Hallo Dieter, Dieter Kluenter schrieb:
Hallo Axel,
Axel Birndt
writes: Hallo LDAP Spezies, hallo Dieter,
mittlerweile habe ich nun herausgefunden, das unter Ubuntu 9.10 das cn=config DB-Backend benutzt wird. Das hat mich leider einige Tage Arbeit gekostet, zu verstehen in welche Richtung das Ganze geht. ... Nun scheitere ich aber im Moment daran, das ich nicht genau weiß wie ich mit den Rechten und der Rechtevergabe im LDAP umgehen soll.
Hierzu als erste Anlaufstelle man slapd.access(5), wenn du Geld ausgeben möchtest, siehe Signatur :-) da wird einiges zu Access Control beschrieben. Ich werde mir die manpage dazu mal ansehen. Danke für den Tipp. Sorry wenn ich Deine Zeit über Gebühr beanspruche, aber zum Mechanismus wie man mit dem unter Ubuntu verwendeten DB-Backend die Rechte einstellt lese ich immer wieder nur es mit ldif-Dateien zu tun. Bei Google und auch sonst findet man zu fast 95% Infos wie es mit der slapd.conf einzustellen ist. Das ist ja auch recht einfach. Nun wollte ich aber ungern meinen LDAP-Server auf die slapd.conf umstellen. Wenn ich das richtig verstanden habe ist das der veraltete Mechanismus, der zwar durchaus benutzt wird, aber eben eine ältere Config-Möglichkeit ist.
Nun, was ich gern möchte:
1. verstehen wie ich die Rechte korrekt mit den ACL's einstellen kann 2. kann ich Rechte in Subbäumen vererben?
Ja, access to dn.subtree... Könntest Du mir evtl 1 oder 2 Beispiele geben, wie ich es mit dem o.g. DB-Backend korrekt einstelle?
3. es gibt zwar jede Menge Tutorials im Internet, aber ich tue mich einfach schwer damit, wenn diese schon komplettes Fachwissen bezüglich LDAP voraussetzen, und zudem noch in Englisch sind (nicht das ich kein Englisch könnte, aber es ist schon schwerer als mit einer deutschen Doku). Gibt es einfach ein gutes deutsches Tutorial, welches auch die Eigenheiten des cn=config DB-Backends behandelt?
Für cn=config gibt es noch kein Tutorial, mein Rat, verwende web2ldap als Tool zur Administration, für cn=config werden Templates bereitgestellt. Ich werde mir web2ldap auf jeden Fall ansehen und wenn ich damit die ACL's einstellen kann bin ich ja auch schon zufrieden... ;-)
4. Könnt Ihr mir evtl. ein Beispiel zeigen wie ich a) die aktuelle Rechtevergabe aus dem LDAP auslesen kann und b) wie ich die Rechtevergabe korrekt steuern kann.
ldapsearch -D cn=config -W -b olcDatabase={1}bdb,cn=config -s base olcAccess -H ldap://localhost
Danke, das Beispiel muß ich mir mal gaaanz in Ruhe anschauen.
5. wie ist dafür der richtige Weg? Über einen Import einer LDIF-Datei?
Nein, mit ldapmodify oder einem Tool wie ldapvi oder web2ldap
ok, das habe ich mir fast gedacht, das das mit der ldif-Datei irgendwie komisch ist... Die Tools gucke ich mir mal an. Jetzt habe ich wenigstens einen Anhaltspunkt, welches die richtigen Tools sind und kann entsprechend nach Beispielen dafür suchen.
6. Ich möchte außerdem einige Bind-User anlegen, je nach Verwendungszweck einen eigenen. Am besten die Bind-User anlegen und wenn diese zu einer dedizierten Gruppe gehören,
Wo ist hier das Problem?
Das Problem ist hier im Prinzip begründet. Meine Frage bezog sich darauf welche Rechte ein Bind-User minimal haben muß. Schließlich möchte ich ja nicht das der Bind-User irgendwas kaputt machen kann. Er soll nur seine Aufgabe erfüllen und nicht mehr aber auch nicht weniger. Da ich erst mit LDAP anfange....naja, deshalb stelle ich so blöde Fragen.
7. Zusätzlich möchte ich User im LDAP anlegen, die wenn Sie einer Admin-Gruppe angehören automatisch auch die Admin-Rechte auf das gesamte LDAP-Verzeichnis bekommen.
Lege eine Gruppe cn=administrators,dc=example,dc=com an und füge dieser Gruppe die DNs der User hinzu z.B.
dn: cn=administrators,dc=example,dc=com objectclass: groupOfNames member: cn=Peter Meier,ou=users,dc=example,dc=com member: cn=Franz Müller,ou=users,dc=example,dc=com
Adminrechte müssen durch Access-Regeln erteilt werden, nur rootDN darf alles, dies kann aber keine Gruppe sein.
Das heißt ich kann nur einem dedizierten User "Adminrechte" vergeben??
z.B. olcAccess: to dn.subtree=dc=example,dc=com by group/groupOfNames/member.exact="cn=administrators,dc=example,dc=com write
ok, das ist ein Beispiel für eine Rechtevergabe, wie würde ich das ins LDAP kriegen? Mit ldapmodify? Könntest Du mir das vielleicht als kleines Beispiel geben? Naja, ich geb zu ich bin hier noch blutiger Anfänger, aber ich will mir auch nicht durch unvorsichtiges "rumklickern" meinen frisch aufgesetzten LDAP zerschießen... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 ------------------------------ http://www.tty1.net/smart-questions_de.html -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org