Ldap'i õpiobjekt

2011-12-04T21:06:41Z

Kkarma: /* Veebipõhise LDAP haldusliidese paigaldamine ja seadistamine */

= Õpijuhis =

Õpiobjekti eesmärk on kataloogiteenuse teoreetiliste teadmiste ja praktiliste oskuste arendamine. Teadmiste arenguks on õpiobjekti osaks õppematerjalid, ning praktiliste oskuste arendamiseks on õppekeskkonna eksportfail, mida on võimalik kasutada Oracle VM VirtualBox programmiga'''(EIK kasutab ... õppekeskonda)'''. Õppekeskkonnana kasutatakse Ubuntu 11.04 Server operatsioonisüsteemi.

Õpiobjektiga töötamise eeltingimused:
*õpiobjekti kasutaja oskab kasutada Ubuntu operatsioonisüsteemi käsurealt, sh vähemalt ühte käsurea tekstiredigeerimise programmi. Peaks oskama teenust taaskäivitada, programmiuuendusi paigaldad, oskama faili/kataloogi arvutist üles leida(locate, find), vaadata milliseid porte kuulatakse jne;
*õpiobjekti kasutaja teab arvutivõrkude alusmõisteid;
*virtualiseerimisprogrammist VirtualBox tulenevalt seatakse peremeesarvuti (ingl. host) riistvarale järgmised nõuded: x86 platform; vähemalt 512 MB mälu; vähemalt 1.5GB vaba kõvakettaruumi. '''Seda eeltingimust ei rakendata, kuna kasutatakse teist õpikeskkonda!'''

== Õpiobjekti komponendid ==
Õpiobjekti komponendid on:
*õpijuhis- õpiobjekti üldine sissejuhatav tekst;
*õpetaja kasutusjuhend- juhend õpetajale või auditoorset/e-õpet korraldavale isikule, mis sisaldab teavet keskkonna ettevalmistamise kohta;
*[https://wiki.itcollege.ee/index.php/Ldap%27i_%C3%B5piobjekt#.C3.95piobjekti_kasutusjuhend õpilase kasutusjuhend]- juhend õpilasele, mis sisaldab täpsemaid tegevusjuhendeid õppetöö läbijale;
*[https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95pikeskkonna_loomine_ja_seadistamine õpikeskkonna loomise ja seadistamise juhend](sh. õpikeskkond ise)- juhend, mis õpetab õpiobjekti osaks olevat virtuaalkeskkonda looma ja seadistama Oracle VM VirtualBox programmi kasutades;
*õppematerjal(id)- [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf teoreetiline] ja [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal praktiline] õppematerjal, kus õpilane saab teadmised ja oskused;
*personaalse ülesande loomise ja kontrolli skript- bash skript, mis koostab õppija eesnime, perenime ja koodi alusel tema personaalsete andmetega laboriülesande ja teine skript, mis kontrollib laboriülesande sooritust.

= Õpiobjekti kasutusjuhend =
Käesolev õpilase kasutusjuhend on loodud teejuhiks õpiobjekti kasutamisel.

Õpilase tegevuste loetelu nende õiges järjekorras:

1. Loe läbi terve [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf õpilase kasutajajuhend]'''see on vale link''', et teada saada, mida ja millises järjekorras sa tegema pead, selleks et õpiobjekti teadmised ja oskused kinnistuksid parimal võimalikul viisil.

2. Kontrolli, et sinu kasutada oleks kõik [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95piobjekti_komponendid õpiobjekti komponendid] .

3. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php/File:LDAP_teadmiste_omandamise_6ppematerjal.pdf Teoreetilise õppematerjali] sisu. On väga oluline, et saaksid aru ja oskaksid oma sõnadega selgitada „Teoreetilises õppematerjalis“ esindatud mõisteid ja kokkuvõtvalt rääkida seal olevatest peatükkidest. Kui oled veendunud, et oled „Teoreetilise õppematerjali“ sisu omandanud asu siinse tegevusloetelu järgmise punkti juurde.

4. Kui Sinu jaoks on õpikeskkond loodud ja sa tead kus see asub, ning kuidas sellele ligi pääseb siis jätka järgmise punktiga! Kui pead endale õpikeskkonna ise looma siis järgi „Virtuaalmasina importimise ja esmase seadistamise juhendit“, et luua endale virtuaalne õpikeskkond Ubuntu 11.04 Server operatsioonisüsteemil, mis on vajalik praktiliste laboriülesannete lahendamiseks. Olles mainitud juhendi läbinud, ning sellega endale virtuaalkeskkonna loonud ning kontrollinud ja veendunud selle töökorrasolekus asu järgmise tegevusloetelu punkti juurde. '''EIK tudengitel on õpikeskkond ette loodud!'''

5. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal Praktilise õppematerjali] sisu. On oluline, et saaksid aru, miks ja millal mingit käsku on vaja kasutada ja mis selle käsu tulemusel juhtub. Käskude pähe õppimine ei ole eesmärk!

6. Kasuta virtuaalset õpikeskkonda, et lahendada laboriülesanded. Selleks sisene virtuaalkeskkonda ,kus kodukataloogis käivita „loo_ylesanne.sh“ skript, mille tulemusel luuakse õpilase personaalsete andmete (eesnimi, perenimi ja üliõpilaskood) alusel laboriülesanded, mida saab hiljem uuesti lugeda failist „ylesanded.txt“. Laboriülesannete läbimist ja õiget sooritust on võimalik kontrollida käivitades faili „kontrollskript.sh“. Kontrollskripti käivitamiste arv ei ole piiratud! Kui saad kõik ülesanded lahendatud ja seda kinnitab ka kontrollskript, anna sellest teada õppejõule, kes lahenduse üle kontrollib ja mõnda „Teoreetilise õppematerjali“ sisu mõistet küsib.

== Õpikeskkonna loomine ja seadistamine ==
Õpilasele on ettevalmistatud virtuaalkeskkonnast tehtud eksportfailid Ubuntu Server 11.04 operatsioonisüsteemiga, et vähendada keskkonna installeerimiseks kuluvat aega. Virtuaalmasina failid tuleb laadida enda arvutisse ja importida läbi vastava viisardi. Täpsemad juhised virtuaalmasina ettevalmistamiseks Oracle VM VirtualBox 3.2 ja 4.0 tarbeks on õpiobjekti üheks osaks olevas [https://wiki.itcollege.ee/images/f/f3/Virtuaalmasina_importimise_ja_esmase_seadistamise_juhend.pdf juhendis].

----

= Praktiline õppematerjal =

----
== OpenLDAP serveri ja klienditööristade paigaldamine ==
Kõigepealt paigalda OpenLDAP server, paketi nimeks Ubuntu paketihalduris 'slapd', klienditööriistad asuvad paketis 'ldap-utils', need on vajalikud, et kasutada klienditööriistu nagu näiteks: ldapsearch, ldapadd jne. Pakid paigaldatakse järgmise käsuga:
apt-get install slapd ldap-utils
Paigaldamise ajal küsitakse seadistamiseks erinevaid küsimusi, mille vastamisega peab õppija iseseisvalt hakkama saama, kasutades õpitud teadmisi.
Kui paigaldamise käigus küsiti vaid administraatori parooli või soovid ennast parandada on abiks käsk:

<source lang="bash">
dpkg-reconfigure slapd
</source>

Paigaldamise lõpuks tuleks üle kontrollida kas serveri seadistufailis /etc/ldap/slap.d/cn=config/olcDatabase{0}configure.ldif ja samas kataloogis asuv olcDatabase{1}hdb.ldif või olcDatabase{1}bdb.ldif sisaldavad paigaldamisel sisestatud andmeid, sest õppematerjali loomise käigus tuvastati korduvalt, et need andmed ei ühtinud. Vajadusel paranda erinevused!

LDAP serveri ja klienditööriistade seadistamine
LDAP klienditööriistu seadistatakse /etc/ldap/ldap.conf failist. Serveri seadistamiseks on alates 2005-nda aasta juunist kaks võimalust:
* /etc/ldap/slapd.conf seadistusfail (kasutati kuni versioonini 2.4) või
* kataloogis /etc/ldap/slapd.d/cn=config olevad failid (võimalik kasutada alates versioonini 2.3). Viimast seadistusvõimalust tuntakse kui Configuration Backend, mida kasutab ka käesolev õppematerjal. Antud töös piirdutakse kataloogis etc/ldap/slapd.d/cn=config olevate olcDatabase={0}config.ldif ja olcDatabase={1}bdb.ldif failidega, kuna laboris peab õpilane vaid neid serveri seadistufaile muutma.
Kahe erineva seadistuse põhiline vahe seisneb selles, et vanas (slapd.conf) seadistusfailis on kogu seadistus koondatud ühte faili (slapd.conf) ja seadistuste kehtestamiseks serveris on tarvis teha (LDAP) serverile taaskäivitus. Uues seadistusviisis on konfiguratsioon andmebaasis ja failisüsteemis on vaid viide andmebaasile, ning seadistusemuudatused ei eelda enam (LDAP) serveri restartimist.
'''Alates Ubuntu versioonist 8.10 on vaikeväärtusena kasutusel andmebaasis seadistuse hoidmise variant''', kuid kasutajale on jäetud võimalus kasutada ka slapd.conf varianti, selleks tuleb teha muudatused /etc/default/slapd failis.[Ubuntu LDAPi leht]

==== Testime ====
Järgmiseks testi, kas saad tehtule ligi:
ldapsearch -x -D 'cn=<rootDN>,cn=config' -W
Võtmed: x- lihtne autentimine(ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli
Vastus võiks olla selline:
# search result
search: 2
'''result: 0 Success''' või
'''result: 32 No such''' object

result: 0 Success- tähendab, et päring LDAP andmebaasi jõudis kohale ja sealt saadi vastus.
result: 32 No such object- tähendab, et LDAP serveriga saadi ühendust, kuid andmebaasis ei olnud päritud objekti. Tuleks kontrollida, kas klienditööriista seaded on õiged ja kas tehtud päring oli õige.
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)- ilmslt LDAP server seisab või ei saada baseDN-iga ühendust, vaata kas porti(389) kuulatakse, selleks sisesta terminali:
netstat -anp|grep 389
vajadusel restardi teenus:
/etc/init.d/slapd restart
ja kontrolli, kas päringu vastus muutus, kui mitte siis põhjuse leiad /var/log/syslog failist.

== LDAP serveri andmebaasi kirjete laadimine ==
Sisu laadimiseks on kaks peamist võimalust: kasutada mõnd veebipõhist administreerimisliidest (näiteks phpLDAPadmin) või konsoolilt kasutades kliendi- või serveri utiliite (näiteks ldapadd või slapadd). Esmalt vaatame konsoolilt andmete laadimist, selleks on 2 võimalust: slapadd (serveri utiliit) ja ldapadd (kliendi utiliit). Peamine vahe on selles, et kliendi tööriistu kasutades peab LDAP server töötama, serveri tööriistu kasutades aga seisma, lisaks on erinev suvandite (options) kasutus!

Soovitav on kasutada kliendi tööriistu, kuna siis ei pea serverit seiskama ja ei tekitata andmebaasi failide omanikuks root kasutajat, mis tuleks openldap kasutaja omandisse tagasi muuta. Seepärast on selles juhendmaterjalis kõik laadimised tehtud ldapadd käsuga, näiteks:
ldapadd -x -D "<kasutaja DN>" -w <parool> -f <fail>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja DN; w- sisestatakse parool kohe; f- imporditav fail.

== Veebipõhise LDAP haldusliidese paigaldamine ja seadistamine ==
Et saada paremat üldpilti ja paremini mõista, millega tegeletakse, on soovitav paigaldada ja seadistada veebipõhine LDAP-i administreerimise liides phpLDAPadmin[phpLDAPadmin mainpage]. Seadistamise hõlbustamiseks on õpiobjektiga kaasas fail config.php, kus tuleb asendada
cn=root,dc=naide,dc=vot enda konfiguratsioonile vastavaks, asendus tuleb teha reas:
$servers->setValue('login','bind_id','cn=root,dc=naide,dc=vot');
Administreerimisliidesele ligipääsuks minna hostmasinas aadressile http://ldapserveri_ip/phpldapadmin. Sissepääsuks valida kõigepealt vasakpoolsest paneelist oma serveri nimi ja seejärel login. Login DN väli peab sisaldama nii administraatori kasutaja nime, kui ka base DN väärtust. Veebiliidese kasutamine on soovituslik ja võrdlemisi lihtne, seepärast ei peatuta sellel siinkohal pikemalt.
'''PILT PUUDU'''
[[Image:]]

== Kirjete otsimine ja muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapsearch juhendil[man ldapsearch].
Päringute tegemiseks on OpenLDAP kliendi tööriistana paigaldatud ldapsearch, mis võimaldab ühenduda LDAP serveriga ja sealt otsida andmeid. Näiteks kirje otsimise käsk:
ldapsearch -x -D 'cn=<kasutaja DN>' -W <filtreeriv tingimus> <väljastatavad atribuudid>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; <filtreeriv tingimus>- võimaldab otsingut piirata; <väljastatavad atribuudid>- võimaldab pärigu tulemuses näha vaid soovitud atribuutide infot-eraldajaks tühik. Vaata ka teisi võtmeid ja nende tähendust õpikeskkonnas kirjutades käsureale: man ldapsearch

== Kirjete muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapmodify juhendil[man LDAPModify].

Kirjetesse muudatuste tegemiseks on paigaldatud OpenLDAP kliendi tööriist ldapmodify, mille abil saab andmebaasi uusi andmeid lisada või seal olemasolevaid muuta/täiendada/kustutada. Muudatusi saab sisestada käsurealt või (LDIF) failist:
ldapmod -x -D 'cn=<rootDN>' -W -f <faili asukoht>
ldapmod -x -D 'cn=<rootDN>' -W
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; -f sisendfaili asukoht.

'''Tabeli 2''' vasakpoolset veergu tuleks vaadata kui muudatuse tegemise faili sisu ning parempoolset veergu kui seletust, mida antud rida failis tähendab. Vasakpoolses veerus olev rida changetype tähendab, et ühe muudatuskorral failis võib kuuluda vaid üks valik (add, delete, modrdn, moddn, newrdn või newsuperior).

{| class="wikitable" border="1"
|-
! Faili sisu
! Seletus ja näide faili sisu kohta
|-
| #kommentaar
| #(trellid) rea alguses võimaldab kommentaari lisada, programmid #alustatud rida ei loe!
|-
| dn: <kirjenimetus (''distinguished name'')>
| dn: cn=Bjorn Jensen,dc=example,dc=com „dn:..“ näitab kirje asukohta puus.
|-
| Changetype: Add
| Kirje lisamiseks
|-
| Changetype: Delete
| Kirje kustutamiseks
|-
| Changetype: Modrdn <nowiki>|</nowiki> moddn {reavahetus} [newrdn: <rdn> {reavahetus} deleteoldrdn: [0<nowiki>|</nowiki>1] newsuperior: <dn>]
| Kirje DN ja RDN muutmiseks. Suvand Newrdn võimaldab kirje RDN'i muuta. Newrdn kasutamisel tuleb ka deleteoldrdn suvandit kasutada valides väärtuseks: 0-vana rdn jäetakse alles; 1- vana RDN kustutatakse. Newsuperior võimaldab kirje liigutada uue kataloogi alluvusse.
|-
| Changetype: Modify {reavahetus} [add: <atribuut<nowiki>|</nowiki> objektiklass> 
<nowiki>|</nowiki> delete:<atribuut<nowiki>|</nowiki> objektiklass> <nowiki>|</nowiki> replace:<atribuut<nowiki>|</nowiki> objektiklass>]{reavahetus} <atribuut<nowiki>|</nowiki> objektiklass>: <uus väärtus
| Võimaldab atribuuti, objektiklassi või mõnd muud kirje osa lisada(''add''), kustutada(''delete''), vahtada(''replace''). '''NB! Oluline on, et reavahetused oleks õigetes kohtades!'''
|-
| <nowiki>-</nowiki>
| Tähistab, et sama dn ja changetype'i kasutatakse ka järgmise muudatuse puhul.

|}

Näited[RFC 2849]:
'''# muudetakse RDN ja tõstetakse kogu sisu uue kataloogi alluvusse.'''
dn: ou=PD Accountants, ou=Product Development, dc=airius, dc=com
changetype: modrdn
newrdn: ou=Product Development Accountants
deleteoldrdn: 0
newsuperior: ou=Accounting, dc=airius, dc=com
 
'''# lisatakse 'postaddress'; kustutatakse 'description'; asendatakse olemasolev(ad) 'telephonenumber' kahe uuega;'''
'''# kustutatakse see facsimiletelephonenumber mille väärtus on „+1 408 555 9876“.'''
dn: cn=Paula Jensen, ou=Product Development, dc=airius, dc=com
changetype: modify
add: postaddress
postaddress: 123 Anystreet $ Sunnyvale, CA $ 94086
<nowiki>-</nowiki>
delete: description
<nowiki>-</nowiki>
replace: telephonenumber
telephonenumber: +1 408 555 1234
telephonenumber: +1 408 555 5678
<nowiki>-</nowiki>
delete: facsimiletelephonenumber
facsimiletelephonenumber: +1 408 555 9876

== Skeemifaili koostamine ja LDAP andmebaasi laadimine ==
==== Skeemifaili koostamine ====
LDAP-is on võimalik hoida ja sealt pärida ükskõik millist seal sisalduvat infot, vajadusel saab alati infovälju – objektiklasse/atribuute ka juurde lisada. Selle tarbeks on valmis hulk erinevaid skeemifaile (kataloogis /etc/ldap/schema/) ja kui neist ei piisa on võimalik ka ise neid juurde luua, võttes eeskujuks olemasolevad näidisfailid. Tähelepanu tuleks pöörata skeemifailide sisse kirjutatud sõltuvus viidetele, st kui on öeldud: „Depends upon core.ldif and cosine.ldif“ siis peab enne selle skeemi laadimist olema laetud core.ldif ja cosine.ldif, kuna nende skeemide atribuute või objektiklasse kasutab laetav skeemifail.

'''Lihtsa telefoniraamatu skeemi näide'''

attributetype ( 1.1.2.1.1 NAME ( 'eesnimi' )
DESC ' eesnimi'
SUP name )
attributetype ( 1.1.2.1.2 NAME ( 'perenimi' )
DESC ' perekonna nimi'
SUP name )
attributetype ( 1.1.2.1.3 NAME ( 'telefoninumber' )
DESC ' telefoninumber'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
attributetype ( 1.1.2.1.4 NAME ( 'mailiaadress' )
DESC 'Mailbox'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 1.1.2.1.5 NAME ( 'kirjeldus' )
DESC 'Lisainfo'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{1024} )
objectclass ( 1.1.2.2.1 NAME ( 'telraamat' )
DESC 'Telefoniraamat'
SUP top STRUCTURAL
MUST ( eesnimi $ perenimi $ telefoninumber )
MAY ( mailiaadress $ kirjeldus ) )

Eelnev on näidis lihtsa telefoniraamatu skeemi sisust, mis on koostatud autori poolt võttes aluseks core.schema skeemifaili ja ingliskeelse [http://www.openldap.org/doc/admin24/schema.html skeemide loomise õpetuse]. Seda materjali soovitab autor lugeda ka õpilastel täiendava teadmise omandamiseks. 
Vajalik on teada, et OID (Object Identifier) ehk numbriline osa atribuudi ja objektklassi järel, ei tohi kattuda teiste atribuutide/objektklasside OID-iga. Omavalmistatud atribuutidele on eraldatud OID algusega 1.1.2.1.1 ja objektklassile 1.1.2.2.1, ning omavalmistatud atribuutide ja objektiklasside nimed peaksid algama "x-" liitega.
Trükkitähtedes olevad tähised tähendavad: 
NAME- atribuudi/objektklassi nimi;
DESC (Description)- kirjeldus;
SUP (Superior ObjectClass)- ülem objektklass, mille piiranguid atribuut/objektiklass kasutatab;
EQUALITY- reegel, mis kontrollib, et sisestatakse just seda tüüpi andmeid;
SUBSTR (SubString)- reegel, mis kontrollib, et sisestatav alamstring sisaldab määratud tüüpi andmeid;
SYNTAX- täidetava välja stringi numbriline väärtus, mis sisaldab välja süntaksi koodi;
MUST- täitmiseks kohustuslike atribuutide nimistu;
MAY- täitmiseks vabatahtlike atribuutide nimistu.

Ebaselguse korral loe täiendavalt [http://www.openldap.org/doc/admin24/schema.html OpenLDAP-i administraatori teejuhti].
 

==== LDAP andmebaasi täiendavate skeemi (schema) andmete laadimine ====

Skeemi andmete laadimise juures on esmalt vaja veenduda, et andmed on õiges formaadis. Kuni OpenLDAP versioonini 2.4 hoiti skeemifaile .schema-failides. Alates versioonist 2.4 hoitakse ldif-failides. Lisaks nimele muutus ka sisu, mistõttu ei pääse failinime muutmisega vaid tuleb .schema-fail ümber konverteerida ldif-failiks, selleks tuleb järgida järgmist [http://www.linuxquestions.org/questions/linux-server-73/how-to-add-a-new-schema-to-openldap-2-4-11-a-700452/ juhendit]: 
1.luua fail skeemi_konverteerimine.conf, mis sisaldab viidet kõigile neile skeemifailidele, mida LDAP server kasutab. Näiteks:
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
loetelu järgneb 
2.loo kataloog, kuhu ajutiselt konverteeritud skeemifailid pannakse:
mkdir /tmp/konverteeritud
3.kasutades slaptest tööriista konverteeri .schema failid ldif failideks käsuga:
slaptest -f skeemi_konverteerimine.conf -F /tmp/konverteeritud
4.järgmiseks on vaja skeem andmebaasi laadida, selleks on kaks võimalust:

*1.laadida skeemifailid sarnaselt muudele ldif failidele ldapadd tööriistaga. Selleks tuleb eelnevalt muuta konverteeritud ldif-faili selliseks, et faili esimesel ja kolmandal real ei oleks enam skeemi järjenumbrit({number}), ning faili lõpust tuleb kustutada kõik read peale „structuralObjectClass“ atribuuti (kaasa arvatud). Seejärel laadida fail käsuga:
ldapadd -x -D <administraatoriCN>,cn=config -W -f <faili asukoht>
*2.kopeerida skeemi ldif-fail cn=config/cn=schema kataloogi, kus need peale serveri restarti kasutusele võetakse.

----

== LDAP-i õiguste mudel ja õiguste jagamine ==
Õppematerjal põhineb OpenLDAP administraatori teejuhi[LDAP Access Control] refereeringul.

''' Siin on tabelid sees, vaja pisut uurida, mismoodi neid üle kanda!! '''

== Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine ==
Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine
Juhend põhineb kuutõrvaja wikil[Kuutõrvaja wiki], mida on mõnevõrra kohandatud Ubuntu-ga kasutamiseks.
Paigaldada tuleb paketid: libnss-ldap, libpam-ldap ja ldap-auth-config. Paigaldamise käigus küsitakse järgmisi küsimusi, kooloni järel on soovitav vastus (tumedal taustal) ja sulgudes põhjendus:
OpenLDAP serveri IP aadressi või masina nimi: ldap://localhost või ldap://127.0.0.1 (OpenLDAP server asub samas virtuaalmasinas);
distinguished name (DN): dc=naide,dc=ee ( näiteülesande DN on selline);
LDAP versioon: 3 (uuem versioon);
kohaliku masina root kasutajale LDAP andmebaasi administraatori õigus: ei (seab ohtu kogu LDAP andmebaasi turvalisuse, kuna pääsedes ükskõik millise masina root kasutajaks on võimalik ka kohene ligipääs LDAP andmebaasile administraatori õiguses);
kas LDAP andmebaasile ligipääs nõuab sisselogimist: ei (antud õppematerjalis on andmebaasile ühendumine ilma autentimiseta);

Eelpool olevate vastuste põhjal luuakse /etc/ldap.conf fail. LDAP kasutaja saab nüüd süsteemi sisse logida, kuid tal ei ole kodukataloogi, seega peaks kõigile kasutajatele kodukataloogid tegema või lisama järgmise rea /etc/pam.d/common-session faili lõppu, et süsteem ise puuduolevad kodukataloogid looks:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066

Lisaks on kohustuslikud Linuxisse logivatel kasutajatel atribuudid (uid, cn, loginshell, uidnumber, gidnumber, homedirectory, userpassword) ja objektiklassid (account, posixaccount ja top)[LDAP logimise objektiklass]

== Linux ja UNIX operatsioonisüsteemide kasutajate migreerimine ==
Juhend põhineb EIK Wiki artiklil[EIK LDAPi wiki] ja Antti Andreimann LDAP-i õppematerjalil[EIK Linuxi Administeerimine LDAP-i õppematerjal].
Kasutajate ülekandmine lokaalsest kasutajate hoidlast OpenLDAPi Paigaldame migrationtools paketi.
apt-get install migrationtools
Järgnevalt peame veidi muutma migrationtools-i seadistusfaili:
/usr/share/perl5/migrate_common.ph
Kus tuleb asendada järgmised parameetrid enda LDAPi seadistusele vastavaks:
$DEFAULT_MAIL_DOMAIN = "naide.ee";
$DEFAULT_BASE = "dc=naide,dc=ee";
Kopeeri lokaalse masina kasutajaandmete andmed ajutisele pinnale, et neid saaks korrastada edaspidise tegevuse jaoks:
cp /etc/passwd /tmp/
cp /etc/group /tmp/
Redikeeri kopeeritud faile nii, et sinna jääks ainult nende kasutajate andmed, kes reaalselt võiksid soovida arvutisse sisse logida!
Tekita andmebaasi juurkataloog:
/usr/share/migrationtools/migrate_base.pl > ~/base.ldif
Redikeeri faili ~/group.ldif nii, et sinna jääks alles ainult root, ou=People,
ou=Groups ja ou=Aliases !
Seejärel ekspordi uued väärtused käskudega:
/usr/share/migrationtools/migrate_group.pl /tmp/group ~/group.ldif
/usr/share/migrationtools/migrate_passwd.pl /tmp/passwd ~/passwd.ldif

Nüüd on meil kasutajad ja grupid konverditud LDAP ldif formaati. Need omakorda tuleb importida LDAP-i databaasi kasutades järgmisi käske:
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/base.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/group.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/passwd.ldif

== Varundamine ja taastamine ==
Teenuse varundamine ja taastamine
Teenuse varundamine
Reeglina tehakse varukoopiaid eraldi seadistusfailidest ja andmetest. Neid hoitakse teis(t)el andmekandja(te)l ja teisaldatakse suuremates infosüsteemides automaatprotseduuridega.
Õpiobjekti raames kajastatakse varundamist vaid varundamist vajavate andmete kontekstis: seadistamisfailid ja andmebaas.
Põhineb EIK vikil[EIK LDAPi wiki].
Kõigepealt on vaja luua varukoopiate hoidmiseks kataloog. Selle jaoks loome kataloogid /var/backup/ldap/db ja /var/backup/ldap/db kataloogi järgmise käsuga:
mkdir -p /var/backups/ldap/db/ /var/backups/ldap/konf
Järgmiseks tuleks luua varukoopia andmebaasist, selleks kasutatakse tööriista slapcat, mis väljastab kogu andmebaasi sisu, selle suuname faili, mille saab kohe ka kokku pakkida. Vajalik käsk selleks on järgmine:
slapcat | gzip > /var/backups/ldap/db/backup.`date '+%Y%m%d'`.ldif.gz
Käsu lõpus olev `date '+%Y%m%d` võimaldab automaatselt luua käesoleva päeva andmed formaadis aasta.kuu.päev.
Seadistusfailid asuvad /etc/ldap/ kataloogis, need saab kokku pakitud ja kuupäeva infoga varustatud järgmise käsuga:
tar czvf /var/backups/conf_backup.`date '+%Y%m%d'`.tgz /etc/ldap/*

Teenuse taastamine
Põhineb EIK vikil[EIK LDAPi wiki].
Teenuse taastamise vajaduse tekkides tuleb reageerida vastavalt olukorrale. Õpiobjekti raames kajastatakse teenuse taastamist vaid andmebaasi viimase varundatud andmete laadimise ja seadistusfailidest vigade otsimise kontekstis.

Andmebaasi taastamine
Pakime viimast andmebaasi varukoopiat sisaldava faili lahti, selleks sobib näiteks käsk:
gunzip -c /var/backups/ldap/backup.<kuupäev>.ldif.gz > /var/backups/ldap/backup.<kuupäev>.ldif
Kuna tavatingimustes, on andmebaasid suured, siis kasutatakse taastamisel andmete importimiseks serveritööriista slapadd. Slapadd nagu ka teised kataloogiteenuse serveri tööriistad vajavad töötamiseks baasi ainukasutusõigust, selleks peab slapd'i seisma panema:
/etc/init.d/slapd stop
slapadd -b <suffix> -l /var/backups/ldap/backup.<kuupäev>.ldif

Seadistusfailide taastamine

Taastamiseks tuleb viimase seadistusfailide varukoopia fail lahti pakkida ning vastavalt olukorrale taastada vajalikud failid:
tar xvf /var/backups/ldap/etc/conf_backup.<kuupäev>.tar

==Läbikäidud probleemid- õpi teiste vigadest==
Kui seadistamise käigus ei küsitud LDAP administraatori parooli, siis tuleb see ise käsitsi lisada- ka korduval seadistamisel ei esitata seda võimalust. Selleks korrigeeri failides:
/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
ja tekita sinna pärast andmebaasi atribuuti (olcDBDirectory järgi) read:
olcRootDN: cn=admin,cn=config – sellega määratakse ära administraatori nimi ja skeem
olcRootPW: parool – administraatori parool, õppimiseks käib tekstiline parool ka, kuid töökeskkondades tuleks kasutada parooliräsi, selle saad käivitades:
ldappasswd -s <parool>

OpenLDAP serveri paigaldamisel ei looda baasiparameetrite faili /etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif.
On vaja õpilasel see ise luua.
Kõigepealt loome kataloogi kuhu server salvestab andmebaasi failid:
mkdir /var/lib/ldap/naide
Turvalisuse huvides peab selle kataloogi omanikuks ja grupiks olema „openldap“ kasutaja:
chown openldap:openldap /var/lib/ldap/naide/
Loo fail, kuhu sisse kirjuta loodava baasi seaded (näidisfaili sisu Lisas x), näitefaili nimi koos asukohohaga:
/etc/ldap/slapd.d/cn=config/olcDatabase={1}dbd.ldif
Kui kasutajate baasi konfiguratsioon on loodud peab LDAP serverile tegema taaskäivituse ja peale seda kontrolli kas porti kuulatakse, selleks sisesta terminali:
teenuse restartimiseks:
/etc/init.d/slapd restart
kontrolli, kas porti(389) kuulatakse:
netstat -anp|grep 389

== LDAP bdb baasi näidis konfiguratsioon ==
dn: olcDatabase={1}bdb
objectClass: olcBdbConfig
objectClass: top
olcDatabase: {1}bdb
olcDbDirectory: /var/lib/ldap/naide/
olcSuffix: dc=naide,dc=ee
olcRootDN: cn=admin,dc=naide,dc=ee
olcRootPW: parool
olcLogLevel: 256
structuralObjectClass: olcBdbConfig
olcDbCheckpoint: 128 10
olcDbIDLcacheSize: 1500
olcDbDNcacheSize: 500
olcDbConfig: {0}set_cachesize 0 33554432 0
olcDbConfig: {1}set_lg_bsize 2097512
olcDbConfig: {2}set_flags DB_LOG_AUTOREMOVE
olcMonitoring: FALSE
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: entryCSN eq
olcDbCacheFree: 300

== Skriptid ==
'''Manusesse'''

Ldap'i õpiobjekt

2011-12-04T21:02:37Z

Kkarma:

= Õpijuhis =

Õpiobjekti eesmärk on kataloogiteenuse teoreetiliste teadmiste ja praktiliste oskuste arendamine. Teadmiste arenguks on õpiobjekti osaks õppematerjalid, ning praktiliste oskuste arendamiseks on õppekeskkonna eksportfail, mida on võimalik kasutada Oracle VM VirtualBox programmiga'''(EIK kasutab ... õppekeskonda)'''. Õppekeskkonnana kasutatakse Ubuntu 11.04 Server operatsioonisüsteemi.

Õpiobjektiga töötamise eeltingimused:
*õpiobjekti kasutaja oskab kasutada Ubuntu operatsioonisüsteemi käsurealt, sh vähemalt ühte käsurea tekstiredigeerimise programmi. Peaks oskama teenust taaskäivitada, programmiuuendusi paigaldad, oskama faili/kataloogi arvutist üles leida(locate, find), vaadata milliseid porte kuulatakse jne;
*õpiobjekti kasutaja teab arvutivõrkude alusmõisteid;
*virtualiseerimisprogrammist VirtualBox tulenevalt seatakse peremeesarvuti (ingl. host) riistvarale järgmised nõuded: x86 platform; vähemalt 512 MB mälu; vähemalt 1.5GB vaba kõvakettaruumi. '''Seda eeltingimust ei rakendata, kuna kasutatakse teist õpikeskkonda!'''

== Õpiobjekti komponendid ==
Õpiobjekti komponendid on:
*õpijuhis- õpiobjekti üldine sissejuhatav tekst;
*õpetaja kasutusjuhend- juhend õpetajale või auditoorset/e-õpet korraldavale isikule, mis sisaldab teavet keskkonna ettevalmistamise kohta;
*[https://wiki.itcollege.ee/index.php/Ldap%27i_%C3%B5piobjekt#.C3.95piobjekti_kasutusjuhend õpilase kasutusjuhend]- juhend õpilasele, mis sisaldab täpsemaid tegevusjuhendeid õppetöö läbijale;
*[https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95pikeskkonna_loomine_ja_seadistamine õpikeskkonna loomise ja seadistamise juhend](sh. õpikeskkond ise)- juhend, mis õpetab õpiobjekti osaks olevat virtuaalkeskkonda looma ja seadistama Oracle VM VirtualBox programmi kasutades;
*õppematerjal(id)- [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf teoreetiline] ja [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal praktiline] õppematerjal, kus õpilane saab teadmised ja oskused;
*personaalse ülesande loomise ja kontrolli skript- bash skript, mis koostab õppija eesnime, perenime ja koodi alusel tema personaalsete andmetega laboriülesande ja teine skript, mis kontrollib laboriülesande sooritust.

= Õpiobjekti kasutusjuhend =
Käesolev õpilase kasutusjuhend on loodud teejuhiks õpiobjekti kasutamisel.

Õpilase tegevuste loetelu nende õiges järjekorras:

1. Loe läbi terve [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf õpilase kasutajajuhend]'''see on vale link''', et teada saada, mida ja millises järjekorras sa tegema pead, selleks et õpiobjekti teadmised ja oskused kinnistuksid parimal võimalikul viisil.

2. Kontrolli, et sinu kasutada oleks kõik [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95piobjekti_komponendid õpiobjekti komponendid] .

3. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php/File:LDAP_teadmiste_omandamise_6ppematerjal.pdf Teoreetilise õppematerjali] sisu. On väga oluline, et saaksid aru ja oskaksid oma sõnadega selgitada „Teoreetilises õppematerjalis“ esindatud mõisteid ja kokkuvõtvalt rääkida seal olevatest peatükkidest. Kui oled veendunud, et oled „Teoreetilise õppematerjali“ sisu omandanud asu siinse tegevusloetelu järgmise punkti juurde.

4. Kui Sinu jaoks on õpikeskkond loodud ja sa tead kus see asub, ning kuidas sellele ligi pääseb siis jätka järgmise punktiga! Kui pead endale õpikeskkonna ise looma siis järgi „Virtuaalmasina importimise ja esmase seadistamise juhendit“, et luua endale virtuaalne õpikeskkond Ubuntu 11.04 Server operatsioonisüsteemil, mis on vajalik praktiliste laboriülesannete lahendamiseks. Olles mainitud juhendi läbinud, ning sellega endale virtuaalkeskkonna loonud ning kontrollinud ja veendunud selle töökorrasolekus asu järgmise tegevusloetelu punkti juurde. '''EIK tudengitel on õpikeskkond ette loodud!'''

5. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal Praktilise õppematerjali] sisu. On oluline, et saaksid aru, miks ja millal mingit käsku on vaja kasutada ja mis selle käsu tulemusel juhtub. Käskude pähe õppimine ei ole eesmärk!

6. Kasuta virtuaalset õpikeskkonda, et lahendada laboriülesanded. Selleks sisene virtuaalkeskkonda ,kus kodukataloogis käivita „loo_ylesanne.sh“ skript, mille tulemusel luuakse õpilase personaalsete andmete (eesnimi, perenimi ja üliõpilaskood) alusel laboriülesanded, mida saab hiljem uuesti lugeda failist „ylesanded.txt“. Laboriülesannete läbimist ja õiget sooritust on võimalik kontrollida käivitades faili „kontrollskript.sh“. Kontrollskripti käivitamiste arv ei ole piiratud! Kui saad kõik ülesanded lahendatud ja seda kinnitab ka kontrollskript, anna sellest teada õppejõule, kes lahenduse üle kontrollib ja mõnda „Teoreetilise õppematerjali“ sisu mõistet küsib.

== Õpikeskkonna loomine ja seadistamine ==
Õpilasele on ettevalmistatud virtuaalkeskkonnast tehtud eksportfailid Ubuntu Server 11.04 operatsioonisüsteemiga, et vähendada keskkonna installeerimiseks kuluvat aega. Virtuaalmasina failid tuleb laadida enda arvutisse ja importida läbi vastava viisardi. Täpsemad juhised virtuaalmasina ettevalmistamiseks Oracle VM VirtualBox 3.2 ja 4.0 tarbeks on õpiobjekti üheks osaks olevas [https://wiki.itcollege.ee/images/f/f3/Virtuaalmasina_importimise_ja_esmase_seadistamise_juhend.pdf juhendis].

----

= Praktiline õppematerjal =

----
== OpenLDAP serveri ja klienditööristade paigaldamine ==
Kõigepealt paigalda OpenLDAP server, paketi nimeks Ubuntu paketihalduris 'slapd', klienditööriistad asuvad paketis 'ldap-utils', need on vajalikud, et kasutada klienditööriistu nagu näiteks: ldapsearch, ldapadd jne. Pakid paigaldatakse järgmise käsuga:
apt-get install slapd ldap-utils
Paigaldamise ajal küsitakse seadistamiseks erinevaid küsimusi, mille vastamisega peab õppija iseseisvalt hakkama saama, kasutades õpitud teadmisi.
Kui paigaldamise käigus küsiti vaid administraatori parooli või soovid ennast parandada on abiks käsk:

<source lang="bash">
dpkg-reconfigure slapd
</source>

Paigaldamise lõpuks tuleks üle kontrollida kas serveri seadistufailis /etc/ldap/slap.d/cn=config/olcDatabase{0}configure.ldif ja samas kataloogis asuv olcDatabase{1}hdb.ldif või olcDatabase{1}bdb.ldif sisaldavad paigaldamisel sisestatud andmeid, sest õppematerjali loomise käigus tuvastati korduvalt, et need andmed ei ühtinud. Vajadusel paranda erinevused!

LDAP serveri ja klienditööriistade seadistamine
LDAP klienditööriistu seadistatakse /etc/ldap/ldap.conf failist. Serveri seadistamiseks on alates 2005-nda aasta juunist kaks võimalust:
* /etc/ldap/slapd.conf seadistusfail (kasutati kuni versioonini 2.4) või
* kataloogis /etc/ldap/slapd.d/cn=config olevad failid (võimalik kasutada alates versioonini 2.3). Viimast seadistusvõimalust tuntakse kui Configuration Backend, mida kasutab ka käesolev õppematerjal. Antud töös piirdutakse kataloogis etc/ldap/slapd.d/cn=config olevate olcDatabase={0}config.ldif ja olcDatabase={1}bdb.ldif failidega, kuna laboris peab õpilane vaid neid serveri seadistufaile muutma.
Kahe erineva seadistuse põhiline vahe seisneb selles, et vanas (slapd.conf) seadistusfailis on kogu seadistus koondatud ühte faili (slapd.conf) ja seadistuste kehtestamiseks serveris on tarvis teha (LDAP) serverile taaskäivitus. Uues seadistusviisis on konfiguratsioon andmebaasis ja failisüsteemis on vaid viide andmebaasile, ning seadistusemuudatused ei eelda enam (LDAP) serveri restartimist.
'''Alates Ubuntu versioonist 8.10 on vaikeväärtusena kasutusel andmebaasis seadistuse hoidmise variant''', kuid kasutajale on jäetud võimalus kasutada ka slapd.conf varianti, selleks tuleb teha muudatused /etc/default/slapd failis.[Ubuntu LDAPi leht]

==== Testime ====
Järgmiseks testi, kas saad tehtule ligi:
ldapsearch -x -D 'cn=<rootDN>,cn=config' -W
Võtmed: x- lihtne autentimine(ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli
Vastus võiks olla selline:
# search result
search: 2
'''result: 0 Success''' või
'''result: 32 No such''' object

result: 0 Success- tähendab, et päring LDAP andmebaasi jõudis kohale ja sealt saadi vastus.
result: 32 No such object- tähendab, et LDAP serveriga saadi ühendust, kuid andmebaasis ei olnud päritud objekti. Tuleks kontrollida, kas klienditööriista seaded on õiged ja kas tehtud päring oli õige.
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)- ilmslt LDAP server seisab või ei saada baseDN-iga ühendust, vaata kas porti(389) kuulatakse, selleks sisesta terminali:
netstat -anp|grep 389
vajadusel restardi teenus:
/etc/init.d/slapd restart
ja kontrolli, kas päringu vastus muutus, kui mitte siis põhjuse leiad /var/log/syslog failist.

== LDAP serveri andmebaasi kirjete laadimine ==
Sisu laadimiseks on kaks peamist võimalust: kasutada mõnd veebipõhist administreerimisliidest (näiteks phpLDAPadmin) või konsoolilt kasutades kliendi- või serveri utiliite (näiteks ldapadd või slapadd). Esmalt vaatame konsoolilt andmete laadimist, selleks on 2 võimalust: slapadd (serveri utiliit) ja ldapadd (kliendi utiliit). Peamine vahe on selles, et kliendi tööriistu kasutades peab LDAP server töötama, serveri tööriistu kasutades aga seisma, lisaks on erinev suvandite (options) kasutus!

Soovitav on kasutada kliendi tööriistu, kuna siis ei pea serverit seiskama ja ei tekitata andmebaasi failide omanikuks root kasutajat, mis tuleks openldap kasutaja omandisse tagasi muuta. Seepärast on selles juhendmaterjalis kõik laadimised tehtud ldapadd käsuga, näiteks:
ldapadd -x -D "<kasutaja DN>" -w <parool> -f <fail>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja DN; w- sisestatakse parool kohe; f- imporditav fail.

== Veebipõhise LDAP haldusliidese paigaldamine ja seadistamine ==
Et saada paremat üldpilti ja paremini mõista, millega tegeletakse, on soovitav paigaldada ja seadistada veebipõhine LDAP-i administreerimise liides phpLDAPadmin[phpLDAPadmin mainpage]. Seadistamise hõlbustamiseks on õpiobjektiga kaasas fail config.php, kus tuleb asendada
cn=root,dc=naide,dc=vot enda konfiguratsioonile vastavaks, asendus tuleb teha reas:
$servers->setValue('login','bind_id','cn=root,dc=naide,dc=vot');
Administreerimisliidesele ligipääsuks minna hostmasinas aadressile http://ldapserveri_ip/phpldapadmin. Sissepääsuks valida kõigepealt vasakpoolsest paneelist oma serveri nimi ja seejärel login. Login DN väli peab sisaldama nii administraatori kasutaja nime, kui ka base DN väärtust. Veebiliidese kasutamine on soovituslik ja võrdlemisi lihtne, seepärast ei peatuta sellel siinkohal pikemalt.
'''PILT PUUDU'''

== Kirjete otsimine ja muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapsearch juhendil[man ldapsearch].
Päringute tegemiseks on OpenLDAP kliendi tööriistana paigaldatud ldapsearch, mis võimaldab ühenduda LDAP serveriga ja sealt otsida andmeid. Näiteks kirje otsimise käsk:
ldapsearch -x -D 'cn=<kasutaja DN>' -W <filtreeriv tingimus> <väljastatavad atribuudid>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; <filtreeriv tingimus>- võimaldab otsingut piirata; <väljastatavad atribuudid>- võimaldab pärigu tulemuses näha vaid soovitud atribuutide infot-eraldajaks tühik. Vaata ka teisi võtmeid ja nende tähendust õpikeskkonnas kirjutades käsureale: man ldapsearch

== Kirjete muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapmodify juhendil[man LDAPModify].

Kirjetesse muudatuste tegemiseks on paigaldatud OpenLDAP kliendi tööriist ldapmodify, mille abil saab andmebaasi uusi andmeid lisada või seal olemasolevaid muuta/täiendada/kustutada. Muudatusi saab sisestada käsurealt või (LDIF) failist:
ldapmod -x -D 'cn=<rootDN>' -W -f <faili asukoht>
ldapmod -x -D 'cn=<rootDN>' -W
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; -f sisendfaili asukoht.

'''Tabeli 2''' vasakpoolset veergu tuleks vaadata kui muudatuse tegemise faili sisu ning parempoolset veergu kui seletust, mida antud rida failis tähendab. Vasakpoolses veerus olev rida changetype tähendab, et ühe muudatuskorral failis võib kuuluda vaid üks valik (add, delete, modrdn, moddn, newrdn või newsuperior).

{| class="wikitable" border="1"
|-
! Faili sisu
! Seletus ja näide faili sisu kohta
|-
| #kommentaar
| #(trellid) rea alguses võimaldab kommentaari lisada, programmid #alustatud rida ei loe!
|-
| dn: <kirjenimetus (''distinguished name'')>
| dn: cn=Bjorn Jensen,dc=example,dc=com „dn:..“ näitab kirje asukohta puus.
|-
| Changetype: Add
| Kirje lisamiseks
|-
| Changetype: Delete
| Kirje kustutamiseks
|-
| Changetype: Modrdn <nowiki>|</nowiki> moddn {reavahetus} [newrdn: <rdn> {reavahetus} deleteoldrdn: [0<nowiki>|</nowiki>1] newsuperior: <dn>]
| Kirje DN ja RDN muutmiseks. Suvand Newrdn võimaldab kirje RDN'i muuta. Newrdn kasutamisel tuleb ka deleteoldrdn suvandit kasutada valides väärtuseks: 0-vana rdn jäetakse alles; 1- vana RDN kustutatakse. Newsuperior võimaldab kirje liigutada uue kataloogi alluvusse.
|-
| Changetype: Modify {reavahetus} [add: <atribuut<nowiki>|</nowiki> objektiklass> 
<nowiki>|</nowiki> delete:<atribuut<nowiki>|</nowiki> objektiklass> <nowiki>|</nowiki> replace:<atribuut<nowiki>|</nowiki> objektiklass>]{reavahetus} <atribuut<nowiki>|</nowiki> objektiklass>: <uus väärtus
| Võimaldab atribuuti, objektiklassi või mõnd muud kirje osa lisada(''add''), kustutada(''delete''), vahtada(''replace''). '''NB! Oluline on, et reavahetused oleks õigetes kohtades!'''
|-
| <nowiki>-</nowiki>
| Tähistab, et sama dn ja changetype'i kasutatakse ka järgmise muudatuse puhul.

|}

Näited[RFC 2849]:
'''# muudetakse RDN ja tõstetakse kogu sisu uue kataloogi alluvusse.'''
dn: ou=PD Accountants, ou=Product Development, dc=airius, dc=com
changetype: modrdn
newrdn: ou=Product Development Accountants
deleteoldrdn: 0
newsuperior: ou=Accounting, dc=airius, dc=com
 
'''# lisatakse 'postaddress'; kustutatakse 'description'; asendatakse olemasolev(ad) 'telephonenumber' kahe uuega;'''
'''# kustutatakse see facsimiletelephonenumber mille väärtus on „+1 408 555 9876“.'''
dn: cn=Paula Jensen, ou=Product Development, dc=airius, dc=com
changetype: modify
add: postaddress
postaddress: 123 Anystreet $ Sunnyvale, CA $ 94086
<nowiki>-</nowiki>
delete: description
<nowiki>-</nowiki>
replace: telephonenumber
telephonenumber: +1 408 555 1234
telephonenumber: +1 408 555 5678
<nowiki>-</nowiki>
delete: facsimiletelephonenumber
facsimiletelephonenumber: +1 408 555 9876

== Skeemifaili koostamine ja LDAP andmebaasi laadimine ==
==== Skeemifaili koostamine ====
LDAP-is on võimalik hoida ja sealt pärida ükskõik millist seal sisalduvat infot, vajadusel saab alati infovälju – objektiklasse/atribuute ka juurde lisada. Selle tarbeks on valmis hulk erinevaid skeemifaile (kataloogis /etc/ldap/schema/) ja kui neist ei piisa on võimalik ka ise neid juurde luua, võttes eeskujuks olemasolevad näidisfailid. Tähelepanu tuleks pöörata skeemifailide sisse kirjutatud sõltuvus viidetele, st kui on öeldud: „Depends upon core.ldif and cosine.ldif“ siis peab enne selle skeemi laadimist olema laetud core.ldif ja cosine.ldif, kuna nende skeemide atribuute või objektiklasse kasutab laetav skeemifail.

'''Lihtsa telefoniraamatu skeemi näide'''

attributetype ( 1.1.2.1.1 NAME ( 'eesnimi' )
DESC ' eesnimi'
SUP name )
attributetype ( 1.1.2.1.2 NAME ( 'perenimi' )
DESC ' perekonna nimi'
SUP name )
attributetype ( 1.1.2.1.3 NAME ( 'telefoninumber' )
DESC ' telefoninumber'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
attributetype ( 1.1.2.1.4 NAME ( 'mailiaadress' )
DESC 'Mailbox'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 1.1.2.1.5 NAME ( 'kirjeldus' )
DESC 'Lisainfo'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{1024} )
objectclass ( 1.1.2.2.1 NAME ( 'telraamat' )
DESC 'Telefoniraamat'
SUP top STRUCTURAL
MUST ( eesnimi $ perenimi $ telefoninumber )
MAY ( mailiaadress $ kirjeldus ) )

Eelnev on näidis lihtsa telefoniraamatu skeemi sisust, mis on koostatud autori poolt võttes aluseks core.schema skeemifaili ja ingliskeelse [http://www.openldap.org/doc/admin24/schema.html skeemide loomise õpetuse]. Seda materjali soovitab autor lugeda ka õpilastel täiendava teadmise omandamiseks. 
Vajalik on teada, et OID (Object Identifier) ehk numbriline osa atribuudi ja objektklassi järel, ei tohi kattuda teiste atribuutide/objektklasside OID-iga. Omavalmistatud atribuutidele on eraldatud OID algusega 1.1.2.1.1 ja objektklassile 1.1.2.2.1, ning omavalmistatud atribuutide ja objektiklasside nimed peaksid algama "x-" liitega.
Trükkitähtedes olevad tähised tähendavad: 
NAME- atribuudi/objektklassi nimi;
DESC (Description)- kirjeldus;
SUP (Superior ObjectClass)- ülem objektklass, mille piiranguid atribuut/objektiklass kasutatab;
EQUALITY- reegel, mis kontrollib, et sisestatakse just seda tüüpi andmeid;
SUBSTR (SubString)- reegel, mis kontrollib, et sisestatav alamstring sisaldab määratud tüüpi andmeid;
SYNTAX- täidetava välja stringi numbriline väärtus, mis sisaldab välja süntaksi koodi;
MUST- täitmiseks kohustuslike atribuutide nimistu;
MAY- täitmiseks vabatahtlike atribuutide nimistu.

Ebaselguse korral loe täiendavalt [http://www.openldap.org/doc/admin24/schema.html OpenLDAP-i administraatori teejuhti].
 

==== LDAP andmebaasi täiendavate skeemi (schema) andmete laadimine ====

Skeemi andmete laadimise juures on esmalt vaja veenduda, et andmed on õiges formaadis. Kuni OpenLDAP versioonini 2.4 hoiti skeemifaile .schema-failides. Alates versioonist 2.4 hoitakse ldif-failides. Lisaks nimele muutus ka sisu, mistõttu ei pääse failinime muutmisega vaid tuleb .schema-fail ümber konverteerida ldif-failiks, selleks tuleb järgida järgmist [http://www.linuxquestions.org/questions/linux-server-73/how-to-add-a-new-schema-to-openldap-2-4-11-a-700452/ juhendit]: 
1.luua fail skeemi_konverteerimine.conf, mis sisaldab viidet kõigile neile skeemifailidele, mida LDAP server kasutab. Näiteks:
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
loetelu järgneb 
2.loo kataloog, kuhu ajutiselt konverteeritud skeemifailid pannakse:
mkdir /tmp/konverteeritud
3.kasutades slaptest tööriista konverteeri .schema failid ldif failideks käsuga:
slaptest -f skeemi_konverteerimine.conf -F /tmp/konverteeritud
4.järgmiseks on vaja skeem andmebaasi laadida, selleks on kaks võimalust:

*1.laadida skeemifailid sarnaselt muudele ldif failidele ldapadd tööriistaga. Selleks tuleb eelnevalt muuta konverteeritud ldif-faili selliseks, et faili esimesel ja kolmandal real ei oleks enam skeemi järjenumbrit({number}), ning faili lõpust tuleb kustutada kõik read peale „structuralObjectClass“ atribuuti (kaasa arvatud). Seejärel laadida fail käsuga:
ldapadd -x -D <administraatoriCN>,cn=config -W -f <faili asukoht>
*2.kopeerida skeemi ldif-fail cn=config/cn=schema kataloogi, kus need peale serveri restarti kasutusele võetakse.

----

== LDAP-i õiguste mudel ja õiguste jagamine ==
Õppematerjal põhineb OpenLDAP administraatori teejuhi[LDAP Access Control] refereeringul.

''' Siin on tabelid sees, vaja pisut uurida, mismoodi neid üle kanda!! '''

== Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine ==
Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine
Juhend põhineb kuutõrvaja wikil[Kuutõrvaja wiki], mida on mõnevõrra kohandatud Ubuntu-ga kasutamiseks.
Paigaldada tuleb paketid: libnss-ldap, libpam-ldap ja ldap-auth-config. Paigaldamise käigus küsitakse järgmisi küsimusi, kooloni järel on soovitav vastus (tumedal taustal) ja sulgudes põhjendus:
OpenLDAP serveri IP aadressi või masina nimi: ldap://localhost või ldap://127.0.0.1 (OpenLDAP server asub samas virtuaalmasinas);
distinguished name (DN): dc=naide,dc=ee ( näiteülesande DN on selline);
LDAP versioon: 3 (uuem versioon);
kohaliku masina root kasutajale LDAP andmebaasi administraatori õigus: ei (seab ohtu kogu LDAP andmebaasi turvalisuse, kuna pääsedes ükskõik millise masina root kasutajaks on võimalik ka kohene ligipääs LDAP andmebaasile administraatori õiguses);
kas LDAP andmebaasile ligipääs nõuab sisselogimist: ei (antud õppematerjalis on andmebaasile ühendumine ilma autentimiseta);

Eelpool olevate vastuste põhjal luuakse /etc/ldap.conf fail. LDAP kasutaja saab nüüd süsteemi sisse logida, kuid tal ei ole kodukataloogi, seega peaks kõigile kasutajatele kodukataloogid tegema või lisama järgmise rea /etc/pam.d/common-session faili lõppu, et süsteem ise puuduolevad kodukataloogid looks:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066

Lisaks on kohustuslikud Linuxisse logivatel kasutajatel atribuudid (uid, cn, loginshell, uidnumber, gidnumber, homedirectory, userpassword) ja objektiklassid (account, posixaccount ja top)[LDAP logimise objektiklass]

== Linux ja UNIX operatsioonisüsteemide kasutajate migreerimine ==
Juhend põhineb EIK Wiki artiklil[EIK LDAPi wiki] ja Antti Andreimann LDAP-i õppematerjalil[EIK Linuxi Administeerimine LDAP-i õppematerjal].
Kasutajate ülekandmine lokaalsest kasutajate hoidlast OpenLDAPi Paigaldame migrationtools paketi.
apt-get install migrationtools
Järgnevalt peame veidi muutma migrationtools-i seadistusfaili:
/usr/share/perl5/migrate_common.ph
Kus tuleb asendada järgmised parameetrid enda LDAPi seadistusele vastavaks:
$DEFAULT_MAIL_DOMAIN = "naide.ee";
$DEFAULT_BASE = "dc=naide,dc=ee";
Kopeeri lokaalse masina kasutajaandmete andmed ajutisele pinnale, et neid saaks korrastada edaspidise tegevuse jaoks:
cp /etc/passwd /tmp/
cp /etc/group /tmp/
Redikeeri kopeeritud faile nii, et sinna jääks ainult nende kasutajate andmed, kes reaalselt võiksid soovida arvutisse sisse logida!
Tekita andmebaasi juurkataloog:
/usr/share/migrationtools/migrate_base.pl > ~/base.ldif
Redikeeri faili ~/group.ldif nii, et sinna jääks alles ainult root, ou=People,
ou=Groups ja ou=Aliases !
Seejärel ekspordi uued väärtused käskudega:
/usr/share/migrationtools/migrate_group.pl /tmp/group ~/group.ldif
/usr/share/migrationtools/migrate_passwd.pl /tmp/passwd ~/passwd.ldif

Nüüd on meil kasutajad ja grupid konverditud LDAP ldif formaati. Need omakorda tuleb importida LDAP-i databaasi kasutades järgmisi käske:
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/base.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/group.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/passwd.ldif

== Varundamine ja taastamine ==
Teenuse varundamine ja taastamine
Teenuse varundamine
Reeglina tehakse varukoopiaid eraldi seadistusfailidest ja andmetest. Neid hoitakse teis(t)el andmekandja(te)l ja teisaldatakse suuremates infosüsteemides automaatprotseduuridega.
Õpiobjekti raames kajastatakse varundamist vaid varundamist vajavate andmete kontekstis: seadistamisfailid ja andmebaas.
Põhineb EIK vikil[EIK LDAPi wiki].
Kõigepealt on vaja luua varukoopiate hoidmiseks kataloog. Selle jaoks loome kataloogid /var/backup/ldap/db ja /var/backup/ldap/db kataloogi järgmise käsuga:
mkdir -p /var/backups/ldap/db/ /var/backups/ldap/konf
Järgmiseks tuleks luua varukoopia andmebaasist, selleks kasutatakse tööriista slapcat, mis väljastab kogu andmebaasi sisu, selle suuname faili, mille saab kohe ka kokku pakkida. Vajalik käsk selleks on järgmine:
slapcat | gzip > /var/backups/ldap/db/backup.`date '+%Y%m%d'`.ldif.gz
Käsu lõpus olev `date '+%Y%m%d` võimaldab automaatselt luua käesoleva päeva andmed formaadis aasta.kuu.päev.
Seadistusfailid asuvad /etc/ldap/ kataloogis, need saab kokku pakitud ja kuupäeva infoga varustatud järgmise käsuga:
tar czvf /var/backups/conf_backup.`date '+%Y%m%d'`.tgz /etc/ldap/*

Teenuse taastamine
Põhineb EIK vikil[EIK LDAPi wiki].
Teenuse taastamise vajaduse tekkides tuleb reageerida vastavalt olukorrale. Õpiobjekti raames kajastatakse teenuse taastamist vaid andmebaasi viimase varundatud andmete laadimise ja seadistusfailidest vigade otsimise kontekstis.

Andmebaasi taastamine
Pakime viimast andmebaasi varukoopiat sisaldava faili lahti, selleks sobib näiteks käsk:
gunzip -c /var/backups/ldap/backup.<kuupäev>.ldif.gz > /var/backups/ldap/backup.<kuupäev>.ldif
Kuna tavatingimustes, on andmebaasid suured, siis kasutatakse taastamisel andmete importimiseks serveritööriista slapadd. Slapadd nagu ka teised kataloogiteenuse serveri tööriistad vajavad töötamiseks baasi ainukasutusõigust, selleks peab slapd'i seisma panema:
/etc/init.d/slapd stop
slapadd -b <suffix> -l /var/backups/ldap/backup.<kuupäev>.ldif

Seadistusfailide taastamine

Taastamiseks tuleb viimase seadistusfailide varukoopia fail lahti pakkida ning vastavalt olukorrale taastada vajalikud failid:
tar xvf /var/backups/ldap/etc/conf_backup.<kuupäev>.tar

==Läbikäidud probleemid- õpi teiste vigadest==
Kui seadistamise käigus ei küsitud LDAP administraatori parooli, siis tuleb see ise käsitsi lisada- ka korduval seadistamisel ei esitata seda võimalust. Selleks korrigeeri failides:
/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
ja tekita sinna pärast andmebaasi atribuuti (olcDBDirectory järgi) read:
olcRootDN: cn=admin,cn=config – sellega määratakse ära administraatori nimi ja skeem
olcRootPW: parool – administraatori parool, õppimiseks käib tekstiline parool ka, kuid töökeskkondades tuleks kasutada parooliräsi, selle saad käivitades:
ldappasswd -s <parool>

OpenLDAP serveri paigaldamisel ei looda baasiparameetrite faili /etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif.
On vaja õpilasel see ise luua.
Kõigepealt loome kataloogi kuhu server salvestab andmebaasi failid:
mkdir /var/lib/ldap/naide
Turvalisuse huvides peab selle kataloogi omanikuks ja grupiks olema „openldap“ kasutaja:
chown openldap:openldap /var/lib/ldap/naide/
Loo fail, kuhu sisse kirjuta loodava baasi seaded (näidisfaili sisu Lisas x), näitefaili nimi koos asukohohaga:
/etc/ldap/slapd.d/cn=config/olcDatabase={1}dbd.ldif
Kui kasutajate baasi konfiguratsioon on loodud peab LDAP serverile tegema taaskäivituse ja peale seda kontrolli kas porti kuulatakse, selleks sisesta terminali:
teenuse restartimiseks:
/etc/init.d/slapd restart
kontrolli, kas porti(389) kuulatakse:
netstat -anp|grep 389

== LDAP bdb baasi näidis konfiguratsioon ==
dn: olcDatabase={1}bdb
objectClass: olcBdbConfig
objectClass: top
olcDatabase: {1}bdb
olcDbDirectory: /var/lib/ldap/naide/
olcSuffix: dc=naide,dc=ee
olcRootDN: cn=admin,dc=naide,dc=ee
olcRootPW: parool
olcLogLevel: 256
structuralObjectClass: olcBdbConfig
olcDbCheckpoint: 128 10
olcDbIDLcacheSize: 1500
olcDbDNcacheSize: 500
olcDbConfig: {0}set_cachesize 0 33554432 0
olcDbConfig: {1}set_lg_bsize 2097512
olcDbConfig: {2}set_flags DB_LOG_AUTOREMOVE
olcMonitoring: FALSE
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: entryCSN eq
olcDbCacheFree: 300

== Skriptid ==
'''Manusesse'''

Ldap'i õpiobjekt

2011-12-04T20:20:59Z

Kkarma:

= Õpijuhis =

Õpiobjekti eesmärk on kataloogiteenuse teoreetiliste teadmiste ja praktiliste oskuste arendamine. Teadmiste arenguks on õpiobjekti osaks õppematerjalid, ning praktiliste oskuste arendamiseks on õppekeskkonna eksportfail, mida on võimalik kasutada Oracle VM VirtualBox programmiga'''(EIK kasutab ... õppekeskonda)'''. Õppekeskkonnana kasutatakse Ubuntu 11.04 Server operatsioonisüsteemi.

Õpiobjektiga töötamise eeltingimused:
*õpiobjekti kasutaja oskab kasutada Ubuntu operatsioonisüsteemi käsurealt, sh vähemalt ühte käsurea tekstiredigeerimise programmi. Peaks oskama teenust taaskäivitada, programmiuuendusi paigaldad, oskama faili/kataloogi arvutist üles leida(locate, find), vaadata milliseid porte kuulatakse jne;
*õpiobjekti kasutaja teab arvutivõrkude alusmõisteid;
*virtualiseerimisprogrammist VirtualBox tulenevalt seatakse peremeesarvuti (ingl. host) riistvarale järgmised nõuded: x86 platform; vähemalt 512 MB mälu; vähemalt 1.5GB vaba kõvakettaruumi. '''Seda eeltingimust ei rakendata, kuna kasutatakse teist õpikeskkonda!'''

== Õpiobjekti komponendid ==
Õpiobjekti komponendid on:
*õpijuhis- õpiobjekti üldine sissejuhatav tekst;
*õpetaja kasutusjuhend- juhend õpetajale või auditoorset/e-õpet korraldavale isikule, mis sisaldab teavet keskkonna ettevalmistamise kohta;
*[https://wiki.itcollege.ee/index.php/Ldap%27i_%C3%B5piobjekt#.C3.95piobjekti_kasutusjuhend õpilase kasutusjuhend]- juhend õpilasele, mis sisaldab täpsemaid tegevusjuhendeid õppetöö läbijale;
*[https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95pikeskkonna_loomine_ja_seadistamine õpikeskkonna loomise ja seadistamise juhend](sh. õpikeskkond ise)- juhend, mis õpetab õpiobjekti osaks olevat virtuaalkeskkonda looma ja seadistama Oracle VM VirtualBox programmi kasutades;
*õppematerjal(id)- [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf teoreetiline] ja [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal praktiline] õppematerjal, kus õpilane saab teadmised ja oskused;
*personaalse ülesande loomise ja kontrolli skript- bash skript, mis koostab õppija eesnime, perenime ja koodi alusel tema personaalsete andmetega laboriülesande ja teine skript, mis kontrollib laboriülesande sooritust.

= Õpiobjekti kasutusjuhend =
Käesolev õpilase kasutusjuhend on loodud teejuhiks õpiobjekti kasutamisel.

Õpilase tegevuste loetelu nende õiges järjekorras:

1. Loe läbi terve [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf õpilase kasutajajuhend]'''see on vale link''', et teada saada, mida ja millises järjekorras sa tegema pead, selleks et õpiobjekti teadmised ja oskused kinnistuksid parimal võimalikul viisil.

2. Kontrolli, et sinu kasutada oleks kõik [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#.C3.95piobjekti_komponendid õpiobjekti komponendid] .

3. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php/File:LDAP_teadmiste_omandamise_6ppematerjal.pdf Teoreetilise õppematerjali] sisu. On väga oluline, et saaksid aru ja oskaksid oma sõnadega selgitada „Teoreetilises õppematerjalis“ esindatud mõisteid ja kokkuvõtvalt rääkida seal olevatest peatükkidest. Kui oled veendunud, et oled „Teoreetilise õppematerjali“ sisu omandanud asu siinse tegevusloetelu järgmise punkti juurde.

4. Kui Sinu jaoks on õpikeskkond loodud ja sa tead kus see asub, ning kuidas sellele ligi pääseb siis jätka järgmise punktiga! Kui pead endale õpikeskkonna ise looma siis järgi „Virtuaalmasina importimise ja esmase seadistamise juhendit“, et luua endale virtuaalne õpikeskkond Ubuntu 11.04 Server operatsioonisüsteemil, mis on vajalik praktiliste laboriülesannete lahendamiseks. Olles mainitud juhendi läbinud, ning sellega endale virtuaalkeskkonna loonud ning kontrollinud ja veendunud selle töökorrasolekus asu järgmise tegevusloetelu punkti juurde. '''EIK tudengitel on õpikeskkond ette loodud!'''

5. Loe läbi ja püüa mõista [https://wiki.itcollege.ee/index.php?title=Ldap%27i_%C3%B5piobjekt&action=submit#Praktiline_.C3.B5ppematerjal Praktilise õppematerjali] sisu. On oluline, et saaksid aru, miks ja millal mingit käsku on vaja kasutada ja mis selle käsu tulemusel juhtub. Käskude pähe õppimine ei ole eesmärk!

6. Kasuta virtuaalset õpikeskkonda, et lahendada laboriülesanded. Selleks sisene virtuaalkeskkonda ,kus kodukataloogis käivita „loo_ylesanne.sh“ skript, mille tulemusel luuakse õpilase personaalsete andmete (eesnimi, perenimi ja üliõpilaskood) alusel laboriülesanded, mida saab hiljem uuesti lugeda failist „ylesanded.txt“. Laboriülesannete läbimist ja õiget sooritust on võimalik kontrollida käivitades faili „kontrollskript.sh“. Kontrollskripti käivitamiste arv ei ole piiratud! Kui saad kõik ülesanded lahendatud ja seda kinnitab ka kontrollskript, anna sellest teada õppejõule, kes lahenduse üle kontrollib ja mõnda „Teoreetilise õppematerjali“ sisu mõistet küsib.

== Õpikeskkonna loomine ja seadistamine ==
Õpilasele on ettevalmistatud virtuaalkeskkonnast tehtud eksportfailid Ubuntu Server 11.04 operatsioonisüsteemiga, et vähendada keskkonna installeerimiseks kuluvat aega. Virtuaalmasina failid tuleb laadida enda arvutisse ja importida läbi vastava viisardi. Täpsemad juhised virtuaalmasina ettevalmistamiseks Oracle VM VirtualBox 3.2 ja 4.0 tarbeks on õpiobjekti üheks osaks olevas [https://wiki.itcollege.ee/images/f/f3/Virtuaalmasina_importimise_ja_esmase_seadistamise_juhend.pdf juhendis].

----

= Praktiline õppematerjal =

----
== OpenLDAP serveri ja klienditööristade paigaldamine ==
Kõigepealt paigalda OpenLDAP server, paketi nimeks Ubuntu paketihalduris 'slapd', klienditööriistad asuvad paketis 'ldap-utils', need on vajalikud, et kasutada klienditööriistu nagu näiteks: ldapsearch, ldapadd jne. Pakid paigaldatakse järgmise käsuga:
apt-get install slapd ldap-utils
Paigaldamise ajal küsitakse seadistamiseks erinevaid küsimusi, mille vastamisega peab õppija iseseisvalt hakkama saama, kasutades õpitud teadmisi.
Kui paigaldamise käigus küsiti vaid administraatori parooli või soovid ennast parandada on abiks käsk:

<source lang="bash">
dpkg-reconfigure slapd
</source>

Paigaldamise lõpuks tuleks üle kontrollida kas serveri seadistufailis /etc/ldap/slap.d/cn=config/olcDatabase{0}configure.ldif ja samas kataloogis asuv olcDatabase{1}hdb.ldif või olcDatabase{1}bdb.ldif sisaldavad paigaldamisel sisestatud andmeid, sest õppematerjali loomise käigus tuvastati korduvalt, et need andmed ei ühtinud. Vajadusel paranda erinevused!

LDAP serveri ja klienditööriistade seadistamine
LDAP klienditööriistu seadistatakse /etc/ldap/ldap.conf failist. Serveri seadistamiseks on alates 2005-nda aasta juunist kaks võimalust:
* /etc/ldap/slapd.conf seadistusfail (kasutati kuni versioonini 2.4) või
* kataloogis /etc/ldap/slapd.d/cn=config olevad failid (võimalik kasutada alates versioonini 2.3). Viimast seadistusvõimalust tuntakse kui Configuration Backend, mida kasutab ka käesolev õppematerjal. Antud töös piirdutakse kataloogis etc/ldap/slapd.d/cn=config olevate olcDatabase={0}config.ldif ja olcDatabase={1}bdb.ldif failidega, kuna laboris peab õpilane vaid neid serveri seadistufaile muutma.
Kahe erineva seadistuse põhiline vahe seisneb selles, et vanas (slapd.conf) seadistusfailis on kogu seadistus koondatud ühte faili (slapd.conf) ja seadistuste kehtestamiseks serveris on tarvis teha (LDAP) serverile taaskäivitus. Uues seadistusviisis on konfiguratsioon andmebaasis ja failisüsteemis on vaid viide andmebaasile, ning seadistusemuudatused ei eelda enam (LDAP) serveri restartimist.
'''Alates Ubuntu versioonist 8.10 on vaikeväärtusena kasutusel andmebaasis seadistuse hoidmise variant''', kuid kasutajale on jäetud võimalus kasutada ka slapd.conf varianti, selleks tuleb teha muudatused /etc/default/slapd failis.[Ubuntu LDAPi leht]

==== Testime ====
Järgmiseks testi, kas saad tehtule ligi:
ldapsearch -x -D 'cn=<rootDN>,cn=config' -W
Võtmed: x- lihtne autentimine(ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli
Vastus võiks olla selline:
# search result
search: 2
'''result: 0 Success''' või
'''result: 32 No such''' object

result: 0 Success- tähendab, et päring LDAP andmebaasi jõudis kohale ja sealt saadi vastus.
result: 32 No such object- tähendab, et LDAP serveriga saadi ühendust, kuid andmebaasis ei olnud päritud objekti. Tuleks kontrollida, kas klienditööriista seaded on õiged ja kas tehtud päring oli õige.
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)- ilmslt LDAP server seisab või ei saada baseDN-iga ühendust, vaata kas porti(389) kuulatakse, selleks sisesta terminali:
netstat -anp|grep 389
vajadusel restardi teenus:
/etc/init.d/slapd restart
ja kontrolli, kas päringu vastus muutus, kui mitte siis põhjuse leiad /var/log/syslog failist.

== LDAP serveri andmebaasi kirjete laadimine ==
Sisu laadimiseks on kaks peamist võimalust: kasutada mõnd veebipõhist administreerimisliidest (näiteks phpLDAPadmin) või konsoolilt kasutades kliendi- või serveri utiliite (näiteks ldapadd või slapadd). Esmalt vaatame konsoolilt andmete laadimist, selleks on 2 võimalust: slapadd (serveri utiliit) ja ldapadd (kliendi utiliit). Peamine vahe on selles, et kliendi tööriistu kasutades peab LDAP server töötama, serveri tööriistu kasutades aga seisma, lisaks on erinev suvandite (options) kasutus!

Soovitav on kasutada kliendi tööriistu, kuna siis ei pea serverit seiskama ja ei tekitata andmebaasi failide omanikuks root kasutajat, mis tuleks openldap kasutaja omandisse tagasi muuta. Seepärast on selles juhendmaterjalis kõik laadimised tehtud ldapadd käsuga, näiteks:
ldapadd -x -D "<kasutaja DN>" -w <parool> -f <fail>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja DN; w- sisestatakse parool kohe; f- imporditav fail.

== Veebipõhise LDAP haldusliidese paigaldamine ja seadistamine ==
Et saada paremat üldpilti ja paremini mõista, millega tegeletakse, on soovitav paigaldada ja seadistada veebipõhine LDAP-i administreerimise liides phpLDAPadmin[phpLDAPadmin mainpage]. Seadistamise hõlbustamiseks on õpiobjektiga kaasas fail config.php, kus tuleb asendada
cn=root,dc=naide,dc=vot enda konfiguratsioonile vastavaks, asendus tuleb teha reas:
$servers->setValue('login','bind_id','cn=root,dc=naide,dc=vot');
Administreerimisliidesele ligipääsuks minna hostmasinas aadressile http://ldapserveri_ip/phpldapadmin. Sissepääsuks valida kõigepealt vasakpoolsest paneelist oma serveri nimi ja seejärel login. Login DN väli peab sisaldama nii administraatori kasutaja nime, kui ka base DN väärtust. Veebiliidese kasutamine on soovituslik ja võrdlemisi lihtne, seepärast ei peatuta sellel siinkohal pikemalt.
'''PILT PUUDU'''

== Kirjete otsimine ja muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapsearch juhendil[man ldapsearch].
Päringute tegemiseks on OpenLDAP kliendi tööriistana paigaldatud ldapsearch, mis võimaldab ühenduda LDAP serveriga ja sealt otsida andmeid. Näiteks kirje otsimise käsk:
ldapsearch -x -D 'cn=<kasutaja DN>' -W <filtreeriv tingimus> <väljastatavad atribuudid>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; <filtreeriv tingimus>- võimaldab otsingut piirata; <väljastatavad atribuudid>- võimaldab pärigu tulemuses näha vaid soovitud atribuutide infot-eraldajaks tühik. Vaata ka teisi võtmeid ja nende tähendust õpikeskkonnas kirjutades käsureale: man ldapsearch

== Kirjete muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapmodify juhendil[man LDAPModify].

Kirjetesse muudatuste tegemiseks on paigaldatud OpenLDAP kliendi tööriist ldapmodify, mille abil saab andmebaasi uusi andmeid lisada või seal olemasolevaid muuta/täiendada/kustutada. Muudatusi saab sisestada käsurealt või (LDIF) failist:
ldapmod -x -D 'cn=<rootDN>' -W -f <faili asukoht>
ldapmod -x -D 'cn=<rootDN>' -W
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; -f sisendfaili asukoht.

'''Tabeli 2''' vasakpoolset veergu tuleks vaadata kui muudatuse tegemise faili sisu ning parempoolset veergu kui seletust, mida antud rida failis tähendab. Vasakpoolses veerus olev rida changetype tähendab, et ühe muudatuskorral failis võib kuuluda vaid üks valik (add, delete, modrdn, moddn, newrdn või newsuperior).

{| class="wikitable" border="1"
|-
! Faili sisu
! Seletus ja näide faili sisu kohta
|-
| #kommentaar
| #(trellid) rea alguses võimaldab kommentaari lisada, programmid #alustatud rida ei loe!
|-
| dn: <kirjenimetus (''distinguished name'')>
| dn: cn=Bjorn Jensen,dc=example,dc=com „dn:..“ näitab kirje asukohta puus.
|-
| Changetype: Add
| Kirje lisamiseks
|-
| Changetype: Delete
| Kirje kustutamiseks
|-
| Changetype: Modrdn <nowiki>|</nowiki> moddn {reavahetus} [newrdn: <rdn> {reavahetus} deleteoldrdn: [0<nowiki>|</nowiki>1] newsuperior: <dn>]
| Kirje DN ja RDN muutmiseks. Suvand Newrdn võimaldab kirje RDN'i muuta. Newrdn kasutamisel tuleb ka deleteoldrdn suvandit kasutada valides väärtuseks: 0-vana rdn jäetakse alles; 1- vana RDN kustutatakse. Newsuperior võimaldab kirje liigutada uue kataloogi alluvusse.
|-
| Changetype: Modify {reavahetus} [add: <atribuut<nowiki>|</nowiki> objektiklass> 
<nowiki>|</nowiki> delete:<atribuut<nowiki>|</nowiki> objektiklass> <nowiki>|</nowiki> replace:<atribuut<nowiki>|</nowiki> objektiklass>]{reavahetus} <atribuut<nowiki>|</nowiki> objektiklass>: <uus väärtus
| Võimaldab atribuuti, objektiklassi või mõnd muud kirje osa lisada(''add''), kustutada(''delete''), vahtada(''replace''). '''NB! Oluline on, et reavahetused oleks õigetes kohtades!'''
|-
| <nowiki>-</nowiki>
| Tähistab, et sama dn ja changetype'i kasutatakse ka järgmise muudatuse puhul.

|}

Näited[RFC 2849]:
'''# muudetakse RDN ja tõstetakse kogu sisu uue kataloogi alluvusse.'''
dn: ou=PD Accountants, ou=Product Development, dc=airius, dc=com
changetype: modrdn
newrdn: ou=Product Development Accountants
deleteoldrdn: 0
newsuperior: ou=Accounting, dc=airius, dc=com
 
'''# lisatakse 'postaddress'; kustutatakse 'description'; asendatakse olemasolev(ad) 'telephonenumber' kahe uuega;'''
'''# kustutatakse see facsimiletelephonenumber mille väärtus on „+1 408 555 9876“.'''
dn: cn=Paula Jensen, ou=Product Development, dc=airius, dc=com
changetype: modify
add: postaddress
postaddress: 123 Anystreet $ Sunnyvale, CA $ 94086
<nowiki>-</nowiki>
delete: description
<nowiki>-</nowiki>
replace: telephonenumber
telephonenumber: +1 408 555 1234
telephonenumber: +1 408 555 5678
<nowiki>-</nowiki>
delete: facsimiletelephonenumber
facsimiletelephonenumber: +1 408 555 9876

== Skeemifaili koostamine ja LDAP andmebaasi laadimine ==
==== Skeemifaili koostamine ====
LDAP-is on võimalik hoida ja sealt pärida ükskõik millist seal sisalduvat infot, vajadusel saab alati infovälju – objektiklasse/atribuute ka juurde lisada. Selle tarbeks on valmis hulk erinevaid skeemifaile (kataloogis /etc/ldap/schema/) ja kui neist ei piisa on võimalik ka ise neid juurde luua, võttes eeskujuks olemasolevad näidisfailid. Tähelepanu tuleks pöörata skeemifailide sisse kirjutatud sõltuvus viidetele, st kui on öeldud: „Depends upon core.ldif and cosine.ldif“ siis peab enne selle skeemi laadimist olema laetud core.ldif ja cosine.ldif, kuna nende skeemide atribuute või objektiklasse kasutab laetav skeemifail.
Lisas 15 on näidis lihtsa telefoniraamatu skeemi sisust, mis on koostatud autori poolt võttes aluseks core.schema skeemifaili ja ingliskeelse [http://www.openldap.org/doc/admin24/schema.html skeemide loomise õpetuse]. Seda materjali soovitab autor lugeda ka õpilastel täiendava teadmise omandamiseks. 
Vajalik on teada, et OID (Object Identifier) ehk numbriline osa atribuudi ja objektklassi järel, ei tohi kattuda teiste atribuutide/objektklasside OID-iga. Omavalmistatud atribuutidele on eraldatud OID algusega 1.1.2.1.1 ja objektklassile 1.1.2.2.1, ning omavalmistatud Trükkitähtedes olevad tähised tähendavad: 
NAME- atribuudi/objektklassi nimi; 
DESC (Description)- kirjeldus; 
SUP (Superior ObjectClass)- ülem objektklass, mille piiranguid atribuut/objektiklass kasutatab; 
EQUALITY- reegel, mis kontrollib, et sisestatakse just seda tüüpi andmeid; 
SUBSTR (SubString)- reegel, mis kontrollib, et sisestatav alamstring sisaldab määratud tüüpi andmeid; 
SYNTAX- täidetava välja stringi numbriline väärtus, mis sisaldab välja süntaksi koodi; 
MUST- täitmiseks kohustuslike atribuutide nimistu; 
MAY- täitmiseks vabatahtlike atribuutide nimistu. 

Ebaselguse korral loe täiendavalt [http://www.openldap.org/doc/admin24/schema.html OpenLDAP-i administraatori teejuhti].
 

==== LDAP andmebaasi täiendavate skeemi (schema) andmete laadimine ====

Skeemi andmete laadimise juures on esmalt vaja veenduda, et andmed on õiges formaadis. Kuni OpenLDAP versioonini 2.4 hoiti skeemifaile .schema-failides. Alates versioonist 2.4 hoitakse ldif-failides. Lisaks nimele muutus ka sisu, mistõttu ei pääse failinime muutmisega vaid tuleb .schema-fail ümber konverteerida ldif-failiks, selleks tuleb järgida järgmist [http://www.linuxquestions.org/questions/linux-server-73/how-to-add-a-new-schema-to-openldap-2-4-11-a-700452/ juhendit]: 
1.luua fail skeemi_konverteerimine.conf, mis sisaldab viidet kõigile neile skeemifailidele, mida LDAP server kasutab. Näiteks:
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
loetelu järgneb 
2.loo kataloog, kuhu ajutiselt konverteeritud skeemifailid pannakse:
mkdir /tmp/konverteeritud
3.kasutades slaptest tööriista konverteeri .schema failid ldif failideks käsuga:
slaptest -f skeemi_konverteerimine.conf -F /tmp/konverteeritud
4.järgmiseks on vaja skeem andmebaasi laadida, selleks on kaks võimalust:

*1.laadida skeemifailid sarnaselt muudele ldif failidele ldapadd tööriistaga. Selleks tuleb eelnevalt muuta konverteeritud ldif-faili selliseks, et faili esimesel ja kolmandal real ei oleks enam skeemi järjenumbrit({number}), ning faili lõpust tuleb kustutada kõik read peale „structuralObjectClass“ atribuuti (kaasa arvatud). Seejärel laadida fail käsuga:
ldapadd -x -D <administraatoriCN>,cn=config -W -f <faili asukoht>
*2.kopeerida skeemi ldif-fail cn=config/cn=schema kataloogi, kus need peale serveri restarti kasutusele võetakse.

----
'''Lihtsa telefoniraamatu skeemi näide'''

attributetype ( 1.1.2.1.1 NAME ( 'eesnimi' )
DESC ' eesnimi'
SUP name )
attributetype ( 1.1.2.1.2 NAME ( 'perenimi' )
DESC ' perekonna nimi'
SUP name )
attributetype ( 1.1.2.1.3 NAME 'telefoninumber'
DESC ' telefoninumber'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
attributetype ( 1.1.2.1.4 NAME ( 'mailiaadress' )
DESC 'Mailbox'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 1.1.2.1.5 NAME 'kirjeldus'
DESC 'Lisainfo'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{1024} )
objectclass ( 1.1.2.2.1 NAME 'telraamat'
DESC 'Telefoniraamat'
SUP top STRUCTURAL
MUST ( eesnimi $ perenimi $ telefoninumber )
MAY ( mailiaadress $ kirjeldus ) )

== LDAP-i õiguste mudel ja õiguste jagamine ==
Õppematerjal põhineb OpenLDAP administraatori teejuhi[LDAP Access Control] refereeringul.

''' Siin on tabelid sees, vaja pisut uurida, mismoodi neid üle kanda!! '''

== Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine ==
Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine
Juhend põhineb kuutõrvaja wikil[Kuutõrvaja wiki], mida on mõnevõrra kohandatud Ubuntu-ga kasutamiseks.
Paigaldada tuleb paketid: libnss-ldap, libpam-ldap ja ldap-auth-config. Paigaldamise käigus küsitakse järgmisi küsimusi, kooloni järel on soovitav vastus (tumedal taustal) ja sulgudes põhjendus:
OpenLDAP serveri IP aadressi või masina nimi: ldap://localhost või ldap://127.0.0.1 (OpenLDAP server asub samas virtuaalmasinas);
distinguished name (DN): dc=naide,dc=ee ( näiteülesande DN on selline);
LDAP versioon: 3 (uuem versioon);
kohaliku masina root kasutajale LDAP andmebaasi administraatori õigus: ei (seab ohtu kogu LDAP andmebaasi turvalisuse, kuna pääsedes ükskõik millise masina root kasutajaks on võimalik ka kohene ligipääs LDAP andmebaasile administraatori õiguses);
kas LDAP andmebaasile ligipääs nõuab sisselogimist: ei (antud õppematerjalis on andmebaasile ühendumine ilma autentimiseta);

Eelpool olevate vastuste põhjal luuakse /etc/ldap.conf fail. LDAP kasutaja saab nüüd süsteemi sisse logida, kuid tal ei ole kodukataloogi, seega peaks kõigile kasutajatele kodukataloogid tegema või lisama järgmise rea /etc/pam.d/common-session faili lõppu, et süsteem ise puuduolevad kodukataloogid looks:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066

Lisaks on kohustuslikud Linuxisse logivatel kasutajatel atribuudid (uid, cn, loginshell, uidnumber, gidnumber, homedirectory, userpassword) ja objektiklassid (account, posixaccount ja top)[LDAP logimise objektiklass]

== Linux ja UNIX operatsioonisüsteemide kasutajate migreerimine ==
Juhend põhineb EIK Wiki artiklil[EIK LDAPi wiki] ja Antti Andreimann LDAP-i õppematerjalil[EIK Linuxi Administeerimine LDAP-i õppematerjal].
Kasutajate ülekandmine lokaalsest kasutajate hoidlast OpenLDAPi Paigaldame migrationtools paketi.
apt-get install migrationtools
Järgnevalt peame veidi muutma migrationtools-i seadistusfaili:
/usr/share/perl5/migrate_common.ph
Kus tuleb asendada järgmised parameetrid enda LDAPi seadistusele vastavaks:
$DEFAULT_MAIL_DOMAIN = "naide.ee";
$DEFAULT_BASE = "dc=naide,dc=ee";
Kopeeri lokaalse masina kasutajaandmete andmed ajutisele pinnale, et neid saaks korrastada edaspidise tegevuse jaoks:
cp /etc/passwd /tmp/
cp /etc/group /tmp/
Redikeeri kopeeritud faile nii, et sinna jääks ainult nende kasutajate andmed, kes reaalselt võiksid soovida arvutisse sisse logida!
Tekita andmebaasi juurkataloog:
/usr/share/migrationtools/migrate_base.pl > ~/base.ldif
Redikeeri faili ~/group.ldif nii, et sinna jääks alles ainult root, ou=People,
ou=Groups ja ou=Aliases !
Seejärel ekspordi uued väärtused käskudega:
/usr/share/migrationtools/migrate_group.pl /tmp/group ~/group.ldif
/usr/share/migrationtools/migrate_passwd.pl /tmp/passwd ~/passwd.ldif

Nüüd on meil kasutajad ja grupid konverditud LDAP ldif formaati. Need omakorda tuleb importida LDAP-i databaasi kasutades järgmisi käske:
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/base.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/group.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/passwd.ldif

== Varundamine ja taastamine ==
Teenuse varundamine ja taastamine
Teenuse varundamine
Reeglina tehakse varukoopiaid eraldi seadistusfailidest ja andmetest. Neid hoitakse teis(t)el andmekandja(te)l ja teisaldatakse suuremates infosüsteemides automaatprotseduuridega.
Õpiobjekti raames kajastatakse varundamist vaid varundamist vajavate andmete kontekstis: seadistamisfailid ja andmebaas.
Põhineb EIK vikil[EIK LDAPi wiki].
Kõigepealt on vaja luua varukoopiate hoidmiseks kataloog. Selle jaoks loome kataloogid /var/backup/ldap/db ja /var/backup/ldap/db kataloogi järgmise käsuga:
mkdir -p /var/backups/ldap/db/ /var/backups/ldap/konf
Järgmiseks tuleks luua varukoopia andmebaasist, selleks kasutatakse tööriista slapcat, mis väljastab kogu andmebaasi sisu, selle suuname faili, mille saab kohe ka kokku pakkida. Vajalik käsk selleks on järgmine:
slapcat | gzip > /var/backups/ldap/db/backup.`date '+%Y%m%d'`.ldif.gz
Käsu lõpus olev `date '+%Y%m%d` võimaldab automaatselt luua käesoleva päeva andmed formaadis aasta.kuu.päev.
Seadistusfailid asuvad /etc/ldap/ kataloogis, need saab kokku pakitud ja kuupäeva infoga varustatud järgmise käsuga:
tar czvf /var/backups/conf_backup.`date '+%Y%m%d'`.tgz /etc/ldap/*

Teenuse taastamine
Põhineb EIK vikil[EIK LDAPi wiki].
Teenuse taastamise vajaduse tekkides tuleb reageerida vastavalt olukorrale. Õpiobjekti raames kajastatakse teenuse taastamist vaid andmebaasi viimase varundatud andmete laadimise ja seadistusfailidest vigade otsimise kontekstis.

Andmebaasi taastamine
Pakime viimast andmebaasi varukoopiat sisaldava faili lahti, selleks sobib näiteks käsk:
gunzip -c /var/backups/ldap/backup.<kuupäev>.ldif.gz > /var/backups/ldap/backup.<kuupäev>.ldif
Kuna tavatingimustes, on andmebaasid suured, siis kasutatakse taastamisel andmete importimiseks serveritööriista slapadd. Slapadd nagu ka teised kataloogiteenuse serveri tööriistad vajavad töötamiseks baasi ainukasutusõigust, selleks peab slapd'i seisma panema:
/etc/init.d/slapd stop
slapadd -b <suffix> -l /var/backups/ldap/backup.<kuupäev>.ldif

Seadistusfailide taastamine

Taastamiseks tuleb viimase seadistusfailide varukoopia fail lahti pakkida ning vastavalt olukorrale taastada vajalikud failid:
tar xvf /var/backups/ldap/etc/conf_backup.<kuupäev>.tar

==Läbikäidud probleemid- õpi teiste vigadest==
Kui seadistamise käigus ei küsitud LDAP administraatori parooli, siis tuleb see ise käsitsi lisada- ka korduval seadistamisel ei esitata seda võimalust. Selleks korrigeeri failides:
/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
ja tekita sinna pärast andmebaasi atribuuti (olcDBDirectory järgi) read:
olcRootDN: cn=admin,cn=config – sellega määratakse ära administraatori nimi ja skeem
olcRootPW: parool – administraatori parool, õppimiseks käib tekstiline parool ka, kuid töökeskkondades tuleks kasutada parooliräsi, selle saad käivitades:
ldappasswd -s <parool>

OpenLDAP serveri paigaldamisel ei looda baasiparameetrite faili /etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif.
On vaja õpilasel see ise luua.
Kõigepealt loome kataloogi kuhu server salvestab andmebaasi failid:
mkdir /var/lib/ldap/naide
Turvalisuse huvides peab selle kataloogi omanikuks ja grupiks olema „openldap“ kasutaja:
chown openldap:openldap /var/lib/ldap/naide/
Loo fail, kuhu sisse kirjuta loodava baasi seaded (näidisfaili sisu Lisas x), näitefaili nimi koos asukohohaga:
/etc/ldap/slapd.d/cn=config/olcDatabase={1}dbd.ldif
Kui kasutajate baasi konfiguratsioon on loodud peab LDAP serverile tegema taaskäivituse ja peale seda kontrolli kas porti kuulatakse, selleks sisesta terminali:
teenuse restartimiseks:
/etc/init.d/slapd restart
kontrolli, kas porti(389) kuulatakse:
netstat -anp|grep 389

== LDAP bdb baasi näidis konfiguratsioon ==
dn: olcDatabase={1}bdb
objectClass: olcBdbConfig
objectClass: top
olcDatabase: {1}bdb
olcDbDirectory: /var/lib/ldap/naide/
olcSuffix: dc=naide,dc=ee
olcRootDN: cn=admin,dc=naide,dc=ee
olcRootPW: parool
olcLogLevel: 256
structuralObjectClass: olcBdbConfig
olcDbCheckpoint: 128 10
olcDbIDLcacheSize: 1500
olcDbDNcacheSize: 500
olcDbConfig: {0}set_cachesize 0 33554432 0
olcDbConfig: {1}set_lg_bsize 2097512
olcDbConfig: {2}set_flags DB_LOG_AUTOREMOVE
olcMonitoring: FALSE
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: entryCSN eq
olcDbCacheFree: 300

== Skriptid ==
'''Manusesse'''

File:LDAP teadmiste omandamise 6ppematerjal.pdf

2011-12-03T18:58:43Z

Kkarma: uploaded a new version of "File:LDAP teadmiste omandamise 6ppematerjal.pdf"

Põhiteadmiste materjal: mõisted; LDAP (puukujuline)struktuur; LDAP serverigaühendumine ja autentimine; LDIF; replikeerimine

2011-11-30T15:29:37Z

Kkarma:

== Õpijuhis ==

Õpiobjekti eesmärk on kataloogiteenuse teoreetiliste teadmiste ja praktiliste oskuste arendamine. Teadmiste arenguks on õpiobjekti osaks õppematerjalid, ning praktiliste oskuste arendamiseks on õppekeskkonna eksportfail, mida on võimalik kasutada Oracle VM VirtualBox programmiga'''(EIK kasutab õppekeskonda)'''. Õppekeskkonnana kasutatakse Ubuntu 11.04 Server operatsioonisüsteemi.

Õpiobjektiga töötamise eeltingimused:
*õpiobjekti kasutaja oskab kasutada Ubuntu operatsioonisüsteemi käsurealt, sh vähemalt ühte käsurea tekstiredigeerimise programmi. Peaks oskama teenust taaskäivitada, programmiuuendusi paigaldad, oskama faili/kataloogi arvutist üles leida(locate, find), vaadata milliseid porte kuulatakse jne;
*õpiobjekti kasutaja teab arvutivõrkude alusmõisteid;
*virtualiseerimisprogrammist VirtualBox tulenevalt seatakse peremeesarvuti (ingl. host) riistvarale järgmised nõuded: x86 platform; vähemalt 512 MB mälu; vähemalt 1.5GB vaba kõvakettaruumi. '''Seda eeltingimust ei rakendata, kuna kasutatakse teist õpikeskkonda!'''

== Õpiobjekti komponendid ==
Õpiobjekti komponendid on:
*õpijuhis- õpiobjekti üldine sissejuhatav tekst;
*õpetaja kasutusjuhend- juhend õpetajale või auditoorset/e-õpet korraldavale isikule, mis sisaldab teavet keskkonna ettevalmistamise kohta;
*õpilase kasutusjuhend- juhend õpilasele, mis sisaldab täpsemaid tegevusjuhendeid õppetöö läbijale;
*õpikeskkonna loomise ja seadistamise juhend(sh. õpikeskkond ise)- juhend, mis õpetab õpiobjekti osaks olevat virtuaalkeskkonda looma ja seadistama Oracle VM VirtualBox programmi kasutades;
*õppematerjal(id)- teoreetiline ja praktiline õppematerjal, kus õpilane saab teadmised ja oskused;
*personaalse ülesande loomise ja kontrolli skript- bash skript, mis koostab õppija eesnime, perenime ja koodi alusel tema personaalsete andmetega laboriülesande ja teine skript, mis kontrollib laboriülesande sooritust.

== Õpiobjekti kasutusjuhend ==
Käesolev õpilase kasutusjuhend on loodud teejuhiks õpiobjekti kasutamisel.

Õpilase tegevuste loetelu nende õiges järjekorras:

1. Loe läbi terve [https://wiki.itcollege.ee/images/2/23/LDAP_teadmiste_omandamise_6ppematerjal.pdf õpilase kasutajajuhend], et teada saada, mida ja millises järjekorras sa tegema pead, selleks et õpiobjekti teadmised ja oskused kinnistuksid parimal võimalikul viisil.

2. Kontrolli, et sinu kasutada oleks kõik õpiobjekti komponendid. Komponentide nimekiri on osaks käesolevast „õpilase kasutusjuhendist“.

3. Loe läbi ja püüa mõista „Teoreetilise õppematerjali“ sisu. On väga oluline, et saaksid aru ja oskaksid oma sõnadega selgitada „Teoreetilises õppematerjalis“ esindatud mõisteid ja kokkuvõtvalt rääkida seal olevatest peatükkidest. Kui oled veendunud, et oled „Teoreetilise õppematerjali“ sisu omandanud asu siinse tegevusloetelu järgmise punkti juurde.

4. Kui Sinu jaoks on õpikeskkond loodud ja sa tead kus see asub, ning kuidas sellele ligi pääseb siis jätka järgmise punktiga! Kui pead endale õpikeskkonna ise looma siis järgi „Virtuaalmasina importimise ja esmase seadistamise juhendit“, et luua endale virtuaalne õpikeskkond Ubuntu 11.04 Server operatsioonisüsteemil, mis on vajalik praktiliste laboriülesannete lahendamiseks. Olles mainitud juhendi läbinud, ning sellega endale virtuaalkeskkonna loonud ning kontrollinud ja veendunud selle töökorrasolekus asu järgmise tegevusloetelu punkti juurde. '''EIK tudengitel on õpikeskkond ette loodud!'''

5. Loe läbi ja püüa mõista „Praktilise õppematerjali“ sisu. On oluline, et saaksid aru, miks ja millal mingit käsku on vaja kasutada ja mis selle käsu tulemusel juhtub. Käskude pähe õppimine ei ole eesmärk!

6. Kasuta virtuaalset õpikeskkonda, et lahendada laboriülesanded. Selleks sisene virtuaalkeskkonda ,kus kodukataloogis käivita „loo_ylesanne.sh“ skript, mille tulemusel luuakse õpilase personaalsete andmete (eesnimi, perenimi ja üliõpilaskood) alusel laboriülesanded, mida saab hiljem uuesti lugeda failist „ylesanded.txt“. Laboriülesannete läbimist ja õiget sooritust on võimalik kontrollida käivitades faili „kontrollskript.sh“. Kontrollskripti käivitamiste arv ei ole piiratud! Kui saad kõik ülesanded lahendatud ja seda kinnitab ka kontrollskript, anna sellest teada õppejõule, kes lahenduse üle kontrollib ja mõnda „Teoreetilise õppematerjali“ sisu mõistet küsib.

----

== Õpikeskkonna loomine ja seadistamine ==
Õpilasele on ettevalmistatud virtuaalkeskkonnast tehtud eksportfailid Ubuntu Server 11.04 operatsioonisüsteemiga, et vähendada keskkonna installeerimiseks kuluvat aega. Virtuaalmasina failid tuleb laadida enda arvutisse ja importida läbi vastava viisardi. Täpsemad juhised virtuaalmasina ettevalmistamiseks Oracle VM VirtualBox 3.2 ja 4.0 tarbeks on õpiobjekti üheks osaks olevas [https://wiki.itcollege.ee/images/f/f3/Virtuaalmasina_importimise_ja_esmase_seadistamise_juhend.pdf juhendis].

== OpenLDAP serveri ja klienditööristade paigaldamine ==
Kõigepealt paigalda OpenLDAP server, paketi nimeks Ubuntu paketihalduris 'slapd', klienditööriistad asuvad paketis 'ldap-utils', need on vajalikud, et kasutada klienditööriistu nagu näiteks: ldapsearch, ldapadd jne. Pakid paigaldatakse järgmise käsuga:
apt-get install slapd ldap-utils
Paigaldamise ajal küsitakse seadistamiseks erinevaid küsimusi, mille vastamisega peab õppija iseseisvalt hakkama saama, kasutades õpitud teadmisi.
Kui paigaldamise käigus küsiti vaid administraatori parooli või soovid ennast parandada on abiks käsk:
dpkg-reconfigure slapd

Paigaldamise lõpuks tuleks üle kontrollida kas serveri seadistufailis /etc/ldap/slap.d/cn=config/olcDatabase{0}configure.ldif ja samas kataloogis asuv olcDatabase{1}hdb.ldif või olcDatabase{1}bdb.ldif sisaldavad paigaldamisel sisestatud andmeid, sest õppematerjali loomise käigus tuvastati korduvalt, et need andmed ei ühtinud. Vajadusel paranda erinevused!

LDAP serveri ja klienditööriistade seadistamine
LDAP klienditööriistu seadistatakse /etc/ldap/ldap.conf failist. Serveri seadistamiseks on alates 2005-nda aasta juunist kaks võimalust: /etc/ldap/slapd.conf seadistusfail (kasutati kuni versioonini 2.4) või kataloogis /etc/ldap/slapd.d/cn=config olevad failid (võimalik kasutada alates versioonini 2.3). Viimast seadistusvõimalust tuntakse kui Configuration Backend, mida kasutab ka käesolev õppematerjal. Antud töös piirdutakse kataloogis etc/ldap/slapd.d/cn=config olevate olcDatabase={0}config.ldif ja olcDatabase={1}bdb.ldif failidega, kuna laboris peab õpilane vaid neid serveri seadistufaile muutma.
Kahe erineva seadistuse põhiline vahe seisneb selles, et vanas (slapd.conf) seadistusfailis on kogu seadistus koondatud ühte faili (slapd.conf) ja seadistuste kehtestamiseks serveris on tarvis teha (LDAP) serverile taaskäivitus. Uues seadistusviisis on konfiguratsioon andmebaasis ja failisüsteemis on vaid viide andmebaasile, ning seadistusemuudatused ei eelda enam (LDAP) serveri restartimist.
Alates Ubuntu versioonist 8.10 on vaikeväärtusena kasutusel andmebaasis seadistuse hoidmise variant, kuid kasutajale on jäetud võimalus kasutada ka slapd.conf varianti, selleks tuleb teha muudatused /etc/default/slapd failis.[Ubuntu LDAPi leht]

==== Testime ====
Järgmiseks testi, kas saad tehtule ligi:
ldapsearch -x -D 'cn=<rootDN>,cn=config' -W
Võtmed: x- lihtne autentimine(ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli
Vastus võiks olla selline:
# search result
search: 2
result: 0 Success või result: 32 No such object
result: 0 Success- tähendab, et päring LDAP andmebaasi jõudis kohale ja sealt saadi vastus.
result: 32 No such object- tähendab, et LDAP serveriga saadi ühendust, kuid andmebaasis ei olnud päritud objekti. Tuleks kontrollida, kas klienditööriista seaded on õiged ja kas tehtud päring oli õige.
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)- ilmslt LDAP server seisab või ei saada baseDN-iga ühendust, vaata kas porti(389) kuulatakse, selleks sisesta terminali:
netstat -anp|grep 389
vajadusel restardi teenus:
/etc/init.d/slapd restart
ja kontrolli, kas päringu vastus muutus, kui mitte siis põhjuse leiad /var/log/syslog failist.

== LDAP serveri andmebaasi kirjete laadimine ==
Sisu laadimiseks on kaks peamist võimalust: kasutada mõnd veebipõhist administreerimisliidest (näiteks phpLDAPadmin) või konsoolilt kasutades kliendi- või serveri utiliite (näiteks ldapadd või slapadd). Esmalt vaatame konsoolilt andmete laadimist, selleks on 2 võimalust: slapadd (serveri utiliit) ja ldapadd (kliendi utiliit). Peamine vahe on selles, et kliendi tööriistu kasutades peab LDAP server töötama, serveri tööriistu kasutades aga seisma, lisaks on erinev suvandite (options) kasutus!

Soovitav on kasutada kliendi tööriistu, kuna siis ei pea serverit seiskama ja ei tekitata andmebaasi failide omanikuks root kasutajat, mis tuleks openldap kasutaja omandisse tagasi muuta. Seepärast on selles juhendmaterjalis kõik laadimised tehtud ldapadd käsuga, näiteks:
ldapadd -x -D "<kasutaja DN>" -w <parool> -f <fail>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja DN; w- sisestatakse parool kohe; f- imporditav fail.

== Veebipõhise LDAP haldusliidese paigaldamine ja seadistamine ==
Et saada paremat üldpilti ja paremini mõista, millega tegeletakse, on soovitav paigaldada ja seadistada veebipõhine LDAP-i administreerimise liides phpLDAPadmin[phpLDAPadmin mainpage]. Seadistamise hõlbustamiseks on õpiobjektiga kaasas fail config.php, kus tuleb asendada cn=root,dc=naide,dc=vot enda konfiguratsioonile vastavaks, asendus tuleb teha reas:
$servers->setValue('login','bind_id','cn=root,dc=naide,dc=vot');
Administreerimisliidesele ligipääsuks minna hostmasinas aadressile http://ldapserveri_ip/phpldapadmin. Sissepääsuks valida kõigepealt vasakpoolsest paneelist oma serveri nimi ja seejärel login. Login DN väli peab sisaldama nii administraatori kasutaja nime, kui ka base DN väärtust. Veebiliidese kasutamine on soovituslik ja võrdlemisi lihtne, seepärast ei peatuta sellel siinkohal pikemalt.
'''PILT PUUDU'''

== Kirjete otsimine ja muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapsearch juhendil[man ldapsearch].
Päringute tegemiseks on OpenLDAP kliendi tööriistana paigaldatud ldapsearch, mis võimaldab ühenduda LDAP serveriga ja sealt otsida andmeid. Näiteks kirje otsimise käsk:
ldapsearch -x -D 'cn=<kasutaja DN>' -W <filtreeriv tingimus> <väljastatavad atribuudid>
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; <filtreeriv tingimus>- võimaldab otsingut piirata; <väljastatavad atribuudid>- võimaldab pärigu tulemuses näha vaid soovitud atribuutide infot-eraldajaks tühik. Vaata ka teisi võtmeid ja nende tähendust õpikeskkonnas kirjutades käsureale: man ldapsearch

== Kirjete muutmine LDAP-is ==
Põhineb OpenLDAP tööriista ldapmodify juhendil[man LDAPModify].

Kirjetesse muudatuste tegemiseks on paigaldatud OpenLDAP kliendi tööriist ldapmodify, mille abil saab andmebaasi uusi andmeid lisada või seal olemasolevaid muuta/täiendada/kustutada. Muudatusi saab sisestada käsurealt või (LDIF) failist:
ldapmod -x -D 'cn=<rootDN>' -W -f <faili asukoht>
ldapmod -x -D 'cn=<rootDN>' -W
Võtmed: x- lihtne autentimine (ühendust ei krüpteerita); D- kasutaja ja base DN; W- küsitaks parooli; -f sisendfaili asukoht.
Tabeli 2 vasakpoolset veergu tuleks vaadata kui muudatuse tegemise faili sisu ning parempoolset veergu kui seletust, mida antud rida failis tähendab. Vasakpoolses veerus olev rida changetype tähendab, et ühe muudatuskorral failis võib kuuluda vaid üks valik (add, delete, modrdn, moddn, newrdn või newsuperior).

Tabel 2 LDIF faili kirje muudatusvorm sisu:
Faili sisu
Seletus ja näide faili sisu kohta
#kommentaar
#(trellid) rea alguses võimaldab kommentaari lisada, programmid #alustatud rida ei loe!
dn: <kirjenimetus (distinguished name)>
dn: cn=Bjorn Jensen,dc=example,dc=com
„dn:..“ näitab kirje asukohta puus.
Changetype:
Add
Kirje lisamiseks

Delete
Kirje kustutamiseks

Modrdn | moddn {reavahetus}
[newrdn: <rdn> {reavahe} deleteoldrdn: [0|1]
| newsuperior: <dn>]
Kirje DN ja RDN muutmiseks.
Suvand Newrdn võimaldab kirje RDN'i muuta. Newrdn kasutamisel tuleb ka deleteoldrdn suvandit kasutada valides väärtuseks: 0-vana rdn jäetakse alles; 1- vana RDN kustutatakse.
Newsuperior võimaldab kirje liigutada uue kataloogi alluvusse.

Modify {reavahetus}
[add: <atribuut| objektiklass>
| delete:<atribuut| objektiklass>
| replace:<atribuut| objektiklass>]{reavahetus}
<atribuut| objektiklass>: <uus väärtus
Võimaldab atribuuti, objektiklassi või mõnd muud kirje osa lisada(add), kustutada(delete), vahtada(replace).
NB! Oluline on, et reavahetused oleks õigetes kohtades!
-
Tähistab, et sama dn ja changetype'i kasutatakse ka järgmise muudatuse puhul.

Näited[RFC 2849]:
# muudetakse RDN ja tõstetakse kogu sisu uue kataloogi alluvusse.
dn: ou=PD Accountants, ou=Product Development, dc=airius, dc=com
changetype: modrdn
newrdn: ou=Product Development Accountants
deleteoldrdn: 0
newsuperior: ou=Accounting, dc=airius, dc=com

#lisatakse 'postaddress'; kustutatakse 'description'; asendatakse olemasolev(ad) 'telephonenumber' #kahe uuega; kustutatakse see facsimiletelephonenumber mille väärtus on „+1 408 555 9876“.
dn: cn=Paula Jensen, ou=Product Development, dc=airius, dc=com
changetype: modify
add: postaddress
postaddress: 123 Anystreet $ Sunnyvale, CA $ 94086
-
delete: description
-
replace: telephonenumber
telephonenumber: +1 408 555 1234
telephonenumber: +1 408 555 5678
-
delete: facsimiletelephonenumber
facsimiletelephonenumber: +1 408 555 9876

== Skeemifaili koostamine ja LDAP andmebaasi laadimine ==
Skeemifaili koostamine
LDAP-is on võimalik hoida ja sealt pärida ükskõik millist seal sisalduvat infot, vajadusel saab alati infovälju – objektiklasse/atribuute ka juurde lisada. Selle tarbeks on valmis hulk erinevaid skeemifaile (kataloogis /etc/ldap/schema/) ja kui neist ei piisa on võimalik ka ise neid juurde luua, võttes eeskujuks olemasolevad näidisfailid. Tähelepanu tuleks pöörata skeemifailide sisse kirjutatud sõltuvus viidetele, st kui on öeldud: „Depends upon core.ldif and cosine.ldif“ siis peab enne selle skeemi laadimist olema laetud core.ldif ja cosine.ldif, kuna nende skeemide atribuute või objektiklasse kasutab laetav skeemifail.
Lisas 15 on näidis lihtsa telefoniraamatu skeemi sisust, mis on koostatud autori poolt võttes aluseks core.schema skeemifaili ja ingliskeelse skeemide loomise õpetuse['''OpenLDAP-Schema- VIIDE KORDA''']. Seda materjali soovitab autor lugeda ka õpilastel täiendava teadmise omandamiseks.
Vajalik on teada, et OID (Object Identifier) ehk numbriline osa atribuudi ja objektklassi järel, ei tohi kattuda teiste atribuutide/objektklasside OID-iga. Omavalmistatud atribuutidele on eraldatud OID algusega 1.1.2.1.1 ja objektklassile 1.1.2.2.1, ning omavalmistatud Trükkitähtedes olevad tähised tähendavad:
NAME- atribuudi/objektklassi nimi;
DESC (Description)- kirjeldus;
SUP (Superior ObjectClass)- ülem objektklass, mille piiranguid atribuut/objektiklass kasutatab;
EQUALITY- reegel, mis kontrollib, et sisestatakse just seda tüüpi andmeid;
SUBSTR (SubString)- reegel, mis kontrollib, et sisestatav alamstring sisaldab määratud tüüpi andmeid;
SYNTAX- täidetava välja stringi numbriline väärtus, mis sisaldab välja süntaksi koodi.
MUST- täitmiseks kohustuslike atribuutide nimistu;
MAY- täitmiseks vabatahtlike atribuutide nimistu;

Ebaselguse korral loe täiendavalt OpenLDAP-i administraatori teejuhti['''OpenLDAP-Schema- VIIDE KORDA'''].
LDAP andmebaasi täiendavate skeemi (schema) andmete laadimine
Skeemi andmete laadimise juures on esmalt vaja veenduda, et andmed on õiges formaadis. Kuni OpenLDAP versioonini 2.4 hoiti skeemifaile .schema-failides. Alates versioonist 2.4 hoitakse ldif-failides. Lisaks nimele muutus ka sisu, mistõttu ei pääse failinime muutmisega vaid tuleb .schema-fail ümber konverteerida ldif-failiks, selleks tuleb teha järgmist:
1.luua fail skeemi_konverteerimine.conf, mis sisaldab viidet kõigile neile skeemifailidele, mida LDAP server kasutab. Näiteks:
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
loetelu järgneb
2.loo kataloog, kuhu ajutiselt konverteeritud skeemifailid pannakse:
mkdir /tmp/konverteeritud
3.kasutades slaptest tööriista konverteeri .schema failid ldif failideks käsuga:
slaptest -f skeemi_konverteerimine.conf -F /tmp/konverteeritud
4.järgmiseks on vaja skeem andmebaasi laadida, selleks on kaks võimalust:

1.laadida skeemifailid sarnaselt muudele ldif failidele ldapadd tööriistaga. Selleks tuleb eelnevalt muuta konverteeritud ldif-faili selliseks, et faili esimesel ja kolmandal real ei oleks enam skeemi järjenumbrit({number}), ning faili lõpust tuleb kustutada kõik read peale „structuralObjectClass“ atribuuti (kaasa arvatud). Seejärel laadida fail käsuga:
ldapadd -x -D <administraatoriCN>,cn=config -W -f <faili asukoht>
2.kopeerida skeemi ldif-fail cn=config/cn=schema kataloogi, kus need peale serveri restarti kasutusele võetakse.

Lihtsa telefoniraamatu skeemi

attributetype ( 1.1.2.1.1 NAME ( 'eesnimi' )
DESC ' eesnimi'
SUP name )
attributetype ( 1.1.2.1.2 NAME ( 'perenimi' )
DESC ' perekonna nimi'
SUP name )
attributetype ( 1.1.2.1.3 NAME 'telefoninumber'
DESC ' telefoninumber'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
attributetype ( 1.1.2.1.4 NAME ( 'mailiaadress' )
DESC 'Mailbox'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 1.1.2.1.5 NAME 'kirjeldus'
DESC 'Lisainfo'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{1024} )
objectclass ( 1.1.2.2.1 NAME 'telraamat'
DESC 'Telefoniraamat'
SUP top STRUCTURAL
MUST ( eesnimi $ perenimi $ telefoninumber )
MAY ( mailiaadress $ kirjeldus ) )

== LDAP-i õiguste mudel ja õiguste jagamine ==
Õppematerjal põhineb OpenLDAP administraatori teejuhi[LDAP Access Control] refereeringul.

''' Siin on tabelid sees, vaja pisut uurida, mismoodi neid üle kanda!! '''

== Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine ==
Linux operatsioonisüsteemides LDAP-ga autentimise seadistamine
Juhend põhineb kuutõrvaja wikil[Kuutõrvaja wiki], mida on mõnevõrra kohandatud Ubuntu-ga kasutamiseks.
Paigaldada tuleb paketid: libnss-ldap, libpam-ldap ja ldap-auth-config. Paigaldamise käigus küsitakse järgmisi küsimusi, kooloni järel on soovitav vastus (tumedal taustal) ja sulgudes põhjendus:
OpenLDAP serveri IP aadressi või masina nimi: ldap://localhost või ldap://127.0.0.1 (OpenLDAP server asub samas virtuaalmasinas);
distinguished name (DN): dc=naide,dc=ee ( näiteülesande DN on selline);
LDAP versioon: 3 (uuem versioon);
kohaliku masina root kasutajale LDAP andmebaasi administraatori õigus: ei (seab ohtu kogu LDAP andmebaasi turvalisuse, kuna pääsedes ükskõik millise masina root kasutajaks on võimalik ka kohene ligipääs LDAP andmebaasile administraatori õiguses);
kas LDAP andmebaasile ligipääs nõuab sisselogimist: ei (antud õppematerjalis on andmebaasile ühendumine ilma autentimiseta);

Eelpool olevate vastuste põhjal luuakse /etc/ldap.conf fail. LDAP kasutaja saab nüüd süsteemi sisse logida, kuid tal ei ole kodukataloogi, seega peaks kõigile kasutajatele kodukataloogid tegema või lisama järgmise rea /etc/pam.d/common-session faili lõppu, et süsteem ise puuduolevad kodukataloogid looks:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066

Lisaks on kohustuslikud Linuxisse logivatel kasutajatel atribuudid (uid, cn, loginshell, uidnumber, gidnumber, homedirectory, userpassword) ja objektiklassid (account, posixaccount ja top)[LDAP logimise objektiklass]

== Linux ja UNIX operatsioonisüsteemide kasutajate migreerimine ==
Juhend põhineb EIK Wiki artiklil[EIK LDAPi wiki] ja Antti Andreimann LDAP-i õppematerjalil[EIK Linuxi Administeerimine LDAP-i õppematerjal].
Kasutajate ülekandmine lokaalsest kasutajate hoidlast OpenLDAPi Paigaldame migrationtools paketi.
apt-get install migrationtools
Järgnevalt peame veidi muutma migrationtools-i seadistusfaili:
/usr/share/perl5/migrate_common.ph
Kus tuleb asendada järgmised parameetrid enda LDAPi seadistusele vastavaks:
$DEFAULT_MAIL_DOMAIN = "naide.ee";
$DEFAULT_BASE = "dc=naide,dc=ee";
Kopeeri lokaalse masina kasutajaandmete andmed ajutisele pinnale, et neid saaks korrastada edaspidise tegevuse jaoks:
cp /etc/passwd /tmp/
cp /etc/group /tmp/
Redikeeri kopeeritud faile nii, et sinna jääks ainult nende kasutajate andmed, kes reaalselt võiksid soovida arvutisse sisse logida!
Tekita andmebaasi juurkataloog:
/usr/share/migrationtools/migrate_base.pl > ~/base.ldif
Redikeeri faili ~/group.ldif nii, et sinna jääks alles ainult root, ou=People,
ou=Groups ja ou=Aliases !
Seejärel ekspordi uued väärtused käskudega:
/usr/share/migrationtools/migrate_group.pl /tmp/group ~/group.ldif
/usr/share/migrationtools/migrate_passwd.pl /tmp/passwd ~/passwd.ldif

Nüüd on meil kasutajad ja grupid konverditud LDAP ldif formaati. Need omakorda tuleb importida LDAP-i databaasi kasutades järgmisi käske:
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/base.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/group.ldif
ldapadd -x -D "cn=admin,dc=naide,dc=ee" -w parool -f ~/passwd.ldif

== Varundamine ja taastamine ==
Teenuse varundamine ja taastamine
Teenuse varundamine
Reeglina tehakse varukoopiaid eraldi seadistusfailidest ja andmetest. Neid hoitakse teis(t)el andmekandja(te)l ja teisaldatakse suuremates infosüsteemides automaatprotseduuridega.
Õpiobjekti raames kajastatakse varundamist vaid varundamist vajavate andmete kontekstis: seadistamisfailid ja andmebaas.
Põhineb EIK vikil[EIK LDAPi wiki].
Kõigepealt on vaja luua varukoopiate hoidmiseks kataloog. Selle jaoks loome kataloogid /var/backup/ldap/db ja /var/backup/ldap/db kataloogi järgmise käsuga:
mkdir -p /var/backups/ldap/db/ /var/backups/ldap/konf
Järgmiseks tuleks luua varukoopia andmebaasist, selleks kasutatakse tööriista slapcat, mis väljastab kogu andmebaasi sisu, selle suuname faili, mille saab kohe ka kokku pakkida. Vajalik käsk selleks on järgmine:
slapcat | gzip > /var/backups/ldap/db/backup.`date '+%Y%m%d'`.ldif.gz
Käsu lõpus olev `date '+%Y%m%d` võimaldab automaatselt luua käesoleva päeva andmed formaadis aasta.kuu.päev.
Seadistusfailid asuvad /etc/ldap/ kataloogis, need saab kokku pakitud ja kuupäeva infoga varustatud järgmise käsuga:
tar czvf /var/backups/conf_backup.`date '+%Y%m%d'`.tgz /etc/ldap/*

Teenuse taastamine
Põhineb EIK vikil[EIK LDAPi wiki].
Teenuse taastamise vajaduse tekkides tuleb reageerida vastavalt olukorrale. Õpiobjekti raames kajastatakse teenuse taastamist vaid andmebaasi viimase varundatud andmete laadimise ja seadistusfailidest vigade otsimise kontekstis.

Andmebaasi taastamine
Pakime viimast andmebaasi varukoopiat sisaldava faili lahti, selleks sobib näiteks käsk:
gunzip -c /var/backups/ldap/backup.<kuupäev>.ldif.gz > /var/backups/ldap/backup.<kuupäev>.ldif
Kuna tavatingimustes, on andmebaasid suured, siis kasutatakse taastamisel andmete importimiseks serveritööriista slapadd. Slapadd nagu ka teised kataloogiteenuse serveri tööriistad vajavad töötamiseks baasi ainukasutusõigust, selleks peab slapd'i seisma panema:
/etc/init.d/slapd stop
slapadd -b <suffix> -l /var/backups/ldap/backup.<kuupäev>.ldif

Seadistusfailide taastamine

Taastamiseks tuleb viimase seadistusfailide varukoopia fail lahti pakkida ning vastavalt olukorrale taastada vajalikud failid:
tar xvf /var/backups/ldap/etc/conf_backup.<kuupäev>.tar

==Läbikäidud probleemid- õpi teiste vigadest==
Kui seadistamise käigus ei küsitud LDAP administraatori parooli, siis tuleb see ise käsitsi lisada- ka korduval seadistamisel ei esitata seda võimalust. Selleks korrigeeri failides:
/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
ja tekita sinna pärast andmebaasi atribuuti (olcDBDirectory järgi) read:
olcRootDN: cn=admin,cn=config – sellega määratakse ära administraatori nimi ja skeem
olcRootPW: parool – administraatori parool, õppimiseks käib tekstiline parool ka, kuid töökeskkondades tuleks kasutada parooliräsi, selle saad käivitades:
ldappasswd -s <parool>

OpenLDAP serveri paigaldamisel ei looda baasiparameetrite faili /etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif.
On vaja õpilasel see ise luua.
Kõigepealt loome kataloogi kuhu server salvestab andmebaasi failid:
mkdir /var/lib/ldap/naide
Turvalisuse huvides peab selle kataloogi omanikuks ja grupiks olema „openldap“ kasutaja:
chown openldap:openldap /var/lib/ldap/naide/
Loo fail, kuhu sisse kirjuta loodava baasi seaded (näidisfaili sisu Lisas x), näitefaili nimi koos asukohohaga:
/etc/ldap/slapd.d/cn=config/olcDatabase={1}dbd.ldif
Kui kasutajate baasi konfiguratsioon on loodud peab LDAP serverile tegema taaskäivituse ja peale seda kontrolli kas porti kuulatakse, selleks sisesta terminali:
teenuse restartimiseks:
/etc/init.d/slapd restart
kontrolli, kas porti(389) kuulatakse:
netstat -anp|grep 389

== LDAP bdb baasi näidis konfiguratsioon ==
dn: olcDatabase={1}bdb
objectClass: olcBdbConfig
objectClass: top
olcDatabase: {1}bdb
olcDbDirectory: /var/lib/ldap/naide/
olcSuffix: dc=naide,dc=ee
olcRootDN: cn=admin,dc=naide,dc=ee
olcRootPW: parool
olcLogLevel: 256
structuralObjectClass: olcBdbConfig
olcDbCheckpoint: 128 10
olcDbIDLcacheSize: 1500
olcDbDNcacheSize: 500
olcDbConfig: {0}set_cachesize 0 33554432 0
olcDbConfig: {1}set_lg_bsize 2097512
olcDbConfig: {2}set_flags DB_LOG_AUTOREMOVE
olcMonitoring: FALSE
olcDbIndex: cn,sn pres,eq,sub
olcDbIndex: entryCSN eq
olcDbCacheFree: 300

== Skriptid ==
'''Manusesse'''

Ldap'i õpiobjekt

2011-11-30T14:54:45Z

Kkarma:

File:Virtuaalmasina importimise ja esmase seadistamise juhend.pdf

2011-11-30T14:53:12Z

Kkarma:

2009-12-17T17:17:33Z

Kkarma: /* Varundamine */

=Legend=

Ver. 0.00, 03.11.2009 
Ver. 0.01, 14.12.2009

=Tegijad=

Sander Surva 
Ken Karma 
Lauri Võsandi 

=Sissejuhatus=
Meil on kaks domeeni, kus on mailiserverid ja osapooled saavad omavahel e-posti teel suhelda. ssurva.ee ja kkarma.ee. kkarma.ee peale on seadistatud nii spämmifilter kui ja viirusetõrje sissetulevate mailide jaoks. Mõlemad domeenid samas logivad logiteateid eraldi faili.

=Nõuded=

# domeenid kkarma ja ssurva
# d1 viirusetõrjega
# d1 spammifilter
# logima syslog-i + eraldi faili

+----+ +----+
| D1 | ------> | D2 |
+----+ +----+

=Eeldused=
Operatsioonisüsteemiks peab olema Ubuntu Server, mis jookseb kernelil 2.6.28-11

Enne vaja seadistada DNS

kasutame BIND-i, põhjalikuma leheküle leiab: [https://wiki.itcollege.ee/index.php/Nimeserveri_seadistamine_BIND9_n%C3%A4itel]
apt-get install bind9

kohalikud domeenid kkarma ja ssurva paigutame faili /etc/bind/named.conf.local

<pre>
zone "6.168.192.in-addr.arpa" IN {
type master;
file "/etc/bind/db.6.168.192.in-addr.arpa";
};
zone "ssurva.ee" IN {
type master;
file "/etc/bind/db.ssurva.ee";
};
zone "kkarma.ee" IN {
type master;
file "/etc/bind/db.kkarma.ee";

</pre>

<pre>
nano /etc/bind/db.ssurva.ee
nano /etc/bind/db.kkarma.ee
nano /etc/bind/db.6.168.192.in-addr.arpa
</pre>

Nende failide sisu muuta järgmiselt

<pre>
;
; BIND data file for ssurva.ee
;
$ORIGIN ssurva.ee.
$TTL 604800
@ IN SOA ns.ssurva.ee. root.ssurva.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
ssurva.ee. IN NS ns.ssurva.ee.
ssurva.ee. IN MX 10 mail.ssurva.ee.
ns.ssurva.ee. IN A 192.168.6.88
mail.ssurva.ee. IN A 192.168.6.88
www.ssurva.ee. IN CNAME ssurva.ee.
ssurva.ee. IN A 192.168.6.88

</pre>
<pre>
;
; BIND data file for kkarma.ee
;
$ORIGIN kkarma.ee.
$TTL 604800
@ IN SOA ns.kkarma.ee. root.too.ee. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
kkarma.ee. IN NS ns.kkarma.ee.
kkarma.ee. IN MX 10 mail.kkarma.ee.
ns.kkarma.ee. IN A 192.168.6.87
mail.kkarma.ee. IN A 192.168.6.87
www.kkarma.ee. IN CNAME kkarma.ee.
kkarma.ee. IN A 192.168.6.87
</pre>

;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
6.168.192.in-addr.arpa. IN NS ns.ssurva.ee.
88.6.168.192.in-addr.arpa. IN PTR ns.ssurva.ee.
88.6.168.192.in-addr.arpa. IN PTR mail.ssurva.ee.
87.6.168.192.in-addr.arpa. IN PTR mail.kkarma.ee.

=E-posti tarkvara paigaldus=

Kõik installeerimised on tehtud root kasutaja alt, kui toiminguid tehakse mõne muu kasutaja alt '''siis tuleb iga käsu ette lisada sudo''' !

MTA ehk Mail Transfer Agent on Postfix:
apt-get install postfix
Rämpspostifilter SpamAssassin:
apt-get install spamassassin
Antiviirus ClamSMTP:
apt-get install clamsmtp
MDA ehk Mail Delivery Agent on Courier:
apt-get install courier-imap
SASL autentimiseks:
apt-get install libsasl2-2 sasl2-bin

=Kirjade vastuvõtmine=
Postfix kuulab pordil 25 ning saadab kirjad edasi 10030 pordile, kus ClamSMTP teeb viirusetõrjet. Peale seda ClamSMTP saadab need edasi 10025 pordile, kus Postfix nad uuesti vastu võtab ja teeb rämpsposti filtreerimist. Kirjad mis on läbinud sellise ahela paigutatakse ~/Maildir alla.

==Postfix==
Postfix võtab vastu posti ka väljastpoolt ning salvestab vaikmisi /var/mail alla, selleks et kasutada uuemat Maildir formaati, mille korral paigutatakse kirjad ~/Maildir alla, ava '''/etc/postfix/main.cf''' ja lisa sinna:
home_mailbox = Maildir/

Tee kindlaks et '''mydestination''' viitaks kohalikule masinale (et pingida saaks):
mydestination = kkarma.ee,

Peale seda ava Postfixi peamine seadistusfail /etc/postfix/master.cf ja tee kindlaks et seal on sellised read:
smtp inet n - - - - smtpd # Kuula pordil 25
-o content_filter=clamav:127.0.0.1:10030 # Saada edasi kohaliku masia pordile 10030
10025 inet n - - - - smtpd # Kuula pordil 10025
-o content_filter=spamassassin # Saada läbi SpamAssassini UNIX socketi (vt allpool)
smtps inet n - - - - smtpd # Kuula TLS'iga krüpteeritud ühendusi pordil 465
-o smtpd_sasl_auth_enable=yes # Luba autentimine läbi SASL+PAM

Sama faili lõppu tuleks veel lisada filtri definitsioon:
spamassassin unix - n n - - pipe
user=nobody argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}

clamav unix - - n - 16 smtp
-o smtp_send_xforward_command=yes

Peale seadistuste muutmist tuleks Postfix'i deemon uuesti laadida:
/etc/init.d/postfix reload

==SASL seadistamine==
Tuleb lisada kasutaja '''postfix''' gruppi '''sasl''':
sudo adduser postfix sasl

Ava /etc/postfix/sasl/smtpd.conf:
pwcheck_method: saslauthd
saslauthd_path: /etc/mux
mech_list: login plain

Ava SASL seadistuste fail: /etc/default/saslauthd:
START=yes
MECHANISMS="pam"
OPTIONS="-c -m /var/spool/postfix/etc"

Peale seda tuleks SASL teenus taaskäivitada:
sudo /etc/init.d/saslauthd restart

==ClamSMTP seadistamine==
Ava /etc/clamsmtpd.conf ja muuda selle sisu selliseks
# Port kuhu edasi suunata meilid
OutAddress: 10025

# Kuula SMTP ühendusi kohaliku masina pordil 10030
Listen: 127.0.0.1:10030

# ClamAV deemon laetakse üks kord mällu ning ta kuulab clamd.ctl UNIX socketil
# ClamSMTPD on lihtsalt üks ClamAV deemoni "klientidest" mis ühendub sinna socketisse
# Iga meili jaoks ClavAV andmebaasi laadimine oleks lihtsalt väga aeglane
ClamAddress: /var/run/clamav/clamd.ctl

# Kasutaja kellena ClamSMTPD jookseb
User: clamsmtp

TempDirectory: /var/spool/clamsmtp
PidFile: /var/run/clamsmtp/clamsmtpd.pid

#MaxConnections: 64
#TimeOut: 180
#Header: X-AV-Checked: ClamAV using ClamSMTP
#Bounce: off
#Quarantine: off
#TransparentProxy: off

Peale seadistuste muutmist tuleks ClamSMTP deemon uuesti laadida:
/etc/init.d/clamsmtp reload

==SpamAssassin==
Kõigepeal veendu, et /etc/default/spamassassin failis oleks, siis saab Postfix käivitada spamc rakenduse!
ENABLED=1

Tasub veel teada et pordil 783 kuulab SpamAssassin'i deemon, mille kaudu saab suvalist teksti filtreerida. Postfix kutsub välja käsurearakendust '''spamc''', mis ühendub nimetatud pordile ning filtreerib kirju. Deemoni kinnipanemiseks või käivitamiseks võib kasutada käsku:
/etc/init.d/spamassassin start|stop

=Testimine=
==Saatmine SMTP'ga==
Selleks, et oleks lihtne testida teeme sellise faili, mille sisuks on:
import smtplib
fromaddr = "'''[saatja@aadress]'''"
toaddrs = "'''[siht@aadress]'''"
msg = "'''[Sõnumisisu]'''?\n"
server = smtplib.SMTP('localhost')
server.sendmail(fromaddr, toaddrs, msg)
server.quit()

Seejärel käivitame selle Python rakenduse:
python <eelpool loodud faili nimi>
==Lugemine IMAP'iga==
Järgnev Python programm püüab kohalikku masinasse sisse logida IMAP kaudu ning püüab tõmmata viimast e-kirja. Samas kontrollib, kas e-kirjale tehti viirusetõrjet ning rämpspostikontrolli:
# -*- coding: utf-8 -*-
import getpass, imaplib, sys
def main():
M = imaplib.IMAP4("localhost", 143)
print "Username: ",
username = sys.stdin.readline().strip()
password = getpass.getpass()
M.login(username, password)
status, value = M.select()
if status != "OK":
print "Failed to log in"
return
mails = value[0]
status, data = M.fetch( mails,'(RFC822)')
if status != "OK":
print "Failed to fetch mail!"
return
content = data[0][1]
print content
print "\nConclusion:"
if "X-Virus-Scanned: ClamAV using ClamSMTP" in content:
print "* Virus scan performed"
else:
print "* NO Virus scan performed!!!"
if "X-Spam-Checker-Version: SpamAssassin" in content:
print "* Spam check performed"
else:
print "* NO Spam check performed!!!"
M.close()
M.logout()
main()

Seejärel käivitame selle Python rakenduse:
python <eelpool loodud faili nimi>

=Varundamine=

Varundada tuleb kõik seadistusfailid, mida muudeti:

/etc/postfix/main.cf
/etc/postfix/master.cf
/etc/default/spamassassin
/etc/clamsmtpd.conf

Postfix, SpamAssassini ja ClamSMTP seadistuste varundamine, et oleks hea näha millal varundamine tehti lisame sellele varundamise kuupäeva, selline kuupäevaformaat(AastaKuuPäev)võimaldab kiirelt viimase faili leida:
tar cvf varundamine.tar`date '+%Y%m%d'` /etc/postfix/* /etc/default/spamassassin /etc/clamsmtpd.conf

=Taastamine=
Järgneva käsuga saab kõik seaded taastada varemsalvestatud ''tarball''ist
cd / && tar xvf varundamine.tar

=Kasutatud kirjandus=
http://v6sa.itcollege.ee/wiki/?page=email

[[Category:IT infrastruktuuri teenused]]