RoedererWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it:ldap

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung 		Vorhergehende Überarbeitung
it:ldap [2021/03/21 20:18]
sven import fom old-wiki 		it:ldap [2022/02/26 23:42] (aktuell)
sven white-space fix
Zeile 1: Zeile 1:
 +Bisherige Erfahrungen gibt's mit [[https://www.openldap.org/|OpenLdap]], der [[https://directory.fedoraproject.org/|389 Directory Server]] soll aber auch ganz gut sein.
 +
 === OpenLDAP === === OpenLDAP ===
 == Gruppenmanagement == == Gruppenmanagement ==
Zeile 4: Zeile 6:
 Wenn jetzt das Problem aufkommt, heraus zu finden, ob ein LDAP-Objekt Mitglied einer Gruppe ist bzw. in welchen Gruppen es Mitglied ist, ist das durchsuchen aller defionierten Gruppen eine Möglichkeit. Die bessere Möglichkeit ist das Overlay-Modul "~MemberOf". Diese Modul sorgt selbstständig für die Referenz des "Member"-Attributes entsprechend der Definition im "~GroupOf(Unique)Names"-Objekt, indem es das member-Attribut virtuell erstellt. Wenn jetzt das Problem aufkommt, heraus zu finden, ob ein LDAP-Objekt Mitglied einer Gruppe ist bzw. in welchen Gruppen es Mitglied ist, ist das durchsuchen aller defionierten Gruppen eine Möglichkeit. Die bessere Möglichkeit ist das Overlay-Modul "~MemberOf". Diese Modul sorgt selbstständig für die Referenz des "Member"-Attributes entsprechend der Definition im "~GroupOf(Unique)Names"-Objekt, indem es das member-Attribut virtuell erstellt.
 Dieses Overlay ist in der Standard-Konfiguration nicht aktiv, das kann mit folgenden Code geändert werden: Dieses Overlay ist in der Standard-Konfiguration nicht aktiv, das kann mit folgenden Code geändert werden:
-<verbatim>+<code>
 #> ldapmodify #> ldapmodify
  
Zeile 11: Zeile 13:
 add: olcModuleLoad add: olcModuleLoad
 olcModuleLoad: memberof olcModuleLoad: memberof
-</verbatim>+</code>
  
 jetzt muss noch separat für jede Datenbank das Overlay eingerichtet werden, wobei es einen Unterschied zwischen "~GroupOfNames" und "~GroupOfUniqueNames" gibt: jetzt muss noch separat für jede Datenbank das Overlay eingerichtet werden, wobei es einen Unterschied zwischen "~GroupOfNames" und "~GroupOfUniqueNames" gibt:
  
-<verbatim>+<code>
 #> ldapadd #> ldapadd
  
Zeile 30: Zeile 32:
 olcMemberOfMemberAD: uniqueMember olcMemberOfMemberAD: uniqueMember
 olcMemberOfMemberOfAD: memberOf olcMemberOfMemberOfAD: memberOf
-</verbatim>+</code> 
 + 
 +Wenn das alles ohne Fehler geklappt hat, werden bei Änderungen im Gruppen-Objekt die entsprechenden Member-Objekte angepast. 
 + 
 +== Berechtigungen / Access Control Lists == 
 + 
 +OpenLDAP speichert die ACLs im LDAP-baum im 'cn=config'-zweig. 
 +Unter Debian ist 'manage' Zugriff nur für den unix 'root' User zugelassen. Sollen auch reguläre LDAP-accounts Zugriff bekommen, muss mman das explizit einrichten. Folgender LDIF-schnipsel fügt eine entsprechende Zugriffsregel vor die ursprünglichen ein. 
 +<code> 
 +dn: olcDatabase={0}config,cn=config 
 +changetype: modify 
 +replace: olcAccess 
 +olcAccess: {0}to * by dn=cn=admin,dc=stratoserver,dc=net manage by dn=cn=ldap-remote,ou=manager,dc=geroedel,dc=de manage 
 +olcAccess: {1}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break 
 +</code> 
 + 
 +Das ganze kann per 'ldapmodify' ausgeführt werden. Durch die "SASL/Extern" auth funktioniert das nur von root-account des Systems. 
 + 
 +<code> 
 +root:/etc# ldapmodify -Y EXTERNAL -H ldapi:/// 
 +SASL/EXTERNAL authentication started 
 +SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 
 +SASL SSF: 0 
 +</code> 
 + 
 +== Links ==
  
-WEnn das alles ohne Fehler geklappt hat, werden bei Änderungen im Gruppen-Objekt die entsprechenden Member-Objekte angepast.+  * https://wiki.debian.org/LDAP/OpenLDAPSetup 
 +  * https://serverfault.com/a/737394 (zusätzliche plugin-module laden / aktivierien)
it/ldap.1616357880.txt.gz · Zuletzt geändert: 2021/03/21 20:18 von sven

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki