OpenLDAP in der Praxis

Inhalt

Geleitwort

Vorwort

1 Einleitung

1.1 Formales

1.2 Schriftarten

1.2.1 Eingabe langer Befehle

1.2.2 Screenshots

1.2.3 Internetverweise

1.2.4 Icons

1.3 Linux-Distributionen

2 LDAP-Grundlagen

2.1 Grundlagen zum Protokoll

2.1.1 Der Einsatz von LDAP im Netzwerk

2.1.2 Das LDAP-Datenmodell

2.1.3 Attribute

2.1.4 Objektklassen

2.1.5 Objekte

2.1.6 Schema

2.1.7 Das LDIF-Format

2.1.8 Aufbau einer Struktur

2.1.9 Namensfindung

3 Installation des ersten OpenLDAP

3.1 Grundlegende Überlegungen

3.1.1 Die statische Konfiguration

3.1.2 Die dynamische Konfiguration

3.2 Installation unter Debian

3.3 Installation unter CentOS

3.3.1 Die dynamische Konfiguration

3.4 Einspielen der ersten Objekte

3.5 Erste Objekte

4 Einrichten von TLS

4.1 Einrichten von TLS unter Debian

4.2 Einrichtung von TLS unter CentOS

4.3 Überprüfung von TLS

4.4 TLS vs. LDAPS

5 Client-Anbindung mit sssd

5.1 Was bietet der sssd?

5.2 Installation und Konfiguration

5.3 Abfrage der Benutzer und Gruppen

5.4 Anmeldung am System

6 Grafische Werkzeuge

6.1 Webbasierte Werkzeuge

6.1.1 Installation und Einrichtung des LAM

6.2 Lokale Werkzeuge

6.2.1 Installation und Einrichtung des JXplorer

6.2.2 Installation und Einrichtung des Apache Directory Studio

7 Erste Schritte in der Objektverwaltung

7.1 Anlegen neuer Objekte

7.1.1 Anlegen von Organizational Units (OUs)

7.1.2 Anlegen von Benutzern und Gruppen

7.1.3 Ändern von Attributen

8 LDAP-Filter

8.1 Arten von Filtern

8.1.1 Beispiele zu einfachen Filtern

8.1.2 Beispiel zu erweiterten Filtern

8.2 Sonderzeichen in Attributen

9 Berechtigungen mit ACLs

9.1 Grundlegendes zu ACLs

9.1.1 Aufbau einer ACL

9.1.2 Die Berechtigungen

9.1.3 Die Privilegien

9.1.4 Arten der ACL-Verwaltung

9.1.4.1 Statische Konfiguration

9.1.4.2 Dynamische Konfiguration

9.1.5 ACL und grafische Werkzeuge

9.1.6 Rechte für den LDAP-Admin

9.2 ACLs in der Praxis

9.2.1 Rechte an der eigenen Abteilung

9.2.2 Rechte für Gruppen

9.2.3 Rechte für ein simpleSecurityObject

9.2.4 ACLs mit regulären Ausdrücken

9.2.5 Prüfen von ACLs

10 Erweiterte Funktionen durch Overlays

10.1 Datenaufbereitung

10.1.1 translucent

10.1.2 valsort

10.2 Datenmanipulation

10.2.1 dynlist

10.2.2 refint

10.2.3 memberOf

10.2.4 unique

10.2.5 constraint

10.2.6 dds

10.3 Zusatzfunktionen

10.3.1 Vorabbemerkungen zur Protokollierung

10.3.2 accesslog

10.3.3 auditlog

10.3.4 ppolicy

10.3.5 syncprov

11 Dynamische Posix-Gruppen

11.1 Anpassungen am OpenLDAP-Verzeichnis

11.1.1 Einrichten der dynamischen Posix-Gruppen

11.2 Anpassung des Clients

11.3 Fertig, aber (noch) nicht betriebsbereit

12 Replikation des OpenLDAP-Baums

12.1 Grundlagen zur Replikation

12.1.1 Change Sequence Number

12.1.2 Zeitsynchronisation

12.1.3 Serverrollen

12.1.4 Replikationsumfang

12.2 Replikationsmethoden

12.2.1 LDAP Synchronization Replication – Die vollständige Replikation

12.2.2 refreshOnly

12.2.3 refreshAndPersist

12.2.3.1 Einrichtung

12.2.4 Zwischenstopp

12.2.5 DeltaSync

12.2.5.1 Einrichtung

12.2.6 Zusammenfassung und Ergänzung

12.3 Schreiben auf dem Consumer

12.4 Replikationstopologien

12.4.1 Standby-Provider oder Mirror-Mode

12.4.2 Multi-Provider

12.4.3 Zusammenfassung und Ausblick

12.4.4 Troubleshooting mit CSN

13 OpenLDAP mit Kerberos

13.1 Funktionsweise von Kerberos

13.1.0.1 Einstufiges Kerberos-Verfahren

13.1.0.2 Zweistufiges Kerberos-Verfahren

13.2 Installation und Konfiguration des Kerberos-Servers

13.2.1 Konfiguration des ersten Kerberos-Servers

13.2.2 Initialisierung und Testen des Kerberos-Servers

13.2.3 Verwalten der Principals

13.3 Kerberos und PAM

13.3.0.1 PAM-Konfiguration unter CentOS

13.3.1 Testen der Anmeldung

13.4 Hosts und Dienste

13.4.1 Entfernen von Einträgen

13.5 Konfiguration des Kerberos-Clients

13.5.1 PAM und Kerberos auf dem Client

13.6 Replikation des Kerberos-Servers

13.6.1 Bekanntmachung aller KDCs im Netz

13.6.1.1 Bekanntmachung aller KDCs über die Datei krb5.conf

13.6.1.2 Bekanntmachung aller KDCs über SRV-Einträge im DNS

13.6.2 Konfiguration des KDC-Masters

13.6.3 Konfiguration des KDC-Slaves

13.6.4 Replikation des KDC-Masters auf den KDC-Slave

13.7 Kerberos Policies

13.8 Kerberos im LDAP einbinden

13.8.1 Vorbereitung des LDAP-Servers

13.8.2 Konfiguration des LDAP-Servers

13.8.3 Umstellung des Kerberos-Servers

13.8.4 Zurücksichern der alten Datenbank

13.8.5 Erstellung der Keys für den LDAP-Server

13.8.6 Bestehende LDAP-Benutzer um Kerberos-Principal erweitern

13.9 Neue Benutzer im LDAP

13.10 Authentifizierung am LDAP-Server über GSSAPI

13.10.1 Einrichtung der Authentifizierung unter Debian

13.10.2 Einrichten der Authentifizierung unter CentOS

13.10.3 Der sssd mit GSSAPI

13.10.4 Anbinden des zweiten KDCs an den LDAP

13.10.5 Replikation mit Kerberos absichern

13.10.6 Vorbereitung des zweiten LDAP-Servers

13.10.7 Einrichtung von k5start

13.10.8 Umstellung der Replikation auf GSSAPI

13.11 Übersicht über alle ACLs

13.12 Konfiguration des LAM-Pro

13.12.1 Vorbereitung des Webservers

13.12.2 Konfiguration des LAM

14 Monitoring mit Munin

14.1 Warum Monitoring?

14.2 cn=monitor

14.3 Munin

14.3.1 Munin-Server

14.3.2 Knoten

14.3.3 OpenLDAP-Daten

14.4 Andere Monitoring-Systeme

15 OpenLDAP im Container

15.1 Docker

15.1.1 Einrichtung des Docker-Servers

15.1.2 Der erste Container

15.2 OpenLDAP

15.2.1 Netzwerken

15.2.2 Datenpersistenz

15.2.3 Compose

15.2.4 Ausblick

15.3 Image im Eigenbau

15.3.1 Der Build-Prozess

15.3.2 Das Dockerfile

15.3.3 Testen des Images

15.3.4 Beispiel CentOS

15.3.5 Ausblick

16 Beispiele aus der Praxis

16.1 Weitere Datenbanken einrichten

16.1.1 Zweite Datenbank mit der statischen Konfiguration

16.1.2 Zweite Datenbank mit der dynamischen Konfiguration

16.1.3 Anlegen der ersten Objekte

16.2 Ssh mit Kerberos und LDAP

16.3 Der sssd und Gruppen

16.4 Public Keys im LDAP

16.4.0.1 Anpassen des ssh-Servers

16.5 LDAP-Authentifizierung für den Apache-Webserver

16.6 Attribute von Gruppenmitgliedern schneller finden

Stichwortverzeichnis

Stichwortverzeichnis