OpenLDAP
Oliver Liebel,
J.M.Ungar
|
Galileo
Computing
340 S., 2006, geb.
34,90 Euro, ISBN 978-3-89842-762-3
- Grundlagen und Installation
- Konfiguration und
Verwaltung
- Mit zahlreichen
Beispielskripten
Dieses Buch beschreibt die erfolgreiche Open Source-Implementation des
Lightweight Directory Access Protocol in der praktischen Anwendung.
Lesen Sie hier alles über LDAP-Grundlagen, die Installation
und Inbetriebnahme und schließlich den Einsatz von OpenLDAP.
Konfiguration, Konsole, Schemata, Authentifizierung: Hier wird kein
Profi-Thema ausgelassen. Beispielskripte und Übungen helfen
beim Verständnis und erleichtern den praktischen Einstieg.
Rezensionen:
Linux
Magazin 04/2007:
..."In vier übersichtlich gegliederten Kapiteln
führen die
beiden Autoren Schritt für Schritt in die Benutzung
und
Administration des OpenLDAP-Daemon ein, und halten sich dabei
nicht lange bei der grauen Theorie auf. So erfährt
der Admin
genau jene Dinge,
die er wissen muss, um mit der freien Software einen
funktionierenden Verzeichnisdienst
aufzusetzen. ...
Hilfreich sind die detaillierten Hinweise zum Troubleshooting, die den
Leser sogar in die Lage versetzen, die wenigen noch vorhandenen Fehler
im Buch aufzuspüren ...
Besonders hervorzuheben: die Beispielskripte und sonstigen Dateien, die
die Autoren auf der Webseite des Verlages zur Verfügung
stellen.
Sie lassen sich gut zum Einarbeiten einsetzen und ersparen dem Neuling
viel Zeit. ...
Wer einen Verzeichnisdienst
unter Linux einzurichten hat, kommt um dieses Buch kaum herum."
Amazon.de-Redaktion:
"Ein Handbuch zur Installation, Konfiguration und Verwaltung des
Verzeichnisdienstes Nummer Eins -- mit OpenLDAP liefern Oliver Liebel
und John M. Ungar ein Praxisbuch für LDAP-Einsteiger
angefangen
bei der Installation bis hin zum Konfigurieren und Finetunen eines
laufenden Systems für fortgeschrittenen Anwendern.
Knick, knack. Liest man die Überschrift von Kapitel 1.1, dann
steht da: "Eine kurze Geschichte des Internet". Oh shit. Dass passt
nicht in ein LDAP-Buch im Jahr 2006. Weiterblättern: Kapitel
4.4:
Apache und Squid mit OpenLDAP. Ups. Hm. Okay, vielleicht lohnt es sich
doch, nochmal die Geschichte des Internets zu lesen. Und richtig,
Liebel und Ungar kriegen ruckzuck die Kurve und landen nach ein
bisschen DARPA und CERN bei DAP, DSP, DISP und Anwendungen bis hin zur
Struktur eines Verzeichnisdienstes, Objekten, Klassen und Attributen.
Damit ist die Einführung kein Lückenfüller,
sondern eine
Herleitung zu LDAP, die zu lesen sich lohnt. Gut. Dann geht es los:
Installation und erster, einfacher Betrieb. Als nächstes der
Einsatz, also Aufgabenfelder, Möglichkeiten und spezielle
Erweiterungen -- Replikation, Verschlüsselung,
Authentifizierung
und Autorisierung, Performance-Tuning etc. Dazu immer Beispielscripte.
Zuletzt dann die Zusammenarbeit mit anderen Applikationen: Samba,
Kerberos, Mail bis hin zum schon genannten Apache und Squid. Steiles
Tempo, das solides Linux-Grundwissen voraussetzt, aber immer an der
Praxis orientiert bleibt.
Liebel und Ungar füllen mit OpenLDAP gekonnt eine
Lücke im
ansonsten glanzvollen Siegeszugs des LDAP-Verzeichnisdienstes. Praxis
pur und viele Seitenblicke und Bezüge zur Einsatzumgebung
machen
ihr Buch zu einem perfekten Zugpferd für den OpenLDAP-Karren.
--Wolfgang Treß"
Infoweek.ch,
09/2006:
"Eine komplette Liste aller Stolpersteine und die Abhandlung der
theoretischen Grundlagen machen den Praktikerleitfaden zum wertvollen
Bestandteil in der Bücherwand jedes Administrators."
Wissenschaft-Online,
09/2007:
"... Eine Einführung in die
Struktur eines Verzeichnisdienstes inklusive der verwendeten
Begrifflichkeiten bildet die Basis für das aufzubauende Wissen
und ist
gleichzeitig der Abschluss des ersten Buchteils. ...
Der Leser findet zahlreiche Beispiel-Skripte im Buch, die erheblich
zum Verständnis beitragen und unbedingt von ihm nachvollzogen
werden
sollten. ...
Jeweils
ein Kapitel widmen Liebel/Ungar den Konfigurationsdateien, den
verwendeten Programmen/ Bibliotheken und den Schemata. Den Abschluss
bilden "Fingerübungen" mit dem Kommandozeilen-Programmen zu
OpenLDAP.
Damit endet der "akademische" Teil des Buches.
OpenLDAP im Einsatz ist das Motto des dritten Abschnitts und
entsprechend kommen die praxisrelevanten Thema zur Sprache. Dazu
gehören Replikation/Lastverteilung, Zugriffslisten (ACL),
Verschlüsselung mit SSL/TLS und schließlich
Authentisierung unter
Verwendung von PAM. Zusätzlich geben die Autoren Tipps zum
Performance-Tuning und dem Schreiben eigener Schemata. In
großen
Netzwerken ist gerade der erste Punkt sehr wichtig. Besonders
schön:
Die Autoren bauen auf dem Wissen auf, das sie im ersten Kapitel
vermittelt haben.
Im letzten Teil absolvieren Liebel und Ungar die Kür mit
OpenLDAP
und stellen das Programm im Zusammenspiel mit den
Größen der OSS-Szene
vor. Nach dem Studium der Kapitel über Samba und Kerberos
sollte eine
Kombination mit Microsofts ADS nun keine unüberwindliche
Hürde mehr
sein. Die Abschnitte über Postfix/Cyrus-Imap beziehungsweise
Apache
zeigen, wie Mailverteilung und Webauftritt eine
zeitgemäße
Nutzerverwaltung erhalten. Schließlich beschreiben die
Autoren, wie der
Proxy-Server Squid mit OpenLDAP harmoniert. ...
Wesentlicher Bestandteil des Anhangs ist Auflistung der wichtigsten
RFCs inklusive Kurzbeschreibung. ...
Neben den technischen Aspekten
ist die Lektüre dank des lockeren Umgangstons der Autoren
unterhaltsam."
Inhaltsverzeichnis:
Vorwort ... 9
1 ... Vorab: Was man wissen sollte ... 13
1.1 ... Eine kurze Geschichte des Internets ... 13
... 1.1.1 ... Vom Bikini zum ARPAnet ... 13
... 1.1.2 ... Pakete und Ströme ... 13
1.2 ... Die Schweiz und die Wende ... 16
1.3 ... DAP, DSP, DISP und die Anwendungen ... 18
1.4 ... X.500 und der OSI-Stack ... 18
1.5 ... Struktur eines Verzeichnisdienstes ... 19
1.6 ... Objekte, Klassen, Attribute ... 22
2 ... OpenLDAP installieren und betreiben ... 27
2.1 ... OpenLDAP-Basics ... 27
... 2.1.1 ... Die richtigen Zutaten – Installation der Pakete
... 27
... 2.1.2 ... Die Konfigurationsdateien ... 28
... 2.1.3 ... Alles nur Statik? slapd.conf und slapd.d/ ... 30
... 2.1.4 ... ldap.conf (Client) ... 42
... 2.1.5 ... /etc/ldap.conf (pam_ldap/nss_ldap) ... 43
2.2 ... Irgendwie binär – die wichtigsten Binaries
und Bibliotheken ... 44
... 2.2.1 ... slapd ... 45
... 2.2.2 ... slurpd ... 45
... 2.2.3 ... libldap*(.so*) ... 45
... 2.2.4 ... libnss-ldap(.so*) ... 46
... 2.2.5 ... pam_ldap(.so*) ... 46
2.3 ... Nicht nach Schema F: die OpenLDAP-Schemata ... 47
... 2.3.1 ... core, cosine, inetOrgPerson, samba und einiges mehr ... 47
... 2.3.2 ... Die wichtigsten Schemata und ihre Funktion ... 50
... 2.3.3 ... Eindeutige Identifikation mit OIDs ... 50
... 2.3.4 ... Erbschaftsangelegenheiten: die Welt der Objektklassen ...
52
2.4 ... Fingerübungen – OpenLDAP-Tools auf der
Konsole ... 55
... 2.4.1 ... Die ldap*-Tools ... 59
... 2.4.2 ... ... und wann mit slap* ? ... 72
... 2.4.3 ... Zurück in die Zukunft – Administration
des OpenLDAP 2.3.x zur Laufzeit ... 74
3 ... OpenLDAP im Einsatz ... 77
3.1 ... Replikation – oder: Gäste haben in der
Küche keinen Zutritt ... 77
... 3.1.1 ... Warum man LDAP-Services replizieren sollte ... 77
... 3.1.2 ... Lastverteilung/Partitionierung ... 79
... 3.1.3 ... Im Gleichschritt, marsch! – Zeit
synchronisieren mit NTPD ... 83
... 3.1.4 ... Pflicht: wie man Verzeichnisdienste repliziert ... 86
3.2 ... Feind hört mit: Verschlüsselte
Übertragung ... 104
... 3.2.1 ... Vorbemerkungen zu OpenSSL ... 104
3.3 ... OpenLDAP mit SSL und TLS ... 114
... 3.3.1 ... SSL und TLS: der gleiche Stammbaum ... 114
... 3.3.2 ... 636 – die alte Hausnummer ... 115
... 3.3.3 ... Cyrus-SASL und seine SASLMechs – eine bunte
Truppe ... 116
... 3.3.4 ... Aber sicher: Konfiguration mit SASLMech EXTERNAL ... 118
... 3.3.5 ... Port 636, die 2. ... 128
... 3.3.6 ... Replikation auf Nummer sicher ... 130
... 3.3.7 ... Alles in Handarbeit ... 138
3.4 ... Hör mal, wer da hämmert –
Authentifizierung und Autorisierung am System mit OpenLDAP ... 144
... 3.4.1 ... Nicht nur in Malibu Beach: PAM ... 144
... 3.4.2 ... PAM, NSS und LDAP ... 149
... 3.4.3 ... Debugging ... 153
3.5 ... Nur mit Clubkarte – Zugriffsregelung durch ACLs ...
154
... 3.5.1 ... Wer ist hier der Boss? – ACL-Reihenfolge ... 156
... 3.5.2 ... <Was> (access to) ... 158
... 3.5.3 ... <Wer> (by) ... 165
... 3.5.4 ... <Welche Rechte> ... 170
... 3.5.5 ... UND? ... 173
3.6 ... Darf´s a bisserl mehr sein? –
Performance-Tuning für LDAP und die bdb ... 174
... 3.6.1 ... Blick unter die Haube: Performance-Check ... 176
... 3.6.2 ... Feintuning ... 179
... 3.6.3 ... Ab auf den Index ... 185
3.7 ... Selbst ist der Admin – das eigendefinierte Schema ...
188
... 3.7.1 ... Attribute ... 189
... 3.7.2 ... Attribut-Syntaxe und Matching-Rules ... 190
... 3.7.3 ... Objektklassen ... 196
... 3.7.4 ... OID-Makros ... 198
3.8 ... Völlig überlagert – Overlays in
OpenLDAP ... 199
... 3.8.1 ... Gruppentherapie – dynamische Gruppen mit
Overlay dynlist ... 200
... 3.8.2 ... Alles auf dem Radar – Zugriffsauswertung mit
Overlay accesslog ... 202
... 3.8.3 ... Beziehungskrise – Sicherung der referenziellen
Integrität mit Overlay refint ... 205
4 ... OpenLDAP und Applikationen ... 207
4.1 ... Die Meister der Domäne: Linux und Samba ... 207
... 4.1.1 ... Samba 3.x mit OpenLDAP einsetzen ... 207
... 4.1.2 ... Grundlegendes Setup: ldapmaster als DC ... 209
... 4.1.3 ... Tools zur User-Verwaltung ... 213
... 4.1.4 ... Redundantes Setup: ldapslave als BDC ... 218
... 4.1.5 ... Ausblick auf Samba 4 ... 222
4.2 ... Für die Furchtlosen: OpenLDAP und Kerberos ... 224
... 4.2.1 ... Was »zur Hölle« ist
Kerberos? ... 224
... 4.2.2 ... Setup von MIT- und Heimdal-Kerberos V5 ... 228
... 4.2.3 ... Was diese Frau so alles treibt: Schon wieder PAM ... ...
234
... 4.2.4 ... SASL, die Zweite: GSSAPI ... 237
... 4.2.5 ... SASLMech GSSAPI: OpenLDAP-Replikation über
Kerberos ... 240
... 4.2.6 ... Kurz und gut: XP-Client an kerberisierter
Samba-Domäne. ... 245
4.3 ... Wenn der Postmann zwei Mal klingelt: OpenLDAP und E-Mail ... 248
... 4.3.1 ... Setup der Postfix – Dateien
main.cf/ldap-aliases.cf ... 249
... 4.3.2 ... virtual_maps ... 253
... 4.3.3 ... Der unsichtbare Dritte: Postfix, TLS und saslauthd ... 255
... 4.3.4 ... Setup der Mailclients für LDAP und TLS ... 262
... 4.3.5 ... Cyrus-Imap ... 267
... 4.3.6 ... Clients ... 271
4.4 ... Über Indianer und Tintenfische – Apache und
Squid mit OpenLDAP ... 273
... 4.4.1 ... Apache und OpenLDAP ... 273
... 4.4.2 ... Squid – Zugriffe über OpenLDAP
kontrollieren ... 282
... 4.4.3 ... Auf den Schirm! – Grafische Frontends zur
OpenLDAP-Administration ... 288
... 4.4.4 ... Alle unter einem Dach – Webmin ... 291
... 4.4.5 ... LDAP in eigenen Webapplikationen einsetzen ... 295
A ... Paketlisten ... 301
B ... Kompilationsoptionen ... 309
C ... RFCs, Drafts und
LDAPv3-Core-Spezifikationen... 313
C.1 ... RFCs ... 313
C.2 ... LDAP-Drafts (Auszüge) ... 320
C.3 ... LDAPv3-Core-Specifications ... 321
D ... Manpages nach Sektionen und
PHP-Kurzreferenz ... 323
D.1 ... Manpages ... 323
D.2 ... PHP-Kurzreferenz ... 328
Index ... 333
|