13.6. Überblick über die OpenLDAP-Einrichtung

In diesem Abschnitt wird ein kurzer Überblick über das Installieren und Konfigurieren eines OpenLDAP-Verzeichnisses gegeben. Weitere Details finden Sie unter folgenden URLs:

Die Grundschritte zum Erstellen eines LDAP-Servers sind folgende:

  1. Installieren Sie die RPMs openldap, openldap-servers und openldap-clients.

  2. Bearbeiten Sie die Datei /etc/openldap/slapd.conf, um auf die LDAP-Domain und den LDAP-Server zu verweisen. Weitere Informationen finden Sie unter Abschnitt 13.6.1.

  3. Starten Sie slapd mit folgendem Befehl:

    /sbin/service/ldap start

    Nachdem Sie LDAP korrekt konfiguriert haben, können Sie chkconfig, ntsysv oder redhat-config-services verwenden, um LDAP so zu konfigurieren, dass es zur Bootzeit gestartet wird. Weitere Informationen zum Konfigurieren von Diensten finden Sie im Kapitel Kontrolle des Zugriffs auf die Dienste im Official Red Hat Linux Customization Guide.

  4. Fügen Sie Einträge zum LDAP-Verzeichnis mit Hilfe von ldapadd hinzu.

  5. Verwenden Sie ldapsearch, um zu prüfen, ob slapd korrekt auf die Informationen zugreift.

  6. Wenn Sie an diesem Punkt angelangt sind, sollte Ihr LDAP-Verzeichnis ordnungsgemäß funktionieren, und Sie können alle LDAP-fähigen Anwendungen für die Verwendung des LDAP-Verzeichnisses konfigurieren.

13.6.1. Bearbeiten des Verzeichnisses /etc/openldap/slapd.conf

Sie müssen die Konfigurationsdatei /etc/openldap/slapd.conf des slapd-LDAP-Servers ändern, um ihn verwenden zu können. Sie müssen diese Datei bearbeiten, um sie an Ihre Domain und Server anzupassen.

Die Suffix-Zeile nennt die Domain, für die der LDAP-Server Informationen bereitstellt und sollte wie folgt geändert werden:

suffix          "dc=your-domain,dc=com"

Hier muss ein gültiger Domainname eingetragen werden. Zum Beispiel:

suffix          "dc=example,dc=com"

Der Eintrag rootdn ist der eindeutige Name (DN) für einen Benutzer, der keinen Einschränkungen durch Parameter der Zugriffssteuerung oder Benutzerverwaltung unterliegt, die im LDAP-Verzeichnis für Vorgänge festgelegt sind. Der Benutzer rootdn ist sozusagen Root für das LDAP-Verzeichnis. Die rootdn-Zeile ist zu ändern in:

rootdn          "cn=root,dc=example,dc=com"

Wenn Sie vorhaben, dass LDAP-Verzeichnis übers Netzwerk zu verwalten, ändern Sie die rootpw-Zeile — indem Sie den Standardwert mit einem verschlüsselten Passwort ersetzen. Um ein verschlüsseltes Passwort zu erzeugen, geben Sie den folgenden Befehl ein:

slappasswd

Sie werden dazu aufgefordert, ein Passwort einzugeben, und durch eine zweite Eingabe zu bestätigen. Danach gibt das Programm das verschlüsselte Passwort am Terminal aus.

Als nächstes, kopieren Sie das neu erzeugte verschlüsselte Passwort in die Datei /etc/openldap/slapd.conf in eine der rootpw-Zeilen, und entfernen Sie das Hash-Symbol (#).

Nach Abschluss, sollte die rootpw-Zeile etwa wie folgt aussehen:

rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u

WarnungWarnung
 

LDAP-Passwörter einschließlich der in /etc/openldap/slapd.conf angegebenen rootpw-Direktive werden als Klartext über das Netzwerk gesendet, es sei denn, Sie aktivieren die TLS-Verschlüsselung.

Für zusätzliche Sicherheit sollte die rootpw-Direktive nur verwendet werden, wenn die Anfangskonfiguration und Auffüllung des LDAP-Verzeichnisses über ein Netzwerk erfolgt. Nach Vervollständigen der Aufgabe ist es das Beste, die rootpw-Direktive auszukommentieren, indem ihr ein Gatterzeichen (#) vorangestellt wird.

Wenn Sie das Befehlszeilentool /usr/bin/slapadd verwenden, um das LDAP-Verzeichnis lokal aufzufüllen, müssen Sie die rootpw-Direktive nicht verwenden.

WichtigWichtig
 

Sie müssen root sein um /usr/sbin/slapadd zu verwenden. Der Verzeichnis-Server wird jedoch als Benutzer ldap ausgeführt. Der Verzeichnis-Server ist deshalb nicht in der Lage, Dateien, welche von slapadd erzeugt wurden, zu ändern. Um dieses Problem zu beheben, geben Sie den folgenden Befehl ein, nachdem Sie slapadd beendet haben:

chown -R ldap /var/lib/ldap