Verzi�t�rt�net | ||
---|---|---|
Verzi�: 1.09 | 2004.03.05 | |
OpenLDAP 2.2 �s �ltal�nos jav�t�sok. | ||
Verzi�: 1.08 | 2003.04.02 | |
SASL, DIGEST-MD5 hiteles�t�ssel. | ||
Verzi�: 1.07 | 2002.09.16 | |
Szed�si jav�t�sok. | ||
Verzi�: 1.06 | 2002.07.17 | |
�tt�r�s a Docbook XML standard form�tumra, a sz�veg teljes fel�lvizsg�lata. OpenLDAP 2.1 bemutat�sa. | ||
Verzi�: 1.05 | 2001.06.22 | �tdolgozta: lepm |
Megold�s a "hossz� sorok" probl�m�ra (a doksi PDF form�ban sz�tcs�szott). | ||
Verzi�: 1.04 | 2001.02.28 | �tdolgozta: lepm |
Tipogr�fiai jav�t�sok, �s a "Roaming Access", "Azonos�t�s LDAP seg�ts�g�vel" fejezetek friss�t�se. | ||
Verzi�: 1.03 | 2000.09.28 | �tdolgozta: lepm |
Az OpenLDAP 2.0 bemutat�sa, ami m�r az LDAP v3-at tartalmazza, idev�g� szabv�ny: RFC2251 | ||
Verzi�: 1.02 | 2000.09.13 | �tdolgozta: lepm |
Sz�veg jav�t�sok, �j fejezet a "Verzi�t�rt�net". | ||
Verzi�: 1.01 | 2000.02.15 | �tdolgozta: lepm |
�j fejezetek az "LDAP migr�ci�s eszk�z�k", "Azonos�t�s LDAP haszn�lat�val", "Grafikus LDAP eszk�z�k", "RFC-k" | ||
Verzi�: 1.00 | 1999.06.20 | �tdolgozta: lepm |
A legels� v�ltozat. |
Egy m�sik d�mon gondoskodik az LDAP szerverek k�z�tti replik�ci�r�l. Ezt slurpd-nek h�vj�k, �s egyel�re nem foglalkozunk vele. Ez a dokument�ci� a slapd d�monr�l sz�l, amely lok�lis h�l�zatokon ny�jt c�mt�rszolg�ltat�st, replik�ci� - vagyis slurpd - n�lk�l. Tov�bbi inform�ci�t a t�bbsz�r�z�sr�l a OpenLDAP Administrator's Guide (OpenLDAP adminisztr�torok k�zik�nyve) dokumentumban tal�lsz.
Az LDAP szervernek ez az egyszer� be�ll�t�sa megfelel� kezd�s lesz, amelyet k�s�bb k�nnyen tov�bbfejleszthetsz, ha akarsz. Ez a dokument�ci� bemutatja az LDAP protokoll haszn�lat�hoz sz�ks�ges kezdeti l�p�seket. Lehets�ges, hogy miut�n v�gig�r�nk a dokumentumon el�g er�t �rzel majd magadban a tov�bbi fejleszt�i munk�hoz, a szerver lehet�s�geinek min�l teljesebb kihaszn�l�s�hoz - s�t, saj�t kliens programoz�s�hoz - a fellelhet� C, C++ �s Java fejleszt� eszk�z�kkel.
Az LDAP bet�sz� az angol "Lightweight Directory Access Protocol" (k�nny� c�mt�r el�r�si protokoll) kifejez�sb�l sz�rmazik. Ahogy a n�v is sugalmazza az LDAP kliens-szerver protokoll, c�mt�r szolg�ltat�s el�r�s�hez, melyet eleinte f�leg X.500 hozz�f�r�shez alkalmaztak. Az LDAP TCP/IP vagy m�s kapcsolat orient�lt �tviteli szolg�ltat�st haszn�lhat. Az LDAP az RFC2251-ben - "The Lightweight Directory Access Protocol (v3)" - van defini�lva. (M�g egy URL: RFC2251 - a ford�t�)
A c�mt�r olyan, mint egy adatb�zis, de arra t�rekszik, hogy mag�ba foglaljon egy r�szletesebb, tulajdons�g alap� inform�ci�kezel�st. �ltal�ban az inform�ci�t a c�mt�rban gyakrabban olvass�k, mint �rj�k. Ennek k�vetkezt�ben a c�mt�rak �ltal�ban nem alkalmaznak bonyolult tranzakci� kezel�st vagy roll-back rendszereket, amiket �ltal�ban az adatb�ziskezel�k haszn�lnak a nagy m�ret�, �sszetett friss�t�sekhez. A c�mt�r aktualiz�l�sa tipikusan egyszer�, mindent vagy semmit jelleg� v�ltoz�s. A c�mt�rakat �sszetett k�rd�sek gyors megv�laszol�s�ra hangolt�k. K�pes arra, hogy sz�les k�rben sokszoros�tsa az inform�ci�kat az�rt, hogy n�velje az el�rhet�s�get �s a rendelkez�sre �ll�st, mik�zben a v�laszid�t cs�kkenti. A t�bbsz�r�z�tt c�mt�r inform�ci�k egyes p�ld�nyai k�z�tt �tmeneti rendezetlens�g megengedett, de a t�bbsz�r�z�sek (replica) v�g�l szinkronba ker�lnek.
Sok k�l�nb�z� lehet�s�g van c�mt�r szolg�ltat�s ny�jt�s�ra. K�l�nb�z� elj�r�sokkal m�s �s m�s inform�ci�k t�rolhat�k a c�mt�rban, k�l�nb�z� k�vetelm�nyek szerint lehet hivatkozni az inform�ci�kra, lek�rdezni �s friss�teni az adatokat, megv�deni azokat a meg nem engedett hozz�f�r�st�l, stb. N�h�ny c�mt�r szol�ltat�s lok�lis, �s korl�tozott k�rnyezetben ny�jt szolg�ltat�sokat (p�ld�ul a finger szolg�ltat�s �n�ll� g�pen). M�s szolg�ltat�sok glob�lisak, sz�les k�rben el�rhet�ek.
BDB seg�deszk�z�k: Sleepycat Berkeley DB 4. LDBM seg�deszk�z�k: Berkeley DB vagy a GDBM.
A BDB tranzakci�s h�t�r adatb�zist t�bbfelhaszn�l�s olvas�si/�r�si adatb�zis el�r�sre fejlesztett�k ki, mindenf�le olvas�si/�r�si m�velet kombin�ci�j�val. A BDB olyan programokkal haszn�lhat� egy�tt, melyekhez sz�ks�gesek a k�vetkez�k:
Tranzakci�k, bele�rtve a t�bbsz�r�s v�ltoztat�st az adatb�zison, a vissza�ll�t�s lehet�s�g�vel egy�tt.
A rendszer�sszeoml�sokb�l �s hardverhib�kb�l fakad� hib�k helyre�ll�t�s�nak k�pess�ge, minden lezajlott tranzakci� elveszt�se n�lk�l.
Ez a le�r�s a BDB h�tt�r adatb�zis haszn�lat�t felt�telezi.
A c�mt�r inform�ci�k import�l�sa �s export�l�sa k�t LDAP alap� c�mt�rszolg�ltat� szerver k�z�tt, �s a c�mt�rakban alkalmazott v�ltoz�sok le�r�sa az LDIF form�tumk�nt ismert (LDAP Data Interchange Format; LDAP adatcser�l�si form�tum) f�jlokkal lehets�ges. Az LDIF f�jl a bejegyz�seket objektum orient�lt hierarchikus form�ban t�rolja. Az LDAP csomag tartalmazza az LDIF f�jlok BDB form�tumba konvert�l�s�hoz sz�ks�ges eszk�z�ket.
Egy LDIF f�jl �ltal�ban �gy n�z ki:
dn: o=TUDelft, c=NL o: TUDelft objectclass: organization dn: cn=Luiz Malere, o=TUDelft, c=NL cn: Luiz Malere sn: Malere mail: malere@yahoo.com objectclass: person |
Mint l�that�, minden bejegyz�snek saj�t azonos�t�ja van, a distinguished name (DN; megk�l�nb�ztet� n�v). A DN a bejegyz�s nev�b�l �ll, megtoldva a n�v el�r�si �tj�val vissza a c�mt�r hierarchia cs�cs�ig (mint egy f�n�l).
Az LDAP-n�l az objektumoszt�lyok hat�rozz�k meg a bejegyz�sek azonos�t�s�hoz haszn�lhat� jellemz�k csoportj�t. Az LDAP standard az al�bbi alapvet� objektum oszt�lyokat ny�jtja:
Group (csoport), f�ggetlen objektumok rendezetlen list�ja vagy objektumok csoportja.
Location (elhelyezked�s), az orsz�gok nevei �s le�r�suk.
Organization (szervezet).
People (szem�ly).
Egy bejegyz�s t�bb objektumoszt�lyhoz is tartozhat. P�ld�ul a person bejegyz�st defini�lja a person objektumoszt�ly, de szint�n defini�lj�k az inetOrgPerson, groupOfNames �s organization objektumoszt�lyok. Az LDAPserver objektumoszt�ly strukt�r�j�t (s�m�j�t) meghat�rozza az egyes bejegyz�sek sz�m�ra sz�ks�ges �s enged�lyezett attrib�tumok egy�ni list�ja.
A c�mt�r az adatokat jellemz�-�rt�k (attribute-value) p�rosk�nt jelen�ti meg. Az inform�ci� meghat�rozott darabjai a le�r� attrib�tumhoz tartoznak.
P�ld�ul, a commonName (k�zn�v), vagy cn attrib�tum az egy�nek nev�t t�rolja. A Jonas Salk nev� embert a c�mt�rban a k�vetkez� bejegyz�s azonos�tja:
cn: Jonas Salk |
Minden, a c�mt�rban bejegyzett egy�nt a person objektumoszt�lyban t�rolt jellemz�k csoportja �r le. M�s jellemz�ket is lehet ugyanabban a bejegyz�sben haszn�lni:
givenname: Jonas surname: Salk mail: jonass@airius.com |
A bejegyz�shez sz�ks�ges jellemz�ket tartalmaznia kell a haszn�lt objektumoszt�lynak. Minden bejegyz�snek tartalmaznia kell az objectClass-t, ami a bejegyz�shez tartoz� objektumoszt�lyok list�j�t tartalmazza.
Az enged�lyezett jellemz�knek szerepelnie kell a haszn�lt objektumoszt�lyban. P�ld�ul, a person objektumoszt�lyban a cn �s sn jellemz�k sz�ks�gesek. A le�r�sban a telephoneNumber, seeAlso �s userpassword jellemz�k enged�lyezettek, de nem sz�ks�gesek.
Minden attrib�tumnak meghat�rozott szintaxis-defin�ci�ja van. A szintaxis-defin�ci� inform�ci�t ny�jt a jellemz�r�l, mint p�ld�ul:
bin binary (bin�ris)
ces case exact string (bet�nagys�gnak meg kell egyeznie az �sszehasonl�t�s sor�n).
cis case ignore string (bet�nagys�gnak nem kell egyeznie az �sszehasonl�t�s sor�n).
tel telephone number string (olyan, mint a cis, de a "-" kihagy�s�val).
dn distinguished name (megk�l�nb�ztet� n�v).
Figyelem! Az objektumoszt�lyok �s a jellemz�k �ltal�ban egy - az OpenLDAP telep�t�si k�nyvt�r�ban a schema alk�nyvt�rban tal�lhat� s�ma-f�jl szerint �llnak �ssze.
Ha b�rmilyen k�ts�g mer�l fel benned valamilyen, az angol dokumentumban tal�lhat� inform�ci�val kapcsolatban, angolul �rj levelet erre a malere@yahoo.com e-mail c�mre
Egy�b, a t�m�ba v�g� hozz�f�zni val�d, javaslatod, �tleted is v�rom!
Karl Lattimer meg�rdemelne egy k�l�nd�jat a SASL r�szben ny�jtott seg�ts�g��rt.
Ha k�rd�sed van l�togass el a http://www.gnu.org/licenses/fdl.txt oldalra, �s l�pj kapcsolatba a LINUX-HOGYAN koordin�tor�val az guylhem@metalab.unc.edu e-mail c�men.
A magyar ford�t�st Hal�sz G�bor k�sz�tette (2000). A ford�t�st V�lgyi P�ter friss�tette (2004.01.26). A friss�t�st lektor�lta Kormos Gy�rgy (2004.03.16). Az utols� friss�t�st Daczi L�szl� jelenleg is v�gzi. Eme dokumentum legfrissebb v�ltozata megtal�lhat� a Magyar Linux Dokument�ci�s Projekt honlapj�n.
�t l�p�s sz�ks�ges a szerver telep�t�s�hez:
Az OpenSSL TLS programk�nyvt�rai �ltal�ban az alaprendszer r�sz�t k�pezik, vagy opcion�lis programr�szk�nt jelennek meg. Az OpenSSL hivatalosan a http://www.openssl.org webhelyen tal�lhat�.
Azonos�t�s Kerberos-szal
Az OpenLDAP kliensek �s szerverek t�mogatj�k a Kerberos alap� azonos�t�st. Az OpenLDAP kiemelten t�mogatja a Heimdal vagy MIT Kerberos V alap� SASL/GSSAPI azonos�t�si met�dust. Ennek a haszn�lat�hoz a megfelel� csomagokat (Heimdal vagy MIT Kerberos V) telep�teni kell. A Heimdal Kerberos a http://www.pdc.kth.se/heimdal, a MIT Kerberos a http://web.mit.edu/kerberos/www webhelyen tal�lhat� meg.
A Kerberos szint�, emelt biztons�gi fok� azonos�t�s haszn�lata er�sen javasolt.
A Cyrus f�le SASL programk�nyvt�rak
A Cyrus f�le SASL (Simple Authentication and Security Layer; egyszer� azonos�t�s �s biztons�gi szint) programk�nyvt�rak �ltal�ban az alaprendszer r�sz�t k�pezik, vagy kieg�sz�t� csomagokk�nt tal�lhat�ak meg. A Cyrus SASL a http://asg.web.cmu.edu/sasl/sasl-library.html webhelyen tal�lhat� meg. A Cyrus SASL csak akkor tudja haszn�lni az OpenSSL �s a Kerberos/GSSAPI programk�nyvt�rakat, ha azokat el�bb telep�ted n�la. A dokumentum �r�sa sor�n a Cyrus SASL 2.1.17 verzi�j�t haszn�ltam.
Adatb�zis szoftverek
A Slapd's els�dleges adatb�zis h�ttere a BDB, m�k�d�s�hez sz�ks�ges a Sleepycat Software Berkeley DB (v4). Amennyiben a be�ll�t�skor nem �ll rendelkez�sre, akkor a slapd-t nem lehet els�dleges h�ttt�r adatb�zissal haszn�lni.
Ha nincs sem az alap Linux rendszereden, sem kieg�sz�t� csomagk�nt Berkeley DB (v4), a legegyszer�bben a Sleepycat webhelyen lehet hozz�jutni. A dokumentum friss�t�se idej�n a leg�jabb stabil, �s aj�nlott verzi� a 4.2.52-es. Az OpenLDAP slapd LDBM h�tt�r t�bbf�le adatb�zis kezel�, menedzsel� fel�let haszn�lat�t t�mogatja, �gy p�ld�ul a Berkeley DB (v3) �s a GDBM haszn�lat�t is. A GDBM let�lthet� az FSF webhely�r�l, amely a ftp://ftp.gnu.org/pub/gnu/gdbm/ honlapon tal�lhat�.
Sz�lak
A t�bbsz�l�s�g nagy val�sz�n�s�ggel alap�rtelmezetten t�mogatott a Linux rendszereden. Az OpenLDAP-t �gy tervezt�k, hogy ennek el�nyeit kihaszn�lhassa. Az OpenLDAP t�mogatja a POSIX pthread, a Mach CThread �s m�g sz�mos m�s sz�lkezel�si technol�gi�t. A konfigur�ci�s szkript jelez, ha nem tal�l alkalmas sz�lkezel�si rendszert. Amennyiben ilyesmi fordulna el� keresd fel az OpenLDAP GYIK-et, amely a http://www.openldap.org/faq/ honlapon tal�lhat�.
TCP sz�r�k
A Slapd t�mogatja a TCP sz�r�k (IP szint� hozz�f�r�s sz�r�k) haszn�lat�t, amennyiben az el�bb lett telep�tve mint a slapd. A TCP sz�r� vagy m�s IP alap� hozz�f�r�s sz�r� (mint egy IP alap� t�zfal) haszn�lata javasolt nem publikus szerverek adatainak v�delm�re.
Az aktu�lis OpenLDAP verzi�t a http://www.openldap.org webhelyen tal�lod meg.
A University of Michigan Server legfrissebb v�ltozata az ftp://terminator.rs.itd.umich.edu/ldap webhelyen tal�lhat�.
Ennek a dokumentumnak a meg�r�s�hoz az OpenLDAP 2.2.5-os v�ltozat�t haszn�ltam, rendszerem a Mandrake 9.0, 2.4.20-as rendszermaggal.
Az OpenLDAP webszerver�n megtal�lod az OpenLDAP szerver legutols� stabil �s fejleszt�i v�ltozat�t. A dokumentum friss�t�sekor az utols� stabil v�ltozat az openldap-stable-20031217.tgz (v: 2.1.25), a fejleszt�i v�ltozat az OpenLDAP-2.2.5.tgz.
Ha az bet�m�r�tett csomag rendelkez�sre �ll a sz�m�t�g�pen, t�m�r�ts�k ki.
tar xvzf openldap-2.2.5.tgz |
Ugyanilyen j�l haszn�lhat� a k�vetkez� is:
gunzip openldap-2.2.5.tgz | tar xvf - |
./configure --help |
./configure |
Figyeld a kimenet�t, hogy l�sd, minden a megfelel�en t�rt�nik-e.
env CPPFLAGS=-I/usr/local/openssl/include \ LDFLAGS=-L/usr/local/openssl/lib \ configure --with-tls ... |
make depend |
Majd a szerver ford�t�s�hoz a k�vetkez� parancsot kell haszn�lni:
make |
Ahhoz, hogy biztosak legy�nk a dolgunkban, futtassunk egy tesztet is (csak n�h�ny percr�l van sz�):
make test |
su root -c 'make install' |
Ez minden, most m�r megvannak a szerver �s sok seg�dprogram bin�ris f�jljai. A k�vetkez� 3 fejezetben az OpenLDAP szerver m�k�d�s�nek be�ll�t�s�r�l lesz sz� .
# global configuration directives <global config directives> # backend definition backend <typeA> <backend-specific directives> # first database definition & config directives database <typeA> <database-specific directives> # second database definition & config directives database <typeB> <database-specific directives> # second "typeA" database definition & config directives database <typeA> <database-specific directives> # subsequent backend & database definitions & config directives ... |
access to <what> [ by <who> <accesslevel> <control> ]+ |
Ezen opci� biztos�tja az <accesslevel> �ltal meghat�rozott m�don (hogyan?) a <what>> �ltal meghat�rozott bejegyz�sekhez (mit?) �s tulajdons�gokhoz a <who> �ltal meghat�rozott k�relmez�k (ki?) hozz�f�r�s�t. R�szletek az 3.7 r�szben.
Fontos: amennyiben nincs hozz�f�r�si direkt�va meghat�rozva, �gy az alap�rtelmezett hozz�f�r�si szab�ly az access to * by * read, enged�lyezi mind az azonos�tott, mind az anonymus felhaszn�l�knak az olvas�si jogot.
attributetype <RFC2252 Attribute Type Description> |
Ez a direkt�va egy param�ter t�pust hat�roz meg. Tov�bbi inform�ci�t tal�lsz a Schema Specification (minta) le�r�sban.
idletimeout <integer> |
Meghat�rozza egy medd� kapcsolat bez�r�s�nak idej�t. (Ennyi m�sodperc m�lva kezdem�nyezi a kapcsolat megszak�t�s�t). A 0 �rt�k (alaphelyzet) kikapcsolja ezt a funkci�t.
include <filename> |
Ez az opci� meghat�rozza azokat a konfigur�ci�s �llom�nyokat, amelyeket a slapd v�gigolvas, miel�tt a k�vetkez� sorral folytatn� a f�jl feldolgoz�s�t. A beemelt f�jlnak k�vetnie kell a slapd konfigur�ci�s form�tum�t. Ezt a lehet�s�get az adatb�zis-h�tt�r objektumoszt�lyainak �s attrib�tumainak defin�ci�it tartalmaz� f�jlok beemel�s�re haszn�lhat�.
Megjegyz�s: �vatosan kezelend� ez az opci�. Semmi nem korl�tozza az egym�sba �gyazott include-ok sz�m�t, �s nincs hurokellen�rz�s sem.
loglevel <integer> |
Ez az opci� specifik�lja, hogy milyen hibak�vet� �zenetek �s m�k�d�si statisztik�k ker�ljenek az syslog-ba (jelenleg a syslogd-n(8) kereszt�l LOCAL4 jellemz�vel ker�lnek napl�z�sra az esem�nyek). Ehhez az OpenLDAP-t --enable-debug kapcsol�val (alaphelyzet) kell ford�tani a slapd-t, (kiv�ve a k�t stat szintet, amelyek mindig m�k�dnek). A loglevel �rt�kei �sszead�dnak. Annak megjelen�t�s�hez,hogy melyik �rt�k milyen �zeneteket eredm�nyez, a slapd-t -? param�terrel kell megh�vni. Az �rt�kek megtal�lhat�ak az al�bbi t�bl�zatban is (<integer>):
T�bl�zat 3-1. Hibakeres� szintek
Szint | Le�r�s |
---|---|
-1 | enable all debugging (minden hibak�vet�s enged�lyezve) |
0 | no debugging (nincs hibak�vet�s) |
1 | trace function calls (funkcion�lis h�v�sok k�vet�se) |
2 | debug packet handling (csomagkezel�s hibak�vet�se) |
4 | heavy trace debugging (kiterjedt hibakeres�s) |
8 | connection management (kapcsolatkezel�s) |
16 | print out packets sent and received (k�ld�tt �s fogadott csomagok list�z�sa) |
32 | search filter processing (keres� sz�r� feldolgoz�sa) |
64 | configuration file processing (konfigur�ci�s f�jl feldolgoz�sa) |
128 | access control list processing (hozz�f�r�si jogosults�g lista feldolgoz�sa) |
256 | stats log connections/operations/results (statisztika: napl� kapcsolat/m�velet/eredm�ny) |
512 | stats log entries sent (statisztika: elk�ld�tt napl�bejegyz�sek) |
1024 | print communication with shell backends (shell h�tt�r kommunik�ci� megjelen�t�se) |
2048 | print entry parsing debugging (bejegyz�s-ford�t�s hibak�vet�se) |
Ez nagyon sok �zenetet eredm�nyez a syslog-ban.
objectclass <RFC2252 Object Class Description> |
Ez az opci� defini�lja a s�ma szab�lyokat az adott objektum-oszt�lyokhoz. Tov�bbi inform�ci�t tal�lsz a Schema Specification (minta) le�r�sban.
referral <URI> |
Ez specifik�lja, hova k�ldje a slapd a k�r�st, ha nem tal�l inform�ci�t a k�r�s megv�laszol�s�hoz a helyi adatb�zisban.
P�lda:
referral ldap://root.openldap.org
Ez �tir�ny�tja a nem lok�lis k�r�seket a k�zponti OpenLDAP szervernek (University of Michigan LDAP szerver - a ford�t�). Az �gyes LDAP kliensek �jra felteszik a k�rd�st enn�l a szervern�l, de a legt�bb kliens csak arra k�pes, hogy egyszer� LDAP URL-eket kezeljen, melyek csak host r�szb�l �s esetleg distinguished name-b�l �llnak.
sizelimit <integer> |
Ez az lehet�s�g maximaliz�lja a keres�sre adott v�lasz sorainak sz�m�t.
Alap�rtelmezett:
sizelimit 500
timelimit <integer> |
Ez a kapcsol� specifik�lja egy k�rd�s megv�laszol�s�ra sz�nhat� maxim�lis id�t, m�sodpercekben (val�s id�ben). Ha a k�r�st ez id� alatt nem siker�l megv�laszolni, az eredm�ny id�t�ll�p�ssel (exceeded timelimit) t�r vissza.
Alap�rtelmez�s:
timelimit 3600
backend <type> |
T�bl�zat 3-2. Adatb�zis h�tterek
T�pus | Le�r�s |
---|---|
bdb | Berkeley DB tranzakci�s adatb�zis |
dnssrv | DNS SRV h�tt�r |
ldbm | Lightweight DBM h�t�r |
ldap | Lightweight Directory Access Protocol (Proxy) h�tt�r |
meta | Meta Directory h�tt�r |
monitor | Monitor h�tt�r |
passwd | Read-only hozz�f�r�st biztos�t a passwd(5)f�jlhoz |
perl | Perl programozhat� h�tt�r |
shell | Shell (k�ls� program) h�tt�r |
sql | SQL programozhat� h�tt�r |
tcp | TCP programozhat� h�tt�r |
Ez a bejegyz�s jelzi egy �j BDB h�tt�r defin�ci�j�nak kezdet�t.
database <t�pus> |
Ez egy �j BDB t�pus� adatb�zis defin�ci� kezdet�t jelzi.
readonly { on | off } |
replica uri=ldap[s]://<hostname>[:<port>] | host=<hostname>[:<port>] [bindmethod={simple|kerberos|sasl}] ["binddn=<DN>"] [saslmech=<mech>] [authcid=<identity>] [authzid=<identity>] [credentials=<password>] [srvtab=<filename>] |
Tov�bbi inform�ci�t tal�lsz a Replication with Slurpd (M�solat k�sz�t�se a Slurpd-vel) le�r�sban.
replogfile <f�jln�v> |
Ez az opci� �ll�tja be az replik�ci�s log f�jlt, ahol a slapd napl�zza a v�ltoz�sokat. A replik�ci�s log-ot tipikusan a slapd �rja �s a slurpd olvassa. Rendszerint ezt a lehet�s�get csak a slurpd haszn�lja az adatb�zis replik�ci�j�ra. Mindamellett arra is haszn�lhat�, hogy tranzakci�s napl�t k�sz�ts, ha a slurpd nem fut. Ebben az esetben ne felejtsd el rendszeresen darabolni a f�jlt, k�l�nben kezelhetetlen m�ret�re n�.
Tov�bbi inform�ci�t tal�lsz a Replication with Slurpd (M�solat k�sz�t�se a Slurpd-vel) le�r�sban.
rootdn <dn> |
Ez az opci� specifik�lja azt a DN-t, akire nem vonatkozik a hozz�f�r�s szab�lyoz�s �s az adminisztr�ci�s korl�toz�sok az adatb�zis-m�veletek sor�n. A DN-nek nem kell bejegyz�sre mutatnia a k�nyvt�rban. Viszont mutathat egy SASL identit�sra.
Bejegyz�s p�lda:
rootdn "cn=Manager, dc=example, dc=com"
SASL alap� p�lda:
rootdn "cn=Manager, dc=example, dc=com"
rootpw <jelsz�> |
Ez az opci� �ll�tja be a fent le�rt rootdn jelszav�t (amikor a rootdn be van �ll�tva egy DN adatb�zisban). (Ez a lehet�s�g adatb�zisok l�trehoz�sakor vagy replik�ci�s szolg�ltat�sok ny�jt�sakor hasznos. Mindenk�ppen ker�lend� a k�dolatlan jelszavak haszn�lata. A legkevesebb az /etc/password f�jlban tal�lhat� crypt k�dol�s� jelsz� haszn�lata. A slapd sz�mos m�s t�pus� k�dol�st t�mogat - a ford�t�.)
P�lda:
rootpw secret
Jelsz�-zagyval�k szolg�ltat�sa is megengedett az RFC 2307 szerint. A slappasswd haszn�lhat� a jelsz�-zagyval�k l�trehoz�s�ra.
P�lda:
rootpw {SSHA}ZKKuqbEKJfKSXhUbHG3fG8MDn9j1v4QN
A zagyval�k (hash) a slappasswd -s secret parancs kiad�sakor j�n l�tre.
suffix <dn toldal�k> |
A suffix opci� specifik�lja a k�r�sek DN toldal�k�t, ami �tker�l a h�tt�r-adatb�zishoz. T�bb suffix sor is megadhat�, de legal�bb egy sz�ks�ges minden adatb�zis defin�ci�hoz.
P�lda:
suffix "dc=example, dc=com"
A k�r�sek DN-je "dc=example, dc=com" toldal�kkal ker�lnek az adatb�zisba.
Figyelem: Amikor a h�tteret - amelyiknek majd a k�r�st tov�bbadjuk - kiv�lasztottuk, a slapd tekintetbe veszi a suffix sor(oka)t minden adatb�zis defin�ci�n�l abban a sorrendben, ahogy a f�jlban el�fordulnak. �gy, ha az egyik adatb�zis toldal�ka egy m�siknak el�tagja, akkor ennek meg kell jelennie a konfigur�ci�s file-ban is.
syncrepl |
Ez az opci� haszn�lhat� egy m�solt adatb�zisnak az eredetivel t�rt�n� szinkronban tart�s�ra. Ez�ltal a m�solt adatb�zis tartalma naprak�sz lesz az eredeti adatb�zis tartalm�hoz k�pest.
Jelen dokumentum nem r�szletezi ezt az opci�t, mivel egy egyszer� LDAP szerver be�ll�t�s�t t�zt�k c�lul. Err�l az opci�rol tov�bbi inform�ci� a LDAP Sync Replication honlapon tal�lhat�.
updatedn <dn> |
Ez az opci� csak a szolga slapd-n �rtelmezhet�, �s meghat�rozza a replika megv�ltoztat�s�ra jogosult DN-t. Ez lehet az a DN, amellyel a slurpd csatlakozik a replik�l�s sor�n vagy a DN-t azonos�tja az SASL indentit�ssal.
Bejegyz�s alap� p�lda:
updatedn "cn=Update Daemon, dc=example, dc=com"
SASL alap� p�lda:
updatedn "uid=slurpd,cn=example.com,cn=digest-md5,cn=auth"
Tov�bbi inform�ci�k a Replication with Slurpd (Replik�ci� a slurpd haszn�lat�val - angol nyelv�) honlapon tal�lhat�k.
updateref <URL> |
Ez az opci� csak a szolga slapd-n �rtelmezhet�. A replik�n v�gzett friss�t�si k�r�sek j�v�hagy�s�nak URL-j�t (ami majd a kliensekhez ker�l) hat�rozza meg. Annyiszor kell meghat�rozni, ah�ny URL van.
P�lda:
updateref ldap://master.example.net
directory <k�nyvt�r> |
directory /usr/local/var/openldap-data
sessionlog <sid> <limit> |
A syncrepl-r�l tov�bbi inform�ci� a LDAP Sync Replication honlapon tal�lhat�.
cachesize <integer> |
dbcachesize <integer> |
dbnolocking |
dbnosync |
directory <k�nyvt�r> |
directory /usr/local/var/openldap-data
index {<attrlist> | default} [pres,eq,approx,sub,none] |
index default pres,eq index uid index cn,sn pres,eq,sub index objectClass eq |
mode <integer> |
access to * by * read |
Ez a hozz�f�r�si direkt�va mindenkinek olvas�si jogot biztos�t.
access to dn=".*, o=U of M, c=US" by * search access to dn=".*, c=US" by * read |
Another way to implement the same access controls is:
access to dn.children="dc=example,dc=com" by * search access to dn.children="dc=com" by * read |
access to dn.subtree="dc=example,dc=com" attr=homePhone by self write by dn.children=dc=example,dc=com" search by peername=IP:10\..+ read access to dn.subtree="dc=example,dc=com" by self write by dn.children="dc=example,dc=com" search by anonymous auth |
access to attr=member,entry by dnattr=member selfwrite |
A hozz�f�r�s szab�lyoz�sr�l rengeteg p�lda tal�lhat� az OpenLDAP Adminisztr�torok K�zik�nyv�ben. Kattints a linkre: Hozz�f�r�s szab�lyoz�s tov�bbi inform�ci�k�rt.
1. # example config file - global configuration section p�lda konfig f�jl - �ltal�nos be�ll�t�sok r�sz 2. include /usr/local/etc/schema/core.schema 3. referral ldap://root.openldap.org 4. access to * by * read |
5. # BDB definition for the example.com 6. database bdb 7. suffix "dc=example,dc=com" 8. directory /usr/local/var/openldap-data 9. rootdn "cn=Manager,dc=example,dc=com" 10. rootpw secret 11. # replication directives 12. replogfile /usr/local/var/openldap/slapd.replog 13. replica uri=ldap://slave1.example.com:389 14. binddn="cn=Replicator,dc=example,dc=com" 15. bindmethod=simple credentials=secret 16. replica uri=ldaps://slave2.example.com:636 17. binddn="cn=Replicator,dc=example,dc=com" 18. bindmethod=simple credentials=secret 19. # indexed attribute definitions 20. index uid pres,eq 21. index cn,sn,uid pres,eq,sub 22. index objectClass eq 23. # database access control definitions 24. access to attr=userPassword 25. by self write 26. by anonymous auth 27. by dn.base="cn=Admin,dc=example,dc=com" write 28. by * none 29. access to * 30. by self write 31. by dn.base="cn=Admin,dc=example,dc=com" write 32. by * read |
Example: rootpw {SSHA}Jq4xhhkGa7weT/0xKmaecT4HEXsdqiYA
11-18. sorok a t�bbsz�r�z�si feladatot �rj�k le. B�vebben: Replication angol nyelv� oldalon.
A 20. �s 22. sorok a k�l�nb�z� attrib�tumok�rt felel�s indexeket jelzik
A 24-t�l a 32. sorok hozz�f�r�si jogosults�gokat szab�lyoznak az adab�zison. Minthogy ez az els� adatb�zis, a szab�lyoz�k �letbe l�pnek minden m�s bejegyz�sre is, amelyek nincsenek m�g adatb�zisban (mint pl. a root DSE). Minden alkalmazhat� bejegyz�sre �rv�nyes, hogy a userPassword attrib�tum �rhat� a bejegyz�s �s az 'admin' bejegyz�s �ltal. Ezt azonos�t�si c�lokra lehet haszn�lni, m�sk�l�nben nem olvashat�. Minden m�s attrib�tum �rhat� a bejegyz�s �s az 'admin' bejegyz�s �ltal (m�sok �ltal nem), �s olvashatja minden bejegyz�s (ak�r autentik�lt, ak�r nem).
A p�lda konfigur�ci�s f�jl k�vetkez� r�sze egy m�sik BDB adatb�zist is defini�l. Ez az adatb�zis a dc=example, dc=net al�g keres�seit kezeli, de ugyanaz a l�nyeg, mint az els� adatb�zis eset�ben. Figyelj�k meg, hogy a 39. sor n�lk�l olvas�si jogot mindenki, az �ltal�nos be�ll�t�sok 4. sor�nak megfelel�en kap.
33. # BDB definition for example.net 34. database bdb 35. suffix "dc=example,dc=net" 36. directory /usr/local/var/openldap-data-net 37. rootdn "cn=Manager,dc=example,dc=com" 38. index objectClass eq 39. access to * by users read |
-f <f�jln�v> |
-h <URL-ek> |
-n <szolg�ltalt�s-n�v> |
Itt adhat� meg a napl�z�sra �s m�s c�lokra szolg�l� szolg�ltat�s neve. Alap�rtelmezett: slapd.
-l <syslog-local-user> |
Ez a param�ter hat�rozza meg a helyi felhaszn�l�t a syslog(8) lehet�s�g haszn�lat�hoz. Lehets�ges �rt�kek: LOCAL0, LOCAL1, LOCAL2, ..., �s LOCAL7. Az alap�rtelmez�s: LOCAL4. Ez az opci� nem haszn�lhat� minden rendszer alatt. Tov�bbi inform�ci�kat l�sd a 6.5 fejezetben.
-u user -g group |
Itt adhat� meg a felhaszn�l� �s a csoport, akinek a nev�ben fut a slapd. Mind a <user≶, mind a <group≶ megadhat� n�vvel vagy uid-del.
-r directory |
Ez a param�ter hat�rozza meg a fut�s idej� k�nyvt�rat. . Ez lesz a slapd chroot(2) k�nyvt�ra az ind�t�s ut�n, m�g miel�tt felolvasn� a konfigur�ci�s f�jlokat vagy inicializ�ln� a h�ttereket.
-d <szint> | ? |
Ez az opci� be�ll�tja az slapd hibakeres� �rt�k�t a <szint>-re. Amikor a szint a '?' karakter, a k�l�nb�z� hibakeres� szinteket �rja ki �s kil�p a slapd att�l f�ggetlen�l, hogy milyen egy�b opci� lett m�g be�ll�tva. A jelenlegi hibakeres� szintek a k�vetkez�k:
T�bl�zat 4-1. Hibak�vet�s szintje
Level | Le�r�s |
---|---|
-1 | minden hibak�vet�s enged�lyez�se |
0 | nincs hibak�vet�s |
1 | funkci� h�v�sok nyomk�vet�se |
2 | csomagkezel�s k�vet�se |
4 | alapos nyomk�vet�s |
8 | kapcsolatkezel�s |
16 | fogadott �s k�ld�tt csomagok ki�r�sa |
32 | mintakeres�s feldolgoz�sa |
64 | konfigur�ci�s f�jl feldolgoz�sa |
128 | hozz�sf�r�sszab�lyoz�si lista feldolgoz�sa |
256 | kapcsolatok/m�veletek/eredm�nyek napl�z�sa |
512 | k�ld�tt bejegyz�sek napl�z�sa |
1024 | a h�tt�rkommunik�ci� ki�r�sa |
2048 | bejegyz�sek elemz�s�nek ki�r�sa |
�ltal�ban a slapd a k�vetlez�k�ppen fut:
/usr/local/etc/libexec/slapd [<option>]* |
A slapd d�mon biztons�gos le�ll�t�s�hoz ehhez hasonl� parancs sz�ks�ges:
kill -INT `cat $(ETCDIR)/slapd.pid` |
Az OpenLDAP programcsomag tartalmazza az ldapadd programot, a bejegyz�sek online hozz�ad�s�hoz, vagyis am�kor az LDAP szerver fut. Amennyiben az online m�dszert v�lasztod az adatb�zis l�trehoz�s�ra, ezt az eszk�zt kell haszn�lnod a bejegyz�sek hozz�ad�s�hoz (m�s, OpenLDAP csomagon k�v�li eszk�z�ket is haszn�lhatsz, mint amilyen az Ldap Browser). Az els� bejegyz�sek hozz�ad�sa ut�n m�g tov�bbi bejegyz�sek felv�tele is lehets�ges. Mindenk�ppen sz�ks�ges a k�vetkez� konfigur�ci�s opci�k be�ll�t�sa a slapd ind�t�sa el�tt:
suffix <dn> |
Az 3.4 fejezetben le�rtak szerint ez az opci� mondja meg, milyen bejegyz�sek ker�lnek ebbe az adatb�zisba. Be kell �ll�tani a l�trehozand� r�szfa gy�ker�nek DN �rt�k�t:
suffix "o=TUDelft, c=NL" |
Specifik�ni kell a k�nyvt�rat, ahol az index file-ok l�trej�nnek:
directory /usr/local/tudelft |
Lehet�v� kell tenni, hogy csatlakozhass a slapdhez mint c�mt�r-felhaszn�l� bejegyz�sek hozz�ad�s�nak jog�val. Be�ll�that� �gy a c�mt�r, hogy t�mogassa a super-user-t, vagy root felhaszn�l�t erre a c�lra.
Ez a k�vetkez� k�t opci� seg�ts�g�vel lehets�ges az adatb�zis l�trehoz�sa sor�n:
rootdn <dn> rootpw <passwd> /* Mindenk�ppen k�dolt jelsz�t haszn�lj!!! */ |
Ez a k�t opci� hat�rozza meg az adatb�zis adminisztr�torak�nt haszn�lhat� bejegyz�s DN-j�t �s jelszav�t (akinek minden tev�kenys�g enged�lyezett). Az itt meghat�rozott DN �s a jelsz� mindig m�k�dik, att�l f�ggetlen�l, hogy a bejegyz�s vagy a jelsz� val�ban l�tezik-e. Ez megoldja a ty�k �s a toj�s probl�m�j�t, vagyis hogyan azonos�that� az adminisztr�tor, �s hozhat�k l�tre rekordok miel�tt b�rmilyen bejegyz�s l�tezne.
A slapd meg�rti ha SHA-1 k�dol�s� jelszavakat haszn�lsz a rootpw direkt�v�ban. �n egy Java oszt�lyt haszn�ltam SHA-1 szint� jelszavak l�trehoz�s�ra, de haszn�lhat� a slappasswd parancs is jelszavak gener�l�s�ra.
slappasswd -h {SHA} |
rootpw "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=" |
P�ld�ul:
rootdn "cn=Manager,dc=example,dc=com" rootpw "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=" |
The default output for slappasswd is to generate Secure Hash passwords {SSHA}, in this case you don't need to pass the -h parameter, just call slappasswd directly.
Amennyiben SASL-t haszn�lsz a rootpw sort ki kell szedni. Vess egy pillant�st a 3.4 �s a 6.2 (Autentik�ci�) fejezetre.
V�g�l, az adatb�zis defin�ci�inak tartalmaznia kell az sz�ks�ges indexek defin�ci�it:
index {<attrlist> | default} [pres,eq,sub,none] |
P�ld�ul, a cn, sn, uid �s objectclass attrib�tumok index�t a k�vetkez� index konfigur�ci�s sor hozza l�tre:
index cn,sn,uid pres,eq,sub index objectClass pres,eq |
Note: Megjegyz�s: figyelj arra, hogy nem minden indext�pus haszn�lhat� minden jellemz� eset�ben. N�zd meg a 3.6 fejezetben (p�ld�k).
Ha egyszer be�ll�tottad a sz�ks�ges dolgokat, ind�tsd el a slapd-t, kapcsol�dj az LDAP klienssel, �s kezdd el a bejegyz�sek hozz�ad�s�t. P�ld�ul, a TUDelft bejegyz�st k�vet� a Postmaster bejegyz�s l�trehoz�s�hoz az ldapadd r�sz�re l�tre kell hozni a /tmp/newentry f�jlt a k�vetkez� tartalommal:
o=TUDelft, c=NL objectClass=organization description=Technical University of Delft Netherlands cn=Postmaster, o=TUDelft, c=NL objectClass=organizationalRole cn=Postmaster description= TUDelft postmaster - postmaster@tudelft.nl |
�s ut�na a k�vetkez� parancs l�trehozza a sz�ks�ges bejegyz�st:
ldapadd -f /tmp/newentry -x -D "cn=Manager, o=TUDelft, c=NL" -w secret |
A fenti parancs felt�telezi, hogy a roodn bejegyz�s a "cn=Manager, o=TUDelft, c=NL" �s a rootpw a "secret" (vagy k�dolt jelsz� a slapd.conf-ban). Ha nem akarod beg�pelni a jelsz�t a parancsorba, haszn�ld a -W opci�t az ldapadd parancs haszn�latakor a -w"jelsz�" helyett. Felsz�l�t�st kapsz jelsz� be�r�s�ra:
ldapadd -f /tmp/newentry -x -D "cn=Manager, o=TUDelft, c=NL" -W Enter LDAP Password: |
suffix <dn> |
suffix "o=TUDelft, c=NL" |
Mindenk�ppen meg kell hat�rozni az index f�jlok k�nyvt�r�t:
directory /usr/local/tudelft |
index {<attrlist> | default } [pres,eq,approx,sub,none] |
index cn,sn,uid pres,eq,sub index objectClass eq |
slapadd -l <inputfile> -f <slapdconfigfile> [-d <debuglevel>] [-n <integer>|-b <suffix>] |
-l <inputfile> |
-f <slapdconfigfile> |
-d <debuglevel> |
Bekapcsolja a hibakeres�st a debuglevel �ltal meghat�rozott m�don. A hibakeres�s szintjei megegyeznek a slapd �rt�keivel. (l�sd a 4.1 tov�bbi r�szletek�rt.)
-n <databasenumber> |
Ez az opcion�lis argumentum hat�rozza meg, hogy az adatb�zisok k�z�l melyiket haszn�lja a program. A konfigur�ci�s f�jlban szerepl� els� adatb�zis az "1", a m�sodik a "2", stb. Alap�rtelmez�sk�nt az els� adatb�zist haszn�lja. A -b argumentummal egy�tt nem haszn�lhat�.
-b <suffix> |
Ez az opcion�lis argumentum hat�rozza meg, hogy az adatb�zisok k�z�l melyiket haszn�lja a program. Az ut�tagot (suffix) �sszehasonl�tja az adatb�zisban szerepl� adatb�zis direkt�va sz�m�val, �s �gy d�nti el melyik adatb�zist haszn�lja. Az -n argumentummal egy�tt nem haszn�lhat�.
N�ha sz�ks�gess� v�lik az indexek �jragener�l�sa (pl. a slapd.conf(5) m�dos�t�sa ut�n). Ezt a slapindex(8) programmal v�gezhetj�k el. A program megh�v�sa a k�vetkez�k�ppen t�rt�nik:
slapindex -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] |
Ahol az -f, -d, -n �s a -b kapcsol�k ugyanazok, mint a slapadd(1) program eset�ben. A slapindex �jra�p�ti az index�llom�nyokat az �ppen aktu�lis adatb�zis tartalmak alapj�n.
A slapcat programmal az adatb�zis tartalm�t egy sz�veges LDIF f�jlba tudjuk �nteni (dump). Akkor lehet hasznos, ha olvashat� adatb�zis-m�solatot szeretn�nk k�sz�teni, vagy, ha az adatb�zist off-line m�don szeretn�nk szerkeszteni. A program ind�t�sa:
slapcat -l <filename> -f <slapdconfigfile> [-d <debuglevel>] [-n <databasenumber>|-b <suffix>] |
Ahol az -f opci� -n vagy -b kapcsol�ival lehet kiv�lasztani a slapd.conf(5)-ban le�rt adatb�zisok k�z�l azt, amilyre sz�ks�g�nk van. Az LDIF eredm�ny a standard kimenetre ker�l, hacsak nem hat�roztunk meg egy f�jlt a -l opci�ban..
#comment megjegyz�s dn: <distinguished name> <attrdesc>: <attrvalue> <attrdesc>: <attrvalue> ... |
A sorok folytathat�ak a k�vetkez� sorban egy sz�k�z vagy tab karatkerrel. P�ld�ul:
dn: cn=Barbara J Jensen, dc=example, dc= com cn: Barbara J Jensen |
dn: cn=Barbara J Jensen, dc=example, dc=com cn: Barbara J Jensen |
T�bbsz�r�s attrib�tumok t�bb elv�lasztott sorban is specifik�lhat�ak. P�ld�ul:
cn: Barbara J Jensen cn: Babs Jensen |
cn:: IGJlZ2lucyB3aXRoIGEgc3BhY2U= |
cn:< file://path/to/file.jpeg |
# Barbara's Entry #Barbara bejegyz�se dn: cn=Barbara J Jensen, dc=example, dc=com cn: Barbara J Jensen cn: Babs Jensen objectClass: person sn: Jensen # Bjorn's Entry #Bj�rn bejegyz�se dn: cn=Bjorn J Jensen, dc=example, dc=com cn: Bjorn J Jensen cn: Bjorn Jensen objectClass: person sn: Jensen # Base64 encoded JPEG photo # Base64 k�dol�s� f�nyk�p jpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALD A4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxOQ ERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG # Jennifer's Entry #Jennifer bejegyz�se dn: cn=Jennifer J Jensen, dc=example, dc=com cn: Jennifer J Jensen cn: Jennifer Jensen objectClass: person sn: Jensen # JPEG photo from file # JPEG k�p f�jlb�l jpegPhoto:< file://path/to/file.jpeg |
Az ldapsearch szintaktik�ja a k�vetkez� (Az opci�k jelent�se az ldapsearch man lapj�n tal�lhat�):
ldapsearch [-n] [-u] [-v] [-k] [-K] [-t] [-A] [-B] [-L] [-R] [-d debuglevel] [-F sep] [-f file] [-x] [-D binddn] [-W] [-w bindpasswd] [-h ldaphost] [-p ldapport] [-b searchbase] [-s base|one|sub] [-a never|always|search|find] [-l timelimit] [-z sizelimit] filter [attrs...] |
ldapsearch -x -b 'o=TUDelft,c=NL' 'objectclass=*' ldapsearch -b 'o=TUDelft,c=NL' 'cn=Rene van Leuken' ldasearch -u -b 'o=TUDelft,c=NL' 'cn=Luiz Malere' sn mail |
Az ldapdelete szintaktik�ja a k�vetkez� (Az opci�k jelent�se az ldapdelete man lapj�n tal�lhat�):
ldapdelete [-n] [-v] [-k] [-K] [-c] [-d debuglevel] [-f file] [-D binddn] [-W] [-w passwd] [-h ldaphost] [-p ldapport] [dn]... |
N�h�ny p�lda k�vetkezik az ldapdelete haszn�lat�ra:
ldapdelete 'cn=Luiz Malere,o=TUDelft,c=NL' ldapdelete -v 'cn=Rene van Leuken,o=TUDelft,c=NL' -D 'cn=Luiz Malere,o=TUDelft,c=NL' -W |
Az ldapmodify szintaktik�ja a k�vetkez� (Az opci�k jelent�se az ldapmodify man lapj�n tal�lhat�):
ldapmodify [-a] [-b] [-c] [-r] [-n] [-v] [-k] [-d debuglevel] [-D binddn] [-W] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] ldapadd [-b] [-c] [-r] [-n] [-v] [-k] [-K] [-d debuglevel] [-D binddn] [-w passwd] [-h ldaphost] [-p ldapport] [-f file] |
N�h�ny p�lda az ldapmodify haszn�lat�ra:
T�telezz�k fel, hogy a /tmp/entrymods f�jl l�tezik, �s a k�vetkez�ket tartalmazza:
dn: cn=Modify Me, o=University of Michigan, c=US #m�dos�tand� r�sz changetype: modify replace: mail mail: modme@terminator.rs.itd.umich.edu - add: title title: Grand Poobah - add: jpegPhoto jpegPhoto: /tmp/modme.jpeg - delete: description - |
ldapmodify -b -r -f /tmp/entrymods |
A fentiekkel megegyez� m�dos�t�sok a r�gebbi ldapmodify bemeneti form�j�ban:
cn=Modify Me, o=University of Michigan, c=US mail=modme@terminator.rs.itd.umich.edu +title=Grand Poobah +jpegPhoto=/tmp/modme.jpeg -description |
ldapmodify -b -r -f /tmp/entrymods |
T�telezz�k fel, hogy a /tmp/entrymods f�jl l�tezik, �s a k�vetkez�ket tartalmazza:
dn: cn=Barbara Jensen, o=University of Michigan, c=US objectClass: person cn: Barbara Jensen cn: Babs Jensen sn: Jensen title: the world's most famous manager mail: bjensen@terminator.rs.itd.umich.edu uid: bjensen |
ldapadd -f /tmp/entrymods |
T�telezz�k fel, hogy a /tmp/newentry f�jl l�tezik, �s a k�vetkez�ket tartalmazza:
dn: cn=Barbara Jensen, o=University of Michigan, c=US changetype: delete |
ldapmodify -f /tmp/entrymods |
Az LDAP Migration Tools let�lthet�, �s tov�bbi inform�ci�k tal�lhat�k a k�vetkez� c�men: http://www.padl.com/OSS/MigrationTools.html
A csomagban tal�lhat README f�jl, �s a script-ek neve egy�rtelm�. A script-ek alkalmaz�sa el�tt el kell olvasni a README f�jlt!
Tov�bbi hasznos URL a migr�ci�s eszk�z�kr�l:
V�gezet�l itt van az SASL, vagyis a Simple Authentication and Security Layer (RFC 2222). Ez a fajta azonos�t�s egy k�rd�s-v�lasz t�pus� protokoll az �gyf�l �s a szerver k�z�tt, melyen kereszt�l l�trej�n egy biztons�gos csatorna, ahol a tov�bbi tranzakci�k lebonyol�dnak. Az SASL haszn�lat�val mindenf�le olyan azonos�t�si m�d lehets�ges, amelyet a szerver �s a kliens megenged. A Cyrus-SASL csomag a k�vetkez� URL-r�l �rhet� el: http://asg.web.cmu.edu/sasl/sasl-library.html.
A felhaszn�l�k tov�bbi azonos�t�sa a c�mt�r f�ban l�v� tov�bbi inform�ci�k el�r�s�hez, az LDAP szerver m�s szolg�ltat�sokb�l sz�rmaz� felhaszn�l�kat (sendmail, login, ftp, stb. ) is k�pes azonos�tani. Ezek a specifikus felhaszn�l�i inform�ci�k eljutnak a szerverhez, majd a PAM (Pluggable Authentication Modules) mechanizmus haszn�lat�val azonos�tja a felhaszn�l�kat. Ez az azonos�t� modul az LDAP sz�m�ra el�rhet� tarball form�j�ban a k�vetkez� c�men:http://www.padl.com/OSS/pam_ldap.html
Kicsomagol�s ut�n a v�rhat� parancsok:
root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#../dist/configure root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#make root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#make install |
root@rdnt03:/usr/local/cyrus-sasl-2.1.17#env CPPFLAGS="-I/usr/local/BerkeleyDB.4.2/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.2/lib" ./configure |
Ezut�n m�r futtathat�k a k�vetkez�k:
root@rdnt03:/usr/local/cyrus-sasl-2.1.17#make root@rdnt03:/usr/local/cyrus-sasl-2.1.17#make install root@rdnt03:/usr/local/cyrus-sasl-2.1.17#ln -s /usr/local/lib/sasl2 /usr/lib/sasl2 |
root@rdnt03:/usr/local/openldap-2.2.5#env CPPFLAGS="-I/usr/local/BerkeleyDB.4.2/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.2/lib" ./configure |
Ezut�n futtattam a tov�bbiakat:
root@rdnt03:/usr/local/openldap-2.2.5#make depend root@rdnt03:/usr/local/openldap-2.2.5#make root@rdnt03:/usr/local/openldap-2.2.5#make install |
Majd l�trehoztam a sasl felhaszn�l�i adatb�zist:
root@rdnt03:~# saslpasswd2 -c admin |
sasl-regexp uid=(.*),cn=rdnt03,cn=DIGEST-MD5,cn=auth uid=$1,ou=People,o=Ever |
Ez a param�ter ebben a form�ban van:
uid=<username>,cn=<realm>,cn=<mech>,cn=auth
root@rdnt03:~# sasldblistusers2 admin@rdnt03: userPassword admin@rdnt03: cmusaslsecretOTP |
dn: o=Ever o: Ever description: Organization Root objectClass: top objectClass: organization dn: ou=Staff, o=Ever ou: Staff description: These are privileged users that can interact with Organization products objectClass: top objectClass: organizationalUnit dn: ou=People, o=Ever ou: People objectClass: top objectClass: organizationalUnit dn: uid=admin, ou=Staff, o=Ever uid: admin cn: LDAP Adminstrator sn: admin userPassword: {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ= objectClass: Top objectClass: Person objectClass: Organizationalperson objectClass: Inetorgperson dn: uid=admin,ou=People,o=Ever objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson userPassword: {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ= displayName: admin mail: admin@eversystems.com.br uid: admin cn: Administrator sn: admin |
Adjunk bejegyz�seket az LDAP c�mt�runkhoz a k�vetkez� paranccsal:
slapadd -c -l Ever.ldif -f slapd.conf -v -d 256 |
root@rdnt03:~# ldapsearch -U admin@rdnt03 -b 'o=Ever' '(objectclass=*)' SASL/DIGEST-MD5 authentication started Please enter your password: SASL username: admin@rdnt03 SASL SSF: 128 SASL installing layers ... Entries ... |
Ennyi! Amennyiben jobban szeretn�d haszn�lni az SASL-t Kerberos V vagy GSSAPI mechanizmusokkal, �me egy hasznos link: http://www.openldap.org/doc/admin22/sasl.html Ez az oldal felt�telezi, hogy m�r t�l vagy az SASL telep�t�s�n �s be�ll�t�s�n. A levelez�lista seg�thet, ha elakadn�l: http://asg.web.cmu.edu/sasl/index.html#mailinglists
A kldap egy grafikus ldap kliens a KDE k�rnyezetet sz�m�ra. A Kldap k�nyelmes fel�lettel rendelkezik, �s k�pes valamennyi, a c�mt�rban t�rolt inform�ci�s fa megjelent�t�s�re. N�h�ny k�p az alkalmaz�sr�l valamint a let�lt�si hely: http://www.mountpoint.ch/oliver/kldap/
A KDirAdm k�nyvt�r kezel� eszk�zt KDE 2 vagy �jabb k�rnyezethez �rt�k. C�lja, hogy �sszegy�jtse a leg�ltal�nosabban haszn�lt k�nyvt�r kezel� eszk�z�ket: http://www.carillonis.com/kdiradm/
A Directory Administrator(K�nyvt�r Titk�r) a legelterjedtebben haszn�lt Gnome alap� UNIX rendszer� felhaszn�l� �s csoportkezel� alkalmaz�s LDAP c�mt�r kiszolg�l�khoz. A Directory administrator lehet�v� teszi felhaszn�l�k �s csoportok l�trehoz�s�t �s t�rl�s�t, valamint a felhaszn�l�khoz tartoz� n�vjegyalbum inform�ci�k, kiszolg�l�nk�nti hozz�f�r�s-szab�lyoz�sok, �s Sendmail �tvonalv�laszt�sok kezel�s�t. http://diradmin.open-it.org/index.php
A GQegy m�sik, a Gnome k�rnyezet sz�m�ra k�sz�lt grafikus LDAP kliens, egyszer� fel�lettel. M�k�dik KDE alatt is, mint ahogy a Kldap is fut Gnome k�rnyezetben. Tov�bbi inform�ci�k �s a program let�lthet�s�ge: http://biot.com/gq/
LDAP Browser/Editor: Ez egy fantasztikus eszk�z, mindenf�le adminisztr�ci�s �s b�ng�sz�si lehet�s�ggel felszerelve. Itt megn�zhet�/let�lthet�: Ldap Browser.
A napl�k l�trehoz�s�hoz szerkeszteni kell a syslog.conf file-t, rendszerint a /etc k�nyvt�rban.
Ehhez hasonl� sort kell l�trehozni:
local4.* /usr/adm/ldaplog |
-s syslog-level |
-l syslog-local-user |
University of Michigan LDAP oldal: http://www.umich.edu/~dirsvcs/ldap/
University of Michigan LDAP dokument�ci�s oldal: http://www.umich.edu/~dirsvcs/ldap/doc/
OpenLDAP Adminisztr�torok K�zik�nyve (testv�roldal): http://www.openldap.org/doc/admin
Linux Directory Service: http://www.rage.net/ldap/
Red Hat �s LDAP: http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/ch-ldap.html
Mandrake Linux - OpenLDAP haszn�lata azonos�t�shoz: http://www.mandrakesecure.net/en/docs/ldap-auth.php
Az OpenLDAP haszn�lata m�s ny�lt forr�sk�d� projektekkel: ftp://kalamazoolinux.org/pub/pdf/ldapv3.pdf
Magyar nyelv� oldalak:
LDAP-r�l p�r sz�ban http://padre.web.elte.hu/ldap.html
Gentoo Linux - OpenLDAP hiteles�t�si �tmutat� http://www.gentoo.org/doc/hu/ldap-howto.xml
NOVELL - Fejleszt�i oldalak http://www.novell.hu/developer/opensource.shtml
Az LDAP szerver install�l�sa - U of SZEGED http://www.cab.u-szeged.hu/~bilickiv/h_op/inflab_2001_1_f/3/LDAP.htm
HOGYAN �rj�k el az LDAP adatb�zist Evolution al�l? http://kszk.sch.bme.hu/net/lists/evolution_ldap/
Az LDAP fejleszt�ket t�mogat� RFC-k:
RFC 1558: A String Representation of LDAP Search Filters
RFC 1777: Lightweight Directory Access Protocol
RFC 1778: The String Representation of Standard Attribute Syntaxes
RFC 1779: A String Representation of Distinguished Names
RFC 1781: Using the OSI Directory to Achieve User Friendly Naming
RFC 1798: Connectionless LDAP
RFC 1823: The LDAP Application Programming Interface
RFC 1959: An LDAP URL Format
RFC 1960: A String Representation of LDAP Search Filters
RFC 2251: Lightweight Directory Access Protocol (v3)
RFC 2307: LDAP as a Network Information Service