Linux Systeembeheer/OpenLDAP

Uit Wikibooks

Ga naar: navigatie, zoek

Inhoud

[bewerken] Leerdoelen

  • Het inloggen op computers binnen een netwerk centraliseren met een LDAP-server

[bewerken] Labo-opdracht

Configureer een RedHat-gebaseerd Linux-systeem om LDAP-authenticatie te centraliseren.

  1. Voeg op de machine waarop de LDAP-server zal draaien een gebruiker ldapuser toe
  2. Zet een LDAP-server op die gebruikersinformatie bijhoudt
  3. Configureer een andere pc zodat die bij inloggen de LDAP-server zal aanspreken voor de wachtwoordcontrole
  4. Test dit door op de "client"-pc in te loggen als ldapuser

Je kan een LDAP-server “from scratch” manueel opzetten, maar dat is niet direct voor de hand liggend. Recentelijk heeft men binnen het Fedora project inspanningen gedaan om dit proces wat makkelijker te maken. Het resultaat is 389 Directory Server. Je mag deze tool gebruiken voor het uitvoeren van de opdracht. Merk op dat je de software niet moet downloaden van de website. De applicatie zit in de repositories, dus een eenvoudige yum install volstaat.


[bewerken] Wat is OpenLDAP ?

OpenLDAP is het Open Source project voor het netwerkprotocol Lightweight Directory Access Protocol (LDAP) een directory service.
De software is gelicenceerd onder de OpenLDAP Public License. Het is een protocol dat gebruikt wordt om informatie van de server op te zoeken.

[bewerken] Voeg een gebruiker ldapuser toe

adduser ldapuser
passwd ldapuser
[Als je op ENTER klikt kan je het nieuwe wachtwoord ingeven...]

[bewerken] LABO

INSTALLATIE 389-DIRECTORY SERVER

1. maak een nieuwe gebruiker 'ldapuser' aan via de fedora GUI. Deze gebruiker is geen administrator.
2. installeer 389 directory server via yum. Fedora Directory server heet nu 389-ds. Vanuit een root console: yum install 389-ds
3. voer het installatiescript uit vanuit een root console: setup-ds-admin.pl Als er iets fout loopt tijdens de installatie: remove-ds-admin.pl
4. kies de typical opties. Als er gevraagd wordt als welke gebruiker de service moet draaien, vul je: 'ldapuser' in ipv de voorgestelde [nobody], voor de groep hetzelfde
5. zowel administation server als directory server zouden nu moeten geïnstalleerd zijn en draaien
6. download de migrationtools via yum: yum install migrationtools
7. de lokale users importeren in de LDAP database

  vanuit /usr/share/migrationtools/
  migrate_base > base.ldif
  via 389-console (via een root console: 389-console invoeren)
  base.ldif importeren
  in root console: export ETC_SHADOW=/etc/shadow
  migrate_passwd.pl /etc/passwd people.ldif
  via 389-console people.ldif importeren

8. zelf users aanmaken in de 389-console: ENABLE POSIX USER ATTRIBUTES !!!!!! (dit is hét euvel der euvels, seriously) en zelf een UID toekennen (speelt geen role) en home directory instellen


CONFIGURATIE OP DE CLIENTS

1. vanuit een root console: system-config-authentication

  bij user information en authentication: enable LDAP support en de correcte parameters opgeven (dc=domein,dc=com ...) en juiste IP meegeven. authenticate system account by network services aanvinken
Informatie afkomstig van http://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.
Persoonlijke instellingen