Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Die Grundkonfiguration

Nachdem der LDAP-Server nun läuft, steht die eigentliche Konfiguration an, um ihn auch wirklich benutzbar zu machen. Die Konfiguration wird in diesem Beispiel in zwei Bereiche unterteilt: die Server-Konfiguration und die Konfiguration für die späteren LDAP-Daten. Es findet dabei eine strikte Trennung zwischen den verschiedenen Aufgabenbereichen in der Administration des LDAP-Servers statt. Der Administrator des Linux-Systems darf die Konfiguration des LDAP-Servers verwalten, der Administrator des LDAP-Verzeichnisses (der "Manager") hat nur Rechte für diese Daten.

Eine Trennung dieser Art ist im Betrieb durchaus sinnvoll, da klar zwischen den verschiedenen Aufgaben unterschieden wird. So ist es möglich, die Applikationsbetreuung des LDAP-Servers an eine andere Abteilung zu übertragen, ohne die Integrität des Servers hinsichtlich der Sicherheit aufzugeben.

Im ersten Schritt findet die Konfiguration des LDAP-Services statt. Die Konfigurationsdatei wird als Textdatei im LDIF-Format erstellt und mit dem Kommando »ldapmodify« eingelesen. Der Aufbau der Datei, die in Listing 1 dargestellt ist, adressiert den zu ändernden Eintrag innerhalb des LDAP-Zweigs, gibt die Art der Änderung vor und schließt mit dem neuen Wert ab. In der initialen Konfigurationsdatei werden die Einsprungpunkte für die Änderungen mit dem DN, dem Distinguished Name, referenziert. Er entspricht immer dem vollen Pfad innerhalb des DIT (Directory Information Tree) des OpenLDAP-Servers und kann daher nur ein einziges Mal vorhanden sein. Eine Übersicht über die verschiedenen Abkürzungen und deren Bedeutungen findet sich in Tabelle 1.

Tabelle 1

LDAP Keywords

Abkürzung

Voller Name

Bedeutung

DIT

Directory Information Tree

Informationsbaum im LDAP-Server

CN

Common Name

Attribut eines Objekts im LDAP-Baum

DN

Distinguished Name

Vollständiger Pfad eines Objekts innerhalb des LDAP-Baums

DC

Domain Component

Bestandteil eines Toplevel-Knotens im LDAP-Baum

Listing 1

initial.ldif

 

Die initiale Konfiguration nimmt eine Vielzahl von Einstellungen vor. So erlaubt sie den Zugriff des Applikationsadministrators (Manager) auf den Informationsbaum des OpenLDAP-Servers. Damit kann die Konfiguration von diesem User gelesen, jedoch nicht modifiziert werden. Für die Fehlersuche hat sich dieses Vorgehen als hilfreich erwiesen, damit man nicht immer zwischen verschiedenen Rechten hin- und herspringen muss. Der zweite Block legt das Passwort des Manager-Users an, das oben mit »slappasswd« erzeugt wurde. In diesem Konfigurationsbeispiel lautet das Passwort »geheim« , für den produktiven Einsatz sollten Sie es gegen etwas Sinnvolles austauschen.

Zugriffsregeln

Der dritte Block enthält die Regeln für den Zugriff. Sie erlauben den schreibenden Zugriff für den Benutzer »root« über die Autorisierung des Systems sowie des Benutzers »manager« . Zudem darf sich jeder Benutzer authentifizieren und anschließend seine eigenen Daten verändern. Jeder Benutzer darf alle Daten bis auf das Attribut des User-Passworts anzeigen lassen.

Im vierten Block wird das Suffix des LDAP-Servers festgelegt. Es besteht üblicherweise aus den Bestandteilen der Domain des Servers oder des Unternehmens. Punkte dienen dabei als Trennzeichen der einzelnen Bestandteile der Domain-Components (DC). Das Suffix aus dem Beispiel »dc=acme-services,dc=org« entspricht demnach der Domain »acme-services.org« . Es hat jedoch lediglich eine ordnende Funktion und soll eine eindeutige Kennzeichnung darstellen. Es ist nicht erforderlich, die echte Domain des LDAP-Servers zu verwenden.

Der fünfte Block enthält die Konfiguration für den OpenLDAP-internen Service-Monitor. Er kann später genutzt werden, um Statusinformationen über den Server abzufragen. Nachdem alle Teile der Konfiguration angepasst wurden, kann die Konfigurationsdatei eingelesen werden. Auch bei diesem Vorgang wird wieder die Autorisierung mittels des Benutzers »root« genutzt.

$ sudo ldapmodify -Y EXTERNAL -H ldapi:// -f initial.ldif
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019