sinci69
Anmeldungsdatum: 1. Januar 2010
Beiträge: 496
Wohnort: Graz, Österreich
|
Schönen Abend! Daneben gibt es noch eine einfache Authentifizierung (mittels Option -x), die in den vorangegangenen Installations- und Konfigurationskapiteln zur Anwendung kam.
Sollte mir das beim Durchlesen auffallen? Wenn ich suche, finde ich ldapadd -x, also genau einmal!
'-x' Kommt sogar sehr oft vor, auch in '-xLLL' steckt das drin.
Ja, aber testen fällt für mich nicht unter Installation oder Konfiguration. Dann bleibt nämlich für 'vorangegangen' nur noch der erwähnte Punkt. Im ganzen Artikel wird diese Option sehr oft verwendet. Ich finde das sollte umformuliert werden und das 'vorangegangen' entfernt werden. Im gleichem Absatz:
Dazu müssen die Linux-Benutzeraccounts wie vorangehend beschrieben in das LDAP-Verzeichnis migriert werden.
... vorangehend beschrieben?? Wurde zuvor schon etwas oder jemand migriert?
Das SASL habe ich nur kurz getestet und deswegen habe ich da eher weniger Ahnung und das haupsächlich aus dem normalen OpenLDAP-Artikel übernommen. Die Migration wird hier [1] beschrieben, obwohl es eigentlich auch ohne gehen sollte (aber das ist nur eine Vermutung)
Wie gesagt, ich verwende es im normalen Betrieb nicht, vielleicht sollte man an dieser Stelle bei SASL direkt auf http://wiki.ubuntuusers.de/OpenLDAP#Verwendung-von-SASL verweisen.
Ok, sollte wohl ebenfalls umformuliert werden und 'vorangehend' entfernt.
Ja, 'cn' steht für common name, das ist also die Zeile 'cn = ldap.meinedomain.local'
Soll das wirklich nicht erwähnt werden?
[1] http://wiki.ubuntuusers.de/OpenLDAP#Linux-Benutzeraccounts-nach-LDAP-migrieren
Und nun noch einmal ... HALLO! Hat dazu außer Tommy keiner eine Meinung? Da geht es ja nicht mehr um technische Dinge sondern Formulierungen. Gruß, didi [Edit] geek4live schrieb:
jeder der nach diesem Artikel vorgeht, weiß doch hoffentlich, wie apt-get funktioniert 😉
Ok, dann ist das erledigt Wollte common name im Text erwähnen. Das erste Auftreten von "cn" fand ich im folgendem Absatz. Auch die schon in die cn=config-Datenbank eingefügten Schemata müssen in schema_convert.conf aufgeführt werden, da die anderen Schemata teilweise auf sie aufbauen!
Frage dazu: Soll das noch ein zusätzlicher Hinweis werden? Eine Erwähnung von common name müsste aber bereits im zweiten Installationspunkt "LDAP-Schemata einfügen" eingefügt werden. Da wird ja die "cn=config-Datenbank" erstmals geändert, oder? So, jetzt sind andere dran. Gruß, didi
|
geek4live
Anmeldungsdatum: 2. Mai 2012
Beiträge: Zähle...
Wohnort: /root
|
sinci69 schrieb: [Edit] geek4live schrieb:
jeder der nach diesem Artikel vorgeht, weiß doch hoffentlich, wie apt-get funktioniert 😉
Ok, dann ist das erledigt Wollte common name im Text erwähnen. Das erste Auftreten von "cn" fand ich im folgendem Absatz. Auch die schon in die cn=config-Datenbank eingefügten Schemata müssen in schema_convert.conf aufgeführt werden, da die anderen Schemata teilweise auf sie aufbauen!
Frage dazu: Soll das noch ein zusätzlicher Hinweis werden? Eine Erwähnung von common name müsste aber bereits im zweiten Installationspunkt "LDAP-Schemata einfügen" eingefügt werden. Da wird ja die "cn=config-Datenbank" erstmals geändert, oder? So, jetzt sind andere dran. Gruß, didi
In diesem Falle bezieht sich common name auf das Zertifikat. Das passt schon so.
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi geek4live, ich habe noch eine Frage: Grundsätzlich sollten die für TLS benötigten Zertifikate an jedem beliebigen Ort ablegbar sein. OpenLDAP mit GnuTLS funktioniert aber möglicherweise nicht mehr mit den oben beschriebenen Konsequenzen, wenn die Zertifikate nicht in /etc/ssl/certs/ ablegt sind. Es gibt eine Reihe von Fehlermeldungen hierzu, die Ursache ist aber noch nicht ganz klar. Evtl. sind es restriktive AppArmor-Einstellungen.
Ob es an AppArmor liegt sollte sich doch schnell durch die Logs zeigen lassen. Kannst du das noch nachprüfen? Ansonsten verschiebe ich den Artikel morgen. Vielen Dank geek4live für das Zusammenstellen dieser Anleitung 👍 und vielen Dank sinci69 für den Wikifeinschliff! Gruss
Lasall
|
geek4live
Anmeldungsdatum: 2. Mai 2012
Beiträge: 15
Wohnort: /root
|
Hi, Lasall schrieb: Hi geek4live, ich habe noch eine Frage: Grundsätzlich sollten die für TLS benötigten Zertifikate an jedem beliebigen Ort ablegbar sein. OpenLDAP mit GnuTLS funktioniert aber möglicherweise nicht mehr mit den oben beschriebenen Konsequenzen, wenn die Zertifikate nicht in /etc/ssl/certs/ ablegt sind. Es gibt eine Reihe von Fehlermeldungen hierzu, die Ursache ist aber noch nicht ganz klar. Evtl. sind es restriktive AppArmor-Einstellungen.
Ob es an AppArmor liegt sollte sich doch schnell durch die Logs zeigen lassen. Kannst du das noch nachprüfen?
Ich habe meine Zertifikate immer in /etc/ssl/certs/ abgelegt und kann deshalb dazu nichts sagen. Den Hinweis habe ich in http://wiki.ubuntuusers.de/OpenLDAP#Installation-des-LDAP-Server-Zertifikats gelesen und wiedergegeben. Ausprobieren kann ich das ganze leider nicht, weil mir sonst irgendwer den Hals umdreht, wenn was schief läuft 😉 Viele Grüße Tommy
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi geek4live, ich habe mir die AppArmor-Profile angeschaut, folgende Verzeichnisse sind lesbar:
# /etc/apparmor.d/abstractions/ssl_certs
/etc/ssl/ r,
/etc/ssl/certs/ r,
/etc/ssl/certs/* r,
/usr/share/ca-certificates/ r,
/usr/share/ca-certificates/** r,
/usr/share/ssl/certs/ca-bundle.crt r,
/usr/local/share/ca-certificates/ r,
/usr/local/share/ca-certificates/** r,
# /etc/apparmor.d/usr.sbin.slapd
/etc/ssl/private/ r,
/etc/ssl/private/* r,
Also stimmt die Warnung. Ich formuliere das noch bestimmter. Vielen Dank nochmal 👍 ! Gruss
Lasall
|
sinci69
Anmeldungsdatum: 1. Januar 2010
Beiträge: 496
Wohnort: Graz, Österreich
|
Hi Lasall, wenn ich mir den Verlauf des Artikels ansehe, hast ja noch sehr viel neu formatiert. Ich glaube, wir sind zuvor fast immer falsch gelegen. Noch eine Frage zu "und Folgendes": Ist die Kleinschreibung nicht auch zulässig? Gruß, didi
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi sinci69, ich habe das nach Regel 72 🇩🇪 vorgenommen. Wenn ich die allerdings falsch interpretiert habe, einfach wieder ändern. Das gilt natürlich auch für Wikiformatierungen (dort gibt es ein paar weniger Regeln als in der deutschen Rechtschreibung, Richtlinie ist Wiki/Syntax (Abschnitt „Textformatierung“)). Du schriebst: wenn ich mir den Verlauf des Artikels ansehe, hast ja noch sehr viel neu formatiert. Ich glaube, wir sind zuvor fast immer falsch gelegen. [...]
Ich habe jetzt extra nochmal geschaut, was du geändert hast und ob ich das einfach wieder rückgängig gemacht habe. Resultat: Du hast überwiegend an Formulierungen gefeilt, ich an Wikisyntax (Fett/Kursiv/Mono). Mir sind nur zwei kleine Überschneidungen aufgefallen:
Ich habe wieder ca. zwei Überschriften 4. Ebene eingeführt habe (obwohl das mit dem Zeilenabstand bescheiden aussieht). Wenn du möchtest, mache daraus eine Liste. Fettformatierungen von Text in einer gesamten Zeile als pseudo-Überschrift ist nicht so gut, deswegen habe ich das geändert. Abkürzungen werden präferiert zusammengeschrieben, also "z.B." anstatt "z. B.". Man kann nicht erwarten, dass das Schmale Leerzeichen verwendet wird, wie es imho am schönsten aussieht.
Gruss
Lasall
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi, Artikel ist nun im Wiki. Vielen Dank an alle Beteiligten! Gruss
Lasall
|
sinci69
Anmeldungsdatum: 1. Januar 2010
Beiträge: 496
Wohnort: Graz, Österreich
|
Danke Lasall, ich nehme an, die Regel 72 gilt auch ich Österreich. Aber ich nehme es nicht ganz so genau. Mir reicht, was die Rechtschreibprüfung am PC vorschlägt 😉
Artikel ist nun im Wiki. Vielen Dank an alle Beteiligten!
👍 Gruß, didi
|
dbet
Anmeldungsdatum: 2. August 2005
Beiträge: 435
Wohnort: Winterthur
|
Danke für diesen von Hinweisen für alte Ubuntu-Versionen bereinigten Artikel. Ich verwende seit Hardy eigene Zertifikate, die ich mit OpenSSL erstellt habe. Kann ich diese weiter verwenden, obwohl OpenLDAP jetzt gegen GnuTLS kompiliert wurde? Da schon in Lucid gegen GnuTLS kompiliert war, sollte das eigentlich der Fall sein.
|
wranger
Anmeldungsdatum: 9. März 2007
Beiträge: Zähle...
|
Moin, ich weiss es ist kein Debian-Forum, könnten wir trotzdem den Hinweis aufnehmen, das bei Debian das "root-pw" für cn=admin,cn=config von Hand in die DB geschrieben werden muss? Ich habe mich totgesucht warum es nicht klappt. http://debianforum.de/forum/viewtopic.php?f=32&t=127013
Für alle die, die ich in das Thema neu einarbeiten, wäre auch ein Hinweis am Anfang von Vorteil das der Bind für "cn=admin,dc=firma,dc=local" → Für die Allg- Administration von Usern/Gruppen etc. gedacht ist und das der Bind für "cn=admin,cn=config" → Für die Andministration (Funktionen laden) des Servers gedacht ist und das das 2 unterschiedlich Benutzer/Passwörter sind.
|
aasche
Anmeldungsdatum: 30. Januar 2006
Beiträge: 14259
|
wranger schrieb: ich weiss es ist kein Debian-Forum, könnten wir trotzdem den Hinweis aufnehmen, das bei Debian das "root-pw" für cn=admin,cn=config von Hand in die DB geschrieben werden muss?
Bei aller Liebe - Debian ist nicht Ubuntu, was sich auch an vielen anderen Stellen feststellen laesst. Gibt es den wirklich keine andere OpenLDAP-Anleitung fuer Debian, wo man diesen Hinweis unterbringen koennte? Kein Problem waere es, wenn die genannte Problematik auch fuer Ubuntu relevant waere - was ich aber nicht beurteilen kann.
|
ceving
Anmeldungsdatum: 14. Februar 2013
Beiträge: Zähle...
|
Die LDIF-Dateien sind etwas umständlich und fehleranfällig. Es wird für jeden DN erst ein "delete" und dann ein "add" gemacht. Das Problem daran ist, dass ein "delete" fehl schlägt, wenn der betreffende DN nicht existiert. Das kann im Fall des Attributes "olcRootPW" der Fall sein. Besser ist es wenn man statt dessen direkt ein "replace" macht: | dn: olcDatabase=...
changeType: modify
replace: olcRootPW
olcRootPW: {SSHA}...
|
Ein "replace" schlägt nicht fehl, wenn das betreffende Attribut noch nicht existiert.
|
geek4live
Anmeldungsdatum: 2. Mai 2012
Beiträge: 15
Wohnort: /root
|
Hallo, Im Abschnitt [1] steht der Satz "Wie SASL ist auch die Verschlüsselung mittels TLS zwingend erforderlich, um einen LDAP v3 kompatiblen LDAP-Verzeichnisdienst zu betreiben." Gibt es dazu eine Quelle? Ich habe nämlich festgestellt, dass OpenLDAP auch unter der Benutzung von LDAP v3 ohne TLS und SASL tadellos funktioniert. Viele Grüße
Tommy [1] http://wiki.ubuntuusers.de/OpenLDAP_ab_Precise#Sichere-bertragung-mit-TLS-SSL
|
J8iv6k9oi4rv
Anmeldungsdatum: 7. Februar 2011
Beiträge: 71
|
Hallo zusammen, ich habe mit Ubuntu 13.10 Probleme, slapd wie beschrieben zu konfigurieren und poste mal nicht ganz uneigennützig die Ausgabe nach dem Hinzufügen von base.ldif (wie beschrieben):
ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=somedomain1,dc=local"
ldap_add: Already exists (68)
Das Verhalten ist reproduzierbar mit beliebigen Domainnamen. Der Test mit ldapsearch -xLLL -b cn=config -D cn=admin,cn=cldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}hdb
schlägt dann fehl mit Enter LDAP Password:
ldap_bind: Invalid credentials (49)
additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILUREonfig -W olcDatabase={1}hdb . Ich habe alles auch mit unterschiedlichen Passwörtern, die ich in den ldif-Dateien ersetzt habe, ausprobiert. Bin für jede Hilfe dankbar. Beste Grüße,
Kalle
|