Sprungmarken

RRZE Gebäudesanierung

Das RRZE-Gebäude erhält eine neue Fassade - Mitarbeiter umgezogen
Im Zuge der Umbauarbeiten sind die RRZE-Mitarbeiter größtenteils ins Informatikhochhaus umgezogen.
Die Service-Theke im 1. OG bleibt auch weiterhin die zentrale Anlaufstelle.

Videoportal der FAU

Die letzten Meldungen

Anleitungen des BSI zu sicheren Konfiguration, Installation und Minimierung von Windows-PCs

9. Februar 2012

Hiermit möchten wir auf zwei Veröffentlichungen desĀ  BSI (Bundesamt für Sicherheit in der Informationstechnik) hinweisen.
Weiterlesen...

Serverwartung Novell am Do, 09.02. ab 17 Uhr: MEMORY, HOMER, GWPOST4 (GW)

7. Februar 2012

Am Donnerstag, 09.02.2012 ab 17 Uhr findet eine dringende Serverwartung der folgenden Server statt. Die Wartung dauert bis voraussichtlich 19 Uhr. In dieser Zeit müssen die Server mehrmals gebootet werden, so dass wir empfehlen sich rechtzeitig von den Servern abzumelden.
Weiterlesen...

Firefox 10, Thunderbird 10, Firefox 10 ESR, Thunderbird 10 ESR sind da

2. Februar 2012

Seit 31.1.2012 sind Firefox und Thunderbird in der Version 10 verfügbar.
Weiterlesen...

Meldungen nach Thema

Rechte Spalte ausblenden
 

LDAP unter Linux

Work in Progress

Achtung: Diese Seite befindet sich noch in der Erstellung. Inhalte sind derzeit noch ohne Gewähr.

  • FIXME: Screenshots zu LDAP Browsern
  • FIXME: Feature-Vergleich der LDAP Browser
  • FIXME: Links zu NIS/LDAP Konvertern
  • FIXME: Unterschiede zwischen slapadd/ldapadd
  • FIXME: (Un)verschlüsselten LDAP Server (de)aktivieren

Was ist LDAP?

LDAP steht für Lightweight Directory Access Protocol.

Konfiguration des OpenLDAP Servers

Setup:

  • Domain: mydomain.de
  • LDAP-Server: ldapserver.mydomain.de
  • DN: dc=mydomain,dc=de

LDAP Editoren

Oftmals ist das Arbeiten mit Kommandozeilentools beim Umgang mit LDAP sehr aufwändig, deswegen gibt es eine ganze Reihe von LDAP Browsern und Editoren, die den Zugriff auf die LDAP Daten erleichtern.

Durchsuchen des Verzeichnisses

Durchsuchen nach verschiedenen Kriterien:

Liste der Scopes
Scope Numerisch Beschreibung
base Listet nur den BaseDN
one 1 Durchsucht nur Einträge 1 Ebene unter BaseDN
sub 2 Durchsucht den kompletten Teilbaum unter BaseDN

Sichern und Wiederherstellen des Verzeichnisses

Wichtig ist auch die Sicherung eines Verzeichnis-Baums:

Backup und Restore eines OpenLDAP Servers

Gesicherte Verbindung zum OpenLDAP Server

In den meisten Verzeichnissen werden Daten gespeichert, die nicht von jedem gelesen oder gar modifiziert werden sollen. Deshalb ist es wichtig den Kreis der Benutzer und deren Erlaubnisse einzuschränken.

Verschlüsselung der Verbindung mit SSL

Der Zugriff auf das Verzeichnis sollte möglichst gegen den Zugriff Unbefugter geschützt sein. Mit Hilfe von SSL lassen sich die Netzwerkverbindungen verschlüsseln, so dass das Abhören nahezu unmöglich wird.

SASL - Simple Authentication and Security Layer

Auch mit Hilfe von SASL kann der Zugriff auf den OpenLDAP Server erfolgen.

Erste Daten für den OpenLDAP Server

Bislang haben wir uns nur mit der Konfiguration des OpenLDAP Servers beschäftigt, nicht jedoch mit seinen Inhalten. Zum jetztigen Zeitpunkt sind keinerlei Informationen in den Datenbanken enthalten - lediglich der Verbindungsaufbau funktioniert. Der Versuch LDAP Inhalte abzufragen wird mit einer Fehlermeldung quittiert.

Um das in Zukunft zu vermeiden muss wenigstens der Wurzelknoten existieren. Das erreicht man mit Hilfe des ldapadd-Kommandos und einer entsprechend vorbereiteten LDIF-Datei: 

# mydomain.de
dn: dc=mydomain,dc=de
objectClass: dcObject
objectClass: organization
# this needs to be the first dc= entry
dc: mydomain
o: RRZE
description: Linux Experts
	
linux ~# ldapadd -x -w Passwort -D "cn=Manager,dc=mydomain,dc=de" -f /tmp/base.ldif

Informationen über den LDAP Server

Manchmal ist es interessant Informationen über den verwendeten LDAP Server zu erhalten. Dazu gehören unterstütze Schemata, Protokolle, Features und Erweiterungen.

Optimierungen

Da der OpenLDAP Server seine Informationen in Datenbanken ablegt, kann es je nach Organisation sehr lange dauern die gewünschten Daten zu erhalten. Zusätzliche Indices der Datenbanken können manche Suche erheblich beschleunigen.

Sollten die Systemlogs Zeilen wie die folgende enthalten, so sollte man darüber nachdenken weitere Indices einzuführen: 

conn=53 op=10 SRCH attr=uid
<= bdb_equality_candidates: (uid) index_param failed (18)

Um das zu erreichen trägt man in /etc/openldap/slapd.conf bei der entsprechenden Datenbank Definition einen Index für zusätzliche Attribute ein (im Beispiel das Attribut uid, welches auf Gleichheit geprüft werden kann): 

index   objectClass     eq
index   uid             eq
index   gidNumber       eq
index   uidNumber       eq
index   member          eq
index   memberUid       eq

Für verschiedene Suchanfragen gibt es unterschiedliche Indizierungsmethoden:

  • pres: Vorhandensein (Presence, objectclass=class)
  • eq: Gleichheit (Equality, entry=string)
  • sub: (Substring, entry=*string*)
    • subinitial: (Initial Substring, entry=string*)
    • subfinal: (Initial Substring, entry=*string)
  • approx: Klangähnlich (Sounds Alike, entry~=string)

Danach kann man das Erzeugen der Indices durch einen Aufruf des Tools slapindex neu aufbauen lassen (möglichst ohne laufenden LDAP Server): 

linux ~# slapindex

Danach muss man den OpenLDAP Server neu starten - zumindest wird in der Dokumentation keine Möglichkeit erwähnt, wie man die Indices im laufenden Betrieb hinzufügen kann.

In der Standard-Konfiguration liefert OpenLDAP nur maximal 500 Einträge zurück, was manchmal zu unerwarteten Ergebnissen führen kann. Um diese Limit aufzuheben trägt man in die /etc/openldap/slapd.conf folgende Zeile ein: 

...
sizelimit unlimited
...

Replicas

Um Ausfallsicherheit zu erreichen ist es unerlässlich mehrere LDAP Server zur Verfügung zu stellen. Diese sollten aber natürlich auch den aktuellen Datenbestand des Master Servers beinhalten. Wie man das erreichen kann lesen sie hier

Fehlerbehebung

Sollte sich der OpenLDAP Server mit der Fehlermeldung 

...
slapd[100]: connection_input: conn=1 deferring operation: too many executing
...

beschweren, so kann man die Konsistenz der Datenbank mit Hilfe von slapcat überprüfen. Dieses Tool hat im Vergleich zu ldapsearch den Vorteil, dass die Daten direkt (ohne Netzverbindung) aus den Datenbanken ausgelesen werden. Sollte auch diese Befehl nicht zu einem erfolgreichen Ende kommen, so kann eine Reparatur der Datenbanken evtl. Abhilfe schaffen:


linux ~# cd /var/lib/ldap
linux ~# db_recover

Natürlich sollte dazu der LDAP Server vorher heruntergefahren werden.

Konfiguration anderer LDAP Server

Besonderheiten von Novells eDirectory (NDS)

Konfiguration der Clients

Autor: Thomas Roehl
Letzte Änderung: 5. Dezember 2006, Ansprechpartner, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Inhaltenavigation

FAU - Friedrich-Alexander-Universität
UnivIS - Informationssystem der Friedrich-Alexander-Universität Erlangen Nürnberg

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit