OSS Group OSS Group
>  Карта
>  Поиск
>  Контакты
>  OSS Group  ::  Admin  ::  Установка OpenLDAP
  
РегистрацияЗабыли пароль?

↓  Быстрый поиск по Wiki


Режим поиска:   И   ИЛИ

↓  Доступные Wiki

↓  Навигация по сайту

[]

↓  Последняя новость

Загрузка...

↓  На эту страницу ссылаются:

Get Firefox!
[~]

Установка OpenLDAP

Установка OpenLDAP

Установка пакетов

# apt-get install openldap-servers openldap-clients \
          nss_ldap pam_ldap postfix-ldap nscd

Редактирование /etc/slapd.conf

  • Настройка подключения нужных схем. Нужны:
    • стандартные core, cosine, inetorgperson, openldap, nis
    • дополнительные autofs, samba3, qmail
  • Подключение необходимых модулей поддержки баз. Установленную по-умолчанию dbm использовать, как показывает печальный опыт, не рекомендуется! Были проблемы с перезапуском сервера, регулярно и часто с неудовлетворительными результатами приходилось запускать db_restore - 2004-06-15 Ставить ldbm.
  • Прописывание путей к сертификатам. См. OpenLDAP и SSL
  • Прописывание параметров контроля доступа. {{Включение отдельного файла контроля доступа slapd.access.conf не рекомендуется - будут проблемы с помещением его в chroot jail}}. Пример настройки см. OpenLDAP access rules
  • Задание типа кеширования пароля по-умолчанию. Если не планируется предоставлять пользователям LDAP входа в систему (через NSS_LDAP), то можно оставить SSHA. Иначе устанавливается тип CRYPT:
password-hash {CRYPT}
password-crypt-salt-format "$2a$08$%s"
  • Задание суффикса корня базы: suffix "dc=domain,dc=ru"
  • Задание rootdn "cn=admin,dc=domain,dc=ru"
  • Задание пароля rootdn: rootpw {SSHA}XXXXXX
    • Для получения хэша пароля использовать # slappasswd -h {SSHA} {{Так как rootdn имеет _полный_ доступ ко всей базе, этот аккаунт рекомендуется по завершению настройки LDAP отключить, закомментировав соответствующие строки.}}

Настройка разрешений и пр.

  • Проверить подключение к интерфейсам в /etc/sysconfig/ldap. Там надо прописать URI типа ldap:/// для подключения ко всем интерфейсам, или ldap://host/ - для конкретных. Вид строки:
 SLAPDURLLIST="'ldap://localhost/ ldaps://192.168.1.254/'"

Подобные кавычки _необходимы_.
Запустить сервер: service slapd start .

Проверка функционирования:

# ldapsearch -H ldap://127.0.0.1 -x -b '' \
   -s base '(objectclass=*)' namingContexts
# ldapsearch -H ldaps://127.0.0.1 -x -b '' \
   -s base '(objectclass=*)' namingContexts
# ldapsearch -Z -H ldap://127.0.0.1 -x -b '' \
   -s base '(objectclass=*)' namingContexts
# ldapsearch -ZZ -H ldap://127.0.0.1 -x -b '' \
   -s base '(objectclass=*)' namingContexts
# ldapsearch -ZZ -H ldap://127.0.0.1 -x -b '' \
   -s base -D <rootdn> -w <root password> \
   '(objectclass=*)' namingContexts
  • Запуск OpenLDAP при загрузке: {{Демон кэша nscd нужен для корректной работы lib_nss. См. список рассылки.}}
# chkconfig nscd on
# chkconfig slapd on
  • Если что-либо не пошло, проверить конфигурацию. И ещё раз проверить. И проверить ACL. И ещё раз конфигурацию. Ошибки в конфигурации могут вызвать всё, вплоть до падения сервера при обращении к нему по одному из протоколов.

Начальная структура данных LDAP

  • Загрузить в LDAP начальную структуру данных LDAP initial ldif ?:
# export ldap_pwd="LDAP root password"
# ldapadd -x -a -v -H ldap://127.0.0.1 \
    -D "cn=root,dc=some-domain,dc=ru" -w $ldap_pwd \
    -f dump.ldif
  • Заполнение LDAP пользователями.
  • Проверка получения данных с сервера LDAP:
# ldapsearch -x -v -H ldap://127.0.0.1 -b "ou=People,dc=domain,dc=ru" \
   -D "cn=root,dc=some-domain,dc=ru"  "(uid=naf)"
  • Проверка возможности получения пароля с сервера LDAP:
# ldapsearch -x -v -H ldap://127.0.0.1 -b "ou=People,dc=domain,dc=ru" \
   -D "cn=proxyuser,dc=some-domain,dc=ru" -w `cat /etc/ldap.secret` \
   "(uid=naf)" userPassword

Примечания.

  • Использовать протокол ldapi: не рекомендуется: через сокет IPC не может получать данные nscd. Т.е. при таком протоколе запущенный nscd не дает ничего получить из базы LDAP.

Дата создания: 2006-05-24 13:19:21 (Фетисов Н. А. (naf))
Последнее изменение: 2006-05-26 08:00:35 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 4  Все версии


  Не показывать комментарии



Wiki::Admin   Оглавление  Карта раздела  Изменения за сутки  Изменения за неделю  Изменения за месяц



Valid XHTML 1.0 Transitional  Valid CSS!  [Valid RSS]