Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 13. Lightweight Directory Access Protocol (LDAP) | Nach vorne |
Die Suite der OpenLDAP Bibliotheken und Tools ist über folgende Pakete verteilt:
openldap — Enthält die Bibliotheken welche zum Ausführen der OpenLDAP Server- und Client-Applikationen benötigt werden.
openldap-clients — Enthält die Befehlszeilentools zur Ansicht und zum Verändern der Verzeichnisse auf einem LDAP-Server.
openldap-server — Enthält die Server und andere Tools, welche zum Konfigurieren und für den Betrieb eines LDAP Servers benötigt werden.
Das openldap-servers-Paket enthält zwei Server: den Standalone LDAP Daemon (/usr/sbin/slapd) und den Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd).
Der slapd-Daemon ist der eigenständige LDAP-Server, während der slurpd-Daemon zum Synchronisieren der Änderungen von einem LDAP-Server auf andere LDAP-Server im Netzwerk verwendet wird. Der slurpd-Daemon ist nur erforderlich, wenn mehrere LDAP-Server verwendet werden.
Das openldap-server-Paket installiert zum Durchführen von Verwaltungsaufgaben folgende Utilities in /usr/sbin:
slapadd — Fügt Einträge aus einer LDIF-Datei in ein LDAP-Verzeichnis ein. /usr/sbin/slapadd-l ldif-Eingabe liest die LDIF-Datei, ldif-Eingabe, welche die neuen Einträge enthält.
slapcat — Entnimmt Einträge aus einem LDAP-Verzeichnis im Standardformat — Berkeley DB — und speichert diese in einer LDIF-Datei. Der Befehl /usr/sbin/slapcat -l ldif-Ausgabe gibt zum Beispiel eine LDIF-Datei ldif-Ausgabe aus, welche die Einträge aus dem LDAP-Verzeichnis enthält.
slapcat-gdbm — Zieht Einträge aus dem LDAP-Verzeichnis im gdbm-Format (die Vorgabe in früheren OpenLDAP-Versionen) und speichert diese in einer LDIF-Datei. Dieser Befehl wird lediglich zur Migration eines Verzeichnisses von OpenLDAP unter Red Hat Enterprise Linux 2.1 und Red Hat Linux Versionen 7.x bis 8 verwendet. Sehen Sie Abschnitt 13.8 für Informationen zur Verwendung dieses Befehls.
slapindex — Indiziert das slapd-Verzeichnis auf Grundlage des aktuellen Inhalts neu. Dieses Tools sollte ausgeführt werden, wenn die Indexing-Optionen in /etc/openldap/slapd.conf geändert werden.
slappasswd — Generiert einen verschlüsselten Wert eines Benutzerpasswortes zur Verwendung mit dem ldapmodify- oder rootpw-Wert in der slapd-Konfigurationsdatei /etc/openldap/slapd.conf. Führen Sie /usr/sbin/slappasswd aus, um das Passwort zu erstellen.
![]() | Warnung |
---|---|
Stellen Sie sicher, dass slapd mit Hilfe von /usr/sbin/service slapd stop angehalten wird, bevor Sie slapadd, slapcat oder slapindex verwenden. Andernfalls riskieren Sie die Integrität des LDAP-Verzeichnis. |
Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man-Seiten.
Das openldap-clients-Paket installiert Tools zum Hinzufügen, Ändern und Löschen von Einträgen eines LDAP-Verzeichnisses in /usr/bin/. Diese Tools beinhalten Folgendes:
ldapadd — Fügt durch Annehmen von Eingaben über eine Datei oder der Standardeingabe Einträge zum Verzeichnis hinzu. ldapadd ist nichts anderes als ein harter Link zu ldapmodify -a.
ldapdelete — Löscht Einträge aus einem LDAP-Verzeichnis durch Annehmen von Eingaben des Benutzers am Terminal oder über eine Datei.
ldapmodify — Ändert Einträge in einem LDAP-Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe.
ldappasswd — Setzt das Passwort für einen LDAP-Benutzer.
ldapsearch — Sucht mit Hilfe eines Shell-Prompts im LDAP-Verzeichnis nach Einträgen.
Alle Utilities, ldapsearch ausgenommen, sind einfacher durch Verweisen auf eine Datei mit den vorzunehmenden Änderungen zu verwenden, als durch Eingabe eines Befehls für jeden Eintrag, der in einem LDAP-Verzeichnis geändert werden soll. Das Format solcher Dateien wird auf der man-Seite der jeweiligen Applikation skizziert.
Neben den OpenLDAP-Paketen enthält Red Hat Enterprise Linux das Paket nss_ldap, das die Möglichkeit LDAP in Linux- und andere UNIX-Umgebungen zu integrieren optimiert.
Das Paket nss_ldap stellt folgende Module zur Verfügung:
/lib/libnss_ldap-<glibc-version>.so
/lib/security/pam_ldap.so
Die libnss_ldap-<glibc-version>.so Module ermöglichen Applikationen, Benutzer, Gruppen, Hosts und sonstige Informationen mit Hilfe eines LDAP-Verzeichnisses über die Schnittstelle Nameservice Switch (NSS) zu suchen (ersetzen Sie <glibc-version> mit der verwendeten Version von libnss_ldap). NSS erlaubt Applikationen eine Authetifizierung unter Verwendung von LDAP in Verbindung mit dem Name-Service Network Information Service (NIS) und Klartext-Authentifizierungsdateien.
Das Modul pam_ldap ermöglicht PAM-fähigen Applikationen, Benutzer mit Hilfe von in einem LDAP-Verzeichnis gespeicherten Informationen zu authentifizieren. PAM-fähige Applikationen umfassen Konsolenanmeldung, POP- und IMAP-Mail-Server und Samba. Wenn ein LDAP-Server im Netzwerk bereitgestellt wird, können alle Anmeldesituationen gegen eine Benutzer-ID und Passwortkombination authentifizieren und so die Verwaltung spürbar vereinfachen.
Red Hat Enterprise Linux enthält auch Pakete mit LDAP-Modulen für die PHP-serverseitige Skriptsprache.
Das Paket php-ldap fügt LDAP-Unterstützung zur PHP4 HTML-eingebetteten Skriptsprache über das Modul /usr/lib/php4/ldap.so hinzu. Dieses Modul ermöglicht PHP4-Skripten, auf Informationen zuzugreifen, die in einem LDAP-Verzeichnis gespeichert sind.
Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap für Apache HTTP Server ausgeliefert. Dieses Modul verwendet die Kurzform des "Distinguished Name" als Subjekt und den Aussteller des Client-SSL-Zertifikats, um den "Distinguished Name" des Benutzers innerhalb eines LDAP-Verzeichnisses zu bestimmen. Es kann auch Benutzer anhand den Attributen der Einträge im LDAP-Verzeichnis autorisieren, wobei Zugriff auf ein Asset auf Benutzerrechte und Gruppenrechten des Asset basiert und Zugriff für Benutzer mit abgelaufenen Passwörtern abgelehnt wird. Das Modul mod_ssl wird für die Verwendung des Modul mod_authz_ldap benötigt.
![]() | Wichtig |
---|---|
Das Modul mod_authz_ldap authetifiziert einen Benutzer zu einem LDAP-Verzecihnis mit einem verschlüsselten Passwort-Hash. Diese Funktionalität ist im experimentellen Modul mod_auth_ldap enthalten, das nicht in Red Hat Enterprise Linux enthalten ist. Sehen Sie die Website der Apache Software Foundation Online unter http://www.apache.org/ für Informationen zum Status dieses Moduls. |
Es stehen grafische LDAP-Clients zur Verfügung, die das Erstellen und Ändern von Verzeichnissen unterstützen. Diese sind allerdings nicht im Lieferumfang von Red Hat Enterprise Linux enthalten. Eine solche Anwendung ist LDAP Browser/Editor — Ein Java-basiertes Tool, das unter http://www.iit.edu/~gawojar/ldap zur Verfügung steht.
Die meisten anderen LDAP-Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen (und nicht Ändern) auf unternehmensweite Informationen. Beispiele für diese Anwendungen sind Sendmail, Mozilla, Gnome Meeting, und Evolution.
Zurück | Zum Anfang | Nach vorne |
LDAP Terminologie | Nach oben | OpenLDAP Konfigurationsdateien |