Das LDAPclient-Paket Dieses Paket wurde auf Basis des LDAPserver-Paketes, welches aus dem openldap-Paket von Jens Vehlhaber (E-MAIL [1]jvehlhaber@buchenwald.de) hervor gegangen ist, erstellt und wird von Juergen Edner (E-MAIL [2]juergen@eisfair.org) weiter entwickelt. Es enthaelt einzig die zugehoerigen LDAP-Client-Programme. Die Einleitung In diesem Paket wurden die fuer den Zugriff auf einen LDAP-Server (Lightweight Directory Access Protocol) Server benoetigten Programme zusammengefasst. Die Funktionen Das LDAPclient-Paket besteht aus folgenden Komponenten: * openldap - Wird fuer den LDAP-Serverzugriff verwendet. ([3]http://www.openldap.org/) Die Voraussetzungen Dieses Paket benoetigt zur korrekten Funktion zwingende die installierten Pakete 'Certs' (bei Verwendung von Verschluesselung), 'Libldap', 'Libsasl', 'Libssl'. Die Installation Das LDAPclient-Paket wird ueber das Setup-Menue installiert. Wird eine aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die neuen Programmdateien installiert werden. Nach Beendigung dieses Schrittes werden die Konfigurationsdateien generiert und alle benoetigten Programme gestartet. Das Menue im Setup-Programm Das Menue im Setup-Programm ist wie folgt aufgebaut: * OpenLDAP client administration + View documentation: Anzeigen der Dokumentation + Edit configuration: Bearbeiten der Konfiguration + Advanced configuration file handling: Konfigurationen verwalten + Test LDAP connection: Verbindung zum LDAP-Server pruefen * Return: Untermenue verlassen Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion nicht weiter eingegangen. Die Aenderung der Konfiguration Die Konfiguration kann ueber den Menuepunkt 'Edit configuration' geaendert werden. Standardmaessig wird der Editor aufgerufen, der in der Environment- Konfiguration ueber die Variable 'EDITOR' festgelegt wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber ein Skript die Anpassungen umgehend wirksam gemacht. Die Konfigurationsdatei In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/ldapclient. Die Parameter START_LDAPCLIENT Zur Aktivierung der LDAP-Client-Konfiguration muss diese Variable lediglich auf den Wert 'yes' gestellt werden. Die Einstellung 'no' deaktiviert die Konfiguration. Gueltige Werte: yes, no Standardeinstellung: START_LDAPCLIENT='no' LDAPCLIENT_LDAP_HOSTURI Ueber diesen Parameter legt man den Hostnamen und TCP-Port des LDAP-Servers fest zu welchem eine Verbindung aufgebaut werden soll. Gueltige Werte: URI und TCP-Port Beispiel: LDAPCLIENT_LDAP_HOSTURI='ldap://meinserver.local.lan:389' LDAPCLIENT_LDAP_BASEDC Ueber diesen Parameter legt man die Basisdomain des LDAP-Verzeichnisbaums fest. Gueltige Werte: Base Domain Component Standardeinstellung: LDAPCLIENT_LDAP_BASEDC='privatnet' LDAPCLIENT_LDAP_BASEDN Ueber diesen Parameter wird der Base Distinguished Name des LDAP-Verzeichnisses festgelegt. Dies ist das Wurzelverzeichnis von welchem Suchanfragen etc. gestartet werden. Gueltige Werte: Base Distinguished Name Standardeinstellung: LDAPCLIENT_LDAP_BASEDN='dc=privatnet,dc=lan' LDAPCLIENT_LDAP_AUTH Ueber diesen Parameter wird festgelegt, ob der LDAP-Client sich bei einem Verbindungsaufbau authentifizieren soll oder nicht. Gueltige Werte: yes, no Standardeinstellung: LDAPCLIENT_LDAP_AUTH='no' LDAPCLIENT_LDAP_ADMIN_NAME Ueber diesen Parameter wird der Name des LDAP-Administrators festgelegt, welcher zur Authentifizierung am LDAP-Verzeichnisbaum verwendet werden soll. Gueltige Werte: LDAP-Accountname Standardeinstellung: LDAPCLIENT_LDAP_ADMIN_NAME='ldapadmin' LDAPCLIENT_LDAP_ADMIN_PASS Ueber diesen Parameter kann das Kennwort des LDAP-Administratorkontos festgelegt werden. Gueltige Werte: Kennwort Standardeinstellung: LDAPCLIENT_LDAP_ADMIN_PASS='' LDAPCLIENT_CLIENT_CERT_FILE Optionaler Parameter: Ueber diesen Parameter legt man den Namen des Client-Zertifikats fest, welches zur Authentifizierung am LDAP-Server verwendet werden soll. Eingegeben werden muss der absolute Pfad zur Datei inklusive des Dateinamens. Gueltige Werte: absoluter Pfad inkl. Dateiname Standardeinstellung: LDAPCLIENT_CLIENT_CERT_FILE='' LDAPCLIENT_CLIENT_KEY_FILE Optionaler Parameter: Ueber diesen Parameter legt man den Namen der Zertifikatsschluesseldatei fest, welches zur Authentifizierung am LDAP-Server verwendet werden soll. Eingegeben werden muss der absolute Pfad zur Datei inklusive des Dateinamens. Gueltige Werte: absoluter Pfad inkl. Dateiname Standardeinstellung: LDAPCLIENT_CLIENT_KEY_FILE='' LDAPCLIENT_SERVER_CERT_CHECK Optionaler Parameter: Ueber diesen Parameter legt man fest, in welcher Weise ein Serverzertifikat beim Aufbau einer TLS-gesicherten Verbindung geprueft werden soll. Zur Auswahl stehen folgende Varianten: + never - Es wird keine Zertifikatspruefung durch den LDAP-Client durchgefuehrt. + allow - Es wird ein Serverzertifikat angefordert, jedoch wird auch dann eine Verbindung aufgebaut wenn kein oder ein ungueltiges Zertifikat vom Server uebermittelt wird. + try - Es wird ein Serverzertifikat angefordert, jedoch wird auch dann eine Verbindung aufgebaut wenn kein Zertifikat vom Server uebermittelt wird. Wird ein ungueltiges Zertifikat uebermittelt, so wird die Verbindung umgehend beendet. + hard - Es wird ein Serverzertifikat angefordert und nur wenn ein korrektes Zertifikat vom Server uebermittelt wird, wird auch eine Verbindung aufgebaut. Gueltige Werte: never, allow, try, hard Standardeinstellung: LDAPCLIENT_SERVER_CERT_CHECK='never' Die Befehlsuebersicht * ldapadd - Dieses Programm wird zum Hinzufuegen von LDAP-Eintraegen verwendet. * ldapcompare - Diese Programm wird zum Vergleichen von LDAP-Attributen verwendet. * ldapdelete - Diese Programm wird zum Loeschen von LDAP-Eintraegen verwendet. * ldapexop - Dieses Programm wird zum Ausfuehren von erweiterten LDAP-Operationen verwendet. * ldapmodify - Diese Programm wird zum Modifizieren von LDAP-Eintraegen verwendet. * ldapmodrdn - Dieses Programm wird zum Umbenennen von RDN-Eintraegen verwendet. * ldappasswd - Diese Programm wird zum Aendern eines Kennwortes eines LDAP-Eintrags verwendet. * ldapsearch - Diese Programm wird zum Durchsuchen der LDAP-Datenbank verwendet. * ldapurl - Dieses Programm generiert eine RFC-4516 LDAP-URL mit Erweiterungen. * ldapwhoami - Dieses Programm fuehrt eine Who-am-I Anfrage beim LDAP-Verzeichnis durch. Verschiedenes Verschluesselte Verbindung testen Mit Hilfe des openssl-Programms kann man testen, ob eine verschluesselte Verbindung zum LDAP-Server aufgebaut werden kann. Hierzu gibt man z.B. an der Konsole folgenden Befehl ein (Natuerlich sind die Parameter entsprechend der eigenen Konfiguration anzupassen): openssl s_client -connect localhost:636 -showcerts -state -CAfile /var/certs/ssl/certs/ca.pem Weitere LDAP-Befehle Exportieren des LDAP-Verzeichnisbaums in eine LDIF-Datei: ldapsearch -x -D cn=ldapadmin,dc=privatnet,dc=lanW > output.ldif Importieren einer LDIF-Datei in das LDAP-Verzeichnis: ldapadd -x -D cn=ldapadmin,dc=privatnet,dc=lanW -f input.ldif PHP-LDAP-Zugriff Wenn es Probleme gibt sich ueber einen Webzugriff zu einem LDAP-Server zu verbinden, so kann es hilfreich sein, dass im Verzeichnis /usr/share/doc/ldapclient mitgelieferte PHP-Skript 'test-ldap.php' in den Webserverpfad zu kopieren, die Zugriffsrechte anzupassen und dann ueber den Webbrowser aufzurufen. Logeintraege einer TLS-Verbindung (anonymous): eis slapd[2609]: conn=14 fd=14 ACCEPT from IP=192.168.6.1:47276 (IP=0.0.0.0:636) eis slapd[2609]: conn=14 fd=14 TLS established tls_ssf=256 ssf=256 eis slapd[2609]: conn=14 op=0 BIND dn="" method=128 eis slapd[2609]: conn=14 op=0 RESULT tag=97 err=0 text= eis slapd[2609]: conn=14 op=1 UNBIND eis slapd[2609]: conn=14 fd=14 closed Logeintraege einer TLS-Verbindung (authentifiziert): eis slapd[2609]: conn=15 fd=14 ACCEPT from IP=192.168.6.1:47279 (IP=0.0.0.0:636) eis slapd[2609]: conn=15 fd=14 TLS established tls_ssf=256 ssf=256 eis slapd[2609]: conn=15 op=0 BIND dn="cn=ldapadmin,dc=local,dc=lan" method=128 eis slapd[2609]: conn=15 op=0 BIND dn="cn=ldapadmin,dc=local,dc=lan" mech=SIMPLE ssf=0 eis slapd[2609]: conn=15 op=0 RESULT tag=97 err=0 text= eis slapd[2609]: conn=15 op=1 UNBIND eis slapd[2609]: conn=15 fd=14 closed Das Glossar * BaseDN - Base Distinguished Name * DN - Distinguished Name * LDAP - Lightweight Directory Access Protocol * RDN - Relative Distinguished Name __________________________________________________________________ Juergen Edner 2012-06-18