apt-get install openssl slapd ca-certificates ldap-utils libsasl2-modules db4.2-util
more /usr/share/doc/slapd/README.Debian
Da ldap nicht unbedingt mit root Rechten laufen muss, bietet es sich an einen extra User und Gruppe einzurichten.
adduser --system --group ldap rm -rf /home/ldap /etc/init.d/slapd stop vim /etc/default/slapd ==> SLAPD_USER="ldap", SLAPD_GROUP="ldap" chown -R ldap.ldap /var/lib/ldap chown -R ldap.ldap /var/lib/slapd chown -R ldap.ldap /var/run/slapd chgrp ldap /etc/ldap/slapd.conf chmod 0640 /etc/ldap/slapd.conf patch -p0 </home/raabe/slapd.patch patching file /etc/init.d/slapd /etc/init.d/slapd start
You can find the slapd.patch file here: slapd.patch
In der dhcpd.conf folgendes eintragen.
option ldap-server code 095 = ip-address; option ldap-server ldap.example.com;
Backup
ldapsearch <...> -b dc=mydomain,dc=de -s sub "*" "*" > backup.ldif
Wiederherstellung
ldapadd <...> < backup.ldif
Backup
slapcat -l backup.ldif
Wiederherstellung
slapadd -l backup.ldif
Hinweis: Zwischen den beiden Alternativen bestehen diverse Unterschiede: So umgeht die slapcat-Variante die Überprüfung der Schemata, behält aber die Modifikationszeitpunkte der Objekte bei.
$ ldapserach -x -b "dc=tuxknowledge,dc=org" $ ldapsearch -b "dc=tuxknowledge,dc=org" -LLL -D "cn=admin,dc=tuxknowledge,dc=org" -H "ldap://gate.tuxknowledge.org" -W -x
Anmerkung: Ausgegangen wird von Debian Sarge (3.1)
$ su - apt-get install libnss-ldap libpam-ldap ... Fragen entsprechend beantworten ...
... host X.X.X.X / FQDN ... base o=DOMAIN-NAME,c=ENDUNG oder dc=DOMAIN-NAME,dc=ENDUNG ... ldap_version 3 ... rootbinddn cn=admin,o=DOMAIN_NAME,c=ENDUNG ... port 389 ... pam_password crypt ...
Eventuell noch /etc/ldap.secret anlegen, da es sonst zu Fehlermeldungen ala: “pam_ldap: could not open secret file /etc/ldap.secret (No such file or directory)“ kommen kann.
$ su - vim /etc/ldap.secret chmod 0600 /etc/ldap.secret
$ su - cat /etc/nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap
auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure
account sufficient pam_ldap.so account required pam_unix.so
password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5
session required pam_mkhomedir.so skel=/etc/skel umask=0022 session required pam_unix.so
Mögliche Tools:
Im Zusammenspiel mit Windows 2000 Servern ist für die Vergabe von 'rid' folgendes zu beachten: Bei der rid handelt es sich um den sogenannten relative Identifier. Für Gruppen muss die Formel 'rid=(2*gidNumber)+1001' und für Benutzer die Formel 'rid=(2*uidNumber)+1000' angewendet werden. Die Ursache liegt darin, dass Unix- Systeme Gruppen und Benutzer getrennt verwalten, so dass eine ID „doppelt“ verwendet werden kann. Unix kann also eindeutig zwischen einer Gruppe mit der ID 1000 und einem Benutzer mit der ID 1000 unterscheiden. Dies ist unter Windows- Betriebssystem nicht der Fall.