In diesem Abschnitt wird ein kurzer �berblick �ber das Installieren und Konfigurieren eines OpenLDAP-Verzeichnisses gegeben. Weitere Details finden Sie unter folgenden URLs:
Installieren Sie die RPMs openldap, openldap-servers und openldap-clients.
Bearbeiten Sie die Datei /etc/openldap/slapd.conf, um auf die LDAP-Domain und den LDAP-Server zu verweisen. Weitere Informationen finden Sie unter Abschnitt 13.6.1.
Starten Sie slapd mit folgendem Befehl:
Nachdem Sie LDAP konfiguriert haben, k�nnen Sie chkconfig, ntsysv oder Services Configuration Tool verwenden, um LDAP so zu konfigurieren, dass es zur Bootzeit gestartet wird. Weitere Informationen zum Konfigurieren von Services finden Sie im Kapitel Kontrolle des Zugriffs auf die Services im Red Hat Enterprise Linux Handbuch zur System-Administration.
F�gen Sie Eintr�ge zum LDAP-Verzeichnis mit Hilfe von ldapadd hinzu.
Verwenden Sie ldapsearch, um zu pr�fen, ob slapd auf die Informationen richtig zugreift.
Wenn Sie an diesem Punkt angelangt sind, sollte Ihr LDAP-Verzeichnis ordnungsgem�� funktionieren, und Sie k�nnen alle LDAP-f�higen Applikationen f�r die Verwendung des LDAP-Verzeichnisses konfigurieren.
13.6.1. Bearbeiten des Verzeichnisses /etc/openldap/slapd.conf
Sie m�ssen die Konfigurationsdatei /etc/openldap/slapd.conf des slapd-LDAP-Servers �ndern, um ihn verwenden zu k�nnen. Sie m�ssen diese Datei bearbeiten, um sie an Ihre Domain und Server anzupassen.
Die Suffix-Zeile nennt die Domain, f�r die der LDAP-Server Informationen bereitstellt und sollte wie folgt ge�ndert werden:
suffix "dc=your-domain,dc=com" |
Hier muss ein g�ltiger Domainname eingetragen werden. Zum Beispiel:
suffix "dc=example,dc=com" |
Der Eintrag rootdn ist der eindeutige Name (Distinguished Name, kurz DN) f�r einen Benutzer, der keinen Einschr�nkungen durch Parameter der Zugriffssteuerung oder Benutzerverwaltung unterliegt, die im LDAP-Verzeichnis f�r Vorg�nge festgelegt sind. Der Benutzer rootdn ist sozusagen Root f�r das LDAP-Verzeichnis. Die rootdn-Zeile ist zu �ndern in:
rootdn "cn=root,dc=example,dc=com" |
Wenn Sie vorhaben, dass LDAP-Verzeichnis �bers Netzwerk zu verwalten, �ndern Sie die rootpw-Zeile — indem Sie den Standardwert mit einem verschl�sselten Passwort ersetzen. Um ein verschl�sseltes Passwort zu erzeugen, geben Sie den folgenden Befehl ein:
Sie werden dazu aufgefordert, ein Passwort einzugeben, und durch eine zweite Eingabe zu best�tigen. Danach gibt das Programm das verschl�sselte Passwort am Terminal aus.
Als n�chstes, kopieren Sie das neu erzeugte verschl�sselte Passwort in die Datei /etc/openldap/slapd.conf in eine der rootpw-Zeilen, und entfernen Sie das Hash-Symbol (#).
Nach Abschluss, sollte die rootpw-Zeile etwa wie folgt aussehen:
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
 | Warnung |
|---|
| | LDAP-Passw�rter, einschlie�lich der in /etc/openldap/slapd.conf angegebenen rootpw-Direktive werden als Klartext �ber das Netzwerk gesendet, es sei denn, Sie aktivieren die TLS-Verschl�sselung. Um TLS-Verschl�sselung zu aktivieren, sehen Sie sich die Kommentare in /etc/openldap/slapd.conf an und die man-Seite f�r slapd.conf. |
F�r zus�tzliche Sicherheit sollte die rootpw-Direktive auskommentiert werden, indem ihr ein Hash-Symbol (#) vorangestellt wird.
Wenn Sie das Befehlszeilentool /usr/bin/slapadd verwenden, um das LDAP-Verzeichnis lokal aufzuf�llen, m�ssen Sie die rootpw-Direktive nicht verwenden.
 | Wichtig |
|---|
| | Sie m�ssen root sein um /usr/sbin/slapadd verwenden zu k�nnen. Der Verzeichnis-Server wird jedoch als Benutzer ldap ausgef�hrt. Der Verzeichnis-Server ist deshalb nicht in der Lage, Dateien, welche von slapadd erzeugt wurden, zu �ndern. Um dieses Problem zu beheben, geben Sie den folgenden Befehl ein, nachdem Sie slapadd beendet haben: chown -R ldap /var/lib/ldap |
|
