ldap
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| ldap [2021/01/09 01:01] – [Windows-Anmeldung über LDAP-Server] mho | ldap [2021/01/12 22:38] (aktuell) – mho | ||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| Quelle: https:// | Quelle: https:// | ||
| - | Verwendete Ports: | + | |
| + | <WRAP center round info 60%> | ||
| + | Verwendete | ||
| Port 389 ungesichert | Port 389 ungesichert | ||
| Port 636 TLS-Verbindungen | Port 636 TLS-Verbindungen | ||
| + | |||
| + | </ | ||
| + | |||
| ====== Konfiguration eines openldap-servers unter Centos 7 ====== | ====== Konfiguration eines openldap-servers unter Centos 7 ====== | ||
| - | Notwendige | + | === Centos7 notwendige |
| - | yum install openldap-servers | + | yum install openldap-servers |
| + | === Debian 10.x notwendige Pakete === | ||
| + | apt-get install -y slapd slapd-contrib | ||
| - | Originalinhalt der / | + | == Originalinhalt der / |
| < | < | ||
| # | # | ||
| Zeile 34: | Zeile 41: | ||
| </ | </ | ||
| - | + | == Konfigurationsverzeichnis | |
| - | Konfigurationsverzeichnis: | + | |
| / | / | ||
| - | | ||
| - | Grundsicherung von slapd.d durchführen: | + | === Grundsicherung von slapd.d durchführen |
| - | cd / | + | cd / |
| - | cp -R slapd.d slapd.d.DEFAULT -> Sicherung der Originaldateien | + | cp -R slapd.d slapd.d.DEFAULT -> Sicherung der Originaldateien |
| - | Firewall für LDAP anpassen: | + | == Firewall für LDAP anpassen |
| firewall-cmd --permanent --zone=lan-1 --add-port=389/ | firewall-cmd --permanent --zone=lan-1 --add-port=389/ | ||
| firewall-cmd --permanent --zone=lan-1 --add-port=636/ | firewall-cmd --permanent --zone=lan-1 --add-port=636/ | ||
| firewall-cmd --reload | firewall-cmd --reload | ||
| - | Auf Centos 7 notwendige Pakete installieren: | + | === Auf Centos 7 notwendige Pakete installieren |
| yum install openldap-clients | yum install openldap-clients | ||
| - | Grundkonfiguration vornehmen: | + | === Grundkonfiguration vornehmen |
| cp / | cp / | ||
| cat / | cat / | ||
| - | Inhalt der / | + | == Inhalt der / |
| < | < | ||
| # $OpenLDAP$ | # $OpenLDAP$ | ||
| Zeile 88: | Zeile 93: | ||
| </ | </ | ||
| - | LDAP die notwendigen Rechte auf das Verzeichnis geben: | + | == LDAP die notwendigen Rechte auf das Verzeichnis geben == |
| chown ldap:ldap / | chown ldap:ldap / | ||
| - | |||
| - | LDAP-Server slapd starten: | + | |
| + | === LDAP-Server slapd starten | ||
| systemctl enable slapd | systemctl enable slapd | ||
| systemctl start slapd | systemctl start slapd | ||
| - | LDAP-Root Passwort setzen: | + | === LDAP Root-Passwort setzen |
| < | < | ||
| / | / | ||
| Zeile 116: | Zeile 121: | ||
| vi db.ldif | vi db.ldif | ||
| - | Inhalt der db.ldif: | + | == Inhalt der db.ldif |
| dn: olcDatabase={2}hdb, | dn: olcDatabase={2}hdb, | ||
| | | ||
| Zeile 135: | Zeile 140: | ||
| cd / | cd / | ||
| - | db.ldiff zum LDAP-Server hinzufügen: | + | == db.ldiff zum LDAP-Server hinzufügen |
| ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif | ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif | ||
| Zeile 142: | Zeile 147: | ||
| vi monitor.ldif | vi monitor.ldif | ||
| - | Inhalt der monitor.ldif: | + | == Inhalt der monitor.ldif |
| < | < | ||
| dn: olcDatabase={1}monitor, | dn: olcDatabase={1}monitor, | ||
| Zeile 152: | Zeile 157: | ||
| cd / | cd / | ||
| - | monitor.ldif zum LDAP-Server hinzufügen: | + | == monitor.ldif zum LDAP-Server hinzufügen |
| ldapmodify -Y EXTERNAL -H ldapi:/// -f monitor.ldif | ldapmodify -Y EXTERNAL -H ldapi:/// -f monitor.ldif | ||
| - | Schemata cosine, nis und inetorgperson hinzufügen: | + | == Schemata cosine, nis und inetorgperson hinzufügen |
| ldapadd -Y EXTERNAL -H ldapi:/// -f / | ldapadd -Y EXTERNAL -H ldapi:/// -f / | ||
| ldapadd -Y EXTERNAL -H ldapi:/// -f / | ldapadd -Y EXTERNAL -H ldapi:/// -f / | ||
| ldapadd -Y EXTERNAL -H ldapi:/// -f / | ldapadd -Y EXTERNAL -H ldapi:/// -f / | ||
| + | |||
| vi base.ldif | vi base.ldif | ||
| - | Inhalt der base.ldif: | + | |
| + | == Inhalt der base.ldif | ||
| dn: dc=fritz, | dn: dc=fritz, | ||
| dc: fritz | dc: fritz | ||
| Zeile 181: | Zeile 188: | ||
| ou: Group | ou: Group | ||
| - | base.ldif zum LDAP-Server hinzufügen: | + | |
| + | == base.ldif zum LDAP-Server hinzufügen | ||
| ldapadd -x -W -D " | ldapadd -x -W -D " | ||
| oder direkt mit PW: ldapadd -x -w < | oder direkt mit PW: ldapadd -x -w < | ||
| - | Der Inhalt des DIT zur Kontroll ausgeben: | + | |
| + | == Der Inhalt des DIT zur Kontroll ausgeben | ||
| slapcat -n2 | slapcat -n2 | ||
| - | Ausgabe: | + | == Ausgabe |
| < | < | ||
| dn: dc=fritz, | dn: dc=fritz, | ||
| Zeile 238: | Zeile 247: | ||
| - | Bei einem Fehler DIT (Directory information tree) zurücksetzen: | + | === Bei einem Fehler DIT (Directory information tree) zurücksetzen |
| systemctl stop slapd | systemctl stop slapd | ||
| Zeile 255: | Zeile 264: | ||
| - | Changing the RootDN Password: | + | === Changing the RootDN Password |
| - | ----------------------------- | + | Doku: [[https:// |
| - | # Doku: https:// | + | |
| + | == LDAP Benutzerkonto Hans hinzufügen == | ||
| + | vi / | ||
| - | LDAP Benutzerkonto Hans hinzufügen: | + | == Inhalt der user_hans.ldif |
| - | ---------------------------------- | + | < |
| - | cd / | + | |
| - | + | ||
| - | vi user_hans.ldif | + | |
| - | + | ||
| - | Inhalt der user_hans.ldif: | + | |
| - | ------------------------- | + | |
| dn: uid=hans, | dn: uid=hans, | ||
| objectClass: | objectClass: | ||
| Zeile 285: | Zeile 289: | ||
| shadowMax: 99999 | shadowMax: 99999 | ||
| shadowWarning: | shadowWarning: | ||
| + | </ | ||
| + | == Datei / | ||
| + | ldapadd -x -W -D " | ||
| - | user_aos.ldif hinzufügen: | + | == Passwort für LDAP-Benutzer hans setzen |
| - | ------------------------- | + | |
| - | ldapadd -x -W -D "cn=ldapadm,dc=fritz, | + | |
| - | + | ||
| - | + | ||
| - | Passwort für Benutzer hans setzen: | + | |
| - | --------------------------------- | + | |
| ldappasswd -s < | ldappasswd -s < | ||
| + | == Ein LDAP Benutzerkonto meier hinzufügen == | ||
| + | vi / | ||
| - | Ein LDAP Benutzerkonto meier hinzufügen: | + | == Inhalt der Datei / |
| - | ------------------------------------------ | + | < |
| - | cd / | + | |
| - | + | ||
| - | Datei angelegen: vi user_meier.ldif | + | |
| - | + | ||
| - | + | ||
| - | + | ||
| - | Inhalt der user_meier.ldif: | + | |
| - | ----------------------------- | + | |
| dn: uid=meier, | dn: uid=meier, | ||
| objectClass: | objectClass: | ||
| Zeile 325: | Zeile 320: | ||
| shadowMax: 99999 | shadowMax: 99999 | ||
| shadowWarning: | shadowWarning: | ||
| + | </ | ||
| + | == User meier der Domain fritz.box hinzufügen == | ||
| + | ldapadd -x -W -D " | ||
| - | User der Domain fritz.box hinzufügen: | + | == Ein Passwort für LDAP-Benutzer meier setzen |
| - | ------------------------------------- | + | |
| - | ldapadd -x -W -D "cn=ldapadm,dc=fritz, | + | |
| - | + | ||
| - | + | ||
| - | + | ||
| - | Ein Passwort für Benutzer meier setzen: | + | |
| - | ----------------------------------------- | + | |
| ldappasswd -s < | ldappasswd -s < | ||
| - | + | == LDAP Eintrag überprüfen | |
| - | LDAP Eintrag überprüfen: | + | ldapsearch -x cn=meier -b dc=fritz, |
| - | ------------------------ | + | |
| - | ldapsearch -x cn=hans -b dc=fritz, | + | |
| | | ||
| - | + | How To Change Account Passwords on an OpenLDAP Server: | |
| - | + | OpenLDAP using OLC (cn=config): | |
| - | How To Change Account Passwords on an OpenLDAP Server: | + | |
| - | | + | |
| - | + | ||
| - | + | ||
| - | OpenLDAP using OLC (cn=config): | + | |
| - | | + | |
| === LogLevel für openldap konfigurieren === | === LogLevel für openldap konfigurieren === | ||
| - | | + | |
| - | vi loglevel.ldif | + | |
| - | Inhalt der loglevel.ldif | + | == Inhalt der Datei / |
| < | < | ||
| dn: cn=config | dn: cn=config | ||
| Zeile 387: | Zeile 367: | ||
| --> Die Loglevel sind mischbar, als z. B. 129= Loglevel 1 + Loglevel 128 | --> Die Loglevel sind mischbar, als z. B. 129= Loglevel 1 + Loglevel 128 | ||
| - | + | == Datei / | |
| - | + | ||
| - | loglefel.ldif Datei der LDAP-Domäne hinzufügen: | + | |
| cd / | cd / | ||
| ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif | ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif | ||
| - | |||
| - | |||
| LDAP-Client Konfiguration: | LDAP-Client Konfiguration: | ||
| Zeile 399: | Zeile 375: | ||
| - | Debian 10: ldap-client Paket installieren: | + | === Debian 10.x: ldap-client Paket installieren |
| apt install ldapscripts | apt install ldapscripts | ||
| Zeile 405: | Zeile 381: | ||
| === LDAP-Server Einträge anpassen === | === LDAP-Server Einträge anpassen === | ||
| - | ldap.conf anpassen: | + | == ldap.conf anpassen |
| - | | + | |
| - | cp ldap.conf ldap.conf.< | + | vi /etc/ldap/ldap.conf |
| - | vi ldap.conf | + | |
| + | == Folgende Einträge inder Datei / | ||
| → BASE dc=fritz, | → BASE dc=fritz, | ||
| → URI | → URI | ||
| - | ldapsearch ausführen: | + | == ldapsearch ausführen |
| wenn die Werte in der / | wenn die Werte in der / | ||
| ldapsearch -H ldap:// | ldapsearch -H ldap:// | ||
| Zeile 419: | Zeile 396: | ||
| ldapsearch -x -LLL uid=hans | ldapsearch -x -LLL uid=hans | ||
| - | Ausgabe: | + | == Ausgabe |
| < | < | ||
| dn: uid=hans, | dn: uid=hans, | ||
| Zeile 462: | Zeile 439: | ||
| === Bestehende LDAP-Einträge ändern === | === Bestehende LDAP-Einträge ändern === | ||
| - | user_meier.ldif erstellen: | + | == Datei / |
| - | | + | |
| - | vi user_meier.ldif | + | vi / |
| - | Inhalt der neu angelegten Datei user_meier.ldif: | + | == Inhalt der neu angelegten Datei / |
| dn: uid=meier, | dn: uid=meier, | ||
| changetype: modify | changetype: modify | ||
| Zeile 474: | Zeile 451: | ||
| - | ldapmodify ausführen: | + | == ldapmodify ausführen |
| ldapmodify -x -D " | ldapmodify -x -D " | ||
| Zeile 480: | Zeile 457: | ||
| === Bestehende LDAP-Einträge löschen === | === Bestehende LDAP-Einträge löschen === | ||
| - | ldapdelete ausführen: | + | == ldapdelete ausführen |
| < | < | ||
| # mit Passwortabfrage | # mit Passwortabfrage | ||
| Zeile 490: | Zeile 467: | ||
| - | LDAP Browser/ | + | LDAP Browser/ |
| - | | + | |
| - | + | == LDAP Logs nach / | |
| - | LDAP Log nach / | + | |
| cd /etc | cd /etc | ||
| cp rsyslogd.conf rsyslogd.conf.< | cp rsyslogd.conf rsyslogd.conf.< | ||
| vi rsyslogd.conf | vi rsyslogd.conf | ||
| - | Folgende Zeile an die / | + | |
| + | == Folgende Zeile an die / | ||
| < | < | ||
| # LOCAL4 Standardwert für syslog facility | # LOCAL4 Standardwert für syslog facility | ||
| Zeile 514: | Zeile 490: | ||
| slapcat -l < | slapcat -l < | ||
| | | ||
| - | Standard-Zugriff | + | Standard-Zugriffsberechtigungen |
| access to <was> by <wer> < | access to <was> by <wer> < | ||
| Zeile 526: | Zeile 502: | ||
| changtype: modify | changtype: modify | ||
| add: mail | add: mail | ||
| - | mail: meikel_h@gmx.net | + | mail: meinemail@gmail.com |
| - | ldapsearch | + | == ldapsearch |
| Beispielsuche: | Beispielsuche: | ||
| ldapsearch -x -LLL -uid=hans | ldapsearch -x -LLL -uid=hans | ||
| Zeile 534: | Zeile 510: | ||
| das 2. L verhindert die Ausgabe der LDAP-Version | das 2. L verhindert die Ausgabe der LDAP-Version | ||
| -> mit der Option -b kann man die Base für die Baumsuche angeben. | -> mit der Option -b kann man die Base für die Baumsuche angeben. | ||
| + | |||
| ===== PAM-Authentifizierung ==== | ===== PAM-Authentifizierung ==== | ||
| - | PAM: Module unter / | + | <WRAP center round info 60%> |
| + | PAM: Module unter / | ||
| + | </ | ||
| - | Wichtige Module: | + | == Wichtige |
| pam_unix nutzt die Dateien /etc/passwd und / | pam_unix nutzt die Dateien /etc/passwd und / | ||
| pam_cracklib -> Sicherheit des neu gewählten Passworts prüfen | pam_cracklib -> Sicherheit des neu gewählten Passworts prüfen | ||
| Zeile 545: | Zeile 524: | ||
| pam_listfile -> Listen nutzen, um den Zugriff zu verweigern oder zu erlauben | pam_listfile -> Listen nutzen, um den Zugriff zu verweigern oder zu erlauben | ||
| - | Wenn der Ordner /etc/pam.d exisiert wird die Datei / | + | <WRAP center round important 60%> |
| - | + | Wenn der Ordner /etc/pam.d/ exisiert wird die Datei / | |
| - | /etc/ | + | </WRAP> |
| === Centos 7 - PAM konfigurieren === | === Centos 7 - PAM konfigurieren === | ||
| Zeile 554: | Zeile 532: | ||
| - | Notwendige Module | + | Centos 7: Notwendige Module |
| yum install nss-pam-ldapd -y | yum install nss-pam-ldapd -y | ||
| Zeile 578: | Zeile 556: | ||
| ==== Debian 10: PAM für LDAP konfigurieren ==== | ==== Debian 10: PAM für LDAP konfigurieren ==== | ||
| - | Doku: https:// | + | Doku: [[https:// |
| Notwendige Pakete installieren: | Notwendige Pakete installieren: | ||
| apt install libnss-ldapd -y | apt install libnss-ldapd -y | ||
| - | Ldap authentication | + | ==== Ldap authentication |
| | | ||
| | | ||
| - | === Automatische Anlage des Homedirs für neue LDAP-User === | + | ==== Automatische Anlage des Homedirs für neue LDAP-User |
| Damit für einem neuen LDAP-User auch das Homedir automatngelegt wird, folgende Zeile in / | Damit für einem neuen LDAP-User auch das Homedir automatngelegt wird, folgende Zeile in / | ||
| Zeile 598: | Zeile 576: | ||
| session required pam_mkhomedir.so skel=/ | session required pam_mkhomedir.so skel=/ | ||
| - | [[http:// | + | ==== Windows-Anmeldung über LDAP-Server ==== |
| Windows-PC LDAP-Anmeldung: | Windows-PC LDAP-Anmeldung: | ||
| - | | + | siehe [[http://www.pgina.org|Open-Source-Software]] |
| + | |||
| ==== PAM Authentifizierung über SSSD ==== | ==== PAM Authentifizierung über SSSD ==== | ||
ldap.1610150468.txt.gz · Zuletzt geändert: 2021/01/09 01:01 von mho