Stefan Kania, Andreas Ollenburg
OpenLDAP in der Praxis
Das Handbuch für Administratoren
Inhalt
6
Geleitwort
12
Vorwort
14
1 Einleitung
18
1.1 Formales
18
1.2 Schriftarten
18
1.2.1 Eingabe langer Befehle
19
1.2.2 Screenshots
19
1.2.3 Internetverweise
19
1.2.4 Icons
19
1.3 Linux-Distributionen
20
2 LDAP-Grundlagen
22
2.1 Grundlagen zum Protokoll
22
2.1.1 Der Einsatz von LDAP im Netzwerk
24
2.1.2 Das LDAP-Datenmodell
24
2.1.3 Attribute
25
2.1.4 Objektklassen
26
2.1.5 Objekte
27
2.1.6 Schema
28
2.1.7 Das LDIF-Format
31
2.1.8 Aufbau einer Struktur
32
2.1.9 Namensfindung
34
3 Installation des ersten OpenLDAP
36
3.1 Grundlegende Überlegungen
36
3.1.1 Die statische Konfiguration
36
3.1.2 Die dynamische Konfiguration
40
3.2 Installation unter Debian
41
3.3 Installation unter CentOS
47
3.3.1 Die dynamische Konfiguration
48
3.4 Einspielen der ersten Objekte
52
3.5 Erste Objekte
55
4 Einrichten von TLS
58
4.1 Einrichten von TLS unter Debian
59
4.2 Einrichtung von TLS unter CentOS
66
4.3 Überprüfung von TLS
72
4.4 TLS vs. LDAPS
74
5 Client-Anbindung mit sssd
76
5.1 Was bietet der sssd?
77
5.2 Installation und Konfiguration
77
5.3 Abfrage der Benutzer und Gruppen
82
5.4 Anmeldung am System
83
6 Grafische Werkzeuge
86
6.1 Webbasierte Werkzeuge
86
6.1.1 Installation und Einrichtung des LAM
87
6.2 Lokale Werkzeuge
91
6.2.1 Installation und Einrichtung des JXplorer
92
6.2.2 Installation und Einrichtung des Apache Directory Studio
95
7 Erste Schritte in der Objektverwaltung
98
7.1 Anlegen neuer Objekte
98
7.1.1 Anlegen von Organizational Units (OUs)
98
7.1.2 Anlegen von Benutzern und Gruppen
101
7.1.3 Ändern von Attributen
104
8 LDAP-Filter
108
8.1 Arten von Filtern
108
8.1.1 Beispiele zu einfachen Filtern
109
8.1.2 Beispiel zu erweiterten Filtern
112
8.2 Sonderzeichen in Attributen
113
9 Berechtigungen mit ACLs
116
9.1 Grundlegendes zu ACLs
116
9.1.1 Aufbau einer ACL
117
9.1.2 Die Berechtigungen
118
9.1.3 Die Privilegien
119
9.1.4 Arten der ACL-Verwaltung
123
9.1.4.1 Statische Konfiguration
123
9.1.4.2 Dynamische Konfiguration
124
9.1.5 ACL und grafische Werkzeuge
128
9.1.6 Rechte für den LDAP-Admin
133
9.2 ACLs in der Praxis
137
9.2.1 Rechte an der eigenen Abteilung
137
9.2.2 Rechte für Gruppen
140
9.2.3 Rechte für ein simpleSecurityObject
143
9.2.4 ACLs mit regulären Ausdrücken
144
9.2.5 Prüfen von ACLs
146
10 Erweiterte Funktionen durch Overlays
150
10.1 Datenaufbereitung
150
10.1.1 translucent
150
10.1.2 valsort
158
10.2 Datenmanipulation
161
10.2.1 dynlist
161
10.2.2 refint
165
10.2.3 memberOf
170
10.2.4 unique
174
10.2.5 constraint
176
10.2.6 dds
178
10.3 Zusatzfunktionen
184
10.3.1 Vorabbemerkungen zur Protokollierung
185
10.3.2 accesslog
186
10.3.3 auditlog
190
10.3.4 ppolicy
192
10.3.5 syncprov
196
11 Dynamische Posix-Gruppen
200
11.1 Anpassungen am OpenLDAP-Verzeichnis
201
11.1.1 Einrichten der dynamischen Posix-Gruppen
203
11.2 Anpassung des Clients
204
11.3 Fertig, aber (noch) nicht betriebsbereit
205
12 Replikation des OpenLDAP-Baums
206
12.1 Grundlagen zur Replikation
206
12.1.1 Change Sequence Number
206
12.1.2 Zeitsynchronisation
207
12.1.3 Serverrollen
211
12.1.4 Replikationsumfang
212
12.2 Replikationsmethoden
213
12.2.1 LDAP Synchronization Replication – Die vollständige Replikation
213
12.2.2 refreshOnly
214
12.2.3 refreshAndPersist
221
12.2.3.1 Einrichtung
222
12.2.4 Zwischenstopp
224
12.2.5 DeltaSync
225
12.2.5.1 Einrichtung
226
12.2.6 Zusammenfassung und Ergänzung
229
12.3 Schreiben auf dem Consumer
230
12.4 Replikationstopologien
232
12.4.1 Standby-Provider oder Mirror-Mode
232
12.4.2 Multi-Provider
237
12.4.3 Zusammenfassung und Ausblick
240
12.4.4 Troubleshooting mit CSN
241
13 OpenLDAP mit Kerberos
244
13.1 Funktionsweise von Kerberos
247
13.1.0.1 Einstufiges Kerberos-Verfahren
247
13.1.0.2 Zweistufiges Kerberos-Verfahren
247
13.2 Installation und Konfiguration des Kerberos-Servers
248
13.2.1 Konfiguration des ersten Kerberos-Servers
249
13.2.2 Initialisierung und Testen des Kerberos-Servers
254
13.2.3 Verwalten der Principals
256
13.3 Kerberos und PAM
260
13.3.0.1 PAM-Konfiguration unter CentOS
262
13.3.1 Testen der Anmeldung
262
13.4 Hosts und Dienste
263
13.4.1 Entfernen von Einträgen
268
13.5 Konfiguration des Kerberos-Clients
270
13.5.1 PAM und Kerberos auf dem Client
271
13.6 Replikation des Kerberos-Servers
272
13.6.1 Bekanntmachung aller KDCs im Netz
272
13.6.1.1 Bekanntmachung aller KDCs über die Datei krb5.conf
272
13.6.1.2 Bekanntmachung aller KDCs über SRV-Einträge im DNS
273
13.6.2 Konfiguration des KDC-Masters
275
13.6.3 Konfiguration des KDC-Slaves
276
13.6.4 Replikation des KDC-Masters auf den KDC-Slave
277
13.7 Kerberos Policies
279
13.8 Kerberos im LDAP einbinden
283
13.8.1 Vorbereitung des LDAP-Servers
284
13.8.2 Konfiguration des LDAP-Servers
286
13.8.3 Umstellung des Kerberos-Servers
290
13.8.4 Zurücksichern der alten Datenbank
295
13.8.5 Erstellung der Keys für den LDAP-Server
298
13.8.6 Bestehende LDAP-Benutzer um Kerberos-Principal erweitern
300
13.9 Neue Benutzer im LDAP
303
13.10 Authentifizierung am LDAP-Server über GSSAPI
305
13.10.1 Einrichtung der Authentifizierung unter Debian
305
13.10.2 Einrichten der Authentifizierung unter CentOS
310
13.10.3 Der sssd mit GSSAPI
310
13.10.4 Anbinden des zweiten KDCs an den LDAP
313
13.10.5 Replikation mit Kerberos absichern
313
13.10.6 Vorbereitung des zweiten LDAP-Servers
313
13.10.7 Einrichtung von k5start
315
13.10.8 Umstellung der Replikation auf GSSAPI
317
13.11 Übersicht über alle ACLs
318
13.12 Konfiguration des LAM-Pro
320
13.12.1 Vorbereitung des Webservers
321
13.12.2 Konfiguration des LAM
324
14 Monitoring mit Munin
328
14.1 Warum Monitoring?
328
14.2 cn=monitor
328
14.3 Munin
333
14.3.1 Munin-Server
334
14.3.2 Knoten
338
14.3.3 OpenLDAP-Daten
344
14.4 Andere Monitoring-Systeme
348
15 OpenLDAP im Container
350
15.1 Docker
350
15.1.1 Einrichtung des Docker-Servers
351
15.1.2 Der erste Container
351
15.2 OpenLDAP
355
15.2.1 Netzwerken
358
15.2.2 Datenpersistenz
362
15.2.3 Compose
364
15.2.4 Ausblick
367
15.3 Image im Eigenbau
368
15.3.1 Der Build-Prozess
368
15.3.2 Das Dockerfile
370
15.3.3 Testen des Images
372
15.3.4 Beispiel CentOS
372
15.3.5 Ausblick
375
16 Beispiele aus der Praxis
376
16.1 Weitere Datenbanken einrichten
376
16.1.1 Zweite Datenbank mit der statischen Konfiguration
377
16.1.2 Zweite Datenbank mit der dynamischen Konfiguration
378
16.1.3 Anlegen der ersten Objekte
379
16.2 Ssh mit Kerberos und LDAP
380
16.3 Der sssd und Gruppen
382
16.4 Public Keys im LDAP
383
16.4.0.1 Anpassen des ssh-Servers
387
16.5 LDAP-Authentifizierung für den Apache-Webserver
388
16.6 Attribute von Gruppenmitgliedern schneller finden
391
Stichwortverzeichnis
393
Stichwortverzeichnis
394
© 2009-2024 ciando GmbH