Adressbücher auf LDAP Server
Hallo, auf meinem Server (SuSE eMail Server II) ist LDAP installiert. Auf das dort befindliche Adressbuch kann ich auch zugreifen. Aufgeführt werden alle auf dem Server eingetragenen und mit einer UID versehenen Benutzer. Jedoch lassen sich keine neuen Adressen von Personen, die nicht auf dem Server registriert, eintragen. Ich möchte gerne auf dem LDAP Server dieses Adressbuch nutzen, um weitere Einträge vornehmen zu können bzw. ein weiteres Adressbuch anlegen, auf dem solche Einträge von jedem Nutzer vorgenommen werden können. Geht das und wo liegt der Ansatz? Mit freundlichen Grüßen Martin -- http://www.martin-pitsch.gmxhome.de
Hi! Am Fre, 27 Jul 2001 schrieb Martin Pitsch:
auf meinem Server (SuSE eMail Server II) ist LDAP installiert. Auf das dort befindliche Adressbuch kann ich auch zugreifen.
[.....]
Ich möchte gerne auf dem LDAP Server dieses Adressbuch nutzen, um weitere Einträge vornehmen zu können bzw. ein weiteres Adressbuch anlegen, auf dem solche Einträge von jedem Nutzer vorgenommen werden können.
Geht das und wo liegt der Ansatz?
Ich habe keinen Tip zu Deinem aktuellen Problem, aber ich schlage mich hier seit drei Tagen mit openLDAP ´rum und finde es zum Verzweifeln. Einfachste Befehle wie: ldapadd -D "cn=manager, o=meyer, c=home" -w secret> organisation.ldif funktionieren nicht. Ich was auf Thomas Kings homepage http://webrum.uni-mannheim.de/math/tking/ und habe mir verschieden perl-scripte gezogen; mit meiner version 2.0.11 geht einfach nichts, es ist zum Haare raufen... Man kann tonnenweise Dokumentation verschlingen und dennoch bleibt es undurchsichtig. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
On Friday, 27. July 2001 19:51, Andreas Meyer wrote:
Hi!
Auch Hi ...
Am Fre, 27 Jul 2001 schrieb Martin Pitsch:
auf meinem Server (SuSE eMail Server II) ist LDAP installiert. Auf das dort befindliche Adressbuch kann ich auch zugreifen.
[.....]
Ich möchte gerne auf dem LDAP Server dieses Adressbuch nutzen, um weitere Einträge vornehmen zu können bzw. ein weiteres Adressbuch anlegen, auf dem solche Einträge von jedem Nutzer vorgenommen werden können.
Geht das und wo liegt der Ansatz?
Ich habe keinen Tip zu Deinem aktuellen Problem, aber ich schlage mich hier seit drei Tagen mit openLDAP ´rum und finde es zum Verzweifeln. Einfachste Befehle wie: ldapadd -D "cn=manager, o=meyer, c=home" -w secret> organisation.ldif
Ist ja auch syntaktisch falsch ... -> man ldapadd Außerdem ist ja c=home auch etwas gegen die ISO / OSI Standards für Verzeichnisdienste ...
funktionieren nicht. Ich was auf Thomas Kings homepage http://webrum.uni-mannheim.de/math/tking/ und habe mir verschieden perl-scripte gezogen; mit meiner version 2.0.11 geht einfach nichts, es ist zum Haare raufen...
Da solltest Du dann schon ein paar Beispiele liefern ... Außerdem Auszüge aus der slapd.conf und dem ldif file.
Man kann tonnenweise Dokumentation verschlingen und dennoch bleibt es undurchsichtig.
Behauptet ja auch keiner das Verzeichnisdienste einfach sind -> Gelbe Seiten. Ich weiss ja nicht, aber ich habe innerhalb von 8 MT einen LDAP server für unser internes Adressbuch mit ca. 68 000 Einträgen, SSL, Kerberos und Replikation hochgezogen. Also da liegt das nicht unbedingt am Produkt. Thomas
Hi! Am Fre, 27 Jul 2001 schrieb Thomas Vollmer:
On Friday, 27. July 2001 19:51, Andreas Meyer wrote:
Am Fre, 27 Jul 2001 schrieb Martin Pitsch:
Geht das und wo liegt der Ansatz?
Ich habe keinen Tip zu Deinem aktuellen Problem, aber ich schlage mich hier seit drei Tagen mit openLDAP ´rum und finde es zum Verzweifeln. Einfachste Befehle wie: ldapadd -D "cn=manager, o=meyer, c=home" -w secret> organisation.ldif
Ist ja auch syntaktisch falsch ... -> man ldapadd
Außerdem ist ja c=home auch etwas gegen die ISO / OSI Standards für Verzeichnisdienste ...
Hier wollte ich absichtlich meine interne domain verwenden um Konflikte zu vermeiden. Inwieweit eine domain-Angabe abhängig von der domain des Rechners ist, geht aus keiner doku hervor.
funktionieren nicht. Ich was auf Thomas Kings homepage http://webrum.uni-mannheim.de/math/tking/ und habe mir verschieden perl-scripte gezogen; mit meiner version 2.0.11 geht einfach nichts, es ist zum Haare raufen...
Da solltest Du dann schon ein paar Beispiele liefern ... Außerdem Auszüge aus der slapd.conf und dem ldif file.
Ich bin mich eben manchmal ein Dussel:
------ ldap.conf:
BASE dc=meyer, dc=home
URI ldap://gamma.meyer.home ldap://ldap-master.meyer.home:666
SIZELIMIT 12
TIMELIMIT 15
DEREF never
Wobei es einen lpap-master.meyer.home auf meinem System eigentlich
nicht gibt. Mit 666 sind die Rechte gemeint?
----- slapd.conf:
include /usr/local/etc/openldap/schema/core.schema
pidfile /usr/local/var/slapd.pid
argsfile /usr/local/var/slapd.args
# Load dynamic backend modules:
# modulepath /usr/local/libexec/openldap
database ldbm
suffix "dc=meyer,dc=home"
suffix "o=meyer,c=home"
rootdn "cn=Manager,dc=meyer,dc=home"
rootdn "cn=Manager,o=meyer,c=home"
rootpw secret
directory /usr/local/var/openldap-ldbm
# Indices to maintain
index objectClass eq
--->>>>
wobei mir völlig unklar ist (neben vielem anderen),
was 'index objectClass eq' bedeutet und welche objectclasses es
eigentlich gibt.
Ich führe z.B. das createuser.pl aus:
#!/usr/bin/perl -w
print "Username (=uid): ";
$user=<STDIN>;
chomp $user;
print "Password: ";
$pass=<STDIN>;
chomp $pass;
print "Full name: ";
$cn=<STDIN>;
chomp $cn;
$salt=join '', ('.', '/', 0..9, 'A'..'Z', 'a'..'z')[rand 64, rand 64];
$pass=crypt($pass,$salt);
$FILE="|ldapadd -D 'cn=Manager,o=meyer,c=home' -w secret";
open FILE or die;
print FILE <
Behauptet ja auch keiner das Verzeichnisdienste einfach sind -> Gelbe Seiten.
Mit NIS habe ich mich noch nicht beschäftigt. Ich wollte eben mal in openLDAP reinschnuppern, nach den Artikeln im Linux-Magazin (wobei mir der erste und wahrscheinlich wichtigste fehlt).
Ich weiss ja nicht, aber ich habe innerhalb von 8 MT einen LDAP server für unser internes Adressbuch mit ca. 68 000 Einträgen, SSL, Kerberos und Replikation hochgezogen. Also da liegt das nicht unbedingt am Produkt.
Es liegt mit Sicherheit an mir.... Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
On Friday, 27. July 2001 23:28, Andreas Meyer wrote:
Hi!
Am Fre, 27 Jul 2001 schrieb Thomas Vollmer:
On Friday, 27. July 2001 19:51, Andreas Meyer wrote:
Am Fre, 27 Jul 2001 schrieb Martin Pitsch:
Geht das und wo liegt der Ansatz?
Ich habe keinen Tip zu Deinem aktuellen Problem, aber ich schlage mich hier seit drei Tagen mit openLDAP ´rum und finde es zum Verzweifeln. Einfachste Befehle wie: ldapadd -D "cn=manager, o=meyer, c=home" -w secret> organisation.ldif
Ist ja auch syntaktisch falsch ... -> man ldapadd
Außerdem ist ja c=home auch etwas gegen die ISO / OSI Standards für Verzeichnisdienste ...
Hier wollte ich absichtlich meine interne domain verwenden um Konflikte zu vermeiden. Inwieweit eine domain-Angabe abhängig von der domain des Rechners ist, geht aus keiner doku hervor.
Moment, Attribut c ist die Country im ISO code (z. B. c=de;c=uk). Eine Domäne ist die domain component (dc).
funktionieren nicht. Ich was auf Thomas Kings homepage http://webrum.uni-mannheim.de/math/tking/ und habe mir verschieden perl-scripte gezogen; mit meiner version 2.0.11 geht einfach nichts, es ist zum Haare raufen...
Da solltest Du dann schon ein paar Beispiele liefern ... Außerdem Auszüge aus der slapd.conf und dem ldif file.
Ich bin mich eben manchmal ein Dussel:
------ ldap.conf: BASE dc=meyer, dc=home URI ldap://gamma.meyer.home ldap://ldap-master.meyer.home:666
SIZELIMIT 12 TIMELIMIT 15 DEREF never
Wobei es einen lpap-master.meyer.home auf meinem System eigentlich nicht gibt. Mit 666 sind die Rechte gemeint?
----- slapd.conf: include /usr/local/etc/openldap/schema/core.schema
pidfile /usr/local/var/slapd.pid argsfile /usr/local/var/slapd.args
# Load dynamic backend modules: # modulepath /usr/local/libexec/openldap
database ldbm suffix "dc=meyer,dc=home" suffix "o=meyer,c=home" rootdn "cn=Manager,dc=meyer,dc=home" rootdn "cn=Manager,o=meyer,c=home"
Ähm, bitte nur jeweils einmal suffix und rootdn pro database. Wenn du mehere willst (Bring erst mal eine ans laufen), dann mußt Du eine neue Sektion mit "database ..." beginnen.
rootpw secret directory /usr/local/var/openldap-ldbm # Indices to maintain index objectClass eq
--->>>>
wobei mir völlig unklar ist (neben vielem anderen), was 'index objectClass eq' bedeutet und welche objectclasses es eigentlich gibt.
Der index Eintrag gibt an auf welchen Attributen ein Suchindex gelegt werden soll, um Abfragen zu beschleunigen. Die Standard Objectclasses findest Du unter /etc/openldap/schema als *.schema. Da musst Du dir mal diese Dateien anschauen. Die schema dateien müssen aber erst mit include eingebunden werden, und dann schemacheck on in der slapd.conf gesetzt werden. Sonst "frisst" der LDAP server alles ohne Überprüfung.
Ich führe z.B. das createuser.pl aus:
#!/usr/bin/perl -w
[...]
ldapadd -a "cn=manager, o=meyer, c=home" -w secret> organisation.ldif
funktioniert nicht, wie auch nicht: ldapadd -a "cn=manager, o=meyer, c=home" -w secret < organisation.ldif
Dann trage die dn "cn=manager, o=meyer, c=home" unter rootdn und die dn "o=meyer, c=home" als suffix in der slapd.conf ein. Richtiger wäre allerdings etwas wie "o=meyer,c=de" Außerdem starte ldapadd -x -D "cn=manager, o=meyer, c=home" -w "secret" -f organisation.ldif -x brauchst Du, damit keine SASL Authentifizierung gemacht wird. Auch später bei Suchvorgängen erst mal so machen. -D ist die binddn. Sozusagen der Username im LDAP.
---organisation.ldif: dn: o=meyer, c=home o: meyer l: Landau streetaddress: Triangelsgasse 3 postalCode: 76829 telephonenumber: 06341-87482 objectclass: organization
dn: cn=Manager, o=meyer, c=home cn: Manager sn: Manager objectclass: person
Mach noch ein objectclass: organizationalPerson hinzu.
dn: ou=apache, o=meyer, c=home ou: apache objectclass: organizationalUnit
[...]
Die Datei ursprüngliche organisation.ldif hat nach dem Ausführen des obigen ldapadd-Befehls eine Größe von 0 bytes.
Wenn du ldapadd mit ">" aufrufst kein Wunder. Deshalb mit der option -f.
Behauptet ja auch keiner das Verzeichnisdienste einfach sind -> Gelbe Seiten.
Mit NIS habe ich mich noch nicht beschäftigt. Ich wollte eben mal in openLDAP reinschnuppern, nach den Artikeln im Linux-Magazin (wobei mir der erste und wahrscheinlich wichtigste fehlt).
So war das nicht gemeint. War eine Anspielung und ich meinte die Gelben Seiten von DeTeMedien. Nicht die NIS Dienste ;-)
Ich weiss ja nicht, aber ich habe innerhalb von 8 MT einen LDAP server für unser internes Adressbuch mit ca. 68 000 Einträgen, SSL, Kerberos und Replikation hochgezogen. Also da liegt das nicht unbedingt am Produkt.
Es liegt mit Sicherheit an mir....
Aber bitte erst höflich frgen und dann schimpfen ;-) Thomas
Hallo Thomas! Am Sam, 28 Jul 2001 schrieb Thomas Vollmer:
Dann trage die dn "cn=manager, o=meyer, c=home" unter rootdn und die dn "o=meyer, c=home" als suffix in der slapd.conf ein. Richtiger wäre allerdings etwas wie "o=meyer,c=de"
Außerdem starte ldapadd -x -D "cn=manager, o=meyer, c=home" -w "secret" -f organisation.ldif
Daß ich das noch erleben darf ;) Klappte auf Anhieb! adding new entry "o=meyer, c=home" adding new entry "cn=manager, o=meyer, c=home" adding new entry "cn=manager, o=meyer; c=home" ldap_add: Already exists ldif_record() = 68
-x brauchst Du, damit keine SASL Authentifizierung gemacht wird. Auch später bei Suchvorgängen erst mal so machen.
hm, SASL?
-D ist die binddn. Sozusagen der Username im LDAP.
dn: cn=Manager, o=meyer, c=home cn: Manager sn: Manager objectclass: person
Mach noch ein objectclass: organizationalPerson hinzu.
Danke!
Ich weiss ja nicht, aber ich habe innerhalb von 8 MT einen LDAP server für unser internes Adressbuch mit ca. 68 000 Einträgen, SSL, Kerberos und Replikation hochgezogen. Also da liegt das nicht unbedingt am Produkt.
Es liegt mit Sicherheit an mir....
Aber bitte erst höflich frgen und dann schimpfen ;-)
Kam´ das so rüber? Ich wollte eigentlich nicht schimpfen. Ich verstehe nur nicht, warum im Magazin Befehle abgdruckt werden, die dann nicht funktionieren. Als DAU ist man da erstmal aufgeschmissen... ziemlich frustig. Deine Erklärungen waren da um einiges aufschlußreicher. Aber Deine Tips lassen mich hoffen... Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
On Saturday, 28. July 2001 22:26, Andreas Meyer wrote:
Hallo Thomas!
Am Sam, 28 Jul 2001 schrieb Thomas Vollmer:
Dann trage die dn "cn=manager, o=meyer, c=home" unter rootdn und die dn "o=meyer, c=home" als suffix in der slapd.conf ein. Richtiger wäre allerdings etwas wie "o=meyer,c=de"
Außerdem starte ldapadd -x -D "cn=manager, o=meyer, c=home" -w "secret" -f organisation.ldif
Daß ich das noch erleben darf ;) Klappte auf Anhieb!
adding new entry "o=meyer, c=home" adding new entry "cn=manager, o=meyer, c=home" adding new entry "cn=manager, o=meyer; c=home" ldap_add: Already exists
ldif_record() = 68
-x brauchst Du, damit keine SASL Authentifizierung gemacht wird. Auch später bei Suchvorgängen erst mal so machen.
hm, SASL?
SASL ist eine Bibliothek für Authentifizierung und Verschlüsselung. Wurde primär für den Cyrus IMAP Server entwickelt und findet aber immer mehr verwendung auch in anderen Entwicklungen.
-D ist die binddn. Sozusagen der Username im LDAP.
dn: cn=Manager, o=meyer, c=home cn: Manager sn: Manager objectclass: person
Mach noch ein objectclass: organizationalPerson hinzu.
Danke!
Ich weiss ja nicht, aber ich habe innerhalb von 8 MT einen LDAP server für unser internes Adressbuch mit ca. 68 000 Einträgen, SSL, Kerberos und Replikation hochgezogen. Also da liegt das nicht unbedingt am Produkt.
Es liegt mit Sicherheit an mir....
Aber bitte erst höflich frgen und dann schimpfen ;-)
Kam´ das so rüber? Ich wollte eigentlich nicht schimpfen. Ich verstehe nur nicht, warum im Magazin Befehle abgdruckt werden, die dann nicht funktionieren. Als DAU ist man da erstmal aufgeschmissen... ziemlich frustig. Deine Erklärungen waren da um einiges aufschlußreicher.
Vorsicht. Das was ich in letzter Zeit in einigen Linux / Un*x Magazinen zum Thema LDAP gesehen habe ist entweder a) SCHROTT oder b) bezieht sich auf OpenLDAP 1.2.x und nicht auf das relativ neue OpenLDAP 2.0.x. Das Alte bietet noch keine SASL Unterstützung und kennt natürlich bei den Kommandozeilenutilities die Option -x noch nicht. Dort ist das Standard. Also man pages, die Dokumentation von http://www.openldap.ord/ und deren FAQ bildet ungemein. ;-) Gruß Thomas
Aber Deine Tips lassen mich hoffen...
Gruß
participants (3)
-
Andreas Meyer -
Martin Pitsch -
Thomas Vollmer