Potrzebne paczki

  • openldap
  • openldap-backend-bdb
  • openldap-backend-passwd
  • openldap-libs
  • openldap-migration
  • openldap-nss-config
  • openldap-schema-pam_ldap
  • openldap-servers
  • pam-pam_ldap
  • nss_ldap

Konfiguracja

Na pierwszy ogień bierzemy pod lupę plik konfiguracyjny slapd, /etc/openldap/slapd.conf. Jest on już wstępnie przygotowany, zmienimy w nim tylko parę rzeczy dostosowując go do naszych potrzeb. Zakładam, że chcemy aby nasz OpenLDAP obsługiwał połączenia TLS/SSL:

TLSCACertificateFile /usr/share/ssl/ca-bundle.crt
TLSCertificateFile /etc/openldap/slapd.pem
TLSCertificateKeyFile /etc/openldap/slapd.key
TLSVerifyClient never

Odkomentowujemy powyższe linijki. Certyfikaty wygenerujemy później. I dalej:

database        bdb
suffix          "dc=th-domena,dc=pl"
rootdn          "cn=Manager,dc=th-domena,dc=pl"

Oczywiście th-domena.pl zmieńcie sobie na coś bardziej przystającego do rzeczywistości ;-) Pozostaje nam jeszcze sprawa hasła. Możemy je wygenerować przy pomocy narzędzi z paczki openldap. W poniższym przykładzie dodaję je od razu do pliku konfiguracyjnego (ponieważ zapisze się na końcu pliku trzeba je sobie potem przenieść we właściwe miejsce):

sudo slappasswd -h {md5}|sudo tee -a /etc/openldap/slapd.conf

Niezbyt oryginalnie, ale skutecznie. Jak widać przyjąłem założenie, że hasła przechowujemy w formacie MD5 (można też np. SSHA). Po przeniesieniu wygenerowanego powyżej hasła we właściwe miejsce wygląda to tak:

password-hash   {md5}
rootpw  {MD5}BLci6etNGKi7oNjGX/EMFw==

Na koniec ważna uwaga: zakomentowujemy linijkę:

#include                /usr/share/openldap/schema/ns-pwd-policy.schema

Inaczej OpenLDAP się nie uruchomi. Dobrze, z demonem slapd mamy sprawę zakończoną. Bierzemy się za klienty. Edytujemy plik /etc/openldap/ldap.conf:

URI ldapi://%2fvar%2frun%2fslapd%2fslapd.sock ldaps://localhost:636
BASE dc=th-domena,dc=pl
TLS_CACERT /usr/share/ssl/ca-bundle.crt
TLS_REQCERT allow

W tym pliku jest znacznie więcej opcji, ale powyższe w zupełności nam wystarczą.

Pora na wygenerowanie certyfikatu:

sudo openssl req -new -x509 -nodes -out /etc/openldap/slapd.pem -keyout /etc/openldap/slapd.key -days 999999
sudo chown 600 /etc/openldap/slapd.key /etc/openldap/slapd.pem

Przed uruchomieniem demona slapd zaglądamy jeszcze do /etc/sysconfig/ldap:

SLAPDURLLIST="ldap:/// ldaps://localhost:636/ ldapi://%2fvar%2frun%2fslapd%2fslapd.sock"

Resztę pozostawiamy bez zmian.

Uruchamiamy usługę:

sudo /sbin/service ldap start

Przykładowe pliki konfiguracyjne

pl/przewodniki/openldap-autoryzacja-uzytkownikow.1197280346.txt.gz · Last modified: 2007/12/10 10:52 by duddits
chimeric.de = chi`s home Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0 Powered by Lighttpd - fly light