Content
Dateianzeige für ldapclient (1.6.0)
usr/share/doc/ldapclient/ldapclient.txt
Das LDAPclient-Paket
Dieses Paket wurde auf Basis des LDAPserver-Paketes, welches aus dem
openldap-Paket von Jens Vehlhaber (E-MAIL [1]jvehlhaber@buchenwald.de)
hervor gegangen ist, erstellt und wird von Juergen Edner (E-MAIL
[2]juergen@eisfair.org) weiter entwickelt. Es enthaelt einzig die
zugehoerigen LDAP-Client-Programme.
Die Einleitung
In diesem Paket wurden die fuer den Zugriff auf einen LDAP-Server
(Lightweight Directory Access Protocol) Server benoetigten Programme
zusammengefasst.
Die Funktionen
Das LDAPclient-Paket besteht aus folgenden Komponenten:
* openldap - Wird fuer den LDAP-Serverzugriff verwendet.
([3]http://www.openldap.org/)
Die Voraussetzungen
Dieses Paket benoetigt zur korrekten Funktion zwingende die
installierten Pakete 'Certs' (bei Verwendung von Verschluesselung),
'Libldap', 'Libsasl', 'Libssl'.
Die Installation
Das LDAPclient-Paket wird ueber das Setup-Menue installiert. Wird eine
aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die
neuen Programmdateien installiert werden. Nach Beendigung dieses
Schrittes werden die Konfigurationsdateien generiert und alle
benoetigten Programme gestartet.
Das Menue im Setup-Programm
Das Menue im Setup-Programm ist wie folgt aufgebaut:
* OpenLDAP client administration
+ View documentation: Anzeigen der Dokumentation
+ Edit configuration: Bearbeiten der Konfiguration
+ Advanced configuration file handling: Konfigurationen
verwalten
+ Test LDAP connection: Verbindung zum LDAP-Server pruefen
* Return: Untermenue verlassen
Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei
weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion
nicht weiter eingegangen.
Die Aenderung der Konfiguration
Die Konfiguration kann ueber den Menuepunkt 'Edit configuration'
geaendert werden. Standardmaessig wird der Editor aufgerufen, der in
der Environment- Konfiguration ueber die Variable 'EDITOR' festgelegt
wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die
Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber
ein Skript die Anpassungen umgehend wirksam gemacht.
Die Konfigurationsdatei
In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind
folgende Parameter vorhanden; wer sie von Hand editieren will findet
sie unter /etc/config.d/ldapclient.
Die Parameter
START_LDAPCLIENT
Zur Aktivierung der LDAP-Client-Konfiguration muss diese
Variable lediglich auf den Wert 'yes' gestellt werden. Die
Einstellung 'no' deaktiviert die Konfiguration.
Gueltige Werte: yes, no
Standardeinstellung: START_LDAPCLIENT='no'
LDAPCLIENT_LDAP_HOSTURI
Ueber diesen Parameter legt man den Hostnamen und TCP-Port des
LDAP-Servers fest zu welchem eine Verbindung aufgebaut werden
soll.
Gueltige Werte: URI und TCP-Port
Beispiel:
LDAPCLIENT_LDAP_HOSTURI='ldap://meinserver.local.lan:389'
LDAPCLIENT_LDAP_BASEDC
Ueber diesen Parameter legt man die Basisdomain des
LDAP-Verzeichnisbaums fest.
Gueltige Werte: Base Domain Component
Standardeinstellung: LDAPCLIENT_LDAP_BASEDC='privatnet'
LDAPCLIENT_LDAP_BASEDN
Ueber diesen Parameter wird der Base Distinguished Name des
LDAP-Verzeichnisses festgelegt. Dies ist das Wurzelverzeichnis
von welchem Suchanfragen etc. gestartet werden.
Gueltige Werte: Base Distinguished Name
Standardeinstellung:
LDAPCLIENT_LDAP_BASEDN='dc=privatnet,dc=lan'
LDAPCLIENT_LDAP_AUTH
Ueber diesen Parameter wird festgelegt, ob der LDAP-Client sich
bei einem Verbindungsaufbau authentifizieren soll oder nicht.
Gueltige Werte: yes, no
Standardeinstellung: LDAPCLIENT_LDAP_AUTH='no'
LDAPCLIENT_LDAP_ADMIN_NAME
Ueber diesen Parameter wird der Name des LDAP-Administrators
festgelegt, welcher zur Authentifizierung am
LDAP-Verzeichnisbaum verwendet werden soll.
Gueltige Werte: LDAP-Accountname
Standardeinstellung: LDAPCLIENT_LDAP_ADMIN_NAME='ldapadmin'
LDAPCLIENT_LDAP_ADMIN_PASS
Ueber diesen Parameter kann das Kennwort des
LDAP-Administratorkontos festgelegt werden.
Gueltige Werte: Kennwort
Standardeinstellung: LDAPCLIENT_LDAP_ADMIN_PASS=''
LDAPCLIENT_CLIENT_CERT_FILE
Optionaler Parameter: Ueber diesen Parameter legt man den Namen
des Client-Zertifikats fest, welches zur Authentifizierung am
LDAP-Server verwendet werden soll. Eingegeben werden muss der
absolute Pfad zur Datei inklusive des Dateinamens.
Gueltige Werte: absoluter Pfad inkl. Dateiname
Standardeinstellung: LDAPCLIENT_CLIENT_CERT_FILE=''
LDAPCLIENT_CLIENT_KEY_FILE
Optionaler Parameter: Ueber diesen Parameter legt man den Namen
der Zertifikatsschluesseldatei fest, welches zur
Authentifizierung am LDAP-Server verwendet werden soll.
Eingegeben werden muss der absolute Pfad zur Datei inklusive des
Dateinamens.
Gueltige Werte: absoluter Pfad inkl. Dateiname
Standardeinstellung: LDAPCLIENT_CLIENT_KEY_FILE=''
LDAPCLIENT_SERVER_CERT_CHECK
Optionaler Parameter: Ueber diesen Parameter legt man fest, in
welcher Weise ein Serverzertifikat beim Aufbau einer
TLS-gesicherten Verbindung geprueft werden soll. Zur Auswahl
stehen folgende Varianten:
+ never - Es wird keine Zertifikatspruefung durch den
LDAP-Client durchgefuehrt.
+ allow - Es wird ein Serverzertifikat angefordert, jedoch wird
auch dann eine Verbindung aufgebaut wenn kein oder ein
ungueltiges Zertifikat vom Server uebermittelt wird.
+ try - Es wird ein Serverzertifikat angefordert, jedoch wird
auch dann eine Verbindung aufgebaut wenn kein Zertifikat vom
Server uebermittelt wird. Wird ein ungueltiges Zertifikat
uebermittelt, so wird die Verbindung umgehend beendet.
+ hard - Es wird ein Serverzertifikat angefordert und nur wenn
ein korrektes Zertifikat vom Server uebermittelt wird, wird
auch eine Verbindung aufgebaut.
Gueltige Werte: never, allow, try, hard
Standardeinstellung: LDAPCLIENT_SERVER_CERT_CHECK='never'
Die Befehlsuebersicht
* ldapadd - Dieses Programm wird zum Hinzufuegen von LDAP-Eintraegen
verwendet.
* ldapcompare - Diese Programm wird zum Vergleichen von
LDAP-Attributen verwendet.
* ldapdelete - Diese Programm wird zum Loeschen von LDAP-Eintraegen
verwendet.
* ldapexop - Dieses Programm wird zum Ausfuehren von erweiterten
LDAP-Operationen verwendet.
* ldapmodify - Diese Programm wird zum Modifizieren von
LDAP-Eintraegen verwendet.
* ldapmodrdn - Dieses Programm wird zum Umbenennen von RDN-Eintraegen
verwendet.
* ldappasswd - Diese Programm wird zum Aendern eines Kennwortes eines
LDAP-Eintrags verwendet.
* ldapsearch - Diese Programm wird zum Durchsuchen der LDAP-Datenbank
verwendet.
* ldapurl - Dieses Programm generiert eine RFC-4516 LDAP-URL mit
Erweiterungen.
* ldapwhoami - Dieses Programm fuehrt eine Who-am-I Anfrage beim
LDAP-Verzeichnis durch.
Verschiedenes
Verschluesselte Verbindung testen
Mit Hilfe des openssl-Programms kann man testen, ob eine
verschluesselte Verbindung zum LDAP-Server aufgebaut werden
kann. Hierzu gibt man z.B. an der Konsole folgenden Befehl ein
(Natuerlich sind die Parameter entsprechend der eigenen
Konfiguration anzupassen):
openssl s_client -connect localhost:636 -showcerts -state
-CAfile /var/certs/ssl/certs/ca.pem
Weitere LDAP-Befehle
Exportieren des LDAP-Verzeichnisbaums in eine LDIF-Datei:
ldapsearch -x -D cn=ldapadmin,dc=privatnet,dc=lanW > output.ldif
Importieren einer LDIF-Datei in das LDAP-Verzeichnis:
ldapadd -x -D cn=ldapadmin,dc=privatnet,dc=lanW -f input.ldif
PHP-LDAP-Zugriff
Wenn es Probleme gibt sich ueber einen Webzugriff zu einem
LDAP-Server zu verbinden, so kann es hilfreich sein, dass im
Verzeichnis /usr/share/doc/ldapclient mitgelieferte PHP-Skript
'test-ldap.php' in den Webserverpfad zu kopieren, die
Zugriffsrechte anzupassen und dann ueber den Webbrowser
aufzurufen.
Logeintraege einer TLS-Verbindung (anonymous):
eis slapd[2609]: conn=14 fd=14 ACCEPT from IP=192.168.6.1:47276 (IP=0.0.0.0:636)
eis slapd[2609]: conn=14 fd=14 TLS established tls_ssf=256 ssf=256
eis slapd[2609]: conn=14 op=0 BIND dn="" method=128
eis slapd[2609]: conn=14 op=0 RESULT tag=97 err=0 text=
eis slapd[2609]: conn=14 op=1 UNBIND
eis slapd[2609]: conn=14 fd=14 closed
Logeintraege einer TLS-Verbindung (authentifiziert):
eis slapd[2609]: conn=15 fd=14 ACCEPT from IP=192.168.6.1:47279 (IP=0.0.0.0:636)
eis slapd[2609]: conn=15 fd=14 TLS established tls_ssf=256 ssf=256
eis slapd[2609]: conn=15 op=0 BIND dn="cn=ldapadmin,dc=local,dc=lan" method=128
eis slapd[2609]: conn=15 op=0 BIND dn="cn=ldapadmin,dc=local,dc=lan" mech=SIMPLE
ssf=0
eis slapd[2609]: conn=15 op=0 RESULT tag=97 err=0 text=
eis slapd[2609]: conn=15 op=1 UNBIND
eis slapd[2609]: conn=15 fd=14 closed
Das Glossar
* BaseDN - Base Distinguished Name
* DN - Distinguished Name
* LDAP - Lightweight Directory Access Protocol
* RDN - Relative Distinguished Name
__________________________________________________________________
Juergen Edner 2012-06-18