OpenLDAP-i seadistamine

From ICO wiki
Revision as of 14:45, 15 December 2009 by Kmolder (talk | contribs) (→‎Tulemüür)
Jump to navigationJump to search

Autorid

  • Mauno Pihelgas
  • Kristjan Mölder

Sissejuhatus

LDAP (Lightweight Directory Access Protocol) on iseenesest protokoll ning üks selle prokolli implementatsioon on OpenLDAP http://www.openldap.org/, mis sisaldab üldiselt nelja komponenti

   * slapd - stand-alone LDAP daemon (server)
   * slurpd - stand-alone LDAP update replication daemon
   * teegid - implementeerivad LDAP protokolli
   * utiliidid - abiprogrammid ja näidised erinevate tegevuste sooritamiseks

OpenLDAP kasutamise muudab praktiliseks asjaolu, et ta on üsna paljude rakendustega (nt PAM) integreeritud ning OpenLDAP kasutamiseks on vajalikud teegid olemas mitmetes programmeerimiskeeltes (nt Java, Perl, PHP). OpenLDAP toetab suures ulatuses LDAP v2 ja v3 versioone; võimaldab andmevahetust üle TLS/SSL.

Eeldused

Töötav UbuntuServer 9.4LTS(testitud) LDAP-i serveriks Testimiseks veel Kliendi masin


Nõuded

Seadistamiseks ei pea olema geenius, aga sellest on abi!


Installeerimine

Esiteks tuleks tarkvara nimekirja uuendada.

sudo apt-get update

Logime ennast root kasutajaks ning käivitame vajalikud toimingud. Kuna sudo-t sel juhul enam vaja ei lähe, hoiad selle arvelt pisut aega kokku. Samas on aga tunduvalt lihtsam midagi ära rikkuda, sest KÕIK käsud käivitatakse root kasutaja õigustes!

sudo -i

Paigaldame slapd, ldap-utils ja migrationtools paketid.

apt-get install slapd ldap-utils migrationtools

slapd installi ajal sisestatud LDAP admini parool: 'root' (hiljem kirjutatakse see dpkg-reconfigure' ajal üle)

Seadistamine

Answer the questions and then reconfigure slapd in order to have dpkg ask us a few more questions

dpkg-reconfigure slapd

Vastused mida võiks vastata:

Omit OpenLDAP server configuration? No
DNS domain name: ... debuntu.local
Name of your organization: ITK
Admin Password: 'root2'
Confirm Password: 'root2'
Database backend to use: BDB
Do you want your database to be removed when slapd is purged?: No
Move old database?: Yes
Allow LDAPv2 Protocol?: No 

step1 step2 step3 step4 step5 step6 step7 step8 step9

Right, from now on, we have got our domain set up, as well as our administrator user: "admin".

You can now check if you can access your ldap server by typing:

ldapsearch -x -b dc=infra2009,dc=teenused

If you get an error message like: dap_bind: Can't contact LDAP server (-1) Most chances are that your server is not running. use:

/etc/init.d/slapd start



Kasutajate ja gruppide lisamine LDAP-i andmebaasi

Populating the database Using migrationtools we are going to be able to quickly import all existing users and groups from our local system to LDAP.


Viga(BUG)!!!!! Ubuntu Server LTS'i puhul installitakse migrate_common.ph fail valesse kausta.

Lisalugemist vea kohta leiad siit!

Kui muuda faili VALES kohas ära, siis maagiliselt asi ikka töötab.

Seega: We need to edit the default migrationtools' config file migrate_common.ph..

nano /usr/share/perl5/migrate_common.ph

...and replace the following parameters with:

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "infra2009.teenused";

# Default base
$DEFAULT_BASE = "dc=infra2009,dc=teenused";


Then export the values:

/usr/share/migrationtools/migrate_group.pl /etc/group ~/group.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd ~/passwd.ldif

OU'de loomine: Unfortunately, the script does not create the Group and People nodes, so we need to create it. To do this, create a file called ~/people_group.ldif ...

nano ~/people_group.ldif

...and fill it up with:

dn: ou=People, dc=infra2009, dc=teenused
ou: People
objectclass: organizationalUnit

dn: ou=Group, dc=infra2009, dc=teenused
ou: Group
objectclass: organizationalUnit


Now, we have our users and groups converted to LDAP's ldif format. Let import them into our LDAP database. Iga käsu järel küsitakse LDAP-i parooli. Sisesta parool, mis ldap-i dpkg-reconfigure käigus selleks määrasid.

ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/people_group.ldif
ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/group.ldif
ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/passwd.ldif

Key-dest lähemalt:

   * -x specify that we are not using sasl -anonüümne sisselogimine
   * -W prompt for password
   * -D is used to identify the administrator
   * -f to specify the file where ldapadd should find the data to add

Well, now the server is ready to identify your users. Let's go on and set up the clients.

Serveri seadistamine

Kliendi seadistamine

Ühendumine serveriga

Testimine

Testimiseks proovida näiteks kohalikus kliendi masinas, millel on installitud ldap-utils, käsku:

ldapsearch -x -b dc=infra2009,dc=teenused


Teenuse varundamine

Kuna kõik vajalikud seadistusfailid on /etc/... ja /usr/local/bin kataloogis, siis piisab nende kataloogide varundamisest. Antud kataloogidest teha kord päevas täielik varukoopia ja kõik failid salvestada.

Teenuse taastamine

Kui teenusega ilmneb probleeme tuleb seadistusfailid üle vaadata ja vajadusel taastada. Kontrollida...

Versioon

6% valmis

Viimase muutmise aeg

11.12.2009 19:20

Kasutatud materjal

LDAP server and linux LDAP client LDAPsearch Open LDAP kasutamine Debianiga