Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- OpenLDAP Daemons and Utilities
Red Hat Enterprise Linux 4: Referenzhandbuch
Zur�ckKapitel 13. Lightweight Directory Access Protocol (LDAP)Nach vorne

13.3. OpenLDAP Daemons and Utilities

Die Suite der OpenLDAP Bibliotheken und Tools sind in folgenden Paketen inkludiert:

  • openldap — Enth�lt die Bibliotheken welche zum Ausf�hren der OpenLDAP Server- und Client-Applikationen ben�tigt werden.

  • openldap-clients — Enth�lt die Befehlszeilentools zur Ansicht und zum Ver�ndern der Verzeichnisse auf einem LDAP-Server.

  • openldap-server — Enth�lt die Server und andere Tools, welche zum Konfigurieren und f�r den Betrieb eines LDAP Servers ben�tigt werden.

Das openldap-servers-Paket enth�lt zwei Server: den Standalone LDAP Daemon (/usr/sbin/slapd) und den Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd).

Der slapd-Daemon ist der eigenst�ndige LDAP-Server, w�hrend der slurpd-Daemon zum Synchronisieren der �nderungen von einem LDAP-Server auf andere LDAP-Server im Netzwerk verwendet wird. Der slurpd-Daemon ist nur erforderlich, wenn mehrere LDAP-Server verwendet werden.

Das openldap-server-Paket installiert zum Durchf�hren von Verwaltungsaufgaben folgende Utilities in /usr/sbin:

  • slapadd — F�gt Eintr�ge aus einer LDIF-Datei in ein LDAP-Verzeichnis ein. /usr/sbin/slapadd-l ldif-Eingabe liest die LDIF-Datei, ldif-Eingabe, welche die neuen Eintr�ge enth�lt.

    WichtigWichtig
     

    Sie m�ssen root sein, um /usr/sbin/slapadd verwenden zu k�nnen. Der Verzeichnis-Server wird jedoch als Benutzer ldap ausgef�hrt. Der Verzeichnis-Server ist deshalb nicht in der Lage, von slapadd erzeugte Dateien zu �ndern. Um dieses Problem zu beheben, geben Sie nach der Benutzung vonslapadd folgenden Befehl ein: 

    chown -R ldap /var/lib/ldap

  • slapcat — Entnimmt Eintr�ge aus einem LDAP-Verzeichnis im Standardformat, Sleepycat Software's Berkeley DB System und speichert diese in einer LDIF-Datei. Der Befehl /usr/sbin/slapcat -l ldif-output gibt zum Beispiel eine LDIF-Datei namens ldif-output aus, welche die Eintr�ge aus dem LDAP-Verzeichnis enth�lt.

  • slapindex — Indiziert das slapd-Verzeichnis auf Grundlage des aktuellen Inhalts neu. Dieses Tool sollte immer dann ausgef�hrt werden, wenn die Indexing-Optionen in /etc/openldap/slapd.conf ge�ndert werden.

  • slappasswd — Generiert einen verschl�sselten Wert eines Benutzerpasswortes zur Verwendung mit dem ldapmodify- oder rootpw-Wert in der slapd-Konfigurationsdatei /etc/openldap/slapd.conf. F�hren Sie /usr/sbin/slappasswd aus, um das Passwort zu erstellen.

WarnungWarnung
 

Stellen Sie sicher, dass slapd mit Hilfe von /usr/sbin/service slapd stop angehalten wird, bevor Sie slapadd, slapcat oder slapindex verwenden. Andernfalls riskieren Sie die Integrit�t des LDAP-Verzeichnis.

Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man-Seiten.

Das openldap-clients-Paket installiert Tools zum Hinzuf�gen, �ndern und L�schen von Eintr�gen eines LDAP-Verzeichnisses in /usr/bin/. Diese Tools beinhalten Folgendes:

  • ldapadd — F�gt durch Annehmen von Eingaben �ber eine Datei oder der Standardeingabe Eintr�ge zum Verzeichnis hinzu. ldapadd ist nichts anderes als ein harter Link zu ldapmodify -a.

  • ldapdelete — L�scht Eintr�ge aus einem LDAP-Verzeichnis durch Annehmen von Eingaben des Benutzers am Terminal oder �ber eine Datei.

  • ldapmodify — �ndert Eintr�ge in einem LDAP-Verzeichnis durch Eingaben aus einer Datei oder von der Standardeingabe.

  • ldappasswd — Setzt das Passwort f�r einen LDAP-Benutzer.

  • ldapsearch — Sucht mit Hilfe eines Shell-Prompts im LDAP-Verzeichnis nach Eintr�gen.

Alle Utilities, ldapsearch ausgenommen, sind einfacher durch Verweisen auf eine Datei mit den vorzunehmenden �nderungen zu verwenden, als durch Eingabe eines Befehls f�r jeden Eintrag, der in einem LDAP-Verzeichnis ge�ndert werden soll. Das Format solcher Dateien wird auf der man-Seite der jeweiligen Applikation skizziert.

13.3.1. NSS, PAM, and LDAP

Neben den OpenLDAP-Paketen enth�lt Red Hat Enterprise Linux das Paket nss_ldap, das die M�glichkeit LDAP in Linux- und andere UNIX-Umgebungen zu integrieren optimiert.

Das Paket nss_ldap stellt folgende Module zur Verf�gung:

  • /lib/libnss_ldap-<glibc-version>.so

  • /lib/security/pam_ldap.so

Das Paket nss_ldap stellt folgende Module f�r Itanium oder AMD64 Architekturen zur Verf�gung:

  • /lib64/libnss_ldap-<glibc-version>.so

  • /lib64/security/pam_ldap.so

Die libnss_ldap-<glibc-version>.so Module erm�glichen Applikationen, Benutzer, Gruppen, Hosts und sonstige Informationen mit Hilfe eines LDAP-Verzeichnisses �ber glibcs Schnittstelle Nameservice Switch (NSS) zu suchen (ersetzen Sie <glibc-version> mit der verwendeten Version von libnss_ldap). NSS erlaubt Applikationen eine Authetifizierung unter Verwendung von LDAP in Verbindung mit dem NIS Name-Service und Klartext-Authentifizierungsdateien.

Das Modul pam_ldap erm�glicht PAM-f�higen Applikationen, Benutzer mit Hilfe von in einem LDAP-Verzeichnis gespeicherten Informationen zu authentifizieren. PAM-f�hige Applikationen umfassen Konsolenanmeldung, POP- und IMAP-Mail-Server und Samba. Wenn ein LDAP-Server im Netzwerk bereitgestellt wird, k�nnen alle Anmeldesituationen gegen eine Benutzer-ID und Passwortkombination authentifizieren und so die Verwaltung sp�rbar vereinfachen.

F�r weitere Informationen zur Konfiguration von PAM siehe Kapitel 16 und die man-Seiten.

13.3.2. PHP4, LDAP und Apache HTTP Server

Red Hat Enterprise Linux enth�lt auch Pakete mit LDAP-Modulen f�r die PHP-serverseitige Skriptsprache.

Das Paket php-ldap f�gt LDAP-Unterst�tzung zur PHP4 HTML-eingebetteten Skriptsprache �ber das Modul /usr/lib/php4/ldap.so hinzu. Dieses Modul erm�glicht PHP4-Skripten, auf Informationen zuzugreifen, die in einem LDAP-Verzeichnis gespeichert sind.

Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap f�r Apache HTTP Server ausgeliefert. Dieses Modul verwendet die Kurzform des "Distinguished Name" als Subjekt und den Aussteller des Client-SSL-Zertifikats, um den "Distinguished Name" des Benutzers innerhalb eines LDAP-Verzeichnisses zu bestimmen. Es kann auch Benutzer anhand den Attributen der Eintr�ge im LDAP-Verzeichnis autorisieren, wobei Zugriff auf ein Asset auf dessen Benutzerrechte und Gruppenrechte basiert und Zugriff f�r Benutzer mit abgelaufenen Passw�rtern abgelehnt wird. Das Modul mod_ssl wird f�r die Verwendung des Modul mod_authz_ldap ben�tigt.

WichtigWichtig
 

Das Modul mod_authz_ldap authetifiziert einen Benutzer zu einem LDAP-Verzecihnis mit einem verschl�sselten Passwort-Hash. Diese Funktionalit�t ist im experimentellen Modul mod_auth_ldap enthalten, das nicht in Red Hat Enterprise Linux enthalten ist. Sehen Sie die Website der Apache Software Foundation Online unter https://www.apache.org/ f�r Informationen zum Status dieses Moduls.

13.3.3. LDAP Client-Applikationen

Es stehen grafische LDAP-Clients zur Verf�gung, die das Erstellen und �ndern von Verzeichnissen unterst�tzen. Diese sind allerdings nicht im Lieferumfang von Red Hat Enterprise Linux enthalten. Eine solche Anwendung ist LDAP Browser/Editor — Ein Java-basiertes Tool, das online unter https://www.iit.edu/~gawojar/ldap erh�ltlich ist.

Die meisten anderen LDAP-Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen (und nicht �ndern) auf unternehmensweite Informationen. Beispiele f�r diese Anwendungen sind Sendmail, Mozilla, Gnome Meeting, und Evolution.

Zur�ckZum AnfangNach vorne
LDAP TerminologieNach obenOpenLDAP Konfigurationsdateien

  
 
  Published under the terms of the GNU General Public License Design by Interspire