lug-in.de
Linux User Group Ingolstadt e.V.
Startseite
Der Verein
Technikecke
Mailingliste
Kalender
Impressum
Login

LDAP Manager

LDAP Manager ist ein grafisches Tool mit dem man sich die Funktionsweise von LDAP gut vor Augen führen kann. Das praktische daran ist, daß er uns dabei hilft eine sinvolle Struktur für unseren Verzeichnisdienst zu erstellen.

Die Installation ist trivial 

root@rieka$ aptitude install ldap-account-manager

Nach der Installation ist der Dienst zb. per Browser ansprechbar unter 

http://10.128.1.18/lam/templates/login.php

wobei hier 10.128.1.18 die Adresse im lokalen Netzwerk ist , unter der der Server zu erreichen ist:

Nach der Installation muss man erst einmal dem LAM konfigurieren. Das kann man getrost über die grafische Schnittstelle. Es gibt aber auch die Möglichkeit der direkten Konfiguration über die Datei /var/lib/ldap-account-manager/config/lam.conf

Hier ein Beispiel: 

types: suffix_user: ou=people,dc=calmar,dc=net 
types: attr_user: #uid;#givenName;#sn;#uidNumber;#gidNumber
types: modules_user: inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount

types: suffix_group: ou=group,dc=calmar,dc=net
types: attr_group: #cn;#gidNumber;#memberUID;#description
types: modules_group: posixGroup,sambaGroupMapping

types: suffix_host: ou=machines,dc=calmar,dc=net
types: attr_host: #cn;#description;#uidNumber;#gidNumber
types: modules_host: account,posixAccount,sambaSamAccount

types: suffix_smbDomain: ou=domains,dc=calmar,dc=net
types: attr_smbDomain: sambaDomainName:Domain name;sambaSID:Domain SID
types: modules_smbDomain: sambaDomain

Im obigen Beispiel sind alle Benutzer Mitglieder der Einheit (ou= organisational unit) people. LAM baut uns um die Einheit people eine Struktur in der sowohl personenebezogene Daten eingeben werden können, als auch reine Benutzerdaten.

Einfach mal auspropieren und eine neuen Benutzer anlegen.

Beim Erstmaligen einloggen vergibt man zuerst einsogenanntes Hauptpasswort. Damit kann man dann im Nachhinein alle Einstellungen die lam selbst betreffen modifizieren.

Jeder LDAP-Server hat sein eigenens Profil. In diesem kann man dann die jeweiligen spezifischen Einstellungen einstellen.

Loggt man sich jetzt ein bietet einem der LAMN an die oben aufgeführten Einheiten (ou) zu erstellen. Sind diese erstellt, so kann man daraufhin neue Benutzer oder Gruppen erstellen.

Tip:

Hat man z.B. ein neues Passwort für einen Benutzer vergeben, oder diesen gerade neu angelegt so kann man mit nachfolgenden Kommnado testen ob eine Authentifizierung durch PAM (nächstes Kapitel) funktioniert. 

bic@misato:~$ ldapsearch -h itoko -Y DIGEST-MD5 -U schoener
SASL/DIGEST-MD5 authentication started
Please enter your password: 
SASL username: schoener
SASL SSF: 128
SASL data security layer installed.
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result

.................

Zum Verständnis :

Wir fragen auf dem Host itoko (LDAP-Server)mit dem Authenfizierungverfahren DIGEST-MD5 als user schoener den Inhalt des Verzeichnisdienstes ab. Wenn nach der Passworteingabe die obige Ausgabe (und mehr ...) erscheint weis man folgendes:

1. Der Server itoko läuft und nimmt Anfragen nach der Methode DIGEST-MD5 entgegen.

2. Der User schoener existiert, hat ein Passwort das im LDAP-Verszeichnis im Format PLAIN hinterlegt, ist und das Passwort ist korrekt.

3. Das Mapping in der slapd.conf arbeitet korrekt.

Sollte es später bei der Verwendung von PAM nicht klappen, so könne wir schon mal den Fehler auf PAM , bzw dessen Konfiguration eingrenzen.

(V 1.03)