Debian LDAP lenny

A felhasználói információk tárolására szolgál az LDAP címtár. Ebbe tároljuk még a tartományba léptetett gépek adatait is. Innen azonosít majd a fájlkiszolgálónk, a levelezésünk is és minden más szolgáltatásunk is. Ezért egy eléggé fontos dolog, hogy ez jól működjön. Nem egyszerű egy téma és sokan meg is spórolják a vele való szívást. Szerintem viszont csak egyszer kell beállítani és utána nem szokott baj lenni vele. Ez most nem a squeeze beállítása, de érdemes átolvasni.

Kezdjünk bele telepítsük fel:

apt-get install slapd ldap-utils

Válaszoljunk a kérdésekre értelemszerűen a konfigurációs során. A domain name majd a ceg.hu lesz. Adjuk majd meg az ldap jelszavát, az adatbázist típusát hdb vagy bdb (teljesen mindegy). ldapv2-es protokolra már nincs szükség.

Ha szükség van újra konfigurálni, akkor a dpkg-reconfigure slapd paranccsal van rá módunk.

Konfiguráljuk be az /etc/ldap/slapd.conf fájlt:

Töltsük be a séma fájlokat, amikben az ldap-ban tárolandó információk formai leírásait is tartalmazzák.

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema

A futáshoz szükséges fájlok elérési útját nem kell módosítani. A loglevelt viszont tetszés szerint módosíthatjuk.

pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args

loglevel 0

Loglevelhez táblázat:
Level Keyword Description
-1 any enable all debugging
0 no debugging
1 (0x1 trace) trace function calls
2 (0x2 packets) debug packet handling
4 (0x4 args) heavy trace debugging
8 (0x8 conns) connection management
16 (0x10 BER) print out packets sent and received
32 (0x20 filter) search filter processing
64 (0x40 config) configuration processing
128 (0x80 ACL) access control list processing
256 (0x100 stats) stats log connections/operations/results
512 (0x200 stats2) stats log entries sent
1024 (0x400 shell) print communication with shell backends
2048 (0x800 parse) print entry parsing debugging
16384 (0x4000 sync) syncrepl consumer processing
32768 (0x8000 none) only messages that get logged whatever log level is set

A következőkben az adatbázis típusát és korlátozásokat látunk, ezek is megfelelőek.

modulepath /usr/lib/ldap
moduleload back_bdb

sizelimit unlimited

tool-threads 1

backend bdb

database bdb

A suffix paramétert is állítsuk be megfelelően. Az adatbázis fájlokat a /var/lib/ldap mappában tárolja. Az adatbázis fájlok méretit nem szükséges átállítani.

suffix "dc=ceg,dc=hu"

directory "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

Az indexeket is be kell állítani, hogy miket kezeljen az ldap. Ezeket a séma fájlokból olvassa ki.

# Indexing options for database #1
index objectClass,entryCSN,entryUUID eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

A végén jogosultsági beállításokat is fel kell venni, hogy kinek milyen joga van az adatbázist módosítani.

lastmod on

rootdn "cn=admin,dc=ceg,dc=hu"
rootpw {SSHA}whxbcerUmmsljkjT975!!
password-hash {SSHA}

access to attrs=userPassword,sambaNTPassword,sambaLMPassword
by dn="cn=admin,dc=ceg,dc=hu" write
by anonymous auth
by self write
by * write

access to *
by dn="cn=admin,dc=ceg,dc=hu" write
by * read

access to dn.base="" by * write

Ha megvagyunk akkor adjunk jogokat a fájlokra, hogy az openldap jogában fussanak különben nem fog működni.

chown -R openldap:openldap /etc/ldap/*

chown -R openldap:openldap /var/lib/ldap/*

Elindíthatjuk a szervert:
/etc/init.d/slapd start

Az ldapsearch -x parancs kiadására vissza kell adnia két rekordot, ha igen, akkor működőképes az ldap. Viszont az adatbázisunk teljesen üres szinte. Létre kell hozni csoportokat, felhasználókat. Ehhez most nem írnék leírást, mert nekünk sose kellett új adatbázist építeni a nulláról. Mindig kész adatbázist kellett az új rendszerre átköltöztetnünk(az adatbázis költöztetéséről lesz szó). Olyanról pedig nem szívesen írnék, amit sose csináltam, de linkelek pár mankót. (persze a későbbiekben majd fogunk hozzáadni online, új felhasználókat grafikus felületről, de ahhoz is kell egy alap, ami most még hiányzik).
Ha van adatbázisunk, akkor azt az ldap helyreállítás fejezetben kifejtem, hogyan lehet, az ldif fájlból az adatbázist be importálni. (Az ldap ldif fájlt készít, amikor kiexportáljuk adatbázist).

wiki.hup.hu
Mithrandir
tldp.org howto
YoLinux LDIF Tutorial:
Initialization LDAP Database
openldap.org
2013.02.24.