OpenLDAP 2.4
Oliver Liebel,
J.M.Ungar
|
Galileo Computing
569 Seiten, 2., aktualisierte und erweiterte Auflage, geb.
39,90 Euro, ISBN 978-3-8362-1198-7
erschienen 02/2009
- Aktuell zur Version 2.4
- Grundlagen, Installation, Konfiguration und
Verwaltung
- Mit zahlreichen Beispielskripten
"Der bewährte Praxisleitfaden zu OpenLDAP. Dieses Buch zeigt Ihnen
die erfolgreiche Open Source-Implementation des Lightweight
Directory Access Protocol in der praktischen Anwendung. Lesen Sie
hier alles über LDAP-Grundlagen, die Installation und
Inbetriebnahme und schließlich den Einsatz von OpenLDAP.
Konfiguration, Konsole, Schemata, Authentifizierung: Hier wird kein
Profi-Thema ausgelassen.
Die zweite Auflage wurde um wichtige Themen ergänzt: Multi-Master-
und Standby-Master-Replikation, selektive Replikation der Schemas
und der Online-Konfiguration, Delta-Sync-Replikation, die neuen
Overlays in Version 2.4, Samba 3 und 4 mit OpenLDAP-Backend sowie
die Oracle-Berkeley-DB 4.5. Beispielskripte und Übungen helfen beim
Verständnis und erleichtern den praktischen Einstieg. Aktuell zur
Version 2.4."
Inhaltsverzeichnis:
... Vorwort ... 11
1 ... Vorab: Was man wissen sollte ... 17
1.1 ... Eine kurze Geschichte des Internets ... 17
- 1.1.1 ... Vom Bikini zum ARPAnet ... 17
- 1.1.2 ... Pakete und Ströme ... 18
1.2 ... Die Schweiz und die Wende ... 20
1.3 ... Währenddessen … auf der anderen Seite der Stadt ... 22
1.4 ... X.500 und der OSI-Stack ... 23
1.5 ... Struktur eines Verzeichnisdienstes ... 24
1.6 ... Objekte, Klassen, Attribute ... 31
1.7 ... Nicht nach Schema F: die OpenLDAP-Schemas ... 35
- 1.7.1 ... core, cosine, inetOrgPerson,
samba und einiges mehr ... 36
- 1.7.2 ... Die wichtigsten Schemas und ihre
Funktion ... 39
- 1.7.3 ... Eindeutige Identifikation mit
OIDs ... 40
- 1.7.4 ... Erbschaftsangelegenheiten: die
Welt der Objektklassen ... 41
1.8 ... Kleine Baumschule – grundsätzliche Überlegungen zum
Treedesign ... 45
- 1.8.1 ... Den Directory Information Tree
gestalten ... 46
- 1.8.2 ... Sinnvolle Strukturen abbilden ...
47
- 1.8.3 ... Anwendungsnähe ... 48
2 ... OpenLDAP installieren und betreiben ... 49
2.1 ... OpenLDAP-Basics ... 49
- 2.1.1 ... Installation der Pakete ... 49
- 2.1.2 ... Die Konfigurationsdateien ... 52
- 2.1.3 ... Statische Betrachtungen:
OpenLDAP-Konfiguration per slapd.conf ... 54
- 2.1.4 ... ldap.conf (Client) ... 63
- 2.1.5 ... /etc/ldap.conf (pam_ldap/nss_ldap)
... 65
2.2 ... Irgendwie binär – die wichtigsten Binaries und
Bibliotheken ... 67
- 2.2.1 ... slapd ... 67
- 2.2.2 ... slurpd (ACHTUNG: nur bis OpenLDAP
2.3!) ... 68
- 2.2.3 ... libldap*(.so*) ... 69
- 2.2.4 ... libnss-ldap(.so*) ... 69
- 2.2.5 ... pam_ldap(.so*) ... 70
- 2.2.6 ... »Gentlemen, start your engines
…« ... 70
2.3 ... Fingerübungen – OpenLDAP-Tools auf der Konsole ... 71
- 2.3.1 ... Die ldap*-Tools ... 76
- 2.3.2 ... … und wann mit slap* ? ... 93
2.4 ... Get it on(line) – OpenLDAP-Administration zur Laufzeit ...
98
- 2.4.1 ... OpenLDAP Reloaded – ‘database
config’ und die Online-Konfiguration ... 99
- 2.4.2 ... slapd – Online-Administration
... 108
- 2.4.3 ... Backup und Restore der
Online-Konfiguration, Debugging ... 112
3 ... OpenLDAP im Einsatz ... 115
3.1 ... Völlig überlagert – Overlays in OpenLDAP ... 116
- 3.1.1 ... Gruppentherapie – dynamische
Gruppen mit Overlay dynlist ... 119
- 3.1.2 ... Smile, you’re on Radar! –
Auditing mit Overlay accesslog ... 124
- 3.1.3 ... Beziehungskrise – Sicherung der
referentiellen Integrität mit Overlay refint ... 128
- 3.1.4 ... Members Only – Gruppenzuordnung
mit Overlay »memberOf« ... 130
- 3.1.5 ... Hochdynamisch – Dynamic
Directory Services mit Overlay »dds« ... 136
- 3.1.6 ... ... und noch ein paar Overlays im
Überblick ... 141
- 3.1.7 ... And the Rest? ... 143
3.2 ... Replikation – oder: Frag dich nie, ob ein Server ausfällt,
frag dich immer nur, wann. ... 143
- 3.2.1 ... Warum man LDAP-Datenbanken
replizieren sollte ... 143
- 3.2.2 ... Lastverteilung/Partitionierung
... 151
- 3.2.3 ... Gesprengte Ketten –
serverseitige Verfolgung (chasing) von Referrals mit Overlay
chain ... 159
- 3.2.4 ... The Time Machine – Zeit
synchronisieren mit NTPD ... 165
- 3.2.5 ... Vorbereitungen und
Vorbetrachtungen zur Replikation ... 172
- 3.2.6 ... Synchronization without
Frustration = Sync Replication ... 176
- 3.2.7 ... syncrepl – Setup ... 185
- 3.2.8 ... Beispielhafte Lösungsansätze
mit syncrepl ... 193
- 3.2.9 ... Delta Force – Replikation in
Perfektion mit delta-syncrepl ... 196
- 3.2.10 ... Replikation der
Online-Konfiguration – Provider/Consumer ... 202
- 3.2.11 ... Bäumchen, wechsle dich:
Standby-/Multi-Master-Replikation ... 213
- 3.2.12 ... Double trouble? N-Way/Multi-Master-Replikation
... 216
- 3.2.13 ... Traumhafte Nachtruhe dank Schläfer
– Hot-Failover mit Standby-Master und Heartbeat ... 220
3.3 ... Feind hört mit: Verschlüsselte Übertragung ... 232
3.4 ... OpenLDAP mit SSL und TLS ... 241
- 3.4.1 ... Familienbande - SSL und TLS ...
241
- 3.4.2 ... 636 – die alte Hausnummer ...
242
- 3.4.3 ... Cyrus-SASL und seine SASLMechs
– eine bunte Truppe ... 243
- 3.4.4 ... Ja siiiisscher dat: –
TLS-Konfiguration mit SASLMech EXTERNAL ... 246
- 3.4.5 ... Eine Frage der Zertifizierung –
X.509-Zertifikate per Skript ... 248
- 3.4.6 ... Port 636, die Zweite ... 260
- 3.4.7 ... Handmade – X.509-Zertifikate in
Handarbeit ... 263
3.5 ... Replikation und Chaining auf Nummer Sicher ... 268
- 3.5.1 ... syncrepl mit TLS ... 269
- 3.5.2 ... syncrepl mit TLS und SASLMech
EXTERNAL ... 273
- 3.5.3 ... syncrepl mit SSL ... 275
- 3.5.4 ... Chaining mit TLS und SSL ... 275
- 3.5.5 ... ... und dann war da ja noch die
Sache mit den Zertifikaten im Failover-Fall ... 277
3.6 ... Hör mal, wer da hämmert – Authentifizierung und
Autorisierung am System mit OpenLDAP ... 279
- 3.6.1 ... Nicht nur in Malibu Beach: PAM
... 279
- 3.6.2 ... PAM, NSS und LDAP ... 285
- 3.6.3 ... pam_ldap ... 286
- 3.6.4 ... (lib)nss_ldap ... 286
- 3.6.5 ... nscd ... 288
- 3.6.6 ... Authentifikation am System mit
aktiviertem TLS ... 289
- 3.6.7 ... Debugging ... 290
3.7 ... Nur mit Clubkarte – Zugriffsregelung durch ACLs ... 291
- 3.7.1 ... Wer ist hier der Boss? –
ACL-Reihenfolge ... 293
- 3.7.2 ... <Was> (access to) ... 296
- 3.7.3 ... <Wer> (by) ... 302
- 3.7.4 ... <Wie> – und mit welchen
Rechten? ... 312
- 3.7.5 ... Und was es sonst noch gibt ...
... 319
3.8 ... Larry und die schläfrigen Katzen ... 321
- 3.8.1 ... Die »Was«-Frage ... 323
- 3.8.2 ... Kommen wir zum »Wie« ... 325
- 3.8.3 ... Und nun zum »Warum« ... 328
- 3.8.4 ... Ein Blick aufs Messgerät:
Performance-Check ... 333
- 3.8.5 ... Feintuning ... 337
- 3.8.6 ... Ab auf den Index ... 348
- 3.8.7 ... Built for Speed – Zahlen und
Fakten ... 351
- 3.8.8 ... Die Sache mit dem Backup ... ...
353
- 3.8.9 ... Und zum Schluss ein bisschen
Replikation ... schon wieder? ... 354
3.9 ... Selbst ist der Admin – das eigendefinierte Schema ... 355
- 3.9.1 ... Attribute ... 357
- 3.9.2 ... Attribut-Syntax und Matching
Rules ... 358
- 3.9.3 ... Objektklassen ... 363
- 3.9.4 ... Geht nicht – gibt’s nicht ...
... 365
- 3.9.5 ... OID-Makros ... 368
- 3.9.6 ... Rein Schematisch – Replikation
der Schemas ... 369
4 ... OpenLDAP und Applikationen ... 375
4.1 ... Die Meister der Domäne: OpenLDAP und Samba ... 375
- 4.1.1 ... Die wunderbare Welt der
MS-Protokolle ... 375
- 4.1.2 ... Samba 3 mit OpenLDAP einsetzen
... 379
- 4.1.3 ... Grundlegendes Setup: ldapmaster
als PDC ... 380
- 4.1.4 ... Tools zur User-Verwaltung ... 384
- 4.1.5 ... Redundantes Setup: ldapslave als
BDC ... 395
- 4.1.6 ... The new Dance – Samba 4 und
OpenLDAP ... 400
- 4.1.7 ... Setup eines Standalone Samba 4 DC
mit OpenLDAP-Backend ... 402
- 4.1.8 ... Staffelflug: Zwei Samba 4-DCs mit
OpenLDAP in Multi-Master-Replikation ... 409
4.2 ... Für die Furchtlosen: OpenLDAP und Kerberos ... 412
4.3 ... Setup von Kerberos V5 ... 417
- 4.3.1 ... Was diese Frau so alles treibt:
Schon wieder PAM … ... 423
- 4.3.2 ... SASL, die Zweite: GSSAPI ... 425
- 4.3.3 ... Bullet-Proof:
OpenLDAP-Replikation per syncrepl, TLS und Kerberos ... 429
- 4.3.4 ... Der Hund im Baum –
MIT-Kerberos-Datenbank im LDAP ... 433
- 4.3.5 ... Kurz und gut: XP-Client an
kerberisierter Samba-Domäne ... 443
4.4 ... Wenn der Postmann zwei Mal klingelt: OpenLDAP und E-Mail ...
446
- 4.4.1 ... Setup der Postfix-Dateien main.cf/ldap-aliases.cf
... 447
- 4.4.2 ... Adress-Umsetzung per LDAP ... 451
- 4.4.3 ... Gruppentherapie für Postboten
... 453
- 4.4.4 ... Der unsichtbare Dritte: Postfix,
TLS und saslauthd ... 454
- 4.4.5 ... Setup der Mailclients für LDAP
und TLS ... 467
4.5 ... Cyrus-IMAP ... 472
- 4.5.1 ... Setup ... 473
- 4.5.2 ... Clients ... 477
- 4.5.3 ... Geklonter Briefkasten –
replizierte Cyrus-IMAP-Mailboxen ... 478
4.6 ... Indianer und Kraken im Baum – Apache und Squid mit
OpenLDAP ... 481
- 4.6.1 ... Apache und OpenLDAP ... 481
- 4.6.2 ... Squid – Zugriffe auf den Proxy
über OpenLDAP kontrollieren ... 497
4.7 ... Auf den Schirm! – Grafische Frontends zur
OpenLDAP-Administration ... 509
- 4.7.1 ... Kein kalter Kaffee – JXplorer
... 509
- 4.7.2 ... Indianerland – Apache Directory
Studio ... 513
- 4.7.3 ... … und noch ein paar
LDAP-Browser/-Tools ... 516
4.8 ... Ein kurzes Wort zu LDAP in eigenen Applikationen ... 518
... Anhang ... 519
A ... Paketlisten ... 521
B ... Kompilationsoptionen ... 529
C ... RFCs, Drafts und LDAPv3-Core-Spezifikationen ... 533
- C.1 ... RFCs ... 533
- C.1.1 ... LDAP ... 533
- C.1.2 ... SASL ... 538
- C.1.3 ... TLS ... 538
- C.1.4 ... KERBEROS ... 540
- C.2 ... LDAP-Drafts (Auszüge) ... 541
- C.3 ... LDAPv3 Core – Specifications ...
542
D ... Manpages nach Sektionen und Glossar ... 545
- D.1 ... OpenLDAP ... 545
- D.2 ... PAM/NSS ... 547
- D.3 ... OpenSSL ... 548
- D.4 ... SASL ... 548
- D.5 ... Samba ... 549
- D.6 ... Heartbeat ... 550
- D.7 ... MIT-Kerberos ... 550
- D.8 ... Postfix ... 551
- D.9 ... Cyrus-Imap ... 553
- D.10 ... Apache ... 553
- D.11 ... Squid ... 554
- D.12 ... Glossar ... 554
|