Warum openLDAP bzw. LDAP?
LDAP steht für "Lightweight Directory Access Protocol". Es ist ist eine Protokollart für den Zurgriff auf einen Verzeichnisdienst!
Verzeichnisdienste gibt es leider zur Zeit einen Wildwuchs, dem der Administrator Herr werden muß. Dem Anwender ist heute eigentlich nicht recht klar, woher die Informationen, die er tagtäglich verwendet, eigentlich stammen: DNS, NIS, SAMBA, ADS, DS ... .
In diesen Verzeichnissen liegen oft die Informationen redundant vor und erschweren daher die Pflege des Datenbestandes.
( Die Internet-Suchmaschinen verfolgen einen ähnlichen Ansatz ...)
Ziel von LDAP ist es eigentlich einen einzigen/einzigartigen Zugriffsmechanismus auf all diese Dienste zu schaffen. Leider sind wir davon noch weit entfernt. Die Idee ist sehr gut, aber ob die Realisierung auf dem besten Weg ist, das muß sich erst noch mit der Zeit zeigen.
Leider ist noch vieles nicht richtig und einheitlich geklärt, siehe ADS(Microsoft) contra OpenLDAP (Unix,Linux).
Ich will hier einmal zusammentragen wie der Stand der Dinge sich einem darstellt und auf Basis dieses Konglomerat ein Beispiel für eine Installtion und Wirkung eines zentralen Verzeichnisdienstes vorführen.
Packend wir es mal an ...
AUFBAU openLADP
1. Installation & Basis-config
Zuerst suchte ich mal Informationen im Internet und fand recht schnell die gewünschte Information. Folgende 2 kleine Befehlzeilen
apt-get install slapd ldap-utils
und innerhalb von 10 Minuten war LDAP installiert und die Basis war installiert.
Wichtige Befehle für den Dienst LDAP:
/etc/init.d/slapd stop
/etc/init.d/slapd start
/etc/init.d/slapd restart
service slapd status
Jetzt hätte eigentlich diev Konfiguration des LDAP's erfolgen können, aber es wiederspricht meinem Naturell etwas als Gegen hinzunehmen und nicht zu wissen wie es eigentlich funktioniert.
Man muss nicht unbedingt alles zu 100% wissen aber 75% oder mehr wären gut, zumal ich im Jahre 2002 mit LDAP im Rahmen eines Softwareproduktes "Tarantella" (gleichnamiges Unternehmen) meine ersten Berührungspunkte gemacht hatte und die Ganze sich als recht einfach
darstellte.(Anmerkung: da es im Aufbau sich befand, war das ganze auch noch zu durchschauen)
Doch oh Schreck ich fand nicht die bekannten Verzeichnisse und Dateien wieder, die ich aus meinen alten Unterlagen kannte! Wo waren die bekannten "ldap.conf" und slapd.conf" Dateien wo man relativ einfach eine paar Eintrage anpaßt und das ganze "funzte".
Doch auch intensive Internetsuche brachte mich nicht an Ziel, mir viel nur eins auf, das die Beiträge doch recht alt waren. ( In der heutigen Schnellebigen Zeit sind schon 2 bis 4 Jahre eine
Ewigkeit und führen zur Einstellung: "Veraltet". Zukamm noch dem noch, das sich die meisten Artikel um SUSE , Red Hut, SUN oder IBM tummelten. Ich hatte aber 2012 beschlossen UBUNTU (basierend
auf DEBIAN) zu meinem führenden Linux OS zu machen, da es doch um SUSE (noch um 2002 recht gut und zur Führungriege neben 2 anderen Linux Distributionen gehörtend) in der Zeit um 2010 recht ruhig
geworden war.
Also suchte ich jetzt nach "ldap setup debian ubuntu" mit dem Zeitraum von 2010 bis 201 und siehe da ich fand die Lösung:
Quelle: https://wiki.debian.org/LDAP/OpenLDAPSetup
"... Missing slapd.conf?
Since version 2.4.23-3 the configuration of OpenLDAP has been changed to /etc/ldap/slapd.d by default. The OpenLDAP packages in Debian provide an automatic migration to the new configuration
style. With the new configuration style it is possible to change values on the fly without restarting slapd. Changes are made through the use of ldif files and ldap{add,modify}. In Debian you can
use the following command to search the configuration: ... "
Eine Recherche ergab dann das Erscheinung Datum: 04-2011 von der Vers. 2.4.23-3 für UBUNTU.
Als mal kurz "tree /etc/ldap" und "tree /var/lib/ldab" eingetippt und es zeigte sich nun teilweise etwas Altbekanntes:
Damit ist eine Frage geklärt, wo und wie die Daten von LDAP abgepeichert werden. Aber wie wird die "Basis" bzw. "Root" des LDAP's angelegt.
Es gibt noch ein leeres Verzeichnis :
/var/lib/slapd
TIP
Noch etwas ganz wichtiges, was nirgendwo so richtig erklärt wird.
Wie kann man der Standard "admin" ändern?
Eigentlich ganz einfach.
Man installiert sich:
- eine GUI (ApacheDirectory, JXplorer oder phpLDAPadmin),
- legt einen 2. Admin z.B.: mit Namen "worker" an
- über ssh bearbeitet wird der Eintrag in der Datei 'olcDatabase={1}hdb.ldif' !
olcRootDN: cn=worker,dc=lemptal,dc=intern.
- Startet den LDAP Server neu "/etc/init.d/slapd restart".
- Löschen des alten "admin".
FERTIG!
Nur eins verstehe ich nicht richtig!
Wo wird das Passwort abgespeichert und wieso funktioniert das ganze nur mit der einen Zeile?
Aber es funktioniert !
Es gibt zwar sicher einen Weg über die Kommandozeile 'ldapmodify --help' aber den habe ich noch nicht richtig eruieren können. Wäre schön wenn mir einer einen anderen Weg zeigen könnte, denn irgendwie traue ich meiner selbst gebastelten Lösung nicht so richtig.
Hier geht es weiter LDAP [1.5.1]
Wichtige Links:
openLDAP openldap-flaggschiff-unter-den-opensource-verzeichnisdiensten
http://de.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
RFC Nr. | Stand | link |
RFC 4519 | 06.2006 | https://tools.ietf.org/html/rfc4519 |
|
|
|