13.6. Panoramica sulla configurazione di OpenLDAP

Questa sezione presenta una breve panoramica su come installare e configurare una directory OpenLDAP. Per maggiori informazioni, consultate le seguenti URL:

Ecco riportate le fasi di base per la creazione di un server LDAP:

  1. Installate i pacchetti RPM openldap, openldap-servers e openldap-clients.

  2. Modificate il file /etc/openldap/slapd.conf per specificare il dominio LDAP e il server. Per maggiori informazioni, consultate la Sezione 13.6.1.

  3. Avviate slapd con il comando:

    /sbin/service ldap start

    Dopo aver configurato LDAP, usare chkconfig, ntsysv, o Strumento di configurazione dei servizi per configurare LDAP in modo tale che inizi al momento dell'avvio. Per maggiori informazioni su come configurare i servizi, consultate il capitolo intitolato Controllo dell'accesso ai servizi nella Red Hat Enterprise Linux System Administration Guide.

  4. Aggiungete le entry ad una directory LDAP con ldapadd.

  5. Usate ldapsearch per determinare se slapd stà effettuando un accesso alle informazioni in modo corretto.

  6. A questo punto, la directory LDAP dovrebbe funzionare correttamente e può essere configurata con applicazioni abilitate-LDAP.

13.6.1. Modifica di /etc/openldap/slapd.conf

Per usare il server LDAP slapd, modificare il proprio file di configurazione, /etc/openldap/slapd.conf, per specificare il dominio e il server corretti.

La riga suffix nomina il dominio per il quale il server LDAP fornisce le informazioni, tale riga và modificata nel modo seguente:

suffix          "dc=your-domain,dc=com"

in modo che rifletta il nome del dominio qualificato. Per esempio:

suffix          "dc=example,dc=com"

La entry rootdn è il Distinguished Name (DN) per un utente che non ha limitazioni nei controlli di accesso o nei parametri limite amministrativi impostati per le operazioni sulla directory LDAP. L'utente rootdn può essere considerato un utente root per la directory LDAP. Nel file di configurazione, cambiare la riga rootdn dal suo valore di default come riportato dal seguente esempio:

rootdn          "cn=root,dc=example,dc=com"

Quando si popola una directory LDAP attraverso una rete, cambiare la riga rootpw — sostituendo il valore di default con una stringa della password cifrata. Per creare una stringa della password cifrata, digitare il seguente comando:

slappasswd

Quando richiesto, digitare due volte la password. Il programma visualizza la risultante password cifrata sul prompt della shell.

Successivamente, copiare la password cifrata appena creata in /etc/openldap/slapd.conf su di una delle righe rootpw,e rimuovere il segno hash (#).

Quando avete terminato, la riga dovrebbe essere simile al seguente esempio:

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

AttenzioneAvvertenza
 

Le password LDAP, incluso la direttiva rootpw specificata in /etc/openldap/slapd.conf, vengono inviate attraverso la rete in modo non cifrato, a meno che la codifica TLS non è abilitata.

Per abilitare la codifica TLS, rivedere i commenti in /etc/openldap/slapd.conf e consultare la pagina man per slapd.conf.

Per maggiore sicurezza, la direttiva rootpwdovrebbe essere deselezionata dopo aver popolato la directory LDAP, precedendola con un carattere hash (#).

Quando usate il tool della linea di comando /usr/sbin/slapadd in modo locale per popolare la directory LDAP, non è necessario l'uso della direttiva rootpw.

ImportanteImportante
 

Solo l'utente root può usare /usr/sbin/slapadd. Tuttavia, il server della directory viene eseguito come utente ldap. In questo modo il suddetto server non è in grado di modificare i file creati da slapadd. Per correggere questo problema, dopo aver usato slapadd, digitare il seguente comando:

chown -R ldap /var/lib/ldap