Workshop OpenLDAP-Server

tiero, 123RF

Zentralregister

Zentrale Benutzerverwaltung mit LDAP oder Active Directory ist heute Standard. Dennoch schrecken viele vor dem Aufbau einer solchen Infrastruktur zurück und verwalten Benutzerdaten lieber von Hand. Dieser Workshop zeigt, wie es mit OpenLDAP besser geht.
Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Der OpenLDAP-Server verfügt über eine lange Historie in der Unix-Welt. Der Beginn des Projekts datiert bis ins Jahr 1998 zurück, als das Thema zentrale Benutzerverwaltung lediglich im Enterprise-Umfeld ernstgenommen wurde. Kleine Insellösungen waren damals die Grundlage für eine zentrale Benutzerverwaltung; Verzeichnisserver gab es nur von großen IT-Anbietern. Ältere Leser werden jetzt vielleicht schmunzelnd an die Anfänge der Domain-Verwaltung unter Windows NT, Novell Netware oder NIS zurückdenken.

Ein entsprechend ausgereifter Service stand mit X.500 ebenfalls zur Verfügung, fand aber in der Praxis nur wenig Verbreitung. LDAP (Lightweight Directory Access Protocol) sollte ursprünglich lediglich ein Protokoll für die X.500-Services sein. Daraus entwickelte sich der LDAP-Server als Verzeichnisserver, wie er heute vielseitig verwendet wird.

1998 wurde der heutige OpenLDAP-Server als Klon der Sourcen des LDAP-Servers der Universität Michigan von Kurt Zeilenga ins Leben gerufen. Interessanterweise ist das OpenLDAP-Projekt niemals eingeschlafen, sondern hat sich beständig weiterentwickelt und gilt daher heute immer noch als fortschrittlich und wegweisend. Allerdings haben die zahlreichen Änderungen, die sehr strikt durchgesetzt wurden, auch den einen oder anderen Anwender abgeschreckt. Üblicherweise werden Änderungen von elementaren Bestandteilen in einer Version als deprecated markiert und mit entsprechender Warnung versehen. In der Folgeversion ist diese Funktionalität dann nicht mehr verfügbar. Für das Projekt stellt dies den Fortschritt sicher, für den Administrator bedeutet es, immer am Ball bleiben zu müssen.

Was ist ein Verzeichnisserver?

Ein Verzeichnisserver stellt einen Behälter für Informationen zur Verfügung, der sich über das LDAP-Protokoll und passende Clients abfragen lässt. Der Vergleich mit einem Telefonbuch bietet sich zwar an, hält jedoch im Detail nicht stand. Ein LDAP-Server kann zwar Kontaktdaten für das Unternehmen beinhalten, jedoch auch mit weiteren Informationen zu einer Person angereichert werden. Letztlich ist aber die Art der Informationen nicht vorgegeben. So können ein Warenkatalog genauso wie eine Inventarliste ihren Platz finden.

Ein Verzeichnisserver bietet sich immer dann an, wenn Informationen in einer baumartigen Struktur mit entsprechenden Unterzweigen abgelegt werden sollen. Die baumartige Struktur wird im Folgenden als DIT (Directory Information Tree) bezeichnet. Jede der abgelegten Informationen innerhalb des Baums kann eine Menge von Attributen enthalten, die teilweise zwingend vorhanden sein müssen oder optional sind. Die Festlegung, welche Attribute wo zu Verfügung stehen, wird durch ein Schema vorgegeben. Der OpenLDAP-Server stellt seine eigene Konfiguration beispielsweise in einem DIT dar.

In diesem Workshop erfahren Sie, wie man den OpenLDAP-Server in Version 2.4.23 auf einem CentOS 6.5 installiert und in Betrieb nimmt. Als Beispiel dient die Authentifizierung von Benutzern an einem Webserver, die Konfiguration kann aber für Betriebssysteme oder andere Dienste erweitert werden. Am Ende des Workshops steht damit ein vollfunktionaler LDAP-Server für das Unternehmen zur Verfügung, der leicht erweitert werden kann und dem aktuellen Stand von CentOS 6.5 und OpenLDAP 2.4 ohne zusammenkopierte Konfiguration entspricht.

Installation des OpenLDAP-Servers

Die Installation von OpenLDAP ist denkbar einfach. Alle erforderlichen Pakete befinden sich in den CentOS-Repositories und stehen damit auf jeder CentOS-Installation ohne weitere Veränderungen zur Verfügung. Mit dem Paketmanager Yum erschöpft sich die Installation in einem Aufruf:

$ sudo yum install openldap-serversopenldap-clients httpd ldapvi

Die beiden ersten Pakete erklären sich von selbst und werden benötigt, um den OpenLDAP-Server zu installieren und zu verwalten. Der Webserver »httpd« wird im Laufe des Tutorials verwendet, um die Authentifizierung und Autorisierung einer Webserver-Location gegenüber dem LDAP-Server zu demonstrieren. Das Werkzeug »ldapvi« ist ein universeller Kommandozeilen-LDAP-Client, der für kleinere administrative Aufgaben hervorragend geeignet ist.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023