OpenLDAP-i seadistamine
Autorid
- Mauno Pihelgas
- Kristjan Mölder
Sissejuhatus
LDAP (Lightweight Directory Access Protocol) on iseenesest protokoll ning üks selle prokolli implementatsioon on OpenLDAP http://www.openldap.org/, mis sisaldab üldiselt nelja komponenti
* slapd - stand-alone LDAP daemon (server) * slurpd - stand-alone LDAP update replication daemon * teegid - implementeerivad LDAP protokolli * utiliidid - abiprogrammid ja näidised erinevate tegevuste sooritamiseks
OpenLDAP kasutamise muudab praktiliseks asjaolu, et ta on üsna paljude rakendustega (nt PAM) integreeritud ning OpenLDAP kasutamiseks on vajalikud teegid olemas mitmetes programmeerimiskeeltes (nt Java, Perl, PHP). OpenLDAP toetab suures ulatuses LDAP v2 ja v3 versioone; võimaldab andmevahetust üle TLS/SSL.
Eeldused
Töötav UbuntuServer 9.4LTS(testitud) LDAP-i serveriks Testimiseks veel Kliendi masin
Nõuded
Seadistamiseks ei pea olema geenius, aga sellest on abi!
Installeerimine
Esiteks tuleks tarkvara nimekirja uuendada.
sudo apt-get update
Logime ennast root kasutajaks ning käivitame vajalikud toimingud. Kuna sudo-t sel juhul enam vaja ei lähe, hoiad selle arvelt pisut aega kokku. Samas on aga tunduvalt lihtsam midagi ära rikkuda, sest KÕIK käsud käivitatakse root kasutaja õigustes!
sudo -i
Paigaldame slapd, ldap-utils ja migrationtools paketid.
apt-get install slapd ldap-utils migrationtools
slapd installi ajal sisestatud LDAP admini parool: 'root' (hiljem kirjutatakse see dpkg-reconfigure' ajal üle)
Seadistamine
Answer the questions and then reconfigure slapd in order to have dpkg ask us a few more questions
dpkg-reconfigure slapd
Vastused mida võiks vastata:
Omit OpenLDAP server configuration? No DNS domain name: ... debuntu.local Name of your organization: ITK Admin Password: 'root2' Confirm Password: 'root2' Database backend to use: BDB Do you want your database to be removed when slapd is purged?: No Move old database?: Yes Allow LDAPv2 Protocol?: No
Right, from now on, we have got our domain set up, as well as our administrator user: "admin".
You can now check if you can access your ldap server by typing:
ldapsearch -x -b dc=infra2009,dc=teenused
If you get an error message like: dap_bind: Can't contact LDAP server (-1) Most chances are that your server is not running. use:
/etc/init.d/slapd start
Kasutajate ja gruppide lisamine LDAP-i andmebaasi
Populating the database Using migrationtools we are going to be able to quickly import all existing users and groups from our local system to LDAP.
Viga(BUG)!!!!! Ubuntu Server LTS'i puhul installitakse migrate_common.ph fail valesse kausta.
Lisalugemist vea kohta leiad siit!
Kui muuda faili VALES kohas ära, siis maagiliselt asi ikka töötab.
Seega: We need to edit the default migrationtools' config file migrate_common.ph..
nano /usr/share/perl5/migrate_common.ph
...and replace the following parameters with:
# Default DNS domain $DEFAULT_MAIL_DOMAIN = "infra2009.teenused"; # Default base $DEFAULT_BASE = "dc=infra2009,dc=teenused";
Then export the values:
/usr/share/migrationtools/migrate_group.pl /etc/group ~/group.ldif /usr/share/migrationtools/migrate_passwd.pl /etc/passwd ~/passwd.ldif
OU'de loomine: Unfortunately, the script does not create the Group and People nodes, so we need to create it. To do this, create a file called ~/people_group.ldif ...
nano ~/people_group.ldif
...and fill it up with:
dn: ou=People, dc=infra2009, dc=teenused ou: People objectclass: organizationalUnit dn: ou=Group, dc=infra2009, dc=teenused ou: Group objectclass: organizationalUnit
Now, we have our users and groups converted to LDAP's ldif format. Let import them into our LDAP database. Iga käsu järel küsitakse LDAP-i parooli. Sisesta parool, mis ldap-i dpkg-reconfigure käigus selleks määrasid.
ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/people_group.ldif ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/group.ldif ldapadd -x -W -D "cn=admin,dc=infra2009,dc=teenused" -f ~/passwd.ldif
Key-dest lähemalt:
* -x specify that we are not using sasl -anonüümne sisselogimine * -W prompt for password * -D is used to identify the administrator * -f to specify the file where ldapadd should find the data to add
Well, now the server is ready to identify your users. Let's go on and set up the clients.
Serveri seadistamine
Kliendi seadistamine
Ühendumine serveriga
Testimine
Testimiseks proovida näiteks kohalikus kliendi masinas, millel on installitud ldap-utils, käsku:
ldapsearch -x -b dc=infra2009,dc=teenused
Teenuse varundamine
Kuna kõik vajalikud seadistusfailid on /etc/... ja /usr/local/bin kataloogis, siis piisab nende kataloogide varundamisest. Antud kataloogidest teha kord päevas täielik varukoopia ja kõik failid salvestada.
Teenuse taastamine
Kui teenusega ilmneb probleeme tuleb seadistusfailid üle vaadata ja vajadusel taastada. Kontrollida...
Versioon
6% valmis
Viimase muutmise aeg
11.12.2009 19:20
Kasutatud materjal
LDAP server and linux LDAP client LDAPsearch Open LDAP kasutamine Debianiga