Unterschiede zwischen den Revisionen 1 und 9 (über 8 Versionen hinweg)
Revision 1 vom 2005-03-05 16:59:25
Größe: 2647
Autor: lars
Kommentar: ldap-Installation - der Anfang
Revision 9 vom 2019-01-01 21:19:51
Größe: 2260
Autor: phil
Kommentar: Format
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
[[TableOfContents]]

-----		 <<TableOfContents>>
Zeile 6: Zeile 4:
{{{apt-get install slapd ldap-utils
}}}		  * Installation der Debian-Pakete mit {{{
apt-get install slapd ldap-utils}}}
Zeile 22: Zeile 20:
 * neue Zeile:{{{  * neue Zeile: {{{
Zeile 28: Zeile 26:
 * server abschalten
 * `mv /var/lib/ldap /data/ldap-database`		  * server abschalten {{{
mv /var/lib/ldap /data/ldap-database}}}
Zeile 33: Zeile 31:
 * für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - diese müssen in der ''/etc/ldap/slapd.conf'' eingetragen werden:{{{  * für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - ''[[http://mah.everybody.org/docs/install/qmail.schema|qmail.schema]]'' und ''[[attachment:sao.schema|sao.schema]]'' - diese müssen in die ''/etc/ldap/slapd.conf'' eingetragen werden: {{{
Zeile 39: Zeile 37:
 * für erhöhte Performance mit qmail sollten folgende Optionen in die ''/etc/ldap/slapd.conf'' eingetragen werden:{{{  * für erhöhte Performance mit qmail sollten folgende Optionen in die ''/etc/ldap/slapd.conf'' eingetragen werden: {{{
Zeile 45: Zeile 43:
== TLS/SSL ==
 * dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ''ldap'', da er nur intern verwendet wird)
 * das öffentliche Zertifikat sollte unter ''/data/certs/ldap-cert.pem'' abgelegt werden
 * die Schlüssel-Datei sollte ''/data/certs/ldap-key.pem'' heißen
 * außerdem ist das Zertifikat der CA nötig: ''/data/certs/sao-CA-cacert.pem''
 * in die ''/etc/ldap/slapd.conf'' gehören somit folgende Optionen:{{{
TLSCACertificateFile /data/certs/sao-CA-cacert.pem
TLSCertificateFile /data/certs/ldap-cert.pem
TLSCertificateKeyFile /data/certs/ldap-key.pem}}}
 * in die ''/etc/default/slapd'' gehört nun die folgende Zeile:{{{
SLAPD_SERVICES="ldap:/// ldaps:///"}}}
 * die ''/etc/ldap/ldap.conf'' und ''/root/.ldaprc'' sollte nun ''ldaps://'' anstelle von ''ldap://'' verwenden
 * ausprobieren mit{{{
ldapsearch -x}}}
Zeile 61: Zeile 45:
 * unterhalb von ''o=neofaxe,dc=systemausfall,dc=org'' werden die Knoten ''People'' und ''Services'' angelegt
 * darunter wieder befinden sich:
  * die Knoten ''webAccount'' und ''mailAccount'', sowie alle Nutzereinträge
  * die Knoten ''svn'', ''wiki'' und ''ezmlm''
 * zum Erzeugen der Struktur kann diese Datei verwendet werden

Inhaltsverzeichnis

  1. Installation
  2. Einrichtung
    1. Passwort setzen
    2. Schreib-Zugriff für root
    3. Datenbank-Verzeichnis wählen
    4. zusätzliche Schemata
    5. Indizierungsoptionen
    6. Struktur

Installation

  • Installation der Debian-Pakete mit 

    apt-get install slapd ldap-utils

  • beim Konfigurieren von slapd genügt es erstmal, ein einfaches, leicht zu merkendes Passwort einzutippen - später wird es durch ein unmeschnlich schweres ersetzt

  • der Servername ist systemausfall.org mit der Organisation neofaxe - daraus ergibt sich die Basis des LDAP-Baums: o=neofaxe,dc=systemausfall,dc=org

Einrichtung

Passwort setzen

  • ein schön kompliziertes Passwort in /root/.ldap-pw schreiben (ohne Zeilenumbruch)

    ldappasswd -x -w altes_passwort -T /root/.ldap-pw
chown root. /root/.ldap-pw
chmod 600 /root/.ldap-pw

Schreib-Zugriff für root

  • die systemweite ldap.conf muss für root minimal angepasst werden:

    cp /etc/ldap/ldap.conf /root/.ldaprc

  • neue Zeile: 

    BINDDN  cn=admin,dc=systemausfall,dc=org

  • testen: 

    ldapsearch -x

Datenbank-Verzeichnis wählen

  • server abschalten 

    mv /var/lib/ldap /data/ldap-database

  • in der /etc/ldap/slapd.conf die directory-Direktive anpassen

zusätzliche Schemata

  • für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - qmail.schema und sao.schema - diese müssen in die /etc/ldap/slapd.conf eingetragen werden: 

    include         /data/schema/qmail.schema
include         /data/schema/sao.schema
  • server neustarten

Indizierungsoptionen

  • für erhöhte Performance mit qmail sollten folgende Optionen in die /etc/ldap/slapd.conf eingetragen werden: 

    index   objectClass eq
index   mail,mailAlternateAddress,uid                   eq,sub
index   accountStatus,mailHost,deliveryMode             eq
index   default                                         sub

Struktur

  • unterhalb von o=neofaxe,dc=systemausfall,dc=org werden die Knoten People und Services angelegt

  • darunter wieder befinden sich:

    • die Knoten webAccount und mailAccount, sowie alle Nutzereinträge

    • die Knoten svn, wiki und ezmlm

  • zum Erzeugen der Struktur kann diese Datei verwendet werden

LdapEinrichtung (zuletzt geändert am 2019-01-01 21:19:51 durch phil)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.