openLDAP is een open source implementatie van de LDAP standaard. De openLDAP implementatie is onder Squeeze ingrijpend gewijzigd ten opzichte van eerdere versies van de Debian implementatie.

• TLS in plaats van openSSL
• syncrepl in plaats van updateref, het provider consumer model
• Gebruik van een soort slap.d database inplaats van /etc/ldap/slapd.conf

Opzet openldap configuratie

De gebruikelijke configuratie met slapd.conf is verleden tijd, het mag nog wel, maar deze methode is depricated. De nieuwe manier van configureren werkt met een dynamische ldif structuur.

Secure openldap

Het openldap project is overgegaan op TLS, maar Webhuis gebruikt de certificaten die met openssl zijn aangemaakt.

Testen van de configuratie

ldapsearch localhost
ldapsearch lokaal op IP adres
ldapsearch remote op IP adres

Provider

Opzeten Provider (Master) voor meerdere domeinen.
OpenLDAP is in de nieuwe opzet veel flexibeler dan voorheen, waardoor het mogelijk is om de replicatie vanuit verschillende bronnen te laten plaatsvinden. Een traditionele "slave" kan zo voor bepaalde attributen wijzigingen accepteren en die doorgeven aan de Master.
Voorbeelden:

• PTR records van machines in een subnet
• Password wijzigingen door gebruikers

Multple domains

openLDAP maakt gebruik van de cn=config methode van configureren, de methode met slapd.conf is depricated. Bijna alle documentatie in de Administrator guide baseert zich echter nog op de oude methode met slapd.conf. Met name de ondersteuning van meerdere domains in de configuratie met de cn=config methode is anno 2011 nog moeilijk vast te stellen. Onder staat de listing van /etc/ldap/slapd.d/cn=config.

drwxr-x--- 2 openldap openldap  4096 Apr 24 12:44 cn=schema
drwxr-x--- 2 openldap openldap  4096 Apr 25 13:00 olcDatabase={1}bdb
drwxr-x--- 2 openldap openldap  4096 Sep 21 21:17 olcDatabase={2}bdb
-rw------- 1 openldap openldap   392 Apr 24 12:44 cn=module{0}.ldif
-rw------- 1 openldap openldap 36830 Apr 24 12:44 cn=schema.ldif
-rw------- 1 openldap openldap   525 Apr 24 12:44 olcDatabase={-1}frontend.ldif
-rw------- 1 openldap openldap   513 Apr 24 12:44 olcDatabase={0}config.ldif
-rw------- 1 openldap openldap  4652 Sep 23 00:13 olcDatabase={1}bdb.ldif
-rw------- 1 openldap openldap  4664 Sep 21 21:14 olcDatabase={2}bdb.ldif

Proefondervindelijk heeft Webhuis vastgesteld dat er naast een Database-bdb.ldif bestand tevens een Database-bdb directory aanwezig moete zijn.

slapadd -n 1 -l /usr/local/src/samba-ldap/init-base.ldif
slapadd -n 1 -l /usr/local/src/samba-ldap/ldap-populate.ldif
slapadd -n 2 -l /usr/local/src/samba-ldap/wbhs-m.webhuis.nl.ldif

Consumer

Replicatie tussen provider en consumer

Server (slapd) configuratie

gnutls-cli -s uwork-p.uwork.nl -p 636gnutls-cli -s uwork-p.uwork.nl -p 636 in een ander venster pkill -ALRM gnutls-cli

Client (ldap) configuratie

Stapsgewijs beschikbaar maken van de LDAP directory voor meerdere doeleinden en op meerdere plaatsen.

synrepl

• http://www.openldap.org/doc/admin24/replication.html#Delta-syncrepl
• http://wiki.debian.org/LDAP/OpenLDAPSetup
• http://deandra.homeip.net/node/33
• http://www.fatofthelan.com/articles/articles.php?pid=24
• http://wiki.debian.org/LDAP/PowerDNSSetup
• http://www.nomis52.net/?section=docs&page=samldap
• http://bind9-ldap.bayour.com/
• http://www.venaas.no/ldap/bind-sdb/dnszone-schema.txt
• http://www.venaas.no/ldap/bind-sdb/old.html
• http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/FastStart.html#id2548624
• http://groups.google.com/group/linux.debian.user/browse_thread/thread/6e9003d03878c60f
• http://fxp0.org.ua/2006/sep/21/powerdns-ldap-backend-setup/
• http://blog.leo34.net/2008/06/dns-server-bind-mit-zonen-in-ldap-via-bind-dlz/
• http://ressukka.net/blog/posts/20090323_split_dns/
• http://edin.no-ip.com/content/ldap-samba-pdc-pamnss-debian-lenny-howto
• http://www.bind9.net/manuals
• http://forums.b2evolution.net/viewtopic.php?printertopic=1&t=17434&postdays=0&postorder=asc&&start=0&sid=41055d010fb6109d10de45bb76065895

authentication voor services met ldap

Terug naar: Webhuis Infrastructuur