it concepts Liebel Publikationen 

 

OpenLDAP

Oliver Liebel, 

J.M.Ungar

Galileo Computing
340 S., 2006, geb.
34,90 Euro, ISBN 978-3-89842-762-3

  • Grundlagen und Installation
  • Konfiguration und Verwaltung
  • Mit zahlreichen Beispielskripten

Dieses Buch beschreibt die erfolgreiche Open Source-Implementation des Lightweight Directory Access Protocol in der praktischen Anwendung. Lesen Sie hier alles über LDAP-Grundlagen, die Installation und Inbetriebnahme und schließlich den Einsatz von OpenLDAP. Konfiguration, Konsole, Schemata, Authentifizierung: Hier wird kein Profi-Thema ausgelassen. Beispielskripte und Übungen helfen beim Verständnis und erleichtern den praktischen Einstieg.

Rezensionen:

Linux Magazin 04/2007:
..."In vier übersichtlich gegliederten Kapiteln führen die beiden Autoren Schritt für Schritt in die Benutzung und Administration des OpenLDAP-Daemon ein, und halten sich dabei nicht lange bei der grauen Theorie auf. So erfährt der Admin genau jene Dinge,
die er wissen muss, um mit der freien Software einen funktionierenden Verzeichnisdienst
aufzusetzen.  ...
Hilfreich sind die detaillierten Hinweise zum Troubleshooting, die den Leser sogar in die Lage versetzen, die wenigen noch vorhandenen Fehler im Buch aufzuspüren ...
Besonders hervorzuheben: die Beispielskripte und sonstigen Dateien, die die Autoren auf der Webseite des Verlages zur Verfügung stellen. Sie lassen sich gut zum Einarbeiten einsetzen und ersparen dem Neuling viel Zeit. ...
Wer einen Verzeichnisdienst unter Linux einzurichten hat, kommt um dieses Buch kaum herum."

Amazon.de-Redaktion:
"Ein Handbuch zur Installation, Konfiguration und Verwaltung des Verzeichnisdienstes Nummer Eins -- mit OpenLDAP liefern Oliver Liebel und John M. Ungar ein Praxisbuch für LDAP-Einsteiger angefangen bei der Installation bis hin zum Konfigurieren und Finetunen eines laufenden Systems für fortgeschrittenen Anwendern.

Knick, knack. Liest man die Überschrift von Kapitel 1.1, dann steht da: "Eine kurze Geschichte des Internet". Oh shit. Dass passt nicht in ein LDAP-Buch im Jahr 2006. Weiterblättern: Kapitel 4.4: Apache und Squid mit OpenLDAP. Ups. Hm. Okay, vielleicht lohnt es sich doch, nochmal die Geschichte des Internets zu lesen. Und richtig, Liebel und Ungar kriegen ruckzuck die Kurve und landen nach ein bisschen DARPA und CERN bei DAP, DSP, DISP und Anwendungen bis hin zur Struktur eines Verzeichnisdienstes, Objekten, Klassen und Attributen. Damit ist die Einführung kein Lückenfüller, sondern eine Herleitung zu LDAP, die zu lesen sich lohnt. Gut. Dann geht es los: Installation und erster, einfacher Betrieb. Als nächstes der Einsatz, also Aufgabenfelder, Möglichkeiten und spezielle Erweiterungen -- Replikation, Verschlüsselung, Authentifizierung und Autorisierung, Performance-Tuning etc. Dazu immer Beispielscripte. Zuletzt dann die Zusammenarbeit mit anderen Applikationen: Samba, Kerberos, Mail bis hin zum schon genannten Apache und Squid. Steiles Tempo, das solides Linux-Grundwissen voraussetzt, aber immer an der Praxis orientiert bleibt.
Liebel und Ungar füllen mit OpenLDAP gekonnt eine Lücke im ansonsten glanzvollen Siegeszugs des LDAP-Verzeichnisdienstes. Praxis pur und viele Seitenblicke und Bezüge zur Einsatzumgebung machen ihr Buch zu einem perfekten Zugpferd für den OpenLDAP-Karren. --Wolfgang Treß"


Infoweek.ch, 09/2006:
"Eine komplette Liste aller Stolpersteine und die Abhandlung der theoretischen Grundlagen machen den Praktikerleitfaden zum wertvollen Bestandteil in der Bücherwand jedes Administrators."


Wissenschaft-Online, 09/2007:
"...  Eine Einführung in die Struktur eines Verzeichnisdienstes inklusive der verwendeten Begrifflichkeiten bildet die Basis für das aufzubauende Wissen und ist gleichzeitig der Abschluss des ersten Buchteils. ...
Der Leser findet zahlreiche Beispiel-Skripte im Buch, die erheblich zum Verständnis beitragen und unbedingt von ihm nachvollzogen werden sollten. ... 
Jeweils ein Kapitel widmen Liebel/Ungar den Konfigurationsdateien, den verwendeten Programmen/ Bibliotheken und den Schemata. Den Abschluss bilden "Fingerübungen" mit dem Kommandozeilen-Programmen zu OpenLDAP. Damit endet der "akademische" Teil des Buches.
OpenLDAP im Einsatz ist das Motto des dritten Abschnitts und entsprechend kommen die praxisrelevanten Thema zur Sprache. Dazu gehören Replikation/Lastverteilung, Zugriffslisten (ACL), Verschlüsselung mit SSL/TLS und schließlich Authentisierung unter Verwendung von PAM. Zusätzlich geben die Autoren Tipps zum Performance-Tuning und dem Schreiben eigener Schemata. In großen Netzwerken ist gerade der erste Punkt sehr wichtig. Besonders schön: Die Autoren bauen auf dem Wissen auf, das sie im ersten Kapitel vermittelt haben.
Im letzten Teil absolvieren Liebel und Ungar die Kür mit OpenLDAP und stellen das Programm im Zusammenspiel mit den Größen der OSS-Szene vor. Nach dem Studium der Kapitel über Samba und Kerberos sollte eine Kombination mit Microsofts ADS nun keine unüberwindliche Hürde mehr sein. Die Abschnitte über Postfix/Cyrus-Imap beziehungsweise Apache zeigen, wie Mailverteilung und Webauftritt eine zeitgemäße Nutzerverwaltung erhalten. Schließlich beschreiben die Autoren, wie der Proxy-Server Squid mit OpenLDAP harmoniert. ...  
Wesentlicher Bestandteil des Anhangs ist Auflistung der wichtigsten RFCs inklusive Kurzbeschreibung. ... 
Neben den technischen Aspekten ist die Lektüre dank des lockeren Umgangstons der Autoren unterhaltsam."

Inhaltsverzeichnis:

Vorwort ... 9

1 ... Vorab: Was man wissen sollte ... 13

1.1 ... Eine kurze Geschichte des Internets ... 13
... 1.1.1 ... Vom Bikini zum ARPAnet ... 13
... 1.1.2 ... Pakete und Ströme ... 13
1.2 ... Die Schweiz und die Wende ... 16
1.3 ... DAP, DSP, DISP und die Anwendungen ... 18
1.4 ... X.500 und der OSI-Stack ... 18
1.5 ... Struktur eines Verzeichnisdienstes ... 19
1.6 ... Objekte, Klassen, Attribute ... 22

2 ... OpenLDAP installieren und betreiben ... 27

2.1 ... OpenLDAP-Basics ... 27
... 2.1.1 ... Die richtigen Zutaten – Installation der Pakete ... 27
... 2.1.2 ... Die Konfigurationsdateien ... 28
... 2.1.3 ... Alles nur Statik? slapd.conf und slapd.d/ ... 30
... 2.1.4 ... ldap.conf (Client) ... 42
... 2.1.5 ... /etc/ldap.conf (pam_ldap/nss_ldap) ... 43
2.2 ... Irgendwie binär – die wichtigsten Binaries und Bibliotheken ... 44
... 2.2.1 ... slapd ... 45
... 2.2.2 ... slurpd ... 45
... 2.2.3 ... libldap*(.so*) ... 45
... 2.2.4 ... libnss-ldap(.so*) ... 46
... 2.2.5 ... pam_ldap(.so*) ... 46
2.3 ... Nicht nach Schema F: die OpenLDAP-Schemata ... 47
... 2.3.1 ... core, cosine, inetOrgPerson, samba und einiges mehr ... 47
... 2.3.2 ... Die wichtigsten Schemata und ihre Funktion ... 50
... 2.3.3 ... Eindeutige Identifikation mit OIDs ... 50
... 2.3.4 ... Erbschaftsangelegenheiten: die Welt der Objektklassen ... 52
2.4 ... Fingerübungen – OpenLDAP-Tools auf der Konsole ... 55
... 2.4.1 ... Die ldap*-Tools ... 59
... 2.4.2 ... ... und wann mit slap* ? ... 72
... 2.4.3 ... Zurück in die Zukunft – Administration des OpenLDAP 2.3.x zur Laufzeit ... 74

3 ... OpenLDAP im Einsatz ... 77

3.1 ... Replikation – oder: Gäste haben in der Küche keinen Zutritt ... 77
... 3.1.1 ... Warum man LDAP-Services replizieren sollte ... 77
... 3.1.2 ... Lastverteilung/Partitionierung ... 79
... 3.1.3 ... Im Gleichschritt, marsch! – Zeit synchronisieren mit NTPD ... 83
... 3.1.4 ... Pflicht: wie man Verzeichnisdienste repliziert ... 86
3.2 ... Feind hört mit: Verschlüsselte Übertragung ... 104
... 3.2.1 ... Vorbemerkungen zu OpenSSL ... 104
3.3 ... OpenLDAP mit SSL und TLS ... 114
... 3.3.1 ... SSL und TLS: der gleiche Stammbaum ... 114
... 3.3.2 ... 636 – die alte Hausnummer ... 115
... 3.3.3 ... Cyrus-SASL und seine SASLMechs – eine bunte Truppe ... 116
... 3.3.4 ... Aber sicher: Konfiguration mit SASLMech EXTERNAL ... 118
... 3.3.5 ... Port 636, die 2. ... 128
... 3.3.6 ... Replikation auf Nummer sicher ... 130
... 3.3.7 ... Alles in Handarbeit ... 138
3.4 ... Hör mal, wer da hämmert – Authentifizierung und Autorisierung am System mit OpenLDAP ... 144
... 3.4.1 ... Nicht nur in Malibu Beach: PAM ... 144
... 3.4.2 ... PAM, NSS und LDAP ... 149
... 3.4.3 ... Debugging ... 153
3.5 ... Nur mit Clubkarte – Zugriffsregelung durch ACLs ... 154
... 3.5.1 ... Wer ist hier der Boss? – ACL-Reihenfolge ... 156
... 3.5.2 ... <Was> (access to) ... 158
... 3.5.3 ... <Wer> (by) ... 165
... 3.5.4 ... <Welche Rechte> ... 170
... 3.5.5 ... UND? ... 173
3.6 ... Darf´s a bisserl mehr sein? – Performance-Tuning für LDAP und die bdb ... 174
... 3.6.1 ... Blick unter die Haube: Performance-Check ... 176
... 3.6.2 ... Feintuning ... 179
... 3.6.3 ... Ab auf den Index ... 185
3.7 ... Selbst ist der Admin – das eigendefinierte Schema ... 188
... 3.7.1 ... Attribute ... 189
... 3.7.2 ... Attribut-Syntaxe und Matching-Rules ... 190
... 3.7.3 ... Objektklassen ... 196
... 3.7.4 ... OID-Makros ... 198
3.8 ... Völlig überlagert – Overlays in OpenLDAP ... 199
... 3.8.1 ... Gruppentherapie – dynamische Gruppen mit Overlay dynlist ... 200
... 3.8.2 ... Alles auf dem Radar – Zugriffsauswertung mit Overlay accesslog ... 202
... 3.8.3 ... Beziehungskrise – Sicherung der referenziellen Integrität mit Overlay refint ... 205

4 ... OpenLDAP und Applikationen ... 207

4.1 ... Die Meister der Domäne: Linux und Samba ... 207
... 4.1.1 ... Samba 3.x mit OpenLDAP einsetzen ... 207
... 4.1.2 ... Grundlegendes Setup: ldapmaster als DC ... 209
... 4.1.3 ... Tools zur User-Verwaltung ... 213
... 4.1.4 ... Redundantes Setup: ldapslave als BDC ... 218
... 4.1.5 ... Ausblick auf Samba 4 ... 222
4.2 ... Für die Furchtlosen: OpenLDAP und Kerberos ... 224
... 4.2.1 ... Was »zur Hölle« ist Kerberos? ... 224
... 4.2.2 ... Setup von MIT- und Heimdal-Kerberos V5 ... 228
... 4.2.3 ... Was diese Frau so alles treibt: Schon wieder PAM ... ... 234
... 4.2.4 ... SASL, die Zweite: GSSAPI ... 237
... 4.2.5 ... SASLMech GSSAPI: OpenLDAP-Replikation über Kerberos ... 240
... 4.2.6 ... Kurz und gut: XP-Client an kerberisierter Samba-Domäne. ... 245
4.3 ... Wenn der Postmann zwei Mal klingelt: OpenLDAP und E-Mail ... 248
... 4.3.1 ... Setup der Postfix – Dateien main.cf/ldap-aliases.cf ... 249
... 4.3.2 ... virtual_maps ... 253
... 4.3.3 ... Der unsichtbare Dritte: Postfix, TLS und saslauthd ... 255
... 4.3.4 ... Setup der Mailclients für LDAP und TLS ... 262
... 4.3.5 ... Cyrus-Imap ... 267
... 4.3.6 ... Clients ... 271
4.4 ... Über Indianer und Tintenfische – Apache und Squid mit OpenLDAP ... 273
... 4.4.1 ... Apache und OpenLDAP ... 273
... 4.4.2 ... Squid – Zugriffe über OpenLDAP kontrollieren ... 282
... 4.4.3 ... Auf den Schirm! – Grafische Frontends zur OpenLDAP-Administration ... 288
... 4.4.4 ... Alle unter einem Dach – Webmin ... 291
... 4.4.5 ... LDAP in eigenen Webapplikationen einsetzen ... 295

A ... Paketlisten ... 301

B ... Kompilationsoptionen ... 309

C ... RFCs, Drafts und LDAPv3-Core-Spezifikationen... 313

C.1 ... RFCs ... 313
C.2 ... LDAP-Drafts (Auszüge) ... 320
C.3 ... LDAPv3-Core-Specifications ... 321

D ... Manpages nach Sektionen und PHP-Kurzreferenz ... 323

D.1 ... Manpages ... 323
D.2 ... PHP-Kurzreferenz ... 328
Index ... 333