it concepts Liebel Publikationen 

OpenLDAP 2.4

Oliver Liebel,  

J.M.Ungar

Galileo Computing
569 Seiten, 2., aktualisierte und erweiterte Auflage, geb.
39,90 Euro, ISBN 978-3-8362-1198-7
erschienen 02/2009


 

  • Aktuell zur Version 2.4
  • Grundlagen, Installation, Konfiguration und Verwaltung
  • Mit zahlreichen Beispielskripten

"Der bewährte Praxisleitfaden zu OpenLDAP. Dieses Buch zeigt Ihnen die erfolgreiche Open Source-Implementation des Lightweight Directory Access Protocol in der praktischen Anwendung. Lesen Sie hier alles über LDAP-Grundlagen, die Installation und Inbetriebnahme und schließlich den Einsatz von OpenLDAP. Konfiguration, Konsole, Schemata, Authentifizierung: Hier wird kein Profi-Thema ausgelassen.
Die zweite Auflage wurde um wichtige Themen ergänzt: Multi-Master- und Standby-Master-Replikation, selektive Replikation der Schemas und der Online-Konfiguration, Delta-Sync-Replikation, die neuen Overlays in Version 2.4, Samba 3 und 4 mit OpenLDAP-Backend sowie die Oracle-Berkeley-DB 4.5. Beispielskripte und Übungen helfen beim Verständnis und erleichtern den praktischen Einstieg. Aktuell zur Version 2.4."

Inhaltsverzeichnis:

... Vorwort ... 11

1 ... Vorab: Was man wissen sollte ... 17

1.1 ... Eine kurze Geschichte des Internets ... 17
  • 1.1.1 ... Vom Bikini zum ARPAnet ... 17
  • 1.1.2 ... Pakete und Ströme ... 18
1.2 ... Die Schweiz und die Wende ... 20

1.3 ... Währenddessen … auf der anderen Seite der Stadt ... 22

1.4 ... X.500 und der OSI-Stack ... 23

1.5 ... Struktur eines Verzeichnisdienstes ... 24

1.6 ... Objekte, Klassen, Attribute ... 31

1.7 ... Nicht nach Schema F: die OpenLDAP-Schemas ... 35

  • 1.7.1 ... core, cosine, inetOrgPerson, samba und einiges mehr ... 36
  • 1.7.2 ... Die wichtigsten Schemas und ihre Funktion ... 39
  • 1.7.3 ... Eindeutige Identifikation mit OIDs ... 40
  • 1.7.4 ... Erbschaftsangelegenheiten: die Welt der Objektklassen ... 41
1.8 ... Kleine Baumschule – grundsätzliche Überlegungen zum Treedesign ... 45
  • 1.8.1 ... Den Directory Information Tree gestalten ... 46
  • 1.8.2 ... Sinnvolle Strukturen abbilden ... 47
  • 1.8.3 ... Anwendungsnähe ... 48

2 ... OpenLDAP installieren und betreiben ... 49

2.1 ... OpenLDAP-Basics ... 49
  • 2.1.1 ... Installation der Pakete ... 49
  • 2.1.2 ... Die Konfigurationsdateien ... 52
  • 2.1.3 ... Statische Betrachtungen: OpenLDAP-Konfiguration per slapd.conf ... 54
  • 2.1.4 ... ldap.conf (Client) ... 63
  • 2.1.5 ... /etc/ldap.conf (pam_ldap/nss_ldap) ... 65
2.2 ... Irgendwie binär – die wichtigsten Binaries und Bibliotheken ... 67
  • 2.2.1 ... slapd ... 67
  • 2.2.2 ... slurpd (ACHTUNG: nur bis OpenLDAP 2.3!) ... 68
  • 2.2.3 ... libldap*(.so*) ... 69
  • 2.2.4 ... libnss-ldap(.so*) ... 69
  • 2.2.5 ... pam_ldap(.so*) ... 70
  • 2.2.6 ... »Gentlemen, start your engines …« ... 70
2.3 ... Fingerübungen – OpenLDAP-Tools auf der Konsole ... 71
  • 2.3.1 ... Die ldap*-Tools ... 76
  • 2.3.2 ... … und wann mit slap* ? ... 93
2.4 ... Get it on(line) – OpenLDAP-Administration zur Laufzeit ... 98
  • 2.4.1 ... OpenLDAP Reloaded – ‘database config’ und die Online-Konfiguration ... 99
  • 2.4.2 ... slapd – Online-Administration ... 108
  • 2.4.3 ... Backup und Restore der Online-Konfiguration, Debugging ... 112

3 ... OpenLDAP im Einsatz ... 115

3.1 ... Völlig überlagert – Overlays in OpenLDAP ... 116
  • 3.1.1 ... Gruppentherapie – dynamische Gruppen mit Overlay dynlist ... 119
  • 3.1.2 ... Smile, you’re on Radar! – Auditing mit Overlay accesslog ... 124
  • 3.1.3 ... Beziehungskrise – Sicherung der referentiellen Integrität mit Overlay refint ... 128
  • 3.1.4 ... Members Only – Gruppenzuordnung mit Overlay »memberOf« ... 130
  • 3.1.5 ... Hochdynamisch – Dynamic Directory Services mit Overlay »dds« ... 136
  • 3.1.6 ... ... und noch ein paar Overlays im Überblick ... 141
  • 3.1.7 ... And the Rest? ... 143
3.2 ... Replikation – oder: Frag dich nie, ob ein Server ausfällt, frag dich immer nur, wann. ... 143
  • 3.2.1 ... Warum man LDAP-Datenbanken replizieren sollte ... 143
  • 3.2.2 ... Lastverteilung/Partitionierung ... 151
  • 3.2.3 ... Gesprengte Ketten – serverseitige Verfolgung (chasing) von Referrals mit Overlay chain ... 159
  • 3.2.4 ... The Time Machine – Zeit synchronisieren mit NTPD ... 165
  • 3.2.5 ... Vorbereitungen und Vorbetrachtungen zur Replikation ... 172
  • 3.2.6 ... Synchronization without Frustration = Sync Replication ... 176
  • 3.2.7 ... syncrepl – Setup ... 185
  • 3.2.8 ... Beispielhafte Lösungsansätze mit syncrepl ... 193
  • 3.2.9 ... Delta Force – Replikation in Perfektion mit delta-syncrepl ... 196
  • 3.2.10 ... Replikation der Online-Konfiguration – Provider/Consumer ... 202
  • 3.2.11 ... Bäumchen, wechsle dich: Standby-/Multi-Master-Replikation ... 213
  • 3.2.12 ... Double trouble? N-Way/Multi-Master-Replikation ... 216
  • 3.2.13 ... Traumhafte Nachtruhe dank Schläfer – Hot-Failover mit Standby-Master und Heartbeat ... 220
3.3 ... Feind hört mit: Verschlüsselte Übertragung ... 232

3.4 ... OpenLDAP mit SSL und TLS ... 241

  • 3.4.1 ... Familienbande - SSL und TLS ... 241
  • 3.4.2 ... 636 – die alte Hausnummer ... 242
  • 3.4.3 ... Cyrus-SASL und seine SASLMechs – eine bunte Truppe ... 243
  • 3.4.4 ... Ja siiiisscher dat: – TLS-Konfiguration mit SASLMech EXTERNAL ... 246
  • 3.4.5 ... Eine Frage der Zertifizierung – X.509-Zertifikate per Skript ... 248
  • 3.4.6 ... Port 636, die Zweite ... 260
  • 3.4.7 ... Handmade – X.509-Zertifikate in Handarbeit ... 263
3.5 ... Replikation und Chaining auf Nummer Sicher ... 268
  • 3.5.1 ... syncrepl mit TLS ... 269
  • 3.5.2 ... syncrepl mit TLS und SASLMech EXTERNAL ... 273
  • 3.5.3 ... syncrepl mit SSL ... 275
  • 3.5.4 ... Chaining mit TLS und SSL ... 275
  • 3.5.5 ... ... und dann war da ja noch die Sache mit den Zertifikaten im Failover-Fall ... 277
3.6 ... Hör mal, wer da hämmert – Authentifizierung und Autorisierung am System mit OpenLDAP ... 279
  • 3.6.1 ... Nicht nur in Malibu Beach: PAM ... 279
  • 3.6.2 ... PAM, NSS und LDAP ... 285
  • 3.6.3 ... pam_ldap ... 286
  • 3.6.4 ... (lib)nss_ldap ... 286
  • 3.6.5 ... nscd ... 288
  • 3.6.6 ... Authentifikation am System mit aktiviertem TLS ... 289
  • 3.6.7 ... Debugging ... 290
3.7 ... Nur mit Clubkarte – Zugriffsregelung durch ACLs ... 291
  • 3.7.1 ... Wer ist hier der Boss? – ACL-Reihenfolge ... 293
  • 3.7.2 ... <Was> (access to) ... 296
  • 3.7.3 ... <Wer> (by) ... 302
  • 3.7.4 ... <Wie> – und mit welchen Rechten? ... 312
  • 3.7.5 ... Und was es sonst noch gibt ... ... 319
3.8 ... Larry und die schläfrigen Katzen ... 321
  • 3.8.1 ... Die »Was«-Frage ... 323
  • 3.8.2 ... Kommen wir zum »Wie« ... 325
  • 3.8.3 ... Und nun zum »Warum« ... 328
  • 3.8.4 ... Ein Blick aufs Messgerät: Performance-Check ... 333
  • 3.8.5 ... Feintuning ... 337
  • 3.8.6 ... Ab auf den Index ... 348
  • 3.8.7 ... Built for Speed – Zahlen und Fakten ... 351
  • 3.8.8 ... Die Sache mit dem Backup ... ... 353
  • 3.8.9 ... Und zum Schluss ein bisschen Replikation ... schon wieder? ... 354
3.9 ... Selbst ist der Admin – das eigendefinierte Schema ... 355
  • 3.9.1 ... Attribute ... 357
  • 3.9.2 ... Attribut-Syntax und Matching Rules ... 358
  • 3.9.3 ... Objektklassen ... 363
  • 3.9.4 ... Geht nicht – gibt’s nicht ... ... 365
  • 3.9.5 ... OID-Makros ... 368
  • 3.9.6 ... Rein Schematisch – Replikation der Schemas ... 369

4 ... OpenLDAP und Applikationen ... 375

4.1 ... Die Meister der Domäne: OpenLDAP und Samba ... 375
  • 4.1.1 ... Die wunderbare Welt der MS-Protokolle ... 375
  • 4.1.2 ... Samba 3 mit OpenLDAP einsetzen ... 379
  • 4.1.3 ... Grundlegendes Setup: ldapmaster als PDC ... 380
  • 4.1.4 ... Tools zur User-Verwaltung ... 384
  • 4.1.5 ... Redundantes Setup: ldapslave als BDC ... 395
  • 4.1.6 ... The new Dance – Samba 4 und OpenLDAP ... 400
  • 4.1.7 ... Setup eines Standalone Samba 4 DC mit OpenLDAP-Backend ... 402
  • 4.1.8 ... Staffelflug: Zwei Samba 4-DCs mit OpenLDAP in Multi-Master-Replikation ... 409
4.2 ... Für die Furchtlosen: OpenLDAP und Kerberos ... 412

4.3 ... Setup von Kerberos V5 ... 417

  • 4.3.1 ... Was diese Frau so alles treibt: Schon wieder PAM … ... 423
  • 4.3.2 ... SASL, die Zweite: GSSAPI ... 425
  • 4.3.3 ... Bullet-Proof: OpenLDAP-Replikation per syncrepl, TLS und Kerberos ... 429
  • 4.3.4 ... Der Hund im Baum – MIT-Kerberos-Datenbank im LDAP ... 433
  • 4.3.5 ... Kurz und gut: XP-Client an kerberisierter Samba-Domäne ... 443
4.4 ... Wenn der Postmann zwei Mal klingelt: OpenLDAP und E-Mail ... 446
  • 4.4.1 ... Setup der Postfix-Dateien main.cf/ldap-aliases.cf ... 447
  • 4.4.2 ... Adress-Umsetzung per LDAP ... 451
  • 4.4.3 ... Gruppentherapie für Postboten ... 453
  • 4.4.4 ... Der unsichtbare Dritte: Postfix, TLS und saslauthd ... 454
  • 4.4.5 ... Setup der Mailclients für LDAP und TLS ... 467
4.5 ... Cyrus-IMAP ... 472
  • 4.5.1 ... Setup ... 473
  • 4.5.2 ... Clients ... 477
  • 4.5.3 ... Geklonter Briefkasten – replizierte Cyrus-IMAP-Mailboxen ... 478
4.6 ... Indianer und Kraken im Baum – Apache und Squid mit OpenLDAP ... 481
  • 4.6.1 ... Apache und OpenLDAP ... 481
  • 4.6.2 ... Squid – Zugriffe auf den Proxy über OpenLDAP kontrollieren ... 497
4.7 ... Auf den Schirm! – Grafische Frontends zur OpenLDAP-Administration ... 509
  • 4.7.1 ... Kein kalter Kaffee – JXplorer ... 509
  • 4.7.2 ... Indianerland – Apache Directory Studio ... 513
  • 4.7.3 ... … und noch ein paar LDAP-Browser/-Tools ... 516
4.8 ... Ein kurzes Wort zu LDAP in eigenen Applikationen ... 518

... Anhang ... 519

A ... Paketlisten ... 521

B ... Kompilationsoptionen ... 529

C ... RFCs, Drafts und LDAPv3-Core-Spezifikationen ... 533

  • C.1 ... RFCs ... 533
  • C.1.1 ... LDAP ... 533
  • C.1.2 ... SASL ... 538
  • C.1.3 ... TLS ... 538
  • C.1.4 ... KERBEROS ... 540
  • C.2 ... LDAP-Drafts (Auszüge) ... 541
  • C.3 ... LDAPv3 Core – Specifications ... 542

D ... Manpages nach Sektionen und Glossar ... 545

  • D.1 ... OpenLDAP ... 545
  • D.2 ... PAM/NSS ... 547
  • D.3 ... OpenSSL ... 548
  • D.4 ... SASL ... 548
  • D.5 ... Samba ... 549
  • D.6 ... Heartbeat ... 550
  • D.7 ... MIT-Kerberos ... 550
  • D.8 ... Postfix ... 551
  • D.9 ... Cyrus-Imap ... 553
  • D.10 ... Apache ... 553
  • D.11 ... Squid ... 554
  • D.12 ... Glossar ... 554