Szenario 2: Samba als LDAP-gestützter PDC
Das zweite Szenario kombiniert Samba als Primären Domänen Controller mit OpenLDAP [5] als Backend für Benutzer- und Gruppenverwaltung, wobei das Benutzermanagement weiter über die bekannten Windows-Werkzeuge erfolgt. Für dieses Setup brauchen Sie Samba- und OpenLDAP-Pakete, für Testzwecke auch die Samba- und LDAP-Clients. Die Objekte für Useraccounts und Gruppenzuordnung finden Sie in einem eigenen LDAP-Schema. Das ist zwar in Samba enthalten, müssen es aber noch ins richtige Konfiurationsverzeichnis kopieren:
cp /usr/share/doc/samba-3.0.28/LDAP/samba.schema /etc/openldap/schema/
Als nächstes passen Sie die LDAP-Konfigurationsdatei des Servers »/etc/openldap/slapd.conf« wie in Listing 9 an, indem Sie zunächst die beiden Schemata ergänzen (Zeilen 1 und 2) und den Suffix, Rootdn und das zugeordnete Passwort festlegen (Zeilen 4 bis 6). Das Rootdn-Passwort sollte hier ausschliesslich verschlüsselt liegen, der von »slappasswd -h {MD5} Passwort« generierte String (»{MD5}Xr4il...«) landet statt des Klartext-Passwortes in der Zeile 6 (»rootpw«).
Typischerweise darf jeder Benutzer darf sein eigenes Passwort ändern, der Administrator sogar die von anderen Usern. Das regelt im LDAP der Zugriff (»access«) auf spezielle Attribute (»attrs«), zu sehen ab Zeile 8.
|
Listing 9: |
|---|
01 include /etc/openldap/schema/misc.schema
02 include /etc/openldap/schema/samba.schema
03 [...]
04 suffix "dc=mx,dc=local"
05 rootdn "cn=Manager,dc=mx,dc=local"
06 rootpw {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==
07 [...]
08 access to attrs=userPassword,sambaLMPassword,sambaNTPassword
09 by self write
10 by dn="cn=administrator,dc=mx,dc=local" write
11 by * auth
12
13 access to *
14 by dn="cn=administrator,dc=mx,dc=local" write
15 by * read
|
Hilfreiche Vorlage
Wenn die Konfiguration der LDAP-Datenbanken fehlt, erweist sich das Template der Standardkonfiguration »/etc/openldap/DB_CONFIG.example« als hilfreich. Jetzt starten Sie den LDAP-Dienst mit »service ldap start« und »chkconfig ldap on«. Die meisten Fehlermeldungen an dieser Stelle entstehen, wenn die Berechtigungen unterhalb des LDAP-Datenverzeichnis »/var/lib/ldap« nicht ausreichen. Das behebt ein schnelles »chown ldap /var/lib/ldap/*«.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 7 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...