Open LDAP Verzeichnisdienst (2002).pdf

openLDAP Verzeichnisdienst

19. Oktober 2002

Version 1.0.9

getestet auf: SuSE Linux 7.3 / 8.0 / 8.1

Es ist erlaubt dieses Dokument unter den Bestimmungen der GNU Free Docu-

mentation License , Version 1.1 oder eine spätere Version, die von der Free Softwa-

re Foundation veröffentlicht wurde, zu kopieren, verteilen und/oder modiﬁzieren; ei-

ne Kopie der Lizenz kann unter dem folgenden Weblink abgerufen werden: http:

//www.gnu.org/copyleft/fdl.html .

Die gesamte Anleitung in dieser Form unterliegt der GNU Free Documentation

License (sofern nicht anders angegeben). Einzelne Textstellen die einer anderen Lizenz

angehören sind mit dem Namen des jeweiligen Autors gekennzeichnet.

Um Verbesserungen bzw. Änderungen dieser Dokumentation verfolgen zu können,

bitte ich jeden Leser darum, diese an die Email-Adresse: roland@linux-tin.org

zu senden. Über diese Email-Adresse kann das Dokument auch in ASCII und L A T E X

angefordert werden. Die jeweils aktuelle Version des Dokuments kann man unter der

im Anhang A angegebenen Webadresse beziehen.

Verwendete Software für die Dokumenterstellung:

L Y X unter SuSE Linux

GNU Ghostscript

OpenOfﬁce

Und natürlich eine Reihe anderer Applikationen

INHALTSVERZEICHNIS

Inhaltsverzeichnis

1 Grundsätzliches 3

1.1 Was ist openLDAP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2 Aufbau und Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.2.1 Organistationsorientierte DS-Struktur . . . . . . . . . . . . . . . 5

1.2.2 Objektorientierte DS-Struktur . . . . . . . . . . . . . . . . . . . . 6

1.3 Konﬁgurationsdateien - die Basics . . . . . . . . . . . . . . . . . . . . . 7

1.3.1 Konﬁgurationsdateien des Servers - slapd.conf . . . . . . . . . . 7

1.3.2 Schemadateien . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Der openLDAP Server 8

2.1 Grundkonﬁguration des Servers . . . . . . . . . . . . . . . . . . . . . . 8

2.1.1 Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . 8

2.1.2 Details - die Datei /etc/openldap/slapd.conf . . . . . . . . . . . . 10

2.2 Starten des Servers und seine Logﬁles . . . . . . . . . . . . . . . . . . 11

2.3 Server mit Daten füllen - die LDIF Dateien . . . . . . . . . . . . . . . . . 12

2.4 Authentiﬁzierungssystem . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.5 Rechte des LDAP Servers . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.6 LDAP Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.7 Abschliessende Worte zum LDAP Server . . . . . . . . . . . . . . . . . 18

3 Beispielanwendungen zu LDAP 19

3.1 Hardware - Bestandsaufnahme . . . . . . . . . . . . . . . . . . . . . . 19

3.1.1 Ein eigenes Schema entwerfen . . . . . . . . . . . . . . . . . . . 19

3.1.2 Das eigene Schema verwenden . . . . . . . . . . . . . . . . . . 21

3.2 Emailclients und LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4 Abschliessende Worte

1 GRUNDSÄTZLICHES

Der folgende Artikel erklärt, wie man unter SuSE Linux den Verzeichnisdienst

openLDAP2v3 einrichtet, benutzt und administriert.

1 Grundsätzliches

LDAP (Lightweight Directory Access Protocol) entstand aus dem Standard X.500 oder

auch DAP genannt. LDAP wird deshalb auch als X.500 lite bezeichnet und entwickelte

sich zu einem offenen und weltweit eingesetztem Standard. Das ursprüngliche X.500

war lange Zeit die Referenz für Verzeichnisdienste, wurde dann aber aufgrund sei-

ner Komplexität und der Unfähigkeit mit TCP/IP zusammenzuarbeiten von LDAP ver-

drängt. Dennoch, LDAP ist in der Lage auf X.500 Verzeichnisse zuzugreifen, wenn

auch nicht mit dem vollen Funktionsumfang der von X.500 vorgegeben wurde.

Eine saubere Planung und Konﬁguration des Einsatzes von openLDAP ist an sich

nicht ganz trivial. Meist empﬁnde ich es als sinnvoll zunächst eine Testkonﬁguration ei-

nes bestimmten Services vorzunehmen (z.B. von Samba) und damit durch “schrauben”

an Parametern die Möglichkeiten auszuloten - bei LDAP sollte die Herangehenswei-

se anders erfolgen. Fragen tauchen auf wie: “ Was will ich mit dem Verzeichnisdienst

erreichen? ” “ Wie vereinfache ich die Administration? ” “ Wie strukturiere ich die Infor-

mation darin? ” “ Welchen Vorteil hat es für mein Environment? ”

Gleich loslegen ist bei einem Verzeichnisdienst also nicht angebracht, deshalb möch-

te ich hier kurz auf die Grundmerkmale des DS (für Directory Service = Verzeichnis-

dienst) eingehen und sowohl Vor- als auch Nachteile besprechen.

1.1 Was ist openLDAP?

Mit einer Graﬁk die den Verzeichnisdienst erläutern soll, leite ich diese Tour ein:

Bei einem Verzeichnisdienst handelt es sich um eine im Netzwerk verteilte Daten-

bank mit zugrundeliegendem Client/Server Prinzip. In einem Verzeichnisdienst kön-

nen jede Menge verschiedene Datenbestandteile vorhanden sein. Er dient also zum

festhalten von nahezu bliebigen Informationen, die verwendet werden können um ver-

schiedene Anwendungen oder Systeme zu konﬁgurieren, administrieren bzw. authen-

tiﬁzieren.

1.2 AufbauundFunktion

1 GRUNDSÄTZLICHES

Als Basis dient eine (evtl. im Netzwerk verteilte) Datenbank, deren unterschied-

liche Teile auch auf unterschiedlichen Servern gelagert werden können. Des weiteren

besteht die Möglichkeit die Datenbank oder Teile daraus zu replizieren und somit die

Ausfallsicherheit und Geschwindigkeit über WAN-Strecken hinweg zu erhöhen.

Auf die Informationen bzw. bestimmte, freigegebene Informationen kann von je-

dem Clientsystem im Netzwerk aus zugegriffen werden. Gerade daraus resultiert der

große Vorteil von einem Verzeichnisdienst. Client/Server Anwendungen wie z.B. das

Network File System (nfs) oder auch Mailserver können damit zentral administriert

werden und darüberhinaus durch denzentrale Administrationsrechte einer Enterprise -

Firmenstruktur gerecht werden.

Was aber unterscheidet einen Verzeichnisdienst von einer Datenbank wie myS-

QL ? Nun, der Unterschied ist oberﬂächlich betrachtet nicht einmal so groß. Bei beiden

handelt es sich um Datenbanken, in denen Daten abgelegt und diese wieder ausgelesen

werden. Im Gegensatz zu mySQL ist jedoch ein DS dahingehend optimiert, Suchvor-

gänge extrem schnell abzuschließen und die angefragten Daten dem Client zu übermit-

teln. Neue Einträge in den DS erfolgen jedoch wesentlich langsamer.

Was aber hat man von der doch oft recht mühseligen Konﬁguration bzw. mehr noch,

der Vorbereitung?

Zu nennen sind da einige Punkte. Zum Beispiel können Benutzerlisten einer Or-

ganisation im LDAP - Verzeichnis gehalten werden - der DS kann nun von jedem

LDAP-kompatiblen Programm oder Daemon abgefragt werden, der Informationen dar-

aus benötigt. Und es können wirklich alle erdenklichen Arten sein - beginnend beim

Einstellungsdatum einer Person bis hin zu Konﬁgurationsdaten von Servern, Datencen-

tern oder Serverfarmen.

Besonders herauszustellen ist hier die Möglichkeit des Dienstes als Authentiﬁzie-

rungssystem. Aktuell wird das System häuﬁger zum zentralen Usermanagement be-

nutzt als für andere Dinge. Durch openLDAP ist es möglich Benutzern einheitliche

Logins Netzwerkweit zu gewährleisten - sowohl bei Konsolen-Logins, IMAP-Server

als auch Fileservern (z.B. NFS). Der Administrator freut sich zudem auf ein wesent-

lich vereinfachtes Benutzerhandling. Ein einfaches Benutzerhandling wiederum redu-

ziert die Fehlerträchtigkeit eines Systems.

1.2 Aufbau und Funktion

Im Folgenden werde ich den Verzeichnisdienst (english: Directory Service) weiterhin

schlicht als DS bezeichnen.

Den Aufbau einer DS-Datenbank kann man sich als baumartige Struktur vorstellen.

Von der Wurzel (engl. root) aus gliedert sich der Baum auf. Darunter können also

jeweils weitere Strukturen bzw. Unterstrukturen ergänzt werden. So ist es möglich mit

dem DS eine beliebige Netzwerk- oder Firmenstruktur darzustellen.

In einem solchen Baum werden Kürzel verwendet, die ich dir in der untenstehenden

Tabelle vorstellen möchte:

1.2 AufbauundFunktion

1 GRUNDSÄTZLICHES

Kürzel Objekt

Erklärung

c Containerobjekt

Steht für Country, also das Land - bei multinatio-

nalen Firmen oft benutzt

o Containerobjekt

Steht für Organisation, also die Firma, Grup-

pe oder andere übergeordnete Organisations-

einheit

ou Containerobjekt

Organizational Unit, also die Abteilung, der Fir-

menbereich oder die organisatorische Unter-

gruppe

dc Containerobjekt

Domain Code, spiegelt die interne IT Struktur

wieder im Gegensatz zu ou, welche die Or-

ganisationsstruktur beschreibt. Aus linux-tin.org

würde dc=linux-tin,dc=org in der LDAP-Sprache

entstehen.

cn Blattobjekt

Common Name, also ein allgemeiner Objektna-

me. Z.B. Username, Host, IP-Adresse etc.

Containerobjekte : Als Container werden Objekte bezeichnet, die wiederum ande-

re Objekte enthalten dürfen.

Blattobjekte : Blattobjekte entsprechen den Enden der Verzweigungen eines Ob-

jektbaumes (eben wie bei einem echten Baum)

1.2.1 Organistationsorientierte DS-Struktur

Diese Art der Strukturierung soll das Unternehmen in seinem internen Aufbau darstel-

len. Diese Vorgehensweise ﬁndet man noch recht häuﬁg, zielt auf die verteilte Admi-

nistration und nimmt dieser ihre Komplexität. Besonders in größeren Betrieben waren

vor einigen Jahren solche Strukturen häuﬁg anzutreffen, durch häuﬁge interne Verän-

derungen in jenen Betrieben, war dieses System jedoch zu unﬂexibel. Heute geht man

etwas andere Wege und verzweigt nicht mehr so stark. Die folgende Graﬁk soll ein

Beispiel einer organisationsorientierten Struktur sein, die regionallastig ist.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: