Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ldap [2021/01/09 01:13] – mho
+++ ldap [2021/01/12 22:38] (aktuell) – mho
@@ Zeile 2: / Zeile 2: @@
 Quelle: https://www.codeflow.site/de/article/how-to-install-and-configure-openldap-and-phpldapadmin-on-ubuntu-16-04
-Verwendete Ports:
+<WRAP center round info 60%>
+Verwendete LDAP-Ports:
   Port 389 ungesichert
   Port 636 TLS-Verbindungen
+</WRAP>
 ====== Konfiguration eines openldap-servers unter Centos 7 ======
-Notwendige Pakete installieren:
+=== Centos7 notwendige Pakete installieren ===
-  yum install openldap-servers
+  yum install openldap-servers -y
+=== Debian 10.x notwendige Pakete ===
+  apt-get install -y slapd slapd-contrib
-Originalinhalt der /etc/openldap/ldap.conf:
+== Originalinhalt der /etc/openldap/ldap.conf ==
 <code>
 #
@@ Zeile 34: / Zeile 41: @@
 </code>
+== Konfigurationsverzeichnis von Openldap ==
-Konfigurationsverzeichnis:
 	/etc/openldap
-Grundsicherung von slapd.d durchführen:
+=== Grundsicherung von slapd.d durchführen ===
- cd /etc/oepnldap
+  cd /etc/oepnldap
- cp -R slapd.d slapd.d.DEFAULT -> Sicherung der Originaldateien
+  cp -R slapd.d slapd.d.DEFAULT -> Sicherung der Originaldateien
-Firewall für LDAP anpassen:
+== Firewall für LDAP anpassen ==
   firewall-cmd --permanent --zone=lan-1 --add-port=389/tcp
   firewall-cmd --permanent --zone=lan-1 --add-port=636/tcp       # SSL/TLS
   firewall-cmd --reload
-Auf Centos 7 notwendige Pakete installieren:
+=== Auf Centos 7 notwendige Pakete installieren ===
   yum install openldap-clients
-Grundkonfiguration vornehmen:
+=== Grundkonfiguration vornehmen ===
   cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
   cat /var/lib/ldap/DB_CONFIG
-Inhalt der /var/lib/ldap/DB_CONFIG
+== Inhalt der /var/lib/ldap/DB_CONFIG ==
 <code>
 # $OpenLDAP$
@@ Zeile 88: / Zeile 93: @@
 </code>
-LDAP die notwendigen Rechte auf das Verzeichnis geben:
+== LDAP die notwendigen Rechte auf das Verzeichnis geben ==
   chown ldap:ldap /var/lib/ldap/DB_CONFIG
-LDAP-Server slapd starten:
+=== LDAP-Server slapd starten ===
   systemctl enable slapd
   systemctl start slapd
-LDAP-Root Passwort setzen:
+=== LDAP Root-Passwort setzen ===
 <code>
 /usr/sbin/slappasswd -h {SSHA}
@@ Zeile 116: / Zeile 121: @@
   vi db.ldif
-Inhalt der db.ldif:
+== Inhalt der db.ldif ==
  dn: olcDatabase={2}hdb,cn=config
  changetype: modify
@@ Zeile 135: / Zeile 140: @@
 cd /etc/openldap/ldif
-db.ldiff zum LDAP-Server hinzufügen:
+== db.ldiff zum LDAP-Server hinzufügen ==
   ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif
@@ Zeile 142: / Zeile 147: @@
   vi monitor.ldif
-Inhalt der monitor.ldif:
+== Inhalt der monitor.ldif ==
 <code>
  dn: olcDatabase={1}monitor,cn=config
@@ Zeile 152: / Zeile 157: @@
 cd /etc/openldap/ldif
-monitor.ldif zum LDAP-Server hinzufügen:
+== monitor.ldif zum LDAP-Server hinzufügen ==
   ldapmodify -Y EXTERNAL -H ldapi:/// -f monitor.ldif
-Schemata cosine, nis und inetorgperson hinzufügen:
+== Schemata cosine, nis und inetorgperson hinzufügen ==
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
   vi base.ldif
-Inhalt der base.ldif:
+== Inhalt der base.ldif ==
  dn: dc=fritz,dc=box
  dc: fritz
@@ Zeile 181: / Zeile 188: @@
  ou: Group
-base.ldif zum LDAP-Server hinzufügen:
+== base.ldif zum LDAP-Server hinzufügen ==
   ldapadd -x -W -D "cn=ldapadm,dc=fritz,dc=box" -f base.ldif -> mit PW-Abfrage auf STDIN
   oder direkt mit PW: ldapadd -x -w <Passwort> -D "cn=ldapadm,dc=fritz,dc=box" -f base.ldif
-Der Inhalt des DIT zur Kontroll ausgeben:
+== Der Inhalt des DIT zur Kontroll ausgeben ==
   slapcat -n2
-Ausgabe:
+== Ausgabe ==
 <code>
 dn: dc=fritz,dc=box
@@ Zeile 238: / Zeile 247: @@
-Bei einem Fehler DIT (Directory information tree) zurücksetzen:
+=== Bei einem Fehler DIT (Directory information tree) zurücksetzen ===
   systemctl stop slapd
@@ Zeile 258: / Zeile 267: @@
 Doku: [[https://www.digitalocean.com/community/tutorials/how-to-change-account-passwords-on-an-openldap-server#changing-the-rootdn-password]]
+== LDAP Benutzerkonto Hans hinzufügen ==
+  vi /etc/openldap/ldif/user_hans.ldif
-LDAP Benutzerkonto Hans hinzufügen:
+== Inhalt der user_hans.ldif ==
-  cd /etc/openldap/ldif
-  vi user_hans.ldif
-Inhalt der user_hans.ldif:
 <code>
 dn: uid=hans,ou=People,dc=Fritz,dc=box
@@ Zeile 284: / Zeile 291: @@
 </code>
-user_hans.ldif hinzufügen:
+== Datei /etc/openldap/ldif/user_hans.ldif dem LDAP-Server hinzufügen ==
-	ldapadd -x -W -D "cn=ldapadm,dc=fritz,dc=box" -f user_hans.ldif
+	ldapadd -x -W -D "cn=ldapadm,dc=fritz,dc=box" -f /etc/openldap/ldif/user_hans.ldif
+== Passwort für LDAP-Benutzer hans setzen ==
-Passwort für Benutzer hans setzen:
   ldappasswd -s <PASSWORT> -W -D "cn=ldapadm,dc=fritz,dc=box" -x "uid=hans,ou=People,dc=fritz,dc=box"
+== Ein LDAP Benutzerkonto meier hinzufügen ==
+  vi /etc/openldap/ldif/user_meier.ldif
-Ein LDAP Benutzerkonto meier hinzufügen:
+== Inhalt der Datei /etc/openldap/ldif/user_meier.ldif ==
-  cd /etc/openldap/ldif
-  Datei angelegen: vi user_meier.ldif
-Inhalt der user_meier.ldif:
 <code>
 dn: uid=meier,ou=Group,dc=fritz,dc=box
@@ Zeile 319: / Zeile 323: @@
-User der Domain fritz.box hinzufügen:
+== User meier der Domain fritz.box hinzufügen ==
-  ldapadd -x -W -D "cn=ldapadm,dc=fritz,dc=box" -f user_meier.ldif
+  ldapadd -x -W -D "cn=ldapadm,dc=fritz,dc=box" -f /etc/openldap/ldif/user_meier.ldif
-Ein Passwort für Benutzer meier setzen:
+== Ein Passwort für LDAP-Benutzer meier setzen ==
   ldappasswd -s <PASSWORT> -W -D "cn=ldapadm,dc=fritz,dc=box" -x "uid=meier,ou=Group,dc=fritz,dc=box"
-LDAP Eintrag überprüfen:
+== LDAP Eintrag überprüfen ==
-  ldapsearch -x cn=hans -b dc=fritz,dc=box
+  ldapsearch -x cn=meier -b dc=fritz,dc=box
-How To Change Account Passwords on an OpenLDAP Server: Doku: [[https://www.digitalocean.com/community/tutorials/how-to-change-account-passwords-on-an-openldap-server]]
+How To Change Account Passwords on an OpenLDAP Server: [[Doku: https://www.digitalocean.com/community/tutorials/how-to-change-account-passwords-on-an-openldap-server]]
 OpenLDAP using OLC (cn=config): [[Doku: https://www.zytrax.com/books/ldap/ch6/slapd-config.html#use-security]]
 === LogLevel für openldap konfigurieren ===
-  cd /etc/openldap/ldif
+  vi /etc/openldap/ldif/loglevel.ldif
-  vi loglevel.ldif
-Inhalt der loglevel.ldif Datei:
+== Inhalt der Datei /etc/openldap/ldif/loglevel.ldif ==
 <code>
 dn: cn=config
@@ Zeile 365: / Zeile 367: @@
 --> Die Loglevel sind mischbar, als z. B. 129= Loglevel 1 + Loglevel 128
+== Datei /etc/openldap/ldif/loglevel.ldif der LDAP-Domäne hinzufügen:
-loglefel.ldif Datei der LDAP-Domäne hinzufügen:
 	cd /etc/openldap/ldif
 	ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif
 LDAP-Client Konfiguration:
@@ Zeile 377: / Zeile 375: @@
-Debian 10: ldap-client Paket installieren:
+=== Debian 10.x: ldap-client Paket installieren ===
   apt install ldapscripts
@@ Zeile 383: / Zeile 381: @@
 === LDAP-Server Einträge anpassen ===
-ldap.conf anpassen:
+== ldap.conf anpassen ==
-  cd /etc/ldap
+  cp /etc/ldap/ldap.conf /etc/ldap.conf.<YYYYMMDDSSMM>
-  cp ldap.conf ldap.conf.<YYYYMMDD>
+  vi /etc/ldap/ldap.conf
-  vi ldap.conf
+== Folgende Einträge inder Datei /etc/ldap/ldap.conf anpassen ==
   → BASE    dc=fritz,dc=box
   → URI     ldap://ldap.fritz.box
-ldapsearch ausführen:
+== ldapsearch ausführen ==
   wenn die Werte in der /etc/ldap.conf nicht gesetzt sind mit:
     ldapsearch -H ldap://ldap.fritz.box -b "dc=fritz,dc=box" -D "cn=ldapadm,dc=fritz,dc=box" "uid=hans" -x -w <Passwort>
@@ Zeile 397: / Zeile 396: @@
     ldapsearch -x -LLL uid=hans
-Ausgabe:
+== Ausgabe ==
 <code>
 dn: uid=hans,ou=People,dc=fritz,dc=box
@@ Zeile 440: / Zeile 439: @@
 === Bestehende LDAP-Einträge ändern ===
-user_meier.ldif erstellen:
+== Datei /etc/openldap/ldif/user_meier.ldif erstellen ==
-  cd /etc/ldap &&  mkdir ldif && cd ldif
+  mkdir -p /etc/openldap/ldif
-  vi user_meier.ldif
+  vi /etc/openldap/ldif/user_meier.ldif
-Inhalt der neu angelegten Datei user_meier.ldif:
+== Inhalt der neu angelegten Datei /etc/openldap/ldif/user_meier.ldif ==
   dn: uid=meier,ou=Group,dc=fritz,dc=box
   changetype: modify
@@ Zeile 452: / Zeile 451: @@
-ldapmodify ausführen:
+== ldapmodify ausführen ==
   ldapmodify -x -D "cn=ldapadm,dc=fritz,dc=box" -W -f user_meier.ldif  -> Es kommt eine Passwortabfrage (LDAP-Admin)
@@ Zeile 458: / Zeile 457: @@
 === Bestehende LDAP-Einträge löschen ===
-ldapdelete ausführen:
+== ldapdelete ausführen ==
 <code>
 	# mit Passwortabfrage
@@ Zeile 468: / Zeile 467: @@
-LDAP Browser/Editor:
+LDAP Browser/Editor: Quelle: https://community.microfocus.com/t5/Identity-Manager-Tips/Jarek-Gawor-s-excellent-LDAP-Browser-Editor-v2-8-2/ta-p/1771772
-  Quelle: https://community.microfocus.com/t5/Identity-Manager-Tips/Jarek-Gawor-s-excellent-LDAP-Browser-Editor-v2-8-2/ta-p/1771772
+== LDAP Logs nach /var/log/slapd schreiben ==
-LDAP Log nach /var/log/slapd schreiben:
   cd /etc
   cp rsyslogd.conf rsyslogd.conf.<YYYYMMDD>
   vi rsyslogd.conf
-Folgende Zeile an die /etc/rsyslogd.conf anhängen:
+== Folgende Zeile an die /etc/rsyslogd.conf anhängen ==
 <code>
 # LOCAL4 Standardwert für syslog facility
@@ Zeile 492: / Zeile 490: @@
   slapcat -l <Dateiname> -> Gesamtkopie der Datenbank als .ldif-file
-Standard-Zugriff bei LDAP:
+Standard-Zugriffsberechtigungen bei LDAP:
 	access to <was> by <wer> <Zugriffsart> -> Standard: access to * by * read
@@ Zeile 506: / Zeile 504: @@
   mail: meinemail@gmail.com
-ldapsearch
+== ldapsearch ==
   Beispielsuche:
   ldapsearch -x -LLL -uid=hans
@@ Zeile 512: / Zeile 510: @@
   das 2. L verhindert die Ausgabe der LDAP-Version
   -> mit der Option -b kann man die Base für die Baumsuche angeben.
 ===== PAM-Authentifizierung ====
-PAM: Module unter /lib/security (/lib64/security).
+<WRAP center round info 60%>
+PAM: Module unter /lib/security (/lib64/security)
+</WRAP>
-Wichtige Module:
+== Wichtige PAM Module ==
   pam_unix nutzt die Dateien /etc/passwd und /etc/shadow,
   pam_cracklib -> Sicherheit des neu gewählten Passworts prüfen
@@ Zeile 523: / Zeile 524: @@
   pam_listfile -> Listen nutzen, um den Zugriff zu verweigern oder zu erlauben
-Wenn der Ordner /etc/pam.d exisiert wird die Datei /etc/pam.conf ignoriert.
+<WRAP center round important 60%>
+Wenn der Ordner /etc/pam.d/ exisiert wird die Datei /etc/pam.conf ignoriert
-/etc/pam.d/
+</WRAP>
 === Centos 7 - PAM konfigurieren ===
@@ Zeile 532: / Zeile 532: @@
-Notwendige Module nachinstallieren:
+Centos 7: Notwendige Module installieren:
   yum install nss-pam-ldapd -y