Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 13. Lightweight Directory Access Protocol (LDAP) | Nach vorne |
In diesem Abschnitt wird ein kurzer Überblick über das Installieren und Konfigurieren eines OpenLDAP-Verzeichnisses gegeben. Weitere Details finden Sie unter folgenden URLs:
http://www.openldap.org/doc/admin/quickstart.html — Der Quick-Start Guide auf der OpenLDAP- Website.
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — LDAP Linux HOWTO vom Linux Documentation Project, das auf der Website von Red Hat gespiegelt ist.
Die Grundschritte zum Erstellen eines LDAP-Servers sind folgende:
Installieren Sie die RPMs openldap, openldap-servers und openldap-clients.
Bearbeiten Sie die Datei /etc/openldap/slapd.conf, um auf die LDAP-Domain und den LDAP-Server zu verweisen. Weitere Informationen finden Sie unter Abschnitt 13.6.1.
Starten Sie slapd mit folgendem Befehl:
/sbin/service ldap start |
Nachdem Sie LDAP konfiguriert haben, können Sie chkconfig, ntsysv oder Services Configuration Tool verwenden, um LDAP so zu konfigurieren, dass es zur Bootzeit gestartet wird. Weitere Informationen zum Konfigurieren von Services finden Sie im Kapitel Kontrolle des Zugriffs auf die Services im Red Hat Enterprise Linux Handbuch zur System-Administration.
Fügen Sie Einträge zum LDAP-Verzeichnis mit Hilfe von ldapadd hinzu.
Verwenden Sie ldapsearch, um zu prüfen, ob slapd auf die Informationen richtig zugreift.
Wenn Sie an diesem Punkt angelangt sind, sollte Ihr LDAP-Verzeichnis ordnungsgemäß funktionieren, und Sie können alle LDAP-fähigen Applikationen für die Verwendung des LDAP-Verzeichnisses konfigurieren.
Sie müssen die Konfigurationsdatei /etc/openldap/slapd.conf des slapd-LDAP-Servers ändern, um ihn verwenden zu können. Sie müssen diese Datei bearbeiten, um sie an Ihre Domain und Server anzupassen.
Die Suffix-Zeile nennt die Domain, für die der LDAP-Server Informationen bereitstellt und sollte wie folgt geändert werden:
suffix "dc=your-domain,dc=com" |
Hier muss ein gültiger Domainname eingetragen werden. Zum Beispiel:
suffix "dc=example,dc=com" |
Der Eintrag rootdn ist der eindeutige Name (Distinguished Name, kurz DN) für einen Benutzer, der keinen Einschränkungen durch Parameter der Zugriffssteuerung oder Benutzerverwaltung unterliegt, die im LDAP-Verzeichnis für Vorgänge festgelegt sind. Der Benutzer rootdn ist sozusagen Root für das LDAP-Verzeichnis. Die rootdn-Zeile ist zu ändern in:
rootdn "cn=root,dc=example,dc=com" |
Wenn Sie vorhaben, dass LDAP-Verzeichnis übers Netzwerk zu verwalten, ändern Sie die rootpw-Zeile — indem Sie den Standardwert mit einem verschlüsselten Passwort ersetzen. Um ein verschlüsseltes Passwort zu erzeugen, geben Sie den folgenden Befehl ein:
slappasswd |
Sie werden dazu aufgefordert, ein Passwort einzugeben, und durch eine zweite Eingabe zu bestätigen. Danach gibt das Programm das verschlüsselte Passwort am Terminal aus.
Als nächstes, kopieren Sie das neu erzeugte verschlüsselte Passwort in die Datei /etc/openldap/slapd.conf in eine der rootpw-Zeilen, und entfernen Sie das Hash-Symbol (#).
Nach Abschluss, sollte die rootpw-Zeile etwa wie folgt aussehen:
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
![]() | Warnung |
---|---|
LDAP-Passwörter, einschließlich der in /etc/openldap/slapd.conf angegebenen rootpw-Direktive werden als Klartext über das Netzwerk gesendet, es sei denn, Sie aktivieren die TLS-Verschlüsselung. Um TLS-Verschlüsselung zu aktivieren, sehen Sie die Kommentare in /etc/openldap/slapd.conf und die man-Seite für slapd.conf. |
Für zusätzliche Sicherheit sollte die rootpw-Direktive auskommentiert werden, indem ihr ein Hash-Symbol (#) vorangestellt wird.
Wenn Sie das Befehlszeilentool /usr/bin/slapadd verwenden, um das LDAP-Verzeichnis lokal aufzufüllen, müssen Sie die rootpw-Direktive nicht verwenden.
![]() | Wichtig | |
---|---|---|
Sie müssen root sein um /usr/sbin/slapadd verwenden zu können. Der Verzeichnis-Server wird jedoch als Benutzer ldap ausgeführt. Der Verzeichnis-Server ist deshalb nicht in der Lage, Dateien, welche von slapadd erzeugt wurden, zu ändern. Um dieses Problem zu beheben, geben Sie den folgenden Befehl ein, nachdem Sie slapadd beendet haben:
|
Zurück | Zum Anfang | Nach vorne |
Das Verzeichnis /etc/openldap/schema/ | Nach oben | Konfigurieren Ihres Systems für die Authentifizierung mit OpenLDAP |