3358
Kommentar: zwischenstadium
|
← Revision 9 vom 2019-01-01 21:19:51 ⇥
2260
Format
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 1: | Zeile 1: |
[[TableOfContents]] ----- |
<<TableOfContents>> |
Zeile 6: | Zeile 4: |
{{{apt-get install slapd ldap-utils }}} |
* Installation der Debian-Pakete mit {{{ apt-get install slapd ldap-utils}}} |
Zeile 33: | Zeile 31: |
* für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - diese müssen in die ''/etc/ldap/slapd.conf'' eingetragen werden:{{{ include [http://mah.everybody.org/docs/install/qmail.schema /data/schema/qmail.schema] |
* für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - ''[[http://mah.everybody.org/docs/install/qmail.schema|qmail.schema]]'' und ''[[attachment:sao.schema|sao.schema]]'' - diese müssen in die ''/etc/ldap/slapd.conf'' eingetragen werden: {{{ include /data/schema/qmail.schema |
Zeile 45: | Zeile 43: |
== TLS/SSL == * dafür brauchen wir ein Zertifikat für den Server (in diesem Fall mit dem Servernamen ''ldap'', da er nur intern verwendet wird) * das öffentliche Zertifikat sollte unter ''/data/certs/ldap-cert.pem'' abgelegt werden * die Schlüssel-Datei sollte ''/data/certs/ldap-key.pem'' heißen * außerdem ist das Zertifikat der CA nötig: ''/data/certs/sao-CA-cacert.pem'' * in die ''/etc/ldap/slapd.conf'' gehören somit folgende Optionen: {{{ TLSCACertificateFile /data/certs/sao-CA-cacert.pem TLSCertificateFile /data/certs/ldap-cert.pem TLSCertificateKeyFile /data/certs/ldap-key.pem}}} * in die ''/etc/default/slapd'' gehört nun die folgende Zeile: {{{ SLAPD_SERVICES="ldap:/// ldaps:///"}}} * die ''/etc/ldap/ldap.conf'' und ''/root/.ldaprc'' sollte nun ''ldaps://'' anstelle von ''ldap://'' verwenden * ausprobieren mit {{{ ldapsearch -x}}} |
|
Zeile 66: | Zeile 50: |
= Administration = Unter ''/data/scripts'' liegen die beiden Dateien ''ldap-lib-sh'' und ''ldap-admin.sh''. Erstere stellt alle erforderlichen Funtkionalitäten bereit, während letztere eine benutzerfreundliche Schnittstelle zu diesen Funktionalitäten bietet. Parameter für ''ldap-admin.sh'': {{{ }}} |
Inhaltsverzeichnis
Installation
Installation der Debian-Pakete mit
apt-get install slapd ldap-utils
beim Konfigurieren von slapd genügt es erstmal, ein einfaches, leicht zu merkendes Passwort einzutippen - später wird es durch ein unmeschnlich schweres ersetzt
der Servername ist systemausfall.org mit der Organisation neofaxe - daraus ergibt sich die Basis des LDAP-Baums: o=neofaxe,dc=systemausfall,dc=org
Einrichtung
Passwort setzen
ein schön kompliziertes Passwort in /root/.ldap-pw schreiben (ohne Zeilenumbruch)
ldappasswd -x -w altes_passwort -T /root/.ldap-pw chown root. /root/.ldap-pw chmod 600 /root/.ldap-pw
Schreib-Zugriff für root
die systemweite ldap.conf muss für root minimal angepasst werden:
cp /etc/ldap/ldap.conf /root/.ldaprc
neue Zeile:
BINDDN cn=admin,dc=systemausfall,dc=org
testen:
ldapsearch -x
Datenbank-Verzeichnis wählen
server abschalten
mv /var/lib/ldap /data/ldap-database
in der /etc/ldap/slapd.conf die directory-Direktive anpassen
zusätzliche Schemata
für qmail und für unsere Accounts benötigen wir zwei weitere Schemata - qmail.schema und sao.schema - diese müssen in die /etc/ldap/slapd.conf eingetragen werden:
include /data/schema/qmail.schema include /data/schema/sao.schema
- server neustarten
Indizierungsoptionen
für erhöhte Performance mit qmail sollten folgende Optionen in die /etc/ldap/slapd.conf eingetragen werden:
index objectClass eq index mail,mailAlternateAddress,uid eq,sub index accountStatus,mailHost,deliveryMode eq index default sub
Struktur
unterhalb von o=neofaxe,dc=systemausfall,dc=org werden die Knoten People und Services angelegt
- darunter wieder befinden sich:
die Knoten webAccount und mailAccount, sowie alle Nutzereinträge
die Knoten svn, wiki und ezmlm
- zum Erzeugen der Struktur kann diese Datei verwendet werden