Ein OpenLDAP-Server kann unterschiedlichste Schemata verwalten und hat nach einer Standardinstallation bereits zehn davon installiert. Beispiele für weitere Datenmodelle sind etwa Samba, Yubikey, DHCP und so weiter. Hier soll es im Weiteren aber ausschließlich um die mitgelieferten Schemata gehen.
Den Benutzerbaum legen Sie wieder mithilfe einer LDIF-Datei an. Listing 4 zeigt die LDIF-Datei, die die erforderlichen Daten im Directory-Baum anlegt.
Listing 4
base.ldif
Anders als bisher kommen jetzt erstmalig das Kommando
»ldapadd
«
und der neu angelegte Benutzer
»manager
«
ins Spiel. Das folgende Kommando liest die LDIF-Datei ein:
$ ldapadd -x -W -D cn=manager,dc=acme-services,dc=org -f base.ldif
Ein paar Dinge fallen bei diesem Kommando auf. Es muss nicht mehr der Benutzer
»root
«
des Systems verwendet werden, sondern jeder beliebige User kann es ausführen. Für die Anmeldung ist ein Kennwort erforderlich, im Beispiel das Kennwort
»geheim
«
. Der Benutzer wird durch den Kommandozeilenschalter
»-D
«
bestimmt, hinter der ein DN (Distinguished Name) des Users folgt. Weil jede DN nur ein einziges Mal im System vorhanden ist, ist der Benutzer eindeutig. Der Schalter
»-x
«
gibt dabei an, dass kein SASL-Verfahren für die Authentifizierung verwendet wird, der Schalter
»-W
«
erfordert die Passworteingabe. Nach dem Einlesen der LDIF-Datei ist der in
Abbildung 1
gezeigte Informationsbaum komplett initialisiert.
Jetzt bietet es sich an, mit den im LDAP vorhandenen Daten erste Erfahrungen zu sammeln: In einem ersten Schritt mit den einfachen Kommandozeilen-werkzeugen, dann mit etwas komfortableren Tools.
Eine LDAP-Suche mit den Kommandozeilenwerkzeugen ist mühsam und gewöhnungsbedürftig. Das nachstehende Beispiel meldet sich als der Benutzer
»uhabel
«
an und sucht nach Objekten, die eine beliebige Objektklasse besitzen. Das Resultat werden alle Objekte des LDAP-Servers sein, da jedes Objekt mindestens über eine Objektklasse verfügen muss:
$ ldapsearch -D uid=uhabel,ou=people,dc=acme-services,dc=org -W -x'(objectClass=*)'
Nach der Eingabe des Passworts werden alle Einträge gelistet. Das Attribut des User-Passworts wird nur bei dem User
»uhabel
«
angezeigt, bei den anderen Usern bleibt es ausgeblendet.
Prinzipiell ist es möglich, jeden Knoten in dem Verzeichnisbaum mit einer Suche ausgeben zu lassen und anschließend mit einer passenden LDIF-Datei zu modifizieren. Dieses Vorgehen ist jedoch sehr zeitintensiv und so haben sich verschiedene Benutzer-Tools etablieren können.