Das LDAPserver-Paket Dieses Paket ist eine Weiterentwicklung des openldap-Paketes von Jens Vehlhaber (E-MAIL [1]jvehlhaber@buchenwald.de). Es enthaelt einzig die LDAP-Server-Programme, die LDAP-Client-Programme wurden in ein eigenstaendiges Paket mit Namen 'LDAPclient' ausgelagert. Die Einleitung In diesem Paket wurden die fuer den Betrieb eines LDAP-Servers (Lightweight Directory Access Protocol) benoetigten Programme zusammengefasst. Die Funktionen Das LDAPserver-Paket besteht aus folgenden Komponenten: * openldap - enthaelt die LDAP Serverkomponenten. ([2]http://www.openldap.org/) Die Voraussetzungen Dieses Paket benoetigt zur korrekten Funktion die folgenden Pakete: certs (bei Aktivierung der Verschluesselung), ldapclient, libdb4, libkrb5-1-4, libldap, libsasl, libssl und libwrap7-6. Die Installation Das LDAPserver-Paket wird ueber das Setup-Menue installiert. Wird eine aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die neuen Programmdateien installiert werden. Nach dem Installieren der Programmdateien wird direkt der Konfigurations-Editor gestartet um die Konfiguration anzupassen. Nach Beendigung dieses Schrittes werden die Konfigurationsdateien generiert und alle benoetigten Programme gestartet. Das Menue im Setup-Programm Das Menue im Setup-Programm ist wie folgt aufgebaut: * OpenLDAP Server Administration + View documentation: Anzeigen der Dokumentation + Edit configuration: Bearbeiten der Konfiguration + Advanced configuration file handling: Konfigurationen verwalten + Show status: Status des LDAP-Daemon anzeigen + Start service: Starten des LDAP-Daemon + Stop service: Stoppen LDAP-Daemon + Restart service: Neustarten des LDAP-Daemon + Create new LDAP tree: Neuen LDAP-Verzeichnisbaum anlegen + Backup LDAP database: LDAP-Verzeichnisbaum sichern + Restore LDAP database: LDAP-Verzeichnisbaum wiederherstellen + Return: Untermenue verlassen Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion nicht weiter eingegangen. Die Aenderung der Konfiguration Die Konfiguration kann ueber den Menuepunkt 'Edit configuration' geaendert werden. Standardmaessig wird der Editor aufgerufen, der in der Environment- Konfiguration ueber die Variable 'EDITOR' festgelegt wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber ein Skript die Anpassungen umgehend wirksam gemacht. Die Konfigurationsdatei In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/ldapserver. Die Parameter START_LDAPSERVER Zur Aktivierung des LDAP-Serverprogramms muss dieser Parameter lediglich auf den Wert 'yes' gestellt werden. Die Einstellung 'no' deaktiviert das Programm. Gueltige Werte: yes, no Standardeinstellung: START_LDAPSERVER='no' LDAPSERVER_LDAP_BASEDC Dieser Parameter zeigt die Basisdomain des LDAP-Verzeichnisbaums an und kann einmalig nur beim Anlegen eines neuen LDAP-Verzeichnisbaums festgelegt werden. Falls noch kein LDAP-Verzeichnis existiert, wird dieser Parameter initial waehrend des Konfigurationsprozesses abgefragt. Gueltige Werte: Base Domain Component Standardeinstellung: LDAPSERVER_LDAP_BASEDC='privatnet' LDAPSERVER_LDAP_BASEDN Dieser Parameter zeigt den Base Distinguished Name des LDAP-Verzeichnises an und kann einmalig nur beim Anlegen eines neuen LDAP-Verzeichnisbaums festgelegt werden. Falls noch kein LDAP-Verzeichnis existiert, wird dieser Parameter initial waehrend des Konfigurationsprozesses abgefragt. Gueltige Werte: Base Distinguished Name Standardeinstellung: LDAPSERVER_LDAP_BASEDN='dc=privatnet,dc=lan' LDAPSERVER_LDAP_ADMIN_NAME Dieser Parameter zeigt den Namen des LDAP-Administrators an und kann einmalig nur beim Anlegen eines neuen LDAP-Verzeichnisbaums festgelegt werden. Falls noch kein LDAP-Verzeichnis existiert, wird dieser Parameter initial waehrend des Konfigurationsprozesses abgefragt. Gueltige Werte: LDAP-Accountname Standardeinstellung: LDAPSERVER_LDAP_ADMIN_NAME='ldapadmin' LDAPSERVER_LDAP_ADMIN_PASS Ueber diesen Parameter kann das Kennwort des LDAP-Administratorkontos festgelegt werden. Gueltige Werte: gueltiges Kennwort Standardeinstellung: LDAPSERVER_LDAP_ADMIN_PASS='' LDAPSERVER_TRANSPORT Ueber diesen Parameter kann ausgewaehlt werden ueber welchen Transport der LDAP-Server angesprochen werden kann. Es kann zwischen dem Standardtransport ueber Port 389/tcp, dem verschluesselten Transport ueber Port 636/tcp oder der Aktivierung beider Varianten gewaehlt werden. ACHTUNG Um den verschluesselten Transport auswaehlen zu koennen muss ein gueltiges Zertifikat mit Namen 'slapd.pem' oder ein symbolischer Link gleichen Namens, welcher auf ein gueltiges Zertifikat verweist, existieren. Gueltige Werte: default, tls or both Standardeinstellung: LDAPSERVER_TRANSPORT='default' LDAPSERVER_TLS_PROTOCOL Ueber diesen Parameter kann festgelegt werden welches TLS-Protokoll fuer die verschluesselte Kommunikation verwendet werden soll. Gueltige Werte: none, auto, tls1, ssl3 oder ssl2 Standardeinstellung: LDAPSERVER_TLS_PROTOCOL='none' LDAPSERVER_CLIENT_FORCE_TLS Ueber diesen Parameter kann festgelegt werden, ob ein Client-Zertifikat abgefragt werden soll und wie dieses geprueft werden soll. ignore - Ein Client-Zertifikat wird nicht abgefragt oder ausgewertet. yes - Ein Client-Zertifikat wird abgefragt. Wird kein Zertifikat zur Verfuegung gestellt oder ein ungueltiges Zertifikat zur Verfuegung gestellt, so wird eine Verbindung umgehend beendet. no - Ein Client-Zertifikat wird abgefragt. Wird kein Zertifikat zur Verfuegung gestellt, so wird eine Verbindung aufrecht erhalten. Wird ein ungueltiges Zertifikat zur Verfuegung zur Verfuegung gestellt, so wird eine Verbindung umgehend beendet. Gueltige Werte: ignore, yes, no Standardeinstellung: LDAPSERVER_CLIENT_FORCE_TLS='ignore' LDAPSERVER_MONITOR_ENABLED Ueber diesen Parameter kann man festlegen, ob die Monitoring-Funktion des LDAP-Servers aktiviert werden soll oder nicht. Mit welchen Befehlen diese Monitordaten abgefragt werden koennen wird spaeter noch weiter eingegangen. Gueltige Werte: yes, no Standardeinstellung: LDAPSERVER_MONITOR_ENABLED='no' LDAPSERVER_BACKUP Ueber diesen Parameter kann die regelmaessige Sicherung der LDAP-Datenbank aktiviert werden. Wird der Parameter auf `yes' gesetzt, so wird zum festgelegten Zeitpunkt der LDAP-Server gestoppt, die Datensicherung durchgefuehrt und dann der LDAP-Server wieder gestartet. Die Einstellung 'no' deaktiviert die Sicherungsfunktion. Gueltige Werte: yes, no Standardeinstellung: LDAPSERVER_BACKUP='no' LDAPSERVER_BACKUP_PATH Ueber diesen Parameter wird der absolute Pfad festgelegt in welchem die LDAP-Datenbank gesichert werden soll. Im angegebenen Verzeichnis wird dann zum festgelegten Zeitpunkt eine Sicherungsdatei abgelegt, deren Dateiname sich wie folgt zusammensetzt: --.ldif Gueltige Werte: Absoluter Verzeichnispfad Standardeinstellung: LDAPSERVER_BACKUP_PATH='/backup' LDAPSERVER_BACKUP_CRON_SCHEDULE Ueber diesen Parameter wird festgelegt zu welchem Zeitpunkt bzw. in welchem Intervall die LDAP-Datenbank gesichert werden soll. Die fuenf Teilparameter haben dabei folgende Bedeutung: 1 - Minuten, 2 - Stunden, 3 - Tag des Monats, 4 - Monat, 5 - Wochentag. D.h. bei Verwendung der Standardeinstellung wird jeden Sonntag um 02:03h eine Sicherung der LDAP-Datenbank durchgefuehrt. Wer Naeheres ueber die verwendete Befehlsyntax erfahren moechte, sollte ueber eine Internet-Suchmaschine nach `man' und `crontab' suchen. Gueltige Werte: Crontab-spezifischer Parametereintrag Standardeinstellung: LDAPSERVER_BACKUP_CRON_SCHEDULE='3 2 * * 0' Verschiedenes Neuen LDAP-Verzeichnisbaum anlegen (Create new LDAP tree) Nach der Installation des Paketes wird automatisch ein initialer LDAP-Verzeichnisbaum angelegt. Will man die grundliegende Struktur des Verzeichnisbaums jedoch modifizieren, so kann man ueber diesen Menuepunkt eine bestehende LDAP-Datenbank loeschen und mittels einer LDIF-Datei neu anlegen. LDAP-Monitorinformationen abfragen Hat man den Parameter [3]LDAPSERVER_MONITOR_ENABLED='yes' gesetzt, so ist es moeglich Statusinformationen vom LDAP-Server abzufragen. Eine Abfrage kann z.B. wie folgt aussehen (Natuerlich sind die Parameter entsprechend der eigenen Konfiguration anzupassen): ldapsearch -h localhost -x -D cn=ldapadmin,dc=privatnet,dc=lan -b 'cn=Monitor' -W -s base '(objectClass=*)' '*' '+' Will man z.B. die verfuegbaren Backends anzeigen, so gibt man den folgenden Befehl ein: ldapsearch -h localhost -x -D cn=ldapadmin,dc=privatnet,dc=lan -b 'cn=Backends,cn=Monitor' -W -s base '(objectClass=*)' '*' '+' Verschluesselte Verbindung testen Mit Hilfe des Openssl-Programms kann man testen, ob eine verschluesselte Verbindung zum LDAP-Server aufgebaut werden kann. Hierzu gibt man z.B. an der Konsole folgenden Befehl ein (Natuerlich sind die Parameter entsprechend der eigenen Konfiguration anzupassen): openssl s_client -connect localhost:636 -showcerts -state -CAfile /var/certs/ssl/certs/ca.pem SQL-Fehlermeldungen in der Logdatei Beim Start des LDAP-Daemon werden unter Umstaenden folgende Meldungen in die Logdatei /var/log/messages geschrieben: eis slapd[19429]: sql_select option missing eis slapd[19429]: auxpropfunc error no mechanism available eis slapd[19429]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql Diese Meldungen werden durch die im Verzeichnis /usr/lib/sasl2 befindlichen SQL-Include-Dateien 'libsql.so*' verursacht, welche bei der Initialisierung der SASL2-Funktionen geladen werden. Diese Meldungen haben keinen Einfluss auf die Funktionen des LDAP-Servers und koennen ignoriert werden. Alternativ koennen auch die genannten Include-Dateien umbenannt bzw. geloescht werden, was unter Umstaenden jedoch die Funktion anderer Pakete beeinflussen kann. LDAP-Client-Programme/-Editoren Hier ein paar Client-Programme ueber welche ich bei der Paketerstellung gestolpert bin: + LDAP-Admin (Windows) - [4]http://ldapadmin.sourceforge.net/ + phpLDAPadmin (Web) - [5]http://phpldapadmin.sourceforge.net/ + LDAPExplorerTool (Windows/Linux) - [6]http://ldaptool.sourceforge.net/ LDAP-Laenderformat Die standardmaessig ausgelieferten LDAP-Schemata legen fest, dass die Felder 'c', 'countryName' und 'mozillaHomeCountryName' einen zweistelligen Laenderkode nach ISO-3166 enthalten duerfen. Da das urspruengliche openldap-Paket eine solche Einschraenkung nicht vorgenommen hat, werden aus Gruenden der Kompatibilitaet modifizierte Schemata mitgeliefert. Diese Dateien werden verwendet, wenn bei der Installation ein installiertes openldap-Paket gefunden wird. Bei einer Neuinstallation werden die Standarddateien verwendet. Beispiel: Belgien -> BE Deutschland -> DE Liechenstein -> LI Luxemburg -> LU Niederlande -> NL Oesterreich -> AT Schweiz -> CH Weitere LDAP-Befehle Exportieren des LDAP-Verzeichnisbaums: ldapsearch -x -D cn=ldapadmin,dc=privatnet,dc=lanW > output.ldif Importieren einer LDIF-Datei in das LDAP-Verzeichnis: ldapadd -x -D cn=ldapadmin,dc=privatnet,dc=lanW -f input.ldif Die unterstuetzten LDAP-Backends Der LDAP-Server unterstuetzt verschieden Wege, um mit seiner Umgebung zu kommunizieren. Diese Schnittstellen werden 'Backend' genannt. config - Diese Schnittstelle gewaehrt den Zugriff auf die Konfiguration eines LDAP-Servers. bdb - Die Oracle Berkeley Datenbank wird standardmaessig fuer das Speichern der LDAP-Daten verwendet. hdb - Die Hierarchical Oracle Berkeley Datenbank ist groesstenteils identisch mit der 'bdb', unterstuetzt jedoch zusaetzlich einen hierarchisches Datenbankaufbau und und erlaubt das Umbenennen von Datenbankzweigen. ldap - Die LDAP-Schnittstelle leitet Anfragen an einen entfernten LDAP-Server weiter und agiert als eine Art Forwarding Proxy fuer LDAP-Anfragen. ldif - Die LDIF-Schnittstelle speichert LDAP-Daten im LDIF-Dateiformat. meta - Diese Schnittstelle ist groesstenteils identisch mit der 'ldap', dient aber hauptsaechlich dazu Anfragen an mehrere entfernte LDAP-Server weiter zu leiten und erlaubt zusaetzlich die Maskierung von Datenbankzweigen. monitor - Diese Schnittstelle gewaehrt den Zugriff auf Statusdaten eines LDAP-Servers. relay - Diese Schnittstelle erlaubt es in der gleichen LDAP-Instanz Datenbankzweige umzubenennen und in virtuelle Zweige umzuleiten. Dabei koennen Attribut- und Objekteigenschaften manipuliert werden. Regelmaessige LDAP-Anfragen von Windows Klienten Bei der Pruefung der LDAP Log-Eintraege stellte ich fest, dass alle 15min eine LDAP-Suchanfrage von meinen Windows-Klienten erfolgte, die ich mir nicht erklaeren konnte. Eine Analyse mittels des MS Network Monitors ergab, dass diese von dem Prozess LSASS.EXE veranlasst wurden. Die anschliessende Suche im Internet ergab, dass diese Anfragen Teil des Sicherheitsprozesses eines Windows- Rechners ist, der versucht einen Active Directory Server zu befragen. Mir ist kein Weg bekannt wie diese Anfragen eventuell unterbunden werden koennen, sodass man wohl damit leben muss. Die Details dieses Prozesses werden hier erklaert: [7]http://blogs.technet.com/b/askds/archive/2009/09/21/understanding-ld ap-security-processing.aspx Das Glossar * BaseDN - Base Distinguished Name * DN - Distinguished Name * LDAP - Lightweight Directory Access Protocol * RDN - Relative Distinguished Name __________________________________________________________________ Juergen Edner 2015-05-15