OpenLDAP in der Praxis
Das Handbuch für Administratoren
2nd Edition
Published on 7. August 2023
484 pages
978-3-446-47835-0 (ISBN)
Description
- Dieses Buch unterstützt Sie beim Einsatz von OpenLDAP in Ihrem Netzwerk - egal, ob Sie OpenLDAP das erste Mal einrichten oder von einer älteren Version migrieren.
- Alle Kapitel bauen aufeinander auf, so dass Sie in der Lage sind, eine komplette OpenLDAP-Umgebung mit Kerberos einzurichten. Sie können aber auch einzelne Kapitel nutzen, um Ihre bestehende LDAP-Infrastruktur zu erweitern.
- Besonders zu den Themen ACLs, Replikation und Kerberos finden Sie neben den Grundlagen auch Beispiele zu den Vorgehensweisen.
- Neben der klassischen Installation wird auf die Einrichtung von OpenLDAP in Docker-Containern eingegangen. Zudem finden Sie einen Ausblick auf Kubernetes.
- Mit allen Listings und Skripten zum Download.
- basierend auf Version 2.6
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Dieses Buch bietet eine ausführliche Beschreibung von der Installation eines einzelnen OpenLDAP-Servers bis hin zu einer Multi-Provider-Replikation und der Einbindung von Kerberos, und Sie erfahren, wie Sie den Funktionsumfang Ihres LDAP-Servers durch Overlays erweitern und performanter gestalten können.
Alle Schritte auf dem Weg zu einer redundanten OpenLDAP-Struktur werden genau beschrieben. Das Hauptaugenmerk bei der Verwaltung liegt auf der Kommandozeile. Zusätzlich wird der LDAP Account Manager (LAM) als grafisches Werkzeug vorgestellt.
Das Buch unterstützt Sie auch bei der Umstellung von OpenLDAP 2.4 auf OpenLDAP 2.6.
In einem eigenen Kapitel gehen wir auf das Thema Monitoring ein, denn ein Dienst wie LDAP sollte nie ohne Überwachung bleiben.
In dieser Auflage wird nur noch die Konfiguration über cn=config beschrieben.
Die folgenden Inhalte sind komplett neu in dieser Auflage:
- Einrichtung von Referrals
- Zwei Faktoren Authentifizierung
- Das Overlay autoca zur automatischen Erstellung von Clientzertifikaten
- Einrichtung des OpenLDAP via Ansible
AUS DEM INHALT
- Installation der benötigten Pakete
- Verwaltung des OpenLDAP über cn=config
- Erstellen eigener Schemata
- Einstieg nach der Installation der Pakete
- Erste Objekte im LDAP-Baum
- Verschlüsselung der Verbindung über TLS und LDAPS
- Einrichtung des sssd als LDAP-Client
- Einsatz von Filtern
- Absichern des Baums durch ACLs
- Verwendung von Overlays zur Funktionserweiterung
- Replikation des LDAP-Baums
- Einsatz von Referrals
- OpenLDAP mit Docker und Kubernetes
- OpenLDAP als LDAP-Proxy
More details
Other editions
Additional editions
Book
08/2023
2nd Edition
Hanser
€79.99
Available immediately
E-Book
08/2023
2nd Edition
Hanser
€79.99
Available for download
Persons
Author
Stefan Kania ist seit über 25 Jahren freiberuflich als Trainer und Consultant tätig. Seine Schwerpunkte liegen bei den Themen Samba, LDAP und Kerberos. Sowohl in Schulungen als auch in verschiedenen Projekten konnte er vielfältige Erfahrungen sammeln, die er in diesem Buch zusammengetragen hat.
ISNI:
ISNI:
Andreas Ollenburg ist seit über zwei Jahrzehnten als Trainer, Berater und Administrator in den Bereichen Linux, Novell und Microsoft unterwegs. Durch die Arbeit in heterogenen Netzen ergaben sich seine Schwerpunkte Standardisierung, IT-Sicherheit und Verzeichnisdienste mit ihren Standards X.500 und LDAP.
ISNI:
ISNI:
Content
- Intro
- Inhalt
- Vorwort
- 1 Einleitung
- 1.1 Formales
- 1.2 Schriftarten
- 1.2.1 Eingabe langer Befehle
- 1.2.2 Screenshots
- 1.2.3 Internetverweise
- 1.2.4 Icons
- 1.3 Linux-Distributionen
- 1.4 Downloads zum Buch
- 1.5 OpenLDAP-Version
- 1.6 Konfigurationsarten
- 2 LDAP-Grundlagen
- 2.1 Grundlagen zum Protokoll
- 2.1.1 Der Einsatz von LDAP im Netzwerk
- 2.1.2 Das LDAP-Datenmodell
- 2.1.3 Attribute
- 2.1.4 Objektklassen
- 2.1.5 Objekte
- 2.1.6 Schema
- 2.1.7 Umwandeln eines Schemas in ein LDIF
- 2.1.8 Das LDIF-Format
- 2.1.9 Aufbau einer Struktur
- 2.1.10 Namensfindung
- 3 Installation des ersten OpenLDAP
- 3.0.1 Die statische Konfiguration
- 3.0.2 Die dynamische Konfiguration
- 3.1 Installation der Symas-Pakete
- 3.1.1 Die Datei ldap.conf
- 3.1.2 Erste Änderungen an der Konfiguration
- 3.2 Einspielen der ersten Objekte
- 4 Einrichten von TLS
- 4.1 Erstellen der Zertifikate am Beispiel von Debian
- 4.2 TLS vs. LDAPS
- 5 Client-Anbindung mit sssd
- 5.1 Was bietet der sssd?
- 5.2 Installation und Konfiguration
- 5.3 Abfrage der Benutzer und Gruppen
- 5.3.1 SRV-Records im DNS
- 6 Erste Schritte in der Objektverwaltung
- 6.1 Anlegen neuer Objekte
- 6.1.1 Anlegen von Organizational Units (OUs)
- 6.1.2 Anlegen von Benutzern und Gruppen
- 6.2 Ändern von Attributen
- 6.3 Der neue Administrator
- 6.4 Änderungen direkt in der Datenbank
- 7 Grafische Werkzeuge
- 7.1 Webbasierte Werkzeuge
- 7.1.1 Installation und Einrichtung des LAM
- 7.2 Lokale grafische Werkzeuge
- 7.2.1 Installation und Einrichtung des Apache Directory Studio
- 8 LDAP-Filter
- 8.1 Arten von Filtern
- 8.1.1 Beispiele zu einfachen Filtern
- 8.1.2 Beispiel zu erweiterten Filtern
- 8.2 Sonderzeichen in Attributen
- 9 Berechtigungen mit ACLs
- 9.1 Grundlegendes zu ACLs
- 9.1.1 Aufbau einer ACL
- 9.1.2 Die Berechtigungen
- 9.1.3 Die Privilegien
- 9.1.4 Erste Schritte mit ACLs
- 9.1.4.1 Neue Position für eine ACL
- 9.1.4.2 Löschen von ACLs
- 9.1.4.3 ACLs mit Filtern
- 9.1.5 ACL und grafische Werkzeuge
- 9.1.6 Rechte für den LDAP-Admin
- 9.2 ACLs in der Praxis
- 9.2.1 Rechte an der eigenen Abteilung
- 9.2.2 Rechte für Gruppen
- 9.2.3 Rechte für ein simpleSecurityObject
- 9.2.4 ACLs mit regulären Ausdrücken
- 9.2.5 ACLs mit Filtern in der Praxis
- 9.2.6 Filtern aufgrund von Hostinformationen
- 9.2.7 ACLs auf Grund von ssf
- 9.2.8 ACLs mit set
- 9.2.8.1 Alle ACLs
- 9.2.9 Prüfen von ACLs
- 10 Erweiterte Funktionen durch Overlays
- 10.1 Datenaufbereitung
- 10.1.1 translucent
- 10.1.2 valsort
- 10.1.3 deref
- 10.1.3.1 Einrichtung von deref
- 10.1.3.2 Verwenden von dereferenzierten Suchen
- 10.2 Datenmanipulation
- 10.2.1 memberOf
- 10.2.2 dynlist
- 10.2.2.1 Dynamische Gruppen
- 10.2.3 refint
- 10.2.4 unique
- 10.2.5 constraint
- 10.2.6 dds
- 10.3 Zusatzfunktionen
- 10.3.1 Vorabbemerkungen zur Protokollierung
- 10.3.2 accesslog
- 10.3.3 auditlog
- 10.3.4 ppolicy
- 10.3.4.1 Komplexere Kennwortrichtlinien
- 10.3.5 autoca
- 10.3.5.1 Einrichtung von autoca
- 10.3.5.2 Automatische Erzeugung von Schlüsselmaterial
- 10.3.6 homedir
- 10.3.6.1 Einrichten des Overlays homedir
- 10.3.7 otp
- 10.3.7.1 Serverseitige Einrichtung von otp
- 10.3.7.2 Definition der Vorgaben für die OTP-Authentifizierung
- 10.3.7.3 Einrichten von OTP für die Benutzer per Skript
- 10.3.7.4 Einrichten von OTP für die Benutzer über LAM SelfService
- 10.3.8 remoteauth
- 10.3.8.1 Einrichtung von remoteauth
- 10.3.9 syncprov
- 10.3.10 variant
- 10.3.10.1 Einrichten mit einfachen Werten
- 10.3.10.2 Einrichtung mit regex
- 11 Dynamische Posix-Gruppen
- 11.1 Anpassungen am OpenLDAP-Verzeichnis
- 11.1.1 Einrichten der dynamischen Posix-Gruppen
- 11.2 Anpassung des Clients
- 12 Replikation des OpenLDAP-Baums
- 12.1 Grundlagen zur Replikation
- 12.1.1 Change Sequence Number
- 12.1.2 Zeitsynchronisation
- 12.1.3 Serverrollen
- 12.1.4 Replikationsumfang
- 12.2 Replikationsmethoden
- 12.2.1 LDAP Synchronization Replication - Die vollständige Replikation
- 12.2.2 refreshOnly
- 12.2.3 refreshAndPersist
- 12.2.3.1 Einrichtung
- 12.2.4 Zwischenstopp
- 12.2.5 DeltaSync
- 12.2.5.1 Einrichtung
- 12.2.6 Zusammenfassung und Ergänzung
- 12.3 Schreiben auf dem Consumer
- 12.4 Replikationstopologien
- 12.4.1 Standby-Provider oder Mirror-Mode
- 12.4.2 Vorbereitung der Replikation
- 12.4.3 Einrichtung der Replikation cn=config
- 12.4.4 Einrichtung der Replikation der Objektdatenbank
- 12.5 Consumer mit eingeschränkter Replikation
- 12.5.1 Einschränkungen über ACLs einrichten
- 12.5.2 Einschränkungen über Filter einrichten
- 12.5.3 Überprüfung der Replikation mit slapd-watcher
- 12.5.4 Troubleshooting mit CSN
- 13 Loadbalancer mit lloadd
- 13.1 Übersicht über lload
- 13.1.1 Funktionsweise von lload
- 13.1.2 Voraussetzungen
- 13.2 Vorbereitungen für lload
- 13.2.1 Proxy-Authentifizierung
- 13.2.2 Erstellen des Proxy-Benutzers
- 13.2.3 Rechte für den Proxy-Benutzer
- 13.3 Einrichten des Loadbalancers
- 13.3.1 Modul
- 13.3.2 Backend
- 13.3.3 Tier
- 13.3.4 Schreiboperationen
- 14 OpenLDAP als Proxy
- 14.1 Einrichtung eines einfachen LDAP-Proxy
- 14.1.1 Einrichtung des LDAP-Proxy
- 14.1.1.1 Das Rewriting bestimmter Attribute
- 14.1.1.2 Das Caching bestimmter Suchanfragen
- 14.1.1.3 Testen des Caches
- 14.2 Einrichtung eines meta-Proxyservers
- 15 OpenLDAP mit Kerberos
- 15.1 Funktionsweise von Kerberos
- 15.1.1 Einstufiges Kerberos-Verfahren
- 15.1.2 Zweistufiges Kerberos-Verfahren
- 15.2 Installation und Konfiguration des Kerberos-Servers
- 15.2.1 Konfiguration des ersten Kerberos-Servers
- 15.2.2 Initialisierung und Testen des Kerberos-Servers
- 15.2.3 Verwalten der Principals
- 15.3 Kerberos und PAM
- 15.3.0.1 PAM-Konfiguration unter Redhat
- 15.3.1 Testen der Anmeldung
- 15.4 Hosts und Dienste
- 15.4.1 Entfernen von Einträgen
- 15.5 Konfiguration des Kerberos-Clients
- 15.5.1 PAM und Kerberos auf dem Client
- 15.6 Replikation des Kerberos-Servers
- 15.6.1 Bekanntmachung aller KDCs im Netz
- 15.6.1.1 Bekanntmachung aller KDCs über die Datei krb5.conf
- 15.6.1.2 Bekanntmachung aller KDCs über SRV-Einträge im DNS
- 15.6.2 Konfiguration des KDC-Masters
- 15.6.3 Konfiguration des KDC-Slaves
- 15.6.4 Replikation des KDC-Masters auf den KDC-Slave
- 15.7 Kerberos Policies
- 15.8 Kerberos im LDAP einbinden
- 15.8.1 Vorbereitung des LDAP-Servers
- 15.8.2 Konfiguration des LDAP-Servers
- 15.8.3 Umstellung des Kerberos-Servers
- 15.8.4 Zurücksichern der alten Datenbank
- 15.8.5 Erstellung der Keys für den LDAP-Server
- 15.8.6 Bestehende LDAP-Benutzer um Kerberos-Principal erweitern
- 15.9 Neue Benutzer im LDAP
- 15.10 Authentifizierung am LDAP-Server über GSSAPI
- 15.10.1 Einrichtung der Authentifizierung
- 15.10.2 Der sssd mit GSSAPI
- 15.10.3 Anbinden des zweiten KDCs an den LDAP
- 15.10.4 Replikation mit Kerberos absichern
- 15.10.5 Vorbereitung des zweiten LDAP-Servers
- 15.10.6 Einrichtung von k5start
- 15.10.7 Umstellung der Replikation auf GSSAPI
- 15.11 Konfiguration des LAM-Pro
- 15.11.1 Vorbereitung des Webservers
- 15.11.2 Konfiguration des LAM
- 16 Einrichtung von Referrals
- 16.0.1 Namensauf?lösung
- 16.0.2 Einrichtung
- 16.1 Einrichtung ohne Chaining
- 16.1.1 Konfiguration des Hauptnamensraums
- 16.1.2 Einrichten der untergeordneten Datenbank
- 16.1.3 Testen der Referrals
- 16.1.3.1 Was macht der sssd?
- 16.2 Einrichtung mit Chaining
- 16.2.1 Einrichtung der untergeordneten Datenbank
- 16.2.2 Konfiguration der Server
- 16.2.3 Erste Tests
- 16.2.4 Das Overlay chain
- 16.2.4.1 Auf dem Hauptnamensraum
- 16.2.5 Der sssd Zugriff
- 16.2.5.1 Im Hauptnamensraum
- 17 Monitoring mit Munin
- 17.1 Warum Monitoring?
- 17.2 cn=monitor
- 17.3 Munin
- 17.3.1 Munin-Server
- 17.3.2 Knoten
- 17.3.3 OpenLDAP-Daten
- 17.3.4 Überwachung des Loadbalancers
- 17.4 Andere Monitoring-Systeme
- 18 OpenLDAP im Container
- 18.1 Docker
- 18.1.1 Einrichtung des Docker-Servers
- 18.1.2 Der erste Container
- 18.2 OpenLDAP
- 18.2.1 Netzwerken
- 18.2.2 Datenpersistenz
- 18.2.3 Compose
- 18.2.4 Ausblick
- 18.3 Image im Eigenbau
- 18.3.1 Der Build-Prozess
- 18.3.2 Das Dockerfile
- 18.3.3 Testen des Images
- 18.3.4 Ausblick
- 18.4 Kubernetes
- 18.4.1 minikube
- 18.4.1.1 Einrichtung unter Debian
- 18.4.1.2 Die Kommandozeile
- 18.4.1.3 Das Dashboard
- 18.4.2 Registry
- 18.4.3 Namespace
- 18.4.4 Volume
- 18.4.5 Deployment
- 18.4.6 Ausblick
- 19 OpenLDAP einrichten mit Ansible
- 19.1 Rolle zur Vorbereitung
- 19.2 Die Rolle zur Einrichtung von OpenLDAP
- 19.2.1 Vorbereitung für TLS
- 19.2.2 Die Templates
- 19.2.2.1 provider_main_config.j2
- 19.2.2.2 first-objects.j2
- 19.2.2.3 main_db_repl.j2
- 19.2.2.4 repl_config.j2
- 19.2.2.5 symas-openldap-default.j2
- 19.2.3 Die Tasks
- 19.2.4 Einspielen der Rolle
- 20 Beispiele aus der Praxis
- 20.1 Weitere Datenbanken einrichten
- 20.1.1 Zweite Datenbank einrichten
- 20.1.2 Anlegen der ersten Objekte
- 20.2 Ssh mit Kerberos und LDAP
- 20.3 Der sssd und Gruppen
- 20.4 Public Keys im LDAP
- 20.4.0.1 Anpassen des ssh-Servers
- 20.5 LDAP-Authentifizierung für den Apache-Webserver
- Stichwortverzeichnis
