OpenLDAP-i seadistamine

From ICO wiki
Revision as of 13:04, 15 December 2009 by Kmolder (talk | contribs)
Jump to navigationJump to search

Autorid

  • Mauno Pihelgas
  • Kristjan Mölder

Sissejuhatus

LDAP (Lightweight Directory Access Protocol) on iseenesest protokoll ning üks selle prokolli implementatsioon on OpenLDAP http://www.openldap.org/, mis sisaldab üldiselt nelja komponenti

   * slapd - stand-alone LDAP daemon (server)
   * slurpd - stand-alone LDAP update replication daemon
   * teegid - implementeerivad LDAP protokolli
   * utiliidid - abiprogrammid ja näidised erinevate tegevuste sooritamiseks

OpenLDAP kasutamise muudab praktiliseks asjaolu, et ta on üsna paljude rakendustega (nt PAM) integreeritud ning OpenLDAP kasutamiseks on vajalikud teegid olemas mitmetes programmeerimiskeeltes (nt Java, Perl, PHP). OpenLDAP toetab suures ulatuses LDAP v2 ja v3 versioone; võimaldab andmevahetust üle TLS/SSL.

Eeldused

Töötav UbuntuServer 9.4LTS(testitud) LDAP-i serveriks Testimiseks veel Kliendi masin


Nõuded

Seadistamiseks ei pea olema geenius, aga sellest on abi!


Installeerimine

Esiteks tuleks tarkvara nimekirja uuendada.

sudo apt-get update

Logime ennast root kasutajaks ning käivitame vajalikud toimingud. Kuna sudo-t sel juhul enam vaja ei lähe, hoiad selle arvelt pisut aega kokku. Samas on aga tunduvalt lihtsam midagi ära rikkuda, sest KÕIK käsud käivitatakse root kasutaja õigustes!

sudo -i

Paigaldame slapd, ldap-utils ja migrationtools paketid.

apt-get install slapd ldap-utils migrationtools

Installi käigus seadistatakse ka LDAP-i parool:xxxxx(sisesta sobiv ning turvaline parool, seda läheb hiljem vaja)

Seadistamine

Answer the questions and then reconfigure slapd in order to have dpkg ask us a few more questions

dpkg-reconfigure slapd

Vastused mida võiks vastata:

Omit OpenLDAP server configuration? ... No
DNS domain name: ... debuntu.local
Name of your organization: ... Whatever
Admin Password: XXXXX
Confirm Password: XXXXX
OK
BDB
Do you want your database to be removed when slapd is purged? ... No
Move old database? ... Yes
Allow LDAPv2 Protocol? ... No 

step1 step2 step3 step4 step5 step6 step7 step8 step9

Right, from now on, we have got our domain set up, as well as our administrator user: "admin".

You can now check if you can access your ldap server by typing:

ldapsearch -x -b dc=debuntu,dc=local

If you get an error message like: dap_bind: Can't contact LDAP server (-1) Most chances are that your server is not running. use:

/etc/init.d/slapd start



Kasutajate ja gruppide lisamine LDAP-i andmebaasi

Populating the database Using migrationtools we are going to be able to quickly import all existing users and groups from our local system to LDAP.

cd /usr/share/migrationtools/

We need to edit the default migrationtools' config file migrate_common.ph and replace the following parameters with:

nano migrate_common.ph

parameetrid mida muuta:

$DEFAULT_MAIL_DOMAIN = "debuntu.local";
$DEFAULT_BASE = "dc=debuntu,dc=local"; 

Then export the values:

./migrate_group.pl /etc/group ~/group.ldif
./migrate_passwd.pl /etc/passwd ~/passwd.ldif 

Unfortunately, the script does not create the Group and People nodes, so we need to create it. To do this, create a file called ~/people_group.ldif ...

nano ~/people_group.ldif

...and fill it up with:

dn: ou=People, dc=debuntu, dc=local
ou: People
objectclass: organizationalUnit

dn: ou=Group, dc=debuntu, dc=local
ou: Group
objectclass: organizationalUnit 

Now, we have our users and groups converted to LDAP's ldif format. Let import them into our LDAP database. Iga käsu järel küsitakse LDAP-i parooli. Sisesta parool, mis ldap-i installi käigus selleks määrasid:

cd
ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/people_group.ldif
ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/group.ldif
ldapadd -x -W -D "cn=admin,dc=debuntu,dc=local" -f ~/passwd.ldif

Key-dest lähemalt:

   * -x specify that we are not using sasl -anonüümne sisselogimine
   * -W prompt for password
   * -D is used to identify the administrator
   * -f to specify the file where ldapadd should find the data to add

Well, now the server is ready to identify your users. Let's go on and set up the clients.



Serveri seadistamine

Kliendi seadistamine

Ühendumine serveriga

Testimine

Testimiseks proovida näiteks kohalikus kliendi masinas, millel on installitud ldap-utils, käsku:

ldapsearch -h localhost -x -b dc=debuntu,dc=local -W -D "cn=admin,dc=debuntu,dc=local" "(objectclass=*)"

Tulemüür

Teenuse varundamine

Kuna kõik vajalikud seadistusfailid on /etc/... ja /usr/local/bin kataloogis, siis piisab nende kataloogide varundamisest. Antud kataloogidest teha kord päevas täielik varukoopia ja kõik failid salvestada.

Teenuse taastamine

Kui teenusega ilmneb probleeme tuleb seadistusfailid üle vaadata ja vajadusel taastada. Kontrollida...

Versioon

5% valmis

Viimase muutmise aeg

11.12.2009 19:20

Kasutatud materjal

LDAP server and linux LDAP client LDAPsearch Open LDAP kasutamine Debianiga