq,sub index entryuuid eq access to attrs=entryttl by dnattr=creatorsname manage by * read <Weitere Access-Regeln> overlay dynlist dynlist-attrset groupofurls memberurl overlay dds dds-default-ttl 7200 dds-interval 1800 database monitor Eine minimale LDIF-Datei zur Einrichtung eines Subtrees und einer Gruppe zeigt das folgende Listing. Die dynamischen Einträge werden dann im Subtree ou=myhosts,o=avci,c=de angelegt, während die Suchbasis die Gruppe cn=mydynamichosts,o=avci,c=de ist.

178 17 Lösungsansätze mit Overlays Listing 17.3 dynamic.ldif dn: ou=myhosts,o=avci,c=de objectclass: organizationalunit ou: myhosts description: subtree for dynamic iphostnumbers dn: cn=mydynamichosts,o=avci,c=de objectclass: groupofurls cn: mydynamichosts memberurl: ldap:///ou=myhosts,o=avci,c=de \?iphostnumber?one?(objectclass=iphost) Bei der Erzeugung des dynamicgroup-eintrages werden auch die operationalen Attribute entryttl und entryexpiretimestamp erstellt, wobei der Wert für entryexpiretimestamp sich aus der Addition der Werte von createtimestamp oder modifytimestamp und entryttl ergibt. Nach Erreichen des Zeitstempels für entryexpiretimestamp wird der Eintrag gelöscht. Die Lebensdauer des Eintrages kann aber durch eine refresh-operation verlängert werden. Abweichend von RFC 2589 wird bei OpenLDAP der managedit-control-oid in Verbindung mit einem Modify des operationalen Attributes entryttl als Refresh-Operation genutzt. Im Listing 17.2 auf Seite 176 wird als Access-Regel die Be- rechtigung manage angegeben. Diese Berechtigung führt dazu, dass die in der Wer-Regel definierte Identität das managedit-control ausführen darf. Der Attributtyp entryttl ist als NO-USER-MODIFICATION deklariert, der Wert darf also nicht verändert werden. Um nun als Refresh-Operation trotzdem den Zeitstempel zu modifizieren, wird die Berechtigung manage deklariert. Das Tool ldapmodify wird mit dem zusätzlichen Parameter -e relax aufgerufen, um das Control zu aktivieren. Mit dem Tool web2ldap, das in Abschnitt 18.3.1 auf Seite 187 vorgestellt wird, lässt sich die Refresh-Operation leicht bewerkstelligen: im Login-Fenster auf den Button Connection Info drücken, dann unter LDAP Options Manage DIT aktivieren, anschließend den infrage kommenden Eintrag aufrufen und den Wert für entryttl modifizieren. managedit Control ist ersetzt worden durch relax Control. 17.2 Konsolidierte Attributdarstellung Eine Mischform aus Proxy und Referral bietet das Overlay translucent. Es können damit die Datensätze von zwei oder mehr Verzeichnisdiensten so zusammengefügt werden, dass sie eine konsolidierte, vereinigte Sicht bieten. Nehmen wir an, es existieren zwei Verzeichnisdienste, die beide ein Adressbuch führen, aber mit unterschiedlichem Inhalt. Statt

17.2 Konsolidierte Attributdarstellung 179 nun beide Server nach einer bestimmten Adresse zu durchsuchen, genügt es, einen Suchauftrag an einen Masterserver zu übergeben, der dann, durch das translucent Overlay, ein oder mehrere konsolidierte Suchergebnisse liefert. Als Proof of Concept stellen wir eine Basiskonfiguration vor. include <die relevanten Schemadateien> modulepath /opt/openldap/libexec/openldap/ moduleload translucent.la... database hdb suffix o=avci,c=de rootdn cn=admin,o=avci,c=de rootpw geheim access to * by cn=replicator,o=avci,c=de wx by users rcx by * auth x index objectclass eq index cn,sn,uid pres,eq,sub Listing 17.4 slapd.conf Masterserver overlay translucent translucent _ no _ glue uri ldapi://%2fvar%2frun%2fldapi acl-bind binddn=cn=replicator,o=avci,c=de credentials=geheim lastmod off database monitor Die nachstehende LDIF-Datei enthält nur vier Einträge, die aber vollkommen ausreichend sind. dn: o=avci,c=de objectclass: organization o: avci dn: ou=adressbuch,o=avci,c=de objectclass: organizationalunit ou: adressbuch dn:cn=replicator,o=avci,c=de objectclass: person objectclass: uidobject cn: replicator sn: replicator uid: replicator userpassword: geheim

180 17 Lösungsansätze mit Overlays dn: cn=franz Meier,ou=adressbuch,o=avci,c=de objectclass: inetorgperson cn: Franz Meier sn: Meier userpassword: strenggeheim mail: fm@avci.de telephonenumber: +4930543678 Eine Suche, wie im folgenden Beispiel demonstriert, ldapsearch -Y GSSAPI -H ldap://localhost:9004 \ -b ou=adressbuch,o=avci,c=de -s one \ "(&(objectclass=inetorgperson)(sn=klu*))" \ mail telephonenumber liefert nun den gewünschten Eintrag, der sich auf dem Host localhost:389 befindet, zurück. Modifikationen an beiden Databases, sowohl der entfernten als auch der lokalen, sind prinzipiell möglich. Die entsprechenden Konfigurationsanleitungen befinden sich in der Manual Page slapo-translucent(5). 17.3 Passwort-Regeln und Kontrolle Die Informationstechnologie kreiert ständig neue Schlagwörter. Zur Zeit ist Compliance in aller Munde. Darunter ist die Übereinstimmung mit einem festen Regelwerk zu verstehen. Das Regelwerk setzt sich aus unternehmensinternen Richtlinien und externen Vorschriften und Gesetzen zusammen, die einerseits den sicheren Betrieb einer komplexen IT-Infrastruktur gewährleisten und andererseits die Kontrolle über die IT-Prozesse ermöglichen. Ein Regelsatz zur Erstellung und Nutzung von Passwörtern ist zwingender Bestandteil aller Richtlinien. Solch ein Regelsatz wird als Password Policy bezeichnet. OpenLDAP ermöglicht die Umsetzung einer Password Policy durch das Overlay ppolicy. Die Basis dieses Overlays ist der IETF-Vorschlag draft-behera-ldap-password-policy-07.txt. Diesem Vorschlag liegt auch das Schema ppolicy.schema zugrunde, das natürlich inkludiert werden muss, sofern die Passwortkontrolle realisiert werden soll. Dieser Vorschlag und damit das Schema enthalten zwei Attribute, die besonderes Augenmerk verlangen. Der Attributtyp pwdattribute hat die Syntax OID, was bedeutet, dass der Wert dieses Attributtyps als OID notiert werden muss. Da das Overlay ppolicy zur Zeit nur den Attributtyp userpassword unterstützt, muss der OID 2.5.4.35 angegeben werden.

17.3 Passwort-Regeln und Kontrolle 181 Der Attributtyp pwdpolicysubentry wird als operational mit NO-USER-MODIFICATION deklariert. Es ist also nicht ohne Weiteres möglich, einen Eintrag anzulegen, der dieses Attribut enthält, wie in Listing 17.7 auf der nächsten Seite dargestellt wird. Um eine solche LDIF- Datei zu laden, muss die managedit-control-operation aktiviert werden. Falls das Tool ldapadd benutzt wird, ist zusätzlich der Schalter - M zu verwenden, die Manual Page ldapadd(1) gibt weitere Informationen, die Manual Page slapo-ppolicy(5) beschreibt die Konfiguration des Overlays und enthält eine vollständige Dokumentation der Attribute und Objektklassen. Das folgende Listing 17.5 zeigt die grundlegende Konfiguration. include /etc/openldap/schema/ppolicy.schema moduleload ppolicy.la database hdb suffix "o=avci,c=de" rootdn "cn=admin,o=avci,c=de" rootpw geheim... overlay ppolicy ppolicy _ default "cn=guests,ou=policies,o=avci,c=de ppolicy _ use _ lockout Listing 17.5 Password-Policy- Konfiguration Das Regelwerk selbst wird in einem Eintrag als Attribut notiert. Hierbei kann ein globales Regelwerk in einem oder mehreren Einträgen oder direkt in einem User-Eintrag definiert werden. Falls viele Anwender vorhanden sind, ist die Beschreibung des Regelwerkes in einem gesonderten Eintrag vorzuziehen, wie in Listing 17.6 beschrieben wird. Hierbei ist zu berücksichtigen, dass alle Zeitangaben in Sekunden notiert werden müssen. dn: ou=policies,o=avci,c=de objectclass: organizationalunit ou: policies Listing 17.6 Anwender-Policy dn: cn=anwender,ou=policies,o=avci,c=de cn: anwender objectclass: organizationalrole objectclass: pwdpolicy pwdallowuserchange: TRUE pwdattribute: 2.5.4.35 pwdcheckquality: 1 pwdexpirewarning: 86400 pwdgraceauthnlimit: 2 pwdinhistory: 6

182 17 Lösungsansätze mit Overlays pwdlockout: TRUE pwdlockoutduration: 1800 pwdmaxage: 250000 pwdmaxfailure: 3 pwdminage: 3600 pwdminlength: 6 pwdmustchange: TRUE pwdsafemodify: FALSE Ein User-Eintrag kann nur nach der Aktivierung der Passwort-Kontrolle angelegt werden. Listing 17.7 User-Eintrag Es ist wichtig zu bedenken, dass Anwender-Einträge erst nach der Aktivierung der Passwort-Kontrolle angelegt werden können. Die nachträgliche Erweiterung eines bereits bestehenden User-Eintrags ist nicht möglich. Wie im Listing 17.7 dargestellt, muss ein Anwender zusätzlich der auxiliaren Objektklasse pwdpolicy angehören, das Attribut pwdattribute wird von dieser Objektklasse als zwingend (MUST) vorgeschrieben. Sofern nur eine Password Policy vorliegt, kann diese über den Eintrag in slapd.conf mit dem Parameter ppolicy_default gesteuert werden und das operationale Attribut pwdpolicysubentry kann entfallen. dn: cn=hans Mustermann,ou=Mitarbeiter,o=avci,c=de cn: Hans Mustermann displayname: Mustermann mail: hamu@avci.de objectclass: inetorgperson objectclass: pwdpolicy postaladdress: 12345$Berlin$Werkstr. 123 postalcode: 12345 pwdattribute: 2.5.4.35 sn: Mustermann street: Werkstr. 123 telephonenumber: +49.30.9876543 userpassword: geheim pwdpolicysubentry: cn=anwender,ou=policies,o=avci,c=de Die regelmäßige Änderung des Passwortes wird sinnvollerweise unter Verwendung des Password Modify Extended Operation Control, beschrieben in RFC 3062, durchgeführt. Jedes aktuelle Administrationstool ist in der Lage, diese Control-Operation auszuführen.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback