Content
Dateianzeige für ldapserver (1.6.2)
usr/share/doc/ldapserver/ldapserver.txt
Das LDAPserver-Paket
Dieses Paket ist eine Weiterentwicklung des openldap-Paketes von Jens
Vehlhaber (E-MAIL [1]jvehlhaber@buchenwald.de). Es enthaelt einzig die
LDAP-Server-Programme, die LDAP-Client-Programme wurden in ein
eigenstaendiges Paket mit Namen 'LDAPclient' ausgelagert.
Die Einleitung
In diesem Paket wurden die fuer den Betrieb eines LDAP-Servers
(Lightweight Directory Access Protocol) benoetigten Programme
zusammengefasst.
Die Funktionen
Das LDAPserver-Paket besteht aus folgenden Komponenten:
* openldap - enthaelt die LDAP Serverkomponenten.
([2]http://www.openldap.org/)
Die Voraussetzungen
Dieses Paket benoetigt zur korrekten Funktion die folgenden Pakete:
certs (bei Aktivierung der Verschluesselung), ldapclient, libdb4,
libkrb5-1-4, libldap, libsasl, libssl und libwrap7-6.
Die Installation
Das LDAPserver-Paket wird ueber das Setup-Menue installiert. Wird eine
aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die
neuen Programmdateien installiert werden. Nach dem Installieren der
Programmdateien wird direkt der Konfigurations-Editor gestartet um die
Konfiguration anzupassen. Nach Beendigung dieses Schrittes werden die
Konfigurationsdateien generiert und alle benoetigten Programme
gestartet.
Das Menue im Setup-Programm
Das Menue im Setup-Programm ist wie folgt aufgebaut:
* OpenLDAP Server Administration
+ View documentation: Anzeigen der Dokumentation
+ Edit configuration: Bearbeiten der Konfiguration
+ Advanced configuration file handling: Konfigurationen
verwalten
+ Show status: Status des LDAP-Daemon anzeigen
+ Start service: Starten des LDAP-Daemon
+ Stop service: Stoppen LDAP-Daemon
+ Restart service: Neustarten des LDAP-Daemon
+ Create new LDAP tree: Neuen LDAP-Verzeichnisbaum anlegen
+ Backup LDAP database: LDAP-Verzeichnisbaum sichern
+ Restore LDAP database: LDAP-Verzeichnisbaum wiederherstellen
+ Return: Untermenue verlassen
Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei
weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion
nicht weiter eingegangen.
Die Aenderung der Konfiguration
Die Konfiguration kann ueber den Menuepunkt 'Edit configuration'
geaendert werden. Standardmaessig wird der Editor aufgerufen, der in
der Environment- Konfiguration ueber die Variable 'EDITOR' festgelegt
wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die
Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber
ein Skript die Anpassungen umgehend wirksam gemacht.
Die Konfigurationsdatei
In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind
folgende Parameter vorhanden; wer sie von Hand editieren will findet
sie unter /etc/config.d/ldapserver.
Die Parameter
START_LDAPSERVER
Zur Aktivierung des LDAP-Serverprogramms muss dieser Parameter
lediglich auf den Wert 'yes' gestellt werden. Die Einstellung
'no' deaktiviert das Programm.
Gueltige Werte: yes, no
Standardeinstellung: START_LDAPSERVER='no'
LDAPSERVER_LDAP_BASEDC
Dieser Parameter zeigt die Basisdomain des LDAP-Verzeichnisbaums
an und kann einmalig nur beim Anlegen eines neuen
LDAP-Verzeichnisbaums festgelegt werden. Falls noch kein
LDAP-Verzeichnis existiert, wird dieser Parameter initial
waehrend des Konfigurationsprozesses abgefragt.
Gueltige Werte: Base Domain Component
Standardeinstellung: LDAPSERVER_LDAP_BASEDC='privatnet'
LDAPSERVER_LDAP_BASEDN
Dieser Parameter zeigt den Base Distinguished Name des
LDAP-Verzeichnises an und kann einmalig nur beim Anlegen eines
neuen LDAP-Verzeichnisbaums festgelegt werden. Falls noch kein
LDAP-Verzeichnis existiert, wird dieser Parameter initial
waehrend des Konfigurationsprozesses abgefragt.
Gueltige Werte: Base Distinguished Name
Standardeinstellung:
LDAPSERVER_LDAP_BASEDN='dc=privatnet,dc=lan'
LDAPSERVER_LDAP_ADMIN_NAME
Dieser Parameter zeigt den Namen des LDAP-Administrators an und
kann einmalig nur beim Anlegen eines neuen LDAP-Verzeichnisbaums
festgelegt werden. Falls noch kein LDAP-Verzeichnis existiert,
wird dieser Parameter initial waehrend des
Konfigurationsprozesses abgefragt.
Gueltige Werte: LDAP-Accountname
Standardeinstellung: LDAPSERVER_LDAP_ADMIN_NAME='ldapadmin'
LDAPSERVER_LDAP_ADMIN_PASS
Ueber diesen Parameter kann das Kennwort des
LDAP-Administratorkontos festgelegt werden.
Gueltige Werte: gueltiges Kennwort
Standardeinstellung: LDAPSERVER_LDAP_ADMIN_PASS=''
LDAPSERVER_TRANSPORT
Ueber diesen Parameter kann ausgewaehlt werden ueber welchen
Transport der LDAP-Server angesprochen werden kann. Es kann
zwischen dem Standardtransport ueber Port 389/tcp, dem
verschluesselten Transport ueber Port 636/tcp oder der
Aktivierung beider Varianten gewaehlt werden.
ACHTUNG
Um den verschluesselten Transport auswaehlen zu koennen muss ein
gueltiges Zertifikat mit Namen 'slapd.pem' oder ein symbolischer
Link gleichen Namens, welcher auf ein gueltiges Zertifikat
verweist, existieren.
Gueltige Werte: default, tls or both
Standardeinstellung: LDAPSERVER_TRANSPORT='default'
LDAPSERVER_TLS_PROTOCOL
Ueber diesen Parameter kann festgelegt werden welches
TLS-Protokoll fuer die verschluesselte Kommunikation verwendet
werden soll.
Gueltige Werte: none, auto, tls1, ssl3 oder ssl2
Standardeinstellung: LDAPSERVER_TLS_PROTOCOL='none'
LDAPSERVER_CLIENT_FORCE_TLS
Ueber diesen Parameter kann festgelegt werden, ob ein
Client-Zertifikat abgefragt werden soll und wie dieses geprueft
werden soll.
ignore - Ein Client-Zertifikat wird nicht abgefragt oder
ausgewertet.
yes - Ein Client-Zertifikat wird abgefragt. Wird kein Zertifikat
zur Verfuegung gestellt oder ein ungueltiges Zertifikat zur
Verfuegung gestellt, so wird eine Verbindung umgehend beendet.
no - Ein Client-Zertifikat wird abgefragt. Wird kein Zertifikat
zur Verfuegung gestellt, so wird eine Verbindung aufrecht
erhalten. Wird ein ungueltiges Zertifikat zur Verfuegung zur
Verfuegung gestellt, so wird eine Verbindung umgehend beendet.
Gueltige Werte: ignore, yes, no
Standardeinstellung: LDAPSERVER_CLIENT_FORCE_TLS='ignore'
LDAPSERVER_MONITOR_ENABLED
Ueber diesen Parameter kann man festlegen, ob die
Monitoring-Funktion des LDAP-Servers aktiviert werden soll oder
nicht. Mit welchen Befehlen diese Monitordaten abgefragt werden
koennen wird spaeter noch weiter eingegangen.
Gueltige Werte: yes, no
Standardeinstellung: LDAPSERVER_MONITOR_ENABLED='no'
LDAPSERVER_BACKUP
Ueber diesen Parameter kann die regelmaessige Sicherung der
LDAP-Datenbank aktiviert werden. Wird der Parameter auf `yes'
gesetzt, so wird zum festgelegten Zeitpunkt der LDAP-Server
gestoppt, die Datensicherung durchgefuehrt und dann der
LDAP-Server wieder gestartet. Die Einstellung 'no' deaktiviert
die Sicherungsfunktion.
Gueltige Werte: yes, no
Standardeinstellung: LDAPSERVER_BACKUP='no'
LDAPSERVER_BACKUP_PATH
Ueber diesen Parameter wird der absolute Pfad festgelegt in
welchem die LDAP-Datenbank gesichert werden soll. Im angegebenen
Verzeichnis wird dann zum festgelegten Zeitpunkt eine
Sicherungsdatei abgelegt, deren Dateiname sich wie folgt
zusammensetzt: --