Als erstes installiert man mittels YaST die
Pakete pam_ldap (n) und nss_ldap (n).
Als erstes wird OpenSSL installiert. Mehr zu OpenSSL steht auch hier.
- Man öffne eine neue Konsole oder wechsle auf ein Schellfenster
- Zuerst wechsle man cd /usr/servers/sourcecode
- Dann gebe man den Befehl tar -xzvf ./openssl- [TAB]
[ENTER] ein. - die TAB - Taste vervollständigt den
Dateiamen.
- Danach wechsle man in das neuangelegte OpenSSL
Sourcecodeverzeichnis cd ./openssl [TAB]
- Jetzt startet man den Konfigurationsprozess mit ./config
--prefix=/usr/servers
- Als nächstes startet man die Kompilierung mit make &&
make test && make install
Wenn dies erfolgreich abgeschlossen ist, kann man sich an die
Installation von der Berkeley Datenbank machen. Diese findet sich unter http://www.sleepycat.com/
- Immer noch auf der Konsole:
- Zuerst wechsle man cd /usr/servers/sourcecode
- Dann gebe man den Befehl tar -xzvf ./db- [TAB] [ENTER]
ein. - die TAB - Taste vervollständigt den Dateiamen.
- Danach wechsle man in das neuangelegte DB Sourcecodeverzeichnis cd
./db [TAB]
- Hier wechselt man wiederum in das Verzeichnis cd ./build_unix
- und führt dort den Befehl ../dist/configure
--prefix=/usr/servers aus
- danach kommt das übliche make && make install
Wenn dies erfolgreich abgeschlossen ist, kann man sich an die
Installation von OpenLDAP machen. Mehr zum LDAP Server steht auch hier.
- Immer noch auf der Konsole:
- Wenn auf dem System noch KEIN OpenSSL und Berkeley DB installiert
sind, muss man
jetzt für OpenLDAP Verknüpfungen erzeugen. Dazu muss das
/usr/local Verzeichnis temporär umbenannt werden:
cd /usr
mv ./local ./local_alt
ln -s ./servers local
- Als nächstes muss die Library angepasst werden. Dazu öffnet
man die Datei /etc/ld.so.conf mit einem Texteditor und fügt an
einer beliebigen Stelle den String /usr/servers/lib ein.
- Danach ist an der Konsole ldconfig [ENTER] einzugeben
- Danach wechsle man wieder ins Sourcecodeverzeichnis cd /usr/servers/sourcecode
- Dann gebe man den Befehl tar -xzvf ./openldap- [TAB]
[ENTER] ein. - die TAB - Taste vervollständigt den
Dateiamen.
- Danach wechsle man in das neuangelegte LDAP Sourcecodeverzeichnis cd
./openldap [TAB]
- Jetzt startet man den Konfigurationsprozess mit ./configure
--prefix=/usr/servers --with-tls
- Als nächstes startet man die Kompilierung mit make depend
&& make &&
make test && make install
Wenn oben das /usr/local Verzeichnis umbenannt wurde:
Aber nur wenn sie oben usr/local umbenannt haben.
Ansonsten droht massiver Datenverlust !!!!!!!!!!
Außerdem ist der Kniff für die folgenden Installationen ebenfalls
nötig!!!!. Also wirklich erst dann ändern wenn alle Installationen
abgeschlossen sind!
cd /usr
rm -vf /usr/local
mv ./local_alt local
Konfiguration LDAP:
Weder OpenSSL noch die Berkeley DB brauchen irgendwelche weiteren
Konfigurationseinstellungen.
Wenn man SSL Verbindungen verwenden möchte, muss man sich jetzt ein
Zertifikat machen. Dies geht mit folgendem Aufruf in einer Schell oder
Kommandozeile ohne Zeilenumbruch:
/usr/servers/bin/openssl req -new -x509 -nodes -days 3560 -out
/usr/servers/etc/openldap/server.pem -keyout /usr/servers/etc/openldap/server.pem
Danach werden einige Dinge abgefragt. Wichtig ist dabei nur der
Common Name. Er muss genau so lauten wie der DNS Name des Rechners. Hat
dieser keinen oder sie sind sich nicht sicher bitte hier
weiterlesen.
Für den LDAP Server muss die zentrale Konfigurationsdatei
/usr/servers/etc/openldap/slapd.conf angepasst werden. Den
entsprechenden Dateiinhalt gibt es hier oder hier
zum Downloaden.
In dieser Datei müssen dann alle DC=... Einträge angepasst werden
!!!!!!!
Außerdem ist, falls sie noch nicht vorhanden ist, was bei allen
Computern der Fall sein dürfte die Datei qmail.schema
ins Verzeichnis /usr/servers/etc/openldap/schemas zu kopieren
Jetzt kann der Server mit /usr/servers/libexec/slapd -f
/usr/servers/etc/openldap/slapd.conf -h "ldap://0.0.0.0:389
lapds://0.0.0.0:636" gestartet werden
mit /usr/servers/bin/ldapsearch -H ldaps://servername.de -x
-b "" -s base kann die Funktionsfähigkeit überprüft
werden. Wenn man den Befehl ohne das s in ldaps:// wiederholt und es
immer noch funktioniert, geht wirklich alles.
Sollte dies funktioniert haben, kann man die ldif Datei einspielen.
Diese Datei findet sich hier oder hier
zum downloaden. Auch in dieser Datei müssen alle DC= Einträge
angepasst werden !!!!.
Jetzt kann mittels /usr/servers/bin/ldapadd -h servername.de
-x -f basisdaten.ldif -w Geheim -D cn=root,dc=ihre DCs. die
Daten eingetragen werden.
Wenn die Fehlermeldung: LDAP_BIND: Unable to bind auftritt,
ist der Server hinter -h falsch angegeben. Wenn die Fehlermeldung invalid credentials
auftritt, haben sie irgendwo einen Fehler in den uid=,ou=,cn= Syntaxen
in irgendeiner Datei oder Befehl (viel Spaß beim suchen)
Konfiguration LDAP.CONF
Als nächstes muss eine Datei namens LDAP.CONF angelegt werden. Diese
liegt unter /etc/openldap/ und hat folgenden Inhalt
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
base dc=voll
host 127.0.0.1
uri ldap://127.0.0.1/
binddn ou=nss,dc=voll
pam_password exop
ssl off
Leider funktioniert es mit angeschaltetem SSL auf meinem Rechner
nicht mehr :-(. Die kursiven Texte sind mit ihrer IP (Im Zweifelsfall:
127.0.0.1 wenn Server und Client auf dem selben Rechner sind) und ihren
DCs zu ersetzen.
Konfiguration Benutzerverwaltung:
Zuerst ist die Datei /etc/nsswitch.conf anzupassen. Dabei sind
die Zeilen über die Datenbanken GROUP, SHADOW und PASSWD interessant.
Am besten alle auskommentieren mittels # am Zeilenanfang und folgende
drei Zeilen einfügen:
passwd: files ldap
shadow: files ldap
group: files ldap
Als nächste muss noch die Datei /etc/pam.d/login angepasst werden:
Hier findet sich eine entsprechende Datei einer SuSE 7.3. Die Änderungen
sind Fett markiert:
#%PAM-1.0
auth required pam_securetty.so
auth required pam_nologin.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok try_first_pass #set_secrpc
account sufficient pam_ldap.so
account required pam_unix.so
password required pam_pwcheck.so nullok
password required pam_ldap.so use_first_pass use_authok
password required pam_unix.so nullok use_first_pass use_authtok
session required pam_unix.so none # debug or trace
session required pam_limits.so
session required pam_env.so
session optional pam_mail.so
Wenn sie damit fertig sind und alles geht, kann es mit
SAMBA weitergehen
|