13.3. Demoni e utility di OpenLDAP

La suite dei tool e delle librerie di OpenLDAP, si trovano all'interno dei seguenti pacchetti:

Ci sono due server contenuti nel pacchetto openldap-servers: il Standalone LDAP Daemon (/usr/sbin/slapd) e il Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd).

Il demone slapd è il server LDAP standalone mentre il demone slurpd è usato per sincronizzare i cambiamenti da un server LDAP ad un altro server LDAP sulla rete. Il demone slurpd viene usato solo quando si tratta con server LDAP multipli.

Per effettuare compiti amministrativi, il pacchetto openldap-servers installa le seguenti utility nella directory /usr/sbin/:

AttenzioneAvvertenza
 

Assicuratevi di interrompere slapd emettendo /sbin/service ldap stop prima di utilizzare slapadd, slapcat oppure slapindex, altrimenti rischiate di compromettere l'integrità della directory LDAP.

Per maggiori informazioni su come usare queste utility, consultate le rispettive pagine man.

Il pacchetto openldap-clients installa i tool all'interno di /usr/bin/, i quali vengono usati per aggiungere, modificare e cancellare le entry in una directory LDAP. Questi tool includono quanto segue:

Ad eccezione di ldapsearch, ognuna di queste utility è utilizzata più facilmente quando si riferisce ad un file contenente i cambiamenti da effettuare, invece di digitare un comando per ogni entry da cambiare all'interno di una directoryLDAP. Il formato di un file di questo tipo, è specificato nella pagina man per ogni utility.

13.3.1. NSS,PAM e LDAP

In aggiunta ai pacchetti OpenLDAP, Red Hat Enterprise Linux include un pacchetto chiamato nss_ldap, il quale aumenta l'abilità di LDAP di integrarsi in entrambi gli ambienti Linux e UNIX.

Il pacchetto nss_ldap fornisce i seguenti moduli:

Il modulo libnss_ldap-<glibc-versione>.so permette alle applicazioni di cercare gli utenti, i gruppi, gli host e altre informazioni usando una directory LDAP tramite l'interfaccia di glibc Nameservice Switch (NSS) (sostituire <glibc-versione> con la versione di libnss_ldap in uso). NSS permette alle applicazioni di effettuare l'autenticazione usando LDAP insieme al name service Network Information Service (NIS) e ai file flat di autenticazione.

Il modulo pam_ldap permette alle apllicazioni PAM-aware di autenticare gli utenti usando informazioni conservate in una directory LDAP. Le applicazioni del tipo PAM-aware includono il log in della console, i server mail IMAP e POP, e Samba. Impiegando un server LDAP su di una rete, tutte queste applicazioni possono effettuare l'autenticazione usando lo stesso user ID e la combinazione password, semplificando notevolmente la gestione.

13.3.2. PHP4, LDAP, e Server HTTP Apache

Red Hat Enterprise Linux include un pacchetto contenente un modulo LDAP per lo scripting della lingua del server-side PHP

Il pacchetto php-ldap aggiunge supporto LDAP allo scripting della lingua PHP4 HTML-embedded tramite il modulo /usr/lib/php4/ldap.so. Questo modulo permette agli script PHP4 di accedere alle informazioni conservate in una directory LDAP.

Red Hat Enterprise Linux contiene il modulo mod_authz_ldap per Server HTTP Apache. Questo modulo usa la forma abbreviata del distinguished name per il soggetto, e l'emittente del certificato SSL del client per determinare il distinguished name dell'utente all'interno della directory LDAP. È altresì in grado di abilitare gli utenti in base agli attributi della entry della directory LDAP dell'utente stesso, determinando un accesso alle risorse in base ai privilegi dell'utente o del gruppo, negando tale accesso agli utenti che possiedono una password scaduta. È necessario il modulo mod_ssl, quando si usa il modulo mod_authz_ldap.

ImportanteImportante
 

Il modulo mod_authz_ldap non autentica l'utente su di una directory LDAP che usa una password hash cifrata. Questa funzionalità viene fornita dal modulo sperimentale mod_auth_ldap, il quale non è incluso con Red Hat Enterprise Linux. Consultate il sito web di Apache Software Foundation, disponibile su http://www.apache.org/ per ottenere maggiori informazioni.

13.3.3. Applicazioni del client LDAP

Sono disponibili client LDAP grafici, i quali supportano la creazione e la modifica delle directory, essi però non sono inclusi con Red Hat Enterprise Linux. Una di queste applicazioni è LDAP Browser/Editor — Un tool basato su Java, disponibile online su http://www.iit.edu/~gawojar/ldap/.

Molti altri client LDAP accedono alle directory con permessi di sola lettura, usandole come riferimento, senza alterare, le informazioni inerenti all'organizzazione. Alcuni esempi di tali applicazioni sono Sendmail, Mozilla, Gnome Meeting, e Evolution.