Red Hat Linux 7.0: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 7 Lightweight Directory Access Protocol (LDAP) | Vor |
Dieser Abschnitt gibt einen kurzen Überblick über die Konfiguration Ihres Red Hat Linux-Systems für die Authentifizierung mit OpenLDAP. Wenn Sie kein OpenLDAP-Experte sind, benötigen Sie wahrscheinlich eine weiter gehende Dokumentation, als wir Ihnen hier bieten können. Weitere Informationen finden Sie in den in Abschnitt namens LDAP-Ressourcen im Internet angegebenen Literaturhinweisen.
Zuerst müssen Sie sowohl auf dem LDAP-Server als auch auf dem LDAP-Client überprüfen, ob die entsprechenden Pakete installiert sind. Für den LDAP-Server wird das Paket openldap benötigt.
Auf den LDAP-Client-Rechnern müssen die folgenden Pakete installiert sein: openldap, auth_ldap und nss_ldap.
Die Datei slapd.conf ist in /etc/openldap abgelegt und enthält die Konfigurationsinformationen für Ihren LDAP-Server slapd. Sie müssen diese Datei an Ihre Domäne und Ihren Server anpassen.
Die suffix-Zeile gibt die Domäne an, für die der LDAP-Server Informationen bereitstellt. Die Suffix-Zeile sollte wie folgt geändert werden:
suffix "dc=Ihre-Domäne, dc=com" |
Hier muss der Name Ihrer Domäne eingetragen werden. Beispiel:
suffix "dc=acmewidgets, dc=com" |
oder
suffix "dc=acmeuniversity, dc=org" |
Der Eintrag rootdn ist der eindeutige Name (DN) für einen Benutzer, dem von den Parametern der Zugangskontrolle oder Benutzerverwaltung keine Beschränkungen für die Verwaltung des LDAP-Verzeichnisses auferlegt sind. Der Benutzer rootdn ist sozusagen Root für das LDAP-Verzeichnis. Die rootdn-Zeile lautet standardmäßig:
rootdn "cn=root, dc=Ihre-Domäne, dc=com" |
in einen Eintrag der Form:
rootdn "cn=root, dc=redhat, dc=com" |
oder
rootdn "cn=ldapmanager, dc=meine_Organisation, dc=org" |
Ändern Sie die rootpw-Zeile von:
rootpw secret |
in zum Beispiel:
rootpw {crypt}s4L9sOIJo4kBM |
Im obigen Beispiel wird ein verschlüsseltes Passwort verwendet, eine viel bessere Lösung, als das Root-Passwort im Klartext in der Datei slapd.conf abzuspeichern. Zum Erstellen dieser verschlüsselten Zeichenkette müssen Sie diese entweder aus der Datei passwd kopieren oder Perl verwenden:
perl -e "print crypt('passwd','a_salt_string');" |
In der obigen Perl-Zeile ist salt_string eine aus zwei Zeichen bestehende Salt-Zeichenkette und passwd die Klartextversion des Passworts.
Sie könnten auch einen passwd-Eintrag aus /etc/passwd kopieren. Das funktioniert allerdings nicht, wenn der passwd-Eintrag ein MD5-Passwort ist (Standard in Red Hat Linux 7.0).
Passen Sie die Dateien ldap.conf in /etc und in /etc/openldap auf dem LDAP-Server und den -Clients an.
Passen Sie /etc/ldap.conf, die Konfigurationsdatei für nss_ldap und pam_ldap, an Ihre Organisation und Suchdatenbank an. Die Datei /etc/openldap/ldap.conf ist die Konfigurationsdatei für Befehlszeilentools wie ldapsearch, ldapadd usw. und muss ebenfalls im Rahmen der LDAP-Einrichtung angepasst werden. Auf den Client-Rechnern müssen beide Dateien an Ihr System angepasst werden.
Um nss_ldap verwenden zu können, müssen Sie ldap in den entsprechenden Feldern in der Datei /etc/nsswitch.conf hinzufügen. (Vorsicht beim Bearbeiten dieser Datei. Hier sind genaue Kenntnisse der Zusammenhänge erforderlich.) Beispiel:
passwd: files ldap shadow: files ldap group: files ldap |
Führen Sie authconfig aus, und wählen Sie die Option Use LDAP aus, damit Sie standardmäßige PAM-fähige Anwendungsprogramme LDAP für die Authentifizierung verwenden können. (Auf PAM können wir im Rahmen dieses Überblicks über LDAP nicht eingehen. Informationen dazu finden Sie in Abschnitt namens Benutzerauthentifizierung mit PAM in Kapitel 2 und/oder in den man-Seiten zu PAM.)
Das Verzeichnis /usr/share/openldap/migration enthält mehrere Shell- und Perl-Skripten zur Umwandlung Ihrer alten Authentifizierungsinformationen in das LDAP-Format. (Diese Skripten erfordern einen lauffähigen Perl-Interpreter auf Ihrem System.)
Zuerst müssen Sie die Datei migrate_common.ph an Ihre Domäne anpassen. Die Standard-DNS-Domäne muss geändert werden von:
$DEFAULT_MAIL_DOMAIN = "padl.com"; |
in einen Eintrag der Form:
$DEFAULT_MAIL_DOMAIN = "ihr_unternehmen.com"; |
Die Standardannahme muss ebenfalls geändert werden von:
$DEFAULT_BASE = "dc=padl,dc=com"; |
in einen Eintrag der Form:
$DEFAULT_BASE = "dc=ihr_unternehmen,dc=com"; |
Als Nächstes müssen Sie sich entscheiden, welches Skript verwendet werden soll. Die folgende Tabelle hilft Ihnen bei Ihrer Entscheidung:
Tabelle 7-1 LDAP-Umwandlungsskripten
Vorhandener Namensdienst | Wird LDAP ausgeführt? | Verwenden Sie dieses Skript: |
---|---|---|
/etc konventionelle Dateien | Ja | migrate_all_online.sh |
/etc konventionelle Dateien | Nein | migrate_all_offline.sh |
NetInfo | Ja | migrate_all_netinfo_online.sh |
NetInfo | Nein | migrate_all_netinfo_offline.sh |
NIS (YP) | Ja | migrate_all_nis_online.sh |
NIS (YP) | Nein | migrate_all_nis_offline.sh |
Führen Sie das Ihrem vorhandenen Namensdienst entsprechende Skript aus.
Weitere Details finden Sie in der Datei README und den Dateien migration-tools.txt im Verzeichnis /usr/share/openldap/migration.