Loading ...Wer seinen eigenen kleinen Server mit diversen Diensten betreibt kennt das Dilemma: Jede Applikation speichert seine Benutzerdaten separat, so dass nach einer gewissen Zeit ein kleines Chaos entstehen kann. Hier springt OpenLDAP in die Bresche, liefert es doch einen so genannten Verzeichnisdienst für die zentrale Authentifizierung und kann auch als zentrales Adressbuch genutzt werden. Die beschriebene Installation kann unter Umständen auch auf andere Linux Derivate (vor allem Debian basierte Linux Distributionen) angewandt werden. Um Konfigurationsdatei, die eventuell in anderen Verzeichnissen abgelegt sind, schnell zu finden, kann locate verwendet werden.
Die Installation der Pakete ist mit dem Paketmanager schnell gemacht:
sudo apt-get install slapd ldap-utils
Dabei werden wir nach dem gewünschten Administrationspasswort gefragt. Nach der Installation läuft der LDAP Server bereits, was wir mit nmap leicht überprüfen können:
nmap localhost | grep ldap 389/tcp open ldap
Damit wir während der Konfiguration einfach auf die Debuginformationen zugreifen können, richten wir noch den Syslog Deamon für OpenLdap ein. Als erstes setzten wir den gewünschten Log Level, indem wir folgenden Wert in /etc/ldap/slapd.conf anpassen. Um den Wert des gewünschten Loglevels herauszufinden müssen wir in der Man Page nachschauen und die gewünschten Eigenschaften zusammenzählen:
man 5 slapd.conf
Dort suchen wir nach loglevel:
1 trace function calls 2 debug packet handling 4 heavy trace debugging 8 connection management 16 print out packets sent and received 32 search filter processing 64 configuration file processing 128 access control list processing 256 stats log connections/operations/results 512 stats log entries sent 1024 print communication with shell backends 2048 entry parsing
…und können uns nun den gewünschten Loglevel berechnen. Ich interessiere mich für die Verbindungen, Operationen und deren Resultat (256), die Suchfilter (32) und das Verbindungsmanagement (8), was zusammengezählt 296 ergibt. Also können wir nun den Loglevel setzen:
loglevel 296
Damit wir alle Ausgaben in einer eigenen Datei haben, fügen wir noch folgenden Eintrag in die Syslog-Konfigurationsdatei /etc/syslog.conf ein:
local4.debug /var/log/slapd.log
nach dem Neustart des LDAP und Syslog Deamons können wir nun alle Logeinträge mit tail -f /var/log/slapd.log beobachten.
Als nächstes müssen wir den Dienst noch an unsere Bedürfnisse anpassen. Dazu müssen wir uns für einen eindeutigen Namen für unser Verzeichnis entscheiden. Dieser eindeutige Name wird auch als DN (Distinguished Name) abgekürzt und identifiziert die oberste Ebene unseres Verzeichnisses (Root). In meinem Fall nehme ich einfach meine TLD netzpiraten.ch, was als dc=netzpiraten,dc=ch geschrieben wird. Eine andere Möglichkeit wäre z.B auch o=netzpiraten,c=ch (o für Organisation und c für Land).
Also editieren wir einfach /etc/ldap/slapd.conf und legen als erstes unseren DN fest, indem wir suffix anpassen.
suffix "dc=netzpiraten,dc=ch"
Wir müssen dann auch konsequent alle nachfolgenden dc=nodomain durch dc=netzpiraten,dc=ch ersetzten. Damit wir auch einen ersten Eintrag in den LDAP Server speichern können, legen wir einen lokalen Administrator an:
rootdn "cn=admin,dc=netzpiraten,dc=ch"
rootpw {SSHA}B3MTCdJ+bDiAUUzMuhPzcrmKG33+8Wkj
Das Passwort können wir mit dem Hilsprogramm slappasswd erzeugen:
slappasswd
New password:
Re-enter new password:
{SSHA}B3MTCdJ+bDiAUUzMuhPzcrmKG33+8Wkj
Und schlussendlich muss noch der Server neu gestartet werden:
/etc/init.d/slapd restart
Der Server wäre nun bereit, jetzt müssen wir noch den Clients sagen wo unser LDAP Server zu finden ist. Dazu legen wir /etc/ldap/ldap.conf mit folgendem Inhalt an:
ldap_version 3 URI ldap://ldap.netzpiraten.ch:389 SIZELIMIT 0 TIMELIMIT 0 DEREF never BASE dc=netzpiraten, dc=ch
Nun sind wir bereit die ersten Daten einzuspeisen, dazu legen wir eine LDIF Datei base.ldif an, welche wir mit folgenden Objekten füllen:
dn:dc=netzpiraten,dc=ch objectClass: dcObject objectClass: organization o: netzpiraten dc: netzpiraten
Die einzelnen Objekte müssen zwingen mit einer Leerzeile voneinander getrennt sein!
dn:cn=admin,dc=netzpiraten,dc=ch objectClass: organizationalRole cn: admin
Nun verwenden wir ldapadd zum hinzufügen:
ldapadd -x -W -D cn=admin,dc=netzpiraten,dc=ch -f base.ldif Enter LDAP Password: adding new entry "dc=netzpiraten,dc=ch" adding new entry "cn=admin,dc=netzpiraten,dc=ch"
Und können das Ergebnis gleich vom LDAP Server abfragen:
ldapsearch -x # extended LDIF # # LDAPv3 # base <> with scope sub # filter: (objectclass=*) # requesting: ALL # # netzpiraten.ch dn: dc=netzpiraten,dc=ch objectClass: dcObject objectClass: organization o: netzpiraten dc: netzpiraten # admin, netzpiraten.ch dn: cn=admin,dc=netzpiraten,dc=ch objectClass: organizationalRole cn: admin # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
Nun ist unser LDAP Server einsatzbereit! Damit wir uns den Objektbaum auch besser veranschaulichen können, installieren wir noch phpldapadmin. Ich gehe davon aus, dass bereits ein Apache am laufen ist. Somit ist die Installation ein Kinderspiel:
apt-get install phpldapadmin
Da phpmyadmin ein LDAP Client ist, haben wir bereits durch das anlegen der ldap.conf genügen angaben gemacht um uns gleich bei der Webapplikation anzumelden. Einfach im Webbrowser den Pfad /phpldapadmin/htdocs/index.php öffnen.
Leider werden nun alle Passwörter im Klartext an den LDAP Server gesendet, was wiederum ein Sicherheitsrisiko ist. Darum aktivieren wir TLS damit alle Daten verschlüsselt werden in der Client-Server Kommunikation. In diesem Beispiel gehe ich davon aus, dass der Server bereits ein Zertifikat von cacert hat. In dem Fall ist eine der LDAP Server schnell konfiguriert, indem man /etc/ldap/slapd.conf folgendermassen anpasst:
TLSCACertificateFile /etc/ssl/certs/cacert.org.pem TLSCertificateFile /etc/ssl/netzpiraten/netzpiraten.crt TLSCertificateKeyFile /etc/ssl/netzpiraten/netzpiraten.key
Als nächstes muss nur noch die Client Konfiguration in /etc/ldap/ldap.conf angepasst werden:
TLS_CACERT /etc/ssl/certs/cacert.org.pem TLS_REQCERT demand
Kommentare
michi, Blankster, michi, Techi, flöschen
gratis-live-tv.ch, päsi, michi, Manuel, michi [...]
Cris, OMC
jerik, jerik, michi, michi, Simon
Martin Mader, BigBrother, michi, stop, mich [...]