ubuntuusers.de

Nachdem ich nach langem Suchen kein Wiki zum Thema OpenLDAP bei ubuntuusers.de gefunden hatte, habe ich mir nun einen neuen Artikel zu dem Thema erstellt. Ich hoffe es hilft weiter.

PS: Es ist übrigens mein erstes Wiki, ich hoffe ich habe soweit alles richtig gemacht ☺

http://wiki.ubuntuusers.de/Baustelle/Trash/OpenLDAP

Hallo,

Willkommen bei den Wiki-Schreibern. ☺

Was mir beim ersten drüber fliegen aufgefallen ist:

• nie direkte Anrede ("wir"), immer neutral schreiben ("man2")

• Datei- und Verzeichnisnamen immer fett

• sudo -s am Anfang weg machen - ist zu gefährlich. Lieber den Hinweis: "Alle Befehle sind mit Root-Rechten auszuführen."

• Muss man nmap zum Testen auf LDAP nehmen? Oder gibt es noch einen anderen Weg (also Port-Scanner - das es mit Portbunny statt nmap funktioniert ist ja fast klar 😉 )

Gruß, noisefloor

noisefloor schrieb:

• nie direkte Anrede ("wir"), immer neutral schreiben ("man2")

• Datei- und Verzeichnisnamen immer fett

• sudo -s am Anfang weg machen - ist zu gefährlich. Lieber den Hinweis: "Alle Befehle sind mit Root-Rechten auszuführen."

• Muss man nmap zum Testen auf LDAP nehmen? Oder gibt es noch einen anderen Weg (also Port-Scanner - das es mit Portbunny statt nmap funktioniert ist ja fast klar 😉 )

So, ich hab versucht, die Hinweise zu beachten und hab den Artikel entsprechend bearbeitet ☺

Hallo,

habe noch einen ganzen Schwung Syntax-Fehler gefixt.

Und nochmal die Frage zu nmap: muss man dafür wirklich nmap nehmen? Wenn es nur darum geht zu sehen, ob OpenLDAP auf einem Port lauscht, dann sollte das auch mit lsof gehen, dass ist immer installiert.

Gruß, noisefloor

noisefloor schrieb:

Hallo,

habe noch einen ganzen Schwung Syntax-Fehler gefixt.

Und nochmal die Frage zu nmap: muss man dafür wirklich nmap nehmen? Wenn es nur darum geht zu sehen, ob OpenLDAP auf einem Port lauscht, dann sollte das auch mit lsof gehen, dass ist immer installiert.

Gruß, noisefloor

Also wenn ich lsof aufrufe mit

sudo lsof -a -i -c slapd 

Dann kommt

COMMAND  PID     USER   FD   TYPE  DEVICE SIZE NODE NAME
slapd   9395 openldap    8u  IPv6 1616216       TCP *:ldap (LISTEN)
slapd   9395 openldap    9u  IPv4 1616217       TCP *:ldap (LISTEN)

Wenn ich das richtig verstanden habe, dann ist die Hauptsache, dass da hinten (LISTEN) steht

So gesehen kann man es also auch mit lsof prüfen

PS: Danke für die Syntax-Korrekturen, mit der Zeit lerne ich das auch noch 😉

Hallo,

genau. Du kannst zusätzlich noch lsof +i TCP:389 aufrufen, dann siehst du, ob ein Dienst of Port 389 lauscht.

Dann kann man sich den Portscann und die Installation von nmap sparen. ☺

Gruß, noisefloor

OK, ich habe jetzt auch die Test-Variante mittels lsof zum Artikel hinzugefügt.

Hallo,

bitte nie in eine Überschrift einen Link einbauen!

Habe ich gefixt und verschoben: OpenLDAP.

Gruß, noisefloor

Hi, ich habe jetzt versucht, nach dem Artikel einen LDAP Server einzurichten (ubuntu server 8.04.2). Ich kann den Server starten und bei einem Portscan finde ich auch den passenden Port. Ich komme bis hier hin

ldapadd -x -W -D cn=admin,dc=meinedomain,dc=local -f base.ldif 
Enter LDAP Password: 
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Weiterhin ist die Anleitung etwas verwirrend. Z.B. diese Zeile

Seit Ubuntu 8.10 existiert die nötige Datei /etc/ldap/slapd.confslapd.conf nicht mehr und muss daher erst noch erstellt werden. Nachdem diese im Dateisystem angelegt wurde, öffnet man die Datei in einem Editor ^[3] und kopiert folgende Standardkonfiguration hinein:

Da ist slapd.conf doppelt.

Außerdem kommt der Hinweis

Dies ist aber erst ab Ubuntu 8.10 nötig. Bei älteren Versionen reicht das Bearbeiten der slapd.conf und anschließende Neustarten des LDAP-Servers aus.

etwas spät. Es sollte deutlicher sein welcher Teil bis 8.04 und welcher ab 8.10 ausgeführt werden soll. Bei mir gab es zb keine slapd.d Konfiguration

Es wäre auch hilfreich, wenn man wüsste wo man die Datei base.ldif erstellen soll. Ich gehe von /etc/ldap aus

Aber zurück zu meinem Problem: der Server läuft, aber ich kann mit keinem Befehl (ldapadd, ldapsearch) darauf zugreifen. Warum? Hab alles so gemacht wie im Wiki, nur das ich "meinedomain" anders genannt habe. Ich hab auch mal stur mit copy&paste die Angaben aus dem Wiki in die entsprechenden Dateien kopiert (also mit meinedomain usw) mit dem gleichen Ergebnis.

Ach ja, der Test mittels lsof -a -i TCP:389 -c slapd funktioniert bei mir nicht, der Test mit nmap geht

:/etc/ldap$ nmap localhost | grep ldap
389/tcp  open  ldap

Hallo an Alle,

ich bin gerade ebenfalls dabei meinen ersten LDAP-Server einzurichten und hatte ebenfalls das Problem mit dem Hinzufügen des ersten Nutzers:

ldapadd -x -W -D cn=admin,dc=meinedomain,dc=local -f base.ldif

Was folgenden Fehler wirft:

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Die Lösung: Per -h noch den Hostnamen (und bei bedarf per -p den alternativen Port) mitgeben, dann sollte es klappen:

ldapadd -x -h <hostname> (-p <port>) -W -D cn=admin,dc=meinedomain,dc=local -f base.ldif

☺

Vielen Dank nochmal, war ne super Hilfe, jetzt muss ich nur noch PHPLDAPAdmin verstehen...

Viele Grüße aus Mexiko,

jeiworth

EDIT: Habe die Korrektur ins Wiki eingefügt.

Hallo Leute,

Ich bin dem Wiki gefolgt und es klappte soweit auch alles, aber bei dem Punkt "slapd.conf aktivieren" bekomme ich folgende Fehlermeldung wenn ich

1

slaptest -f slapd.conf -F slapd.d 

eingebe:

1
2

slapd.conf: line 63: invalid path: Permission denied
slaptest: bad configuration directory!

Meine slapd.conf stammt aus dem Wiki und in der besagten Zeile 62/63 steht folgendes:

1
2

# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"

Muss ich diesen Pfad anpassen? Wenn ja, soll er dann auf /etc/ldap/ zeigen? Und wieder: Wenn dem so ist, sollte man das nicht direkt in der Beispiel-Config so eintragen?

Vielen Dank im Voraus.

Mit freundlichem Gruß
Terahnee

Hallo,

mir ist gerade aufgefallen, dass im Wiki beschrieben wird, dass die slapd.conf fehlt. Diese fehlt nicht, sondern ist veraltet und soll eigentlich nicht mehr benutzt werden! Ich bin leider mit der neuen Methode via cn=config selber noch nicht so vertraut, kann es also nicht verbessern. Es wäre toll, wenn sich jemand dieser Sache annehmen könnte.

(Ich habe mir erlaubt, einen entsprechenden Hinweis in das Wiki zu setzen und hoffe, damit niemandem auf den Schlips getreten zu haben)

Hallo!

Ich habe gerade verucht nach dem Artikel einen Server aufzusetzen. Dabei bin ich, wie viele andere auch schon, auf Probleme gestoßen. Mein "Server": Ubuntu 9.04, AMD64

Aber im Endeffekt habe ich es doch geschafft OHNE diese komische Datei slapd.conf erstellen, füllen und "aktivieren" zu müssen. Mein Weg nach Rom:

sudo apt-get install slapd ldap-utils php5-ldap db4.2-util nmap phpldapadmin

Bei der Installation wurde ich nach einem Passwort gefragt. Nach der Installation habe ich den Server wie gewünscht getestet:

nmap localhost | grep ldap 

Ergebnis wie gewünscht: 389/tcp open ldap

Jetzt bin ich mir nicht mehr sicher wie es weiter ging. Ich glaub ich habe tatsächlich den SSAH-Schlüssel mit slappasswd erstellt. Aber auch hier habe ich das gleiche Passwort wie bei der Installation genommen.

Im Interface vom phpldapadmin über meinen http://localhost/phpldapadmin konnte ich mich nun mit der Anmelde DN: cn=admin,cn=config und dem besagten Passwort anmelden.

Fertig. Das wars. Ich musste KEINE Datei erstellen oder bearbeiten.

Ich weiß nicht wie ihr das jetzt im Wiki handhabt, aber ich würde fast dazu raten, den ganzen Kram mit slapd.conf rauszuwerfen, da eigentlich alles alleine geht und das neue System, meinen Nachforschungen nach, eine Konfigurationsänderung OHNE Neustart des Servers ermöglicht, onthefly sozusagen.

Wenn ihr euch die Dateien in dem Ordner /etc/ldap/slapd.d anschaut, werdet ihr auch zusammenhänge mit der alten slapd.conf finden.

Also ich komme damit überhaupt nicht klar. Ich habe jetzt alle Möglichkeiten die hier beschrieben sind probiert.

Der Server läuft zwar, jedoch immer mit dc=example,dc=com Mit meiner Domain will er nicht, wenn es nach phpldapadmin geht. Wenn ich mit den Ldaputils mir die Config ansehe passt sie schon. Ist phpldapadmin nicht mehr UpToDate mit der neuen Konfiguration?

Sicherlich wird phpldapadmin nicht ständig benötigt, aber mir kommt auch der Verdacht auf, dass eGroupware dann auch nicht damit zurecht kommt. Die Dokus sind ja noch sehr dürftig. In dieser Hinsicht war mir die alte Konfigurationsmethode vor 8.10 lieber. Der Server machte das was ich wollte. Ich sehe hier keine Verbesserung.

Gruß Georg

Hallo Georg,

phpldapadmin ist vollkommen aktuell. Hier handelt es such auch lediglich um einen LDAP-Browser, der dir dein LDAP-Verzeichnis anzeigen kann, so wie "Nautilus" oder der "Explorer" es für Dateisysteme machen. Für eGroupware ist es übrigens vollkommen transparent, welche Konfigurationsmethode verwendet wird. Der sieht nur das LDAP-Verzeichnis, so wie vorher.

Der Hauptvorteil der neuen Konfigurationsmethode ist, dass der LDAP-Server nach einer Änderung nicht neu gestartet werden muss, da die Konfiguration selbst ebenfalls in einem LDAP-Baum vorliegt. Es ist aber auch gar nicht so, dass du dir das aussuchen könntest. Die LDAP-Macher haben nun mal so entschieden und die alte Konfigurationsmethode funktioniert nur noch übergangsweise. Bei der nächsten Version würdest du dich wundern, dass gar nichts mehr geht, weil dann nur noch die neue Methode berücksichtigt wird.

Ich hatte im Wiki einen, wie ich finde, sehr wichtigen Hinweis geschrieben, nämlich, wie man die Konfiguration mit der neuen Methode bearbeiten kann. Dieser ist leider entfernt worden. Du kannst ihn aber natürlich unter "Version" noch mal abrufen. Dieser lautete:

Hinweis: Nach dem Start des Dienstes als root mittels "/etc/init.d/slapd start" kann die Konfiguration mit einem beliebigen LDAP-Browser angesehen und ggf. bearbeitet werden (ich empfehle Apache Directory Studio dafür). Als Bind-DN gibt man dazu cn=admin,cn=config an, als Basis-DN cn=config und man verwendet das während der Installation vergebene Passwort.

Du kannst aber auch eine slapd.conf erstellen, so wie du es gewohnt bist und diese dann in die neue Methode konvertieren. Vielleicht erleichtert dir das den Umstieg. Wie man Konvertiert, steht z.B. hier und ist schnell gemacht: http://www.zytrax.com/books/ldap/ch6/slapd-config.html Danach findest du die Konfiguration im Dateisystem unterhalb deines LDAP-Verzeichnisses. Hier solltest du allerdings nie direkt editieren, es sei denn, du weißt genau was du tust. Editieren geht immer über einen LDAP-Browser wie oben beschrieben.