13.7. Konfigurieren Ihres Systems für die Authentifizierung mit OpenLDAP

Dieser Abschnitt gibt einen kurzen Überblick über die Konfiguration der OpenLDAP Benutzer-Authentifizierung. Wenn Sie kein OpenLDAP-Experte sind, benötigen Sie wahrscheinlich eine umfassendere Dokumentation, als wir Ihnen hier bieten können. Weitere Informationen finden Sie in den in Abschnitt 13.9 angegebenen Literaturhinweisen.

Installieren der notwendigen LDAP-Pakete

Zuerst sollten Sie sicherstellen, dass die erforderlichen Pakete auf beiden, dem LDAP-Server und dem LDAP-Client installiert sind. Der LDAP-Server benötigt das openldap-server Paket.

Die Pakete openldap, openldap-clients, und nss_ldap müssen auf allen LDAP Client-Maschinen installiert sein.

Bearbeiten der Konfigurationsdateien

  • Bearbeiten Sie die Datei /etc/openldap/slapd.conf auf dem LDAP-Server, um sicherzustellen, dass diese mit den Gegebenheiten Ihrer Organisation übereinstimmt. Bitte sehen Sie Abschnitt 13.6.1 für Anleitungen zum Bearbeiten der Datei slapd.conf.

  • Auf allen Client-Rechnern müssen sowohl /etc/ldap.conf als auch /etc/openldap/ldap.conf den jeweiligen Server und grundlegende Informationen für Ihre Organisation enthalten.

    Die einfachste Weise hierzu ist das Ausführen von Authentication Configuration Tool (authconfig-gtk) und das Auswählen von LDAP verwenden in der Tab Benutzerinformationen.

    Diese Dateien können auch manuell bearbeitet werden.

  • Auf allen Client-Maschinen, muss die Datei /etc/nsswitch.conf bearbeitet werden um LDAP zu verwenden.

    Die einfachste Weise hierzu ist das Ausführen von Authentication Configuration Tool (authconfig-gtk) und das Auswählen von LDAP verwenden in der Tab Benutzerinformationen.

    Wenn Sie /etc/nsswitch.conf manuell bearbeiten, fügen Sie ldap in den entsprechenden Zeilen hinzu.

    Zum Beispiel:

    passwd: files ldap
    shadow: files ldap
    group: files ldap

13.7.1. PAM and LDAP

Führen Sie Authentication Configuration Tool (authconfig-gtk) aus, und wählen Sie die Option LDAP verwenden im Tab Authentifizierung aus, damit Sie standardmäßige PAM-fähige Anwendungen für die Authentifizierung mit LDAP verwenden können. Weitere Informationen zum Konfigurieren von PAM finden Sie unter Kapitel 15 sowie auf den man-Seiten von PAM.

13.7.2. Umwandeln Ihrer alten Authentifizierungsinformationen in das LDAP-Format

Das Verzeichnis /usr/share/openldap/migration/ enthält mehrere Shell- und Perl-Skripte zur Umwandlung Ihrer alten Authentifizierungsinformationen in das LDAP-Format.

AnmerkungAnmerkung
 

Um diese Skripte ausführen zu können, müssen Sie Perl auf Ihrem System installiert haben.

Zuerst müssen Sie die Datei migrate_common.ph an Ihre Domain anpassen. Die Standardwerte der Standard-DNS-Domain müssen ähnlich wie folgt geändert werden:

$DEFAULT_MAIL_DOMAIN = "example";

Die Standardannahme muss ebenfalls geändert werden von:

$DEFAULT_BASE =
"dc=example,dc=com";

Das Umwandeln einer Benutzerdatenbank in ein LDAP-Format fällt einer Gruppe von Umwandlungsskripten im gleichen Verzeichnis zu. Entscheiden Sie mit Hilfe von Tabelle 13-1, welches Skript zur Umwandlung der Benutzerdatenbank ausgeführt werden soll.

Führen Sie das Ihrem vorhandenen Name-Service entsprechende Skript aus.

Die Dateien README und migration-tools.txt im Verzeichnis /usr/share/openldap/migration/ enthalten weitere Detailinformationen zum Umwandeln der Informationen.

Vorhandener NamensdienstWird LDAP ausgeführt?Zu verwendendes Skript
/etc Klartext-DateienJamigrate_all_online.sh
/etc Klartext-DateienNeinmigrate_all_offline.sh
NetInfoJamigrate_all_netinfo_online.sh
NetInfoNeinmigrate_all_netinfo_offline.sh
NIS (YP)Jamigrate_all_nis_online.sh
NIS (YP)Neinmigrate_all_nis_offline.sh

Tabelle 13-1. LDAP Umwandlungsskripte