Openldap

From PostgreSQL_wiki
Revision as of 15:09, 23 November 2011 by Martin (talk | contribs) (pam.d)
Jump to: navigation, search

openLDAP is een open source implementatie van de LDAP standaard. De openLDAP implementatie is onder Squeeze ingrijpend gewijzigd ten opzichte van eerdere versies van de Debian implementatie.

  • TLS in plaats van openSSL
  • syncrepl in plaats van updateref, het provider consumer model
  • Gebruik van een soort slap.d database inplaats van /etc/ldap/slapd.conf

Opzet openldap configuratie

De gebruikelijke configuratie met slapd.conf is verleden tijd, het mag nog wel, maar deze methode is depricated. De nieuwe manier van configureren werkt met een dynamische ldif structuur.

Secure openldap

Het openldap project is overgegaan op TLS, maar Webhuis gebruikt de certificaten die met openssl zijn aangemaakt.

Testen van de configuratie

ldapsearch localhost
ldapsearch lokaal op IP adres
ldapsearch remote op IP adres

Secrets

Raar maar waar uit de documentatie blijkt:

  • ldap.conf passd staat in libnss-ldap.secret
  • libnss-ldap.conf passwd staat in ldap.secret
  • pam_ldap.conf passwd staat in ldap.secret

Tooling

Phpldapadmin is een eenvoudig webbased ldap tool.
Bij Squeeze is een onhebbelijkheid in de configuratie geslopen, phpldapadmin vraagt bij elke actie een template te kiezen. Zet dit uit door in /etc/phpldapadmin/config.php de parameter:

// $config->custom->appearance['custom_templates_only'] = false;

te wijzigen in:
$config->custom->appearance['custom_templates_only'] = true;

Provider

Opzeten Provider (Master) voor meerdere domeinen.
OpenLDAP is in de nieuwe opzet veel flexibeler dan voorheen, waardoor het mogelijk is om de replicatie vanuit verschillende bronnen te laten plaatsvinden. Een traditionele "slave" kan zo voor bepaalde attributen wijzigingen accepteren en die doorgeven aan de Master.
Voorbeelden:

  • PTR records van machines in een subnet
  • Password wijzigingen door gebruikers

Multple domains

openLDAP maakt gebruik van de cn=config methode van configureren, de methode met slapd.conf is depricated. Bijna alle documentatie in de Administrator guide baseert zich echter nog op de oude methode met slapd.conf. Met name de ondersteuning van meerdere domains in de configuratie met de cn=config methode is anno 2011 nog moeilijk vast te stellen. Onder staat de listing van /etc/ldap/slapd.d/cn=config.

drwxr-x--- 2 openldap openldap  4096 Apr 24 12:44 cn=schema
drwxr-x--- 2 openldap openldap  4096 Apr 25 13:00 olcDatabase={1}bdb
drwxr-x--- 2 openldap openldap  4096 Sep 21 21:17 olcDatabase={2}bdb
-rw------- 1 openldap openldap   392 Apr 24 12:44 cn=module{0}.ldif
-rw------- 1 openldap openldap 36830 Apr 24 12:44 cn=schema.ldif
-rw------- 1 openldap openldap   525 Apr 24 12:44 olcDatabase={-1}frontend.ldif
-rw------- 1 openldap openldap   513 Apr 24 12:44 olcDatabase={0}config.ldif
-rw------- 1 openldap openldap  4652 Sep 23 00:13 olcDatabase={1}bdb.ldif
-rw------- 1 openldap openldap  4664 Sep 21 21:14 olcDatabase={2}bdb.ldif

Proefondervindelijk heeft Webhuis vastgesteld dat er naast een Database-bdb.ldif bestand tevens een Database-bdb directory aanwezig moete zijn.

slapadd -n 1 -l /usr/local/src/samba-ldap/init-base.ldif
slapadd -n 1 -l /usr/local/src/samba-ldap/ldap-populate.ldif
slapadd -n 2 -l /usr/local/src/samba-ldap/wbhs-m.webhuis.nl.ldif

Consumer

Replicatie tussen provider en consumer

Server (slapd) configuratie

gnutls-cli -s uwork-p.uwork.nl -p 636 gnutls-cli -s uwork-p.uwork.nl -p 636 in een ander venster pkill -ALRM gnutls-cli

Client (ldap) configuratie

Stapsgewijs beschikbaar maken van de LDAP directory voor meerdere doeleinden en op meerdere plaatsen. Een aardig inzicht in de opzet geeft:

ldap.conf

De ldap client configuratie is vrij eenvoudig:

uri ldap://ldap1.cs.school.edu/ ldap://ldap2.cs.school.edu
base dc=cs,dc=school,dc=edu
ldap_version 3
ssl start_tls
TLS_CACERT /etc/ldap/ssl/cacert.pem

nss_base_netgroup      cn=netgroup,dc=cs,dc=school,dc=edu?one

Het volgende maakt het op client niveau allemaal stukken eenvoudiger:

rm -f /etc/libnss-ldap.conf
rm -f /etc/pam_ldap.conf
ln -s /etc/ldap/ldap.conf /etc/libnss-ldap.conf
ln -s /etc/ldap/ldap.conf /etc/pam_ldap.conf

pam.d

common-account

account  sufficient pam_unix.so
account  sufficient pam_ldap.so
account  required   pam_deny.so

common-auth

auth     sufficient pam_ldap.so
auth     sufficient pam_unix.so shadow use_first_pass
auth     required   pam_deny.so

common-password

password requisite  pam_passwdqc.so min=12,10,10,8,6 random=25 retry=3 passphrase=2
password sufficient pam_ldap.so     type=network use_authtok first_pass
password sufficient pam_unix.so     type=machine use_authtok md5
password required   pam_deny.so

common-session

session  sufficient pam_ldap.so
session  required   pam_unix.so

common-session-noninteractive

#
# /etc/pam.d/common-session-noninteractive - session-related modules
# common to all non-interactive services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of all non-interactive sessions.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required        pam_unix.so 
session optional                        pam_ldap.so 
# end of pam-auth-update config

nfs

dn: cn={6}autofs
objectClass: olcSchemaConfig
cn: {6}autofs
olcAttributetypes: {0}( 1.3.6.1.1.1.1.25 NAME 'automountInformation'
 DESC 'Information used by the autofs automounter'
 EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

olcObjectClasses: {1}( 1.3.6.1.1.1.1.13 NAME 'automount' SUP top STRUCTURAL
 DESC 'An entry in an automounter map'
 MUST ( cn $ automountInformation $ objectclass )
 MAY ( description ) )

olcObjectClasses: {2}( 1.3.6.1.4.1.2312.4.2.2 NAME 'automountMap' SUP top STRUCTURAL
 DESC 'An group of related automount objects'
 MUST ( ou ) )


synrepl

authentication voor services met ldap


Terug naar: Webhuis Infrastructuur