Linux am LSG:
Serverkonfiguration

  Administration / Linux / Domänen unter Linux / Windows Domäne mit LDAP / LDAP / Installation  
Installation

OpenSSL

Berkeley DB

OpenLDAP

Konfiguration

OpenLDAP

ClientDatei

Benutzerverwaltung

Als erstes installiert man mittels YaST die Pakete pam_ldap (n) und nss_ldap (n).

Als erstes wird OpenSSL installiert. Mehr zu OpenSSL steht auch hier.

  • Man öffne eine neue Konsole oder wechsle auf ein Schellfenster
  • Zuerst wechsle man cd /usr/servers/sourcecode
  • Dann gebe man den Befehl tar -xzvf  ./openssl- [TAB] [ENTER]  ein. - die TAB - Taste vervollständigt den Dateiamen.
  • Danach wechsle man in das neuangelegte OpenSSL Sourcecodeverzeichnis cd ./openssl [TAB]
  • Jetzt startet man den Konfigurationsprozess mit ./config --prefix=/usr/servers
  • Als nächstes startet man die Kompilierung mit make && make test && make install

Wenn dies erfolgreich abgeschlossen ist, kann man sich an die Installation von der Berkeley Datenbank machen. Diese findet sich unter http://www.sleepycat.com/

  • Immer noch auf der Konsole:
  • Zuerst wechsle man cd /usr/servers/sourcecode
  • Dann gebe man den Befehl tar -xzvf  ./db- [TAB] [ENTER]  ein. - die TAB - Taste vervollständigt den Dateiamen.
  • Danach wechsle man in das neuangelegte DB Sourcecodeverzeichnis cd ./db [TAB]
  • Hier wechselt man wiederum in das Verzeichnis cd ./build_unix
  • und führt dort den Befehl ../dist/configure --prefix=/usr/servers aus
  • danach kommt das übliche make && make install

Wenn dies erfolgreich abgeschlossen ist, kann man sich an die Installation von OpenLDAP machen. Mehr zum LDAP Server steht auch hier.

  • Immer noch auf der Konsole:
  • Wenn auf dem System noch KEIN OpenSSL und Berkeley DB installiert sind, muss man jetzt für OpenLDAP Verknüpfungen erzeugen. Dazu muss das /usr/local Verzeichnis temporär umbenannt werden:
    cd /usr
    mv ./local ./local_alt
    ln -s ./servers  local
  • Als nächstes muss die Library angepasst werden. Dazu öffnet man die Datei /etc/ld.so.conf mit einem Texteditor und fügt an einer beliebigen Stelle den String /usr/servers/lib ein.
  • Danach ist an der Konsole ldconfig [ENTER] einzugeben
  • Danach wechsle man wieder ins Sourcecodeverzeichnis cd /usr/servers/sourcecode
  • Dann gebe man den Befehl tar -xzvf  ./openldap- [TAB] [ENTER]  ein. - die TAB - Taste vervollständigt den Dateiamen.
  • Danach wechsle man in das neuangelegte LDAP Sourcecodeverzeichnis cd ./openldap [TAB]
  • Jetzt startet man den Konfigurationsprozess mit ./configure --prefix=/usr/servers --with-tls
  • Als nächstes startet man die Kompilierung mit make depend && make && make test && make install

 

Wenn oben das /usr/local Verzeichnis umbenannt wurde:
Aber nur wenn sie oben usr/local umbenannt haben. Ansonsten droht massiver Datenverlust !!!!!!!!!!
Außerdem ist der Kniff für die folgenden Installationen ebenfalls nötig!!!!. Also wirklich erst dann ändern wenn alle Installationen abgeschlossen sind!
cd /usr
rm -vf /usr/local 
mv ./local_alt local

Konfiguration LDAP:

Weder OpenSSL noch die Berkeley DB brauchen irgendwelche weiteren Konfigurationseinstellungen.

Wenn man SSL Verbindungen verwenden möchte, muss man sich jetzt ein Zertifikat machen. Dies geht mit folgendem Aufruf in einer Schell oder Kommandozeile ohne Zeilenumbruch:
/usr/servers/bin/openssl req -new -x509 -nodes -days 3560 -out /usr/servers/etc/openldap/server.pem -keyout /usr/servers/etc/openldap/server.pem

Danach werden einige Dinge abgefragt. Wichtig ist dabei nur der Common Name. Er muss genau so lauten wie der DNS Name des Rechners. Hat dieser keinen oder sie sind sich nicht sicher bitte hier weiterlesen

Für den LDAP Server muss die zentrale Konfigurationsdatei /usr/servers/etc/openldap/slapd.conf angepasst werden. Den entsprechenden Dateiinhalt gibt es hier oder hier zum Downloaden.

In dieser Datei müssen dann alle DC=... Einträge angepasst werden !!!!!!!

Außerdem ist, falls sie noch nicht vorhanden ist, was bei allen Computern der Fall sein dürfte die Datei qmail.schema ins Verzeichnis /usr/servers/etc/openldap/schemas zu kopieren

Jetzt kann der Server mit /usr/servers/libexec/slapd -f /usr/servers/etc/openldap/slapd.conf -h "ldap://0.0.0.0:389 lapds://0.0.0.0:636" gestartet werden

mit /usr/servers/bin/ldapsearch -H ldaps://servername.de -x -b "" -s base kann die Funktionsfähigkeit überprüft werden. Wenn man den Befehl ohne das s in ldaps:// wiederholt und es immer noch funktioniert, geht wirklich alles.

Sollte dies funktioniert haben, kann man die ldif Datei einspielen. Diese Datei findet sich hier oder hier zum downloaden. Auch in dieser Datei müssen alle DC= Einträge angepasst werden !!!!.

Jetzt kann mittels /usr/servers/bin/ldapadd -h servername.de -x -f basisdaten.ldif -w Geheim -D cn=root,dc=ihre DCs. die Daten eingetragen werden.

Wenn die Fehlermeldung: LDAP_BIND: Unable to bind auftritt, ist der Server hinter -h falsch angegeben. Wenn die Fehlermeldung invalid credentials auftritt, haben sie irgendwo einen Fehler in den uid=,ou=,cn= Syntaxen in irgendeiner Datei oder Befehl (viel Spaß beim suchen)

Konfiguration LDAP.CONF

Als nächstes muss eine Datei namens LDAP.CONF angelegt werden. Diese liegt unter /etc/openldap/ und hat folgenden Inhalt

# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
base dc=voll
host 127.0.0.1
uri ldap://127.0.0.1/
binddn ou=nss,dc=voll
pam_password exop
ssl off

Leider funktioniert es mit angeschaltetem SSL auf meinem Rechner nicht mehr :-(. Die kursiven Texte sind mit ihrer IP (Im Zweifelsfall: 127.0.0.1 wenn Server und Client auf dem selben Rechner sind) und ihren DCs zu ersetzen.

 

Konfiguration Benutzerverwaltung:

Zuerst ist die Datei /etc/nsswitch.conf anzupassen. Dabei sind die Zeilen über die Datenbanken GROUP, SHADOW und PASSWD interessant. Am besten alle auskommentieren mittels # am Zeilenanfang und folgende drei Zeilen einfügen:

passwd:   files ldap
shadow:   files ldap
group:      files ldap

Als nächste muss noch die Datei /etc/pam.d/login angepasst werden: Hier findet sich eine entsprechende Datei einer SuSE 7.3. Die Änderungen sind Fett markiert:

#%PAM-1.0

auth required pam_securetty.so
auth required pam_nologin.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok try_first_pass #set_secrpc
account sufficient pam_ldap.so
account required pam_unix.so
password required pam_pwcheck.so nullok
password required pam_ldap.so use_first_pass use_authok
password required pam_unix.so nullok use_first_pass use_authtok
session required pam_unix.so none # debug or trace
session required pam_limits.so
session required pam_env.so
session optional pam_mail.so

Wenn sie damit fertig sind und alles geht, kann es mit SAMBA weitergehen

Downloadseite:

 

OpenSSL -0.9.6c

Berkeley DB 2 - 4.0.14

OpenLDAP 20022015

 

Basisdaten.ldif

QMail.schema

slapd.conf

ldap.conf