[uplug] Schon wieder LDAP

Timo Felbinger ktfnff-jupp at 05.04.2010.best-before.qipc.org
So Mär 21 12:51:02 CET 2010


On Sun, Mar 21, 2010 at 11:40:39AM +0100, Dirk Zemisch wrote:
> 
> Hallo Leute,
> 
> p?nktlich zum Wochenende habe ich mal wieder eine kleine (hoffentlich)
> Anfrage zu LDAP.
> 
> Ich habe hier lokal OpenLDAP zum Laufen gebracht und es prinzipiell auch
> begriffen. Allerdings habe ich den Fehler gemacht als Domain keine
> lokale, sondern eine meiner Netzdomains zu nutzen:
> 
> kaitain:/home/dirk# slapcat
> dn: dc=zemisch,dc=de
> objectClass: top
> objectClass: dcObject
> objectClass: organization
> o: zemisch.de
> dc: zemisch
> structuralObjectClass: organization
> [...]
> dn: cn=admin,dc=zemisch,dc=de
> [...]
> dn: ou=People,dc=zemisch,dc=de
> 
> Das zieht sich jetzt nat?rlich durch den ganzen Baum und ich habe im
> Netz irgendwie nix gefunden, das 'dc=de' da durch z.B. 'dc=local' zu
> ersetzen - au?er ldapmodify.

Ich wuerde alles dumpen, neu aufsetzen und einlesen - vermutlich der
einfachste Weg.

> 
> Wie aber bitte kann ich denn meinen Adminaccount (de) auf 'local'
> umschie?en und diesen hinterher trotzdem f?r die Admin des Baumes
> nutzen?

Was genau bedeutet den "Admin account"? Ein User-account auch mit
besonderen Rechten ausserhalb von LDAP, oder nur der Admin fuer die
LDAP Datenbank selbst?

Letzterer ist als
  rootdn
in slapd.conf definiert, und da kann man was beliebiges eintragen: rootdn
muss nicht unbedingt einem existierenden Eintrag entsprechen, muss noch
nichtmal notwendig ein passendes Suffix haben, solange du dich nur
irgendwie entsprechend ausweisen kannst :-)

Ich finde da public-key verfahren am bequemsten: nimm irgendein eigenes
client-Zertifikat, und trag das "Subject:" als rootdn ein.
(es gibt auch noch
  saslregexp
um das Subject: auf irdendeinen beliebigen anderen String abzubilden, der
dann auch als rootdn dienen kann).

Solange du in slapd.conf passende Eintraege fuer
  TLSCACertificateFile /etc/x509.trusted.certs.pem«
  TLSCertificateFile /var/x509/cert.ldap-master.qipc.org.pem«
  TLSCertificateKeyFile /keys/rsa.ldap-master.qipc.org.pem«
  TLSVerifyClient try
hast und dann noch in deiner shell die Umgebungsvariablen
  LDAPSASL_MECH="external"
  LDAPTLS_CERT="/var/x509/cert.root.physik.uni-potsdam.de.pem"
  LDAPTLS_KEY="/keys/rsa.root.physik.uni-potsdam.de.pem"
entsprechend setzt (und den private key auch tatsaechlich lesen kannst),
kriegst du automatisch mit den ueblichen tools (ldapmodify...)
admin-rechte, ohne je mit Passwort-Abfragen belaestigt zu werden.

Viele Gruesse,
Timo




Mehr Informationen über die Mailingliste upLUG