OpenLDAP in der Praxis

Bevor wir mit der Einrichtung des ersten OpenLDAP-Servers beginnen, wollen wir Ihnen an dieser Stelle ein paar Grundlagen zum Lightweight Directory Access Protocol (LDAP) vermitteln. Mithilfe dieser Grundlagen ist es für Sie später einfacher, bestimmte Zusammenhänge zu verstehen, da Sie dann wissen, wie das Protokoll aufgebaut ist und was es bedeutet, wenn über Objects, Attribute und Schemata gesprochen wird.

LDAP ist ursprünglich kein Dienst, sondern wie es die Abkürzung schon sagt, ein Protokoll, das als Proxy zwischen den TCP/IP-Clients und den DAP-Datenbanken auf Großrechnern eingesetzt wurde. Da diese Großrechner nicht das OSI-Referenzmodell für ihre Protokolle verwendet haben, musste für den Zugriff von Clients aus dem TCP/IP-Netzwerk ein Übergang geschaffen werden, um die Zugriffe weiterleiten zu können. Dafür wurde LDAP entwickelt. Im Laufe der Zeit wurde dann ein eigenes Datenbank-Backend für diesen Proxy-Dienst entwickelt, und daraus ist dann der heutige Serverdienst LDAP entstanden.

LDAP ist ein hierarchisch gegliederter Verzeichnisdienst, und mit seiner Hilfe können Sie Ihre Unternehmensstruktur direkt abbilden. Sie können aber genauso eine Struktur erstellen, die verschiedene Ressourcen zusammenfasst. Sie müssen sich auf jeden Fall immer Gedanken über Ihre Struktur machen, denn eine allgemeingültige Struktur für einen LDAP-Baum gibt es nicht. Planen Sie gut, bevor Sie eine neue Struktur aufbauen. Eine genaue Planung kann Ihnen hinterher sehr viele nachträgliche Anpassungen und Änderungen ersparen. Gerade wenn es später darum geht, Berechtigungen für Zugriffe auf Objekte zu geben, ist die Planung der Struktur sehr wichtig. Ohne eine gute Planung kann es später schwer werden, die Berechtigungen mit wenigen einfachen Regeln zu setzen. Gruppieren Sie Ihre Ressourcen so, dass Sie später die einzelnen Bereiche des Baums gezielt mit Rechten für Gruppen und Benutzer vergeben können. Vergleichen können Sie die Struktur in etwa mit der Struktur Ihrer Dateisysteme auf Fileservern.

Die Entwicklung des Lightweight Directory Access Protocol stammt aus dem Jahr 1993. Es wurde benötigt, um den Zugriff auf DAP-Datenbanken über TCP/IP zu erleichtern. Der ursprüngliche X.500-Standard, der für DAP-Datenbanken verwendet wurde, umfasst alle sieben Ebenen des OSI-Referenzmodells. Das machte eine Implementation auf verschiedene Systeme aufwendig oder gar unmöglich. Aus diesem Grund wurde im Jahre 1993 das Protokoll LDAP entwickelt. Am Anfang wurde es nur verwendet, um auf DAP-Server zugreifen zu können. LDAP diente dabei mehr oder weniger als Proxy, um zwischen X.500 und den verschiedenen Systemen zu vermitteln. Der große Vorteil von LDAP gegenüber einer reinen DAP-Umgebung ist der, dass für LDAP nur ein funktionsfähiger TCP/IP-Protokollstack benötigt wird. Später wurde zu LDAP ein eigenes Datenbank-Backend hinzugefügt, um unabhängig von den DAP-Servern zu werden. Heute wird LDAP in verschiedenen Produkten als Verzeichnisdienst eingesetzt. Dazu gehören unter anderem , oder der von Red Hat.

Wie schon erwähnt, handelt es sich bei LDAP um einen Verzeichnisdienst. Ein Verzeichnisdienst zeichnet sich durch die folgenden Eigenschaften aus:

       Die Administration kann auf verschiedene Bereiche aufgeteilt werden.

       Die gesamte Unternehmensstruktur kann 1:1 im Verzeichnis abgebildet werden.

       Durch eine Partitionierung kann die Struktur auf mehrere Server verteilt werden.

       Für die Suche nach bestimmten Objekten im Verzeichnis können Sie mehr oder weniger komplexe Filter einsetzen, die die Suche auf bestimmte Teilbereiche des Verzeichnisses einschränken und dadurch die Suche beschleunigen.

       Da LDAP auf X.500 basiert, wird hier ein objektorientiertes Datenmodell verwendet. Dadurch ist eine Vererbung von Eigenschaften auf andere Objekte möglich.

Für alle Verzeichnisdienste existiert der X.500-Standard der ITU-T der internationalen Fernmeldeunion https://www.itu.int. Diese Standards beschreiben, wie Verzeichnisdaten zur Verfügung gestellt und abgerufen werden und wie die Verschlüsselung, Authentifizierung, Replikation und Verwaltung der Verzeichnisdaten gehandhabt werden. Die X.500-Standards liefern die Funktionsmodelle und Begriffsbestimmungen für die Verzeichnisdienste, die nicht voll auf dem X.500-Standard basieren, was bei LDAP der Fall ist.

Im Laufe seiner Entwicklung wurde LDAP immer weiterentwickelt, und die aktuelle Version von LDAP ist die Version 3. Verwechseln Sie die LDAP-Version nicht mit der Version der Produkte wie zum Beispiel OpenLDAP Version 2.6. Die Versionsnummer 2.6 bezieht sich hier auf die Version der Software und nicht auf die Version des Protokolls. Die aktuelle Version 3 von LDAP hat gegenüber der Version 2 die folgenden Vorteile:

       Authentifizierung durch Verwendung von SASL für die Verschlüsselung der Passwörter. Hier wird heute hauptsächlich Kerberos eingesetzt. Im Buch wird es dazu ein eigenes Kapitel geben.

       Verschlüsselung des gesamten Datenverkehrs im Netz durch TLS.

       Möglichkeit der Verwendung von UTF-8 für Attribute.

       Verweise auf andere LDAP-Server, die Referrals. Dadurch können Ressourcen in mehreren Bäumen gemeinsam genutzt, aber getrennt administriert werden.

Sollten Sie heute noch alte LDAPv2-Server im Netz finden, können Sie diese nicht mit LD-APv3-Servern replizieren, da die beiden Protokolle nicht kompatibel zueinander sind. Es ist aber immer noch möglich, ältere Software, die nur mit LDAPv2-Client-Software ausgestattet ist, mit einem LDAPv3-Server zu verbinden. Wie lange das noch möglich ist, bleibt aber fraglich. Sollten Sie noch Software nutzen, die einen alten LDAPv2-Client nutzt, sollten Sie diese möglichst bald aktualisieren.

Sie können LDAP auf verschiedene Arten in Ihrem Netzwerk für die Verwaltung einsetzen. Aber erst zusammen mit Kerberos ist es auch möglich, ein Single Sign-on im Netzwerk zu realisieren. Ohne Kerberos können Sie lediglich eine zentrale Benutzerverwaltung aufbauen, die Ihre Anwender dann für die Anmeldung an verschiedenen Diensten nutzen können. Aber denken Sie daran: Sämtliche Datenübertragung zwischen einem LDAP-Server und einem LDAP-Client läuft immer erst einmal unverschlüsselt. Erst durch den Einsatz von TLS oder LDAPS werden die Daten sicher übertragen.

An ein LDAP-Verzeichnis können Sie die unterschiedlichsten Dienste anbinden und die Daten des LDAP für unterschiedliche Aufgaben nutzen. In der folgenden Aufzählung finden Sie eine kleine Übersicht der Möglichkeiten:

       Verwaltung von Benutzern, Gruppen für Posix-Konten

       Verwaltung von Weiterleitungen und Aliasen für den Postfix-Mailserver

       Einrichtung der Benutzerauthentifizierung für einen IMAP-Server

       Authentifizierung von Benutzern für die Anmeldung bei einem Proxy

       Authentifizierung von Benutzern für die Anmeldung am Webserver

Das Datenmodell von LDAP ist objektorientiert, d. h. einzelne Objekte setzen sich aus Objektklassen und Attributen zusammen. Bei LDAP gelten dabei fast die gleichen Regeln wie bei der objektorientierten Programmierung. Auch im LDAP gibt es Vererbung und Polymorphie. Im Gegensatz zur objektorientierten Programmierung wird hier aber sehr viel Gebrauch von der Polymorphie gemacht, sprich ein Objekt besteht aus mehreren Objektklassen. In Bild 2.1 sehen Sie, wie sich ein Objekt aus verschiedenen Objektklassen und Attributen zusammensetzt.

Bild 2.1 Aufbau eines Objekts

Die Aufgabe von LDAP ist es, die Objekte abzubilden und miteinander in Beziehung zu bringen. Ein Objekt wird im Verzeichnisbaum als Verzeichniseintrag bezeichnet. Jedes Objekt wird über seinen eindeutigen Namen, den Distinguished Name (dn), im Directory Information Tree (DIT) angelegt, der ähnlich wie der Name einer Datei im Dateisystem behandelt wird. Durch die verschiedenen Objekte entsteht so nach und nach eine Baumstruktur.

Im LDAP-Baum wird zwischen zwei verschiedenen Objektarten unterschieden. Zunächst gibt es die Organizational Unit (OU), bei der es sich um ein Containerobjekt...