Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- OpenLDAP Daemons and Utilities

13.3. OpenLDAP Daemons and Utilities

Die Suite der OpenLDAP Bibliotheken und Tools sind in folgenden Paketen inkludiert:

  • openldap — Enth�lt die Bibliotheken welche zum Ausf�hren der OpenLDAP Server- und Client-Applikationen ben�tigt werden.

  • openldap-clients — Enth�lt die Befehlszeilentools zur Ansicht und zum Ver�ndern der Verzeichnisse auf einem LDAP-Server.

  • openldap-server — Enth�lt die Server und andere Tools, welche zum Konfigurieren und f�r den Betrieb eines LDAP Servers ben�tigt werden.

Das openldap-servers-Paket enth�lt zwei Server: den Standalone LDAP Daemon (/usr/sbin/slapd) und den Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd).

Der slapd-Daemon ist der eigenst�ndige LDAP-Server, w�hrend der slurpd-Daemon zum Synchronisieren der �nderungen von einem LDAP-Server auf andere LDAP-Server im Netzwerk verwendet wird. Der slurpd-Daemon ist nur erforderlich, wenn mehrere LDAP-Server verwendet werden.

Das openldap-server-Paket installiert zum Durchf�hren von Verwaltungsaufgaben folgende Utilities in /usr/sbin:

  • slapadd — F�gt Eintr�ge aus einer LDIF-Datei in ein LDAP-Verzeichnis ein. /usr/sbin/slapadd-l ldif-Eingabe liest die LDIF-Datei, ldif-Eingabe, welche die neuen Eintr�ge enth�lt.

    WichtigWichtig
     

    Sie m�ssen root sein, um /usr/sbin/slapadd verwenden zu k�nnen. Der Verzeichnis-Server wird jedoch als Benutzer ldap ausgef�hrt. Der Verzeichnis-Server ist deshalb nicht in der Lage, von slapadd erzeugte Dateien zu �ndern. Um dieses Problem zu beheben, geben Sie nach der Benutzung vonslapadd folgenden Befehl ein:

    chown -R ldap /var/lib/ldap
  • slapcat — Entnimmt Eintr�ge aus einem LDAP-Verzeichnis im Standardformat, Sleepycat Software's Berkeley DB System und speichert diese in einer LDIF-Datei. Der Befehl /usr/sbin/slapcat -l ldif-output gibt zum Beispiel eine LDIF-Datei namens ldif-output aus, welche die Eintr�ge aus dem LDAP-Verzeichnis enth�lt.

  • slapindex — Indiziert das slapd-Verzeichnis auf Grundlage des aktuellen Inhalts neu. Dieses Tool sollte immer dann ausgef�hrt werden, wenn die Indexing-Optionen in /etc/openldap/slapd.conf ge�ndert werden.

  • slappasswd — Generiert einen verschl�sselten Wert eines Benutzerpasswortes zur Verwendung mit dem ldapmodify- oder rootpw-Wert in der slapd-Konfigurationsdatei /etc/openldap/slapd.conf. F�hren Sie /usr/sbin/slappasswd aus, um das Passwort zu erstellen.

WarnungWarnung
 

Stellen Sie sicher, dass slapd mit Hilfe von /usr/sbin/service slapd stop angehalten wird, bevor Sie slapadd, slapcat oder slapindex verwenden. Andernfalls riskieren Sie die Integrit�t des LDAP-Verzeichnis.

Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man-Seiten.

Das openldap-clients-Paket installiert Tools zum Hinzuf�gen, �ndern und L�schen von Eintr�gen eines LDAP-Verzeichnisses in /usr/bin/. Diese Tools beinhalten Folgendes:

  • ldapadd — F�gt durch Annehmen von Eingaben �ber eine Datei oder der Standardeingabe Eintr�ge zum Verzeichnis hinzu. ldapadd ist nichts anderes als ein harter Link zu ldapmodify -a.

  • ldapdelete — L�scht Eintr�ge aus einem LDAP-Verzeichnis durch Annehmen von Eingaben des Benutzers am Terminal oder �ber eine Datei.

  • ldapmodify — �ndert Eintr�ge in einem LDAP-Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe.

  • ldappasswd — Setzt das Passwort f�r einen LDAP-Benutzer.

  • ldapsearch — Sucht mit Hilfe eines Shell-Prompts im LDAP-Verzeichnis nach Eintr�gen.

Alle Utilities, ldapsearch ausgenommen, sind einfacher durch Verweisen auf eine Datei mit den vorzunehmenden �nderungen zu verwenden, als durch Eingabe eines Befehls f�r jeden Eintrag, der in einem LDAP-Verzeichnis ge�ndert werden soll. Das Format solcher Dateien wird auf der man-Seite der jeweiligen Applikation skizziert.

13.3.1. NSS, PAM, and LDAP

Neben den OpenLDAP-Paketen enth�lt Red Hat Enterprise Linux das Paket nss_ldap, das die M�glichkeit LDAP in Linux- und andere UNIX-Umgebungen zu integrieren optimiert.

Das Paket nss_ldap stellt folgende Module zur Verf�gung:

  • /lib/libnss_ldap-<glibc-version>.so

  • /lib/security/pam_ldap.so

Das Paket nss_ldap stellt folgende Module f�r Itanium oder AMD64 Architekturen zur Verf�gung:

  • /lib64/libnss_ldap-<glibc-version>.so

  • /lib64/security/pam_ldap.so

Die libnss_ldap-<glibc-version>.so Module erm�glichen Applikationen, Benutzer, Gruppen, Hosts und sonstige Informationen mit Hilfe eines LDAP-Verzeichnisses �ber glibcs Schnittstelle Nameservice Switch (NSS) zu suchen (ersetzen Sie <glibc-version> mit der verwendeten Version von libnss_ldap). NSS erlaubt Applikationen eine Authetifizierung unter Verwendung von LDAP in Verbindung mit dem NIS Name-Service und Klartext-Authentifizierungsdateien.

Das Modul pam_ldap erm�glicht PAM-f�higen Applikationen, Benutzer mit Hilfe von in einem LDAP-Verzeichnis gespeicherten Informationen zu authentifizieren. PAM-f�hige Applikationen umfassen Konsolenanmeldung, POP- und IMAP-Mail-Server und Samba. Wenn ein LDAP-Server im Netzwerk bereitgestellt wird, k�nnen alle Anmeldesituationen gegen eine Benutzer-ID und Passwortkombination authentifizieren und so die Verwaltung sp�rbar vereinfachen.

F�r weitere Informationen zur Konfiguration von PAM siehe Kapitel 16 und die man-Seiten.

13.3.2. PHP4, LDAP und Apache HTTP Server

Red Hat Enterprise Linux enth�lt auch Pakete mit LDAP-Modulen f�r die PHP-serverseitige Skriptsprache.

Das Paket php-ldap f�gt LDAP-Unterst�tzung zur PHP4 HTML-eingebetteten Skriptsprache �ber das Modul /usr/lib/php4/ldap.so hinzu. Dieses Modul erm�glicht PHP4-Skripten, auf Informationen zuzugreifen, die in einem LDAP-Verzeichnis gespeichert sind.

Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap f�r Apache HTTP Server ausgeliefert. Dieses Modul verwendet die Kurzform des "Distinguished Name" als Subjekt und den Aussteller des Client-SSL-Zertifikats, um den "Distinguished Name" des Benutzers innerhalb eines LDAP-Verzeichnisses zu bestimmen. Es kann auch Benutzer anhand den Attributen der Eintr�ge im LDAP-Verzeichnis autorisieren, wobei Zugriff auf ein Asset auf dessen Benutzerrechte und Gruppenrechte basiert und Zugriff f�r Benutzer mit abgelaufenen Passw�rtern abgelehnt wird. Das Modul mod_ssl wird f�r die Verwendung des Modul mod_authz_ldap ben�tigt.

WichtigWichtig
 

Das Modul mod_authz_ldap authetifiziert einen Benutzer zu einem LDAP-Verzecihnis mit einem verschl�sselten Passwort-Hash. Diese Funktionalit�t ist im experimentellen Modul mod_auth_ldap enthalten, das nicht in Red Hat Enterprise Linux enthalten ist. Sehen Sie die Website der Apache Software Foundation Online unter https://www.apache.org/ f�r Informationen zum Status dieses Moduls.

13.3.3. LDAP Client-Applikationen

Es stehen grafische LDAP-Clients zur Verf�gung, die das Erstellen und �ndern von Verzeichnissen unterst�tzen. Diese sind allerdings nicht im Lieferumfang von Red Hat Enterprise Linux enthalten. Eine solche Anwendung ist LDAP Browser/Editor — Ein Java-basiertes Tool, das online unter https://www.iit.edu/~gawojar/ldap erh�ltlich ist.

Die meisten anderen LDAP-Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen (und nicht �ndern) auf unternehmensweite Informationen. Beispiele f�r diese Anwendungen sind Sendmail, Mozilla, Gnome Meeting, und Evolution.

 
 
  Published under the terms of the GNU General Public License Design by Interspire