Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
it:ldap [2021/03/21 20:18] sven import fom old-wiki |
it:ldap [2022/02/26 23:42] (aktuell) sven white-space fix |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | Bisherige Erfahrungen gibt's mit [[https:// | ||
+ | |||
=== OpenLDAP === | === OpenLDAP === | ||
== Gruppenmanagement == | == Gruppenmanagement == | ||
Zeile 4: | Zeile 6: | ||
Wenn jetzt das Problem aufkommt, heraus zu finden, ob ein LDAP-Objekt Mitglied einer Gruppe ist bzw. in welchen Gruppen es Mitglied ist, ist das durchsuchen aller defionierten Gruppen eine Möglichkeit. Die bessere Möglichkeit ist das Overlay-Modul " | Wenn jetzt das Problem aufkommt, heraus zu finden, ob ein LDAP-Objekt Mitglied einer Gruppe ist bzw. in welchen Gruppen es Mitglied ist, ist das durchsuchen aller defionierten Gruppen eine Möglichkeit. Die bessere Möglichkeit ist das Overlay-Modul " | ||
Dieses Overlay ist in der Standard-Konfiguration nicht aktiv, das kann mit folgenden Code geändert werden: | Dieses Overlay ist in der Standard-Konfiguration nicht aktiv, das kann mit folgenden Code geändert werden: | ||
- | <verbatim> | + | <code> |
#> ldapmodify | #> ldapmodify | ||
Zeile 11: | Zeile 13: | ||
add: olcModuleLoad | add: olcModuleLoad | ||
olcModuleLoad: | olcModuleLoad: | ||
- | </verbatim> | + | </code> |
jetzt muss noch separat für jede Datenbank das Overlay eingerichtet werden, wobei es einen Unterschied zwischen " | jetzt muss noch separat für jede Datenbank das Overlay eingerichtet werden, wobei es einen Unterschied zwischen " | ||
- | <verbatim> | + | <code> |
#> ldapadd | #> ldapadd | ||
Zeile 30: | Zeile 32: | ||
olcMemberOfMemberAD: | olcMemberOfMemberAD: | ||
olcMemberOfMemberOfAD: | olcMemberOfMemberOfAD: | ||
- | </verbatim> | + | </code> |
+ | |||
+ | Wenn das alles ohne Fehler geklappt hat, werden bei Änderungen im Gruppen-Objekt die entsprechenden Member-Objekte angepast. | ||
+ | |||
+ | == Berechtigungen / Access Control Lists == | ||
+ | |||
+ | OpenLDAP speichert die ACLs im LDAP-baum im ' | ||
+ | Unter Debian ist ' | ||
+ | < | ||
+ | dn: olcDatabase={0}config, | ||
+ | changetype: modify | ||
+ | replace: olcAccess | ||
+ | olcAccess: {0}to * by dn=cn=admin, | ||
+ | olcAccess: {1}to * by dn.exact=gidNumber=0+uidNumber=0, | ||
+ | </ | ||
+ | |||
+ | Das ganze kann per ' | ||
+ | |||
+ | < | ||
+ | root:/etc# ldapmodify -Y EXTERNAL -H ldapi:/// | ||
+ | SASL/ | ||
+ | SASL username: gidNumber=0+uidNumber=0, | ||
+ | SASL SSF: 0 | ||
+ | </ | ||
+ | |||
+ | == Links == | ||
- | WEnn das alles ohne Fehler geklappt hat, werden bei Änderungen im Gruppen-Objekt die entsprechenden Member-Objekte angepast. | + | * https:// |
+ | * https:// |