Sven Gehr schrieb:
1.) ldap.conf. Es gibt ja zwei Gleichnamige Dateien ldap.conf. Die eine ist direkt unter /etc die andere unter /etc/openldap. Im Buch steht das die Datei in /etc die Client-Datei des Servers ist. Also wenn der LDAP-Server bzw. ein andere Dienst der auf ihm läuft selbst auf LDAP zugreift. Die Datei unter /etc/openldap würde von den (richtigen) Clients die sich am Server anmelden ausgewertet. In einer anderen Doku ist jedoch beschrieben das die Lage bzw. die Funktion der Dateien ldap.conf beim Bau des LDAP-Paketes definiert wird.
Ja genau.
Habe ich das so richtig verstanden bzw. ist beim SuSE-Paket die Bedeutung der Dateien so wie ich es annehme?
/etc/ldap.conf für die nss_ldap und pam_ldap - Module. Diese sind bei deinem System mit OpenLDAP-Bibliotheken kompiliert worden und diese haben /etc/openldap/ldap.conf als Konf. Datei. Für /etc/ldap.conf gilt: /usr/share/doc/packages/nss_ldap/ldap.conf als Bsp. und Doku. Für /etc/openldap/ldap.conf gilt "man ldap.conf" als Doku.: Die letztere wird ausgewertet wenn für einige der folgenden Befehle : (sie befinden sich im openldap2-client RPM-Paket.) genutzt werden. /usr/bin/ldapadd /usr/bin/ldapcompare /usr/bin/ldapdelete /usr/bin/ldapmodify /usr/bin/ldapmodrdn /usr/bin/ldappasswd /usr/bin/ldapsearch /usr/bin/ldapwhoami
2.) Passwort in ldap.secret. Ich habe in meiner slapd.conf den LDAP-Admin definiert und sein Passwort als MD5-Hash-Wert eingetragen. Ich verstehe nicht so ganz warum ich in die Datei ldap.secret das Passwort wiederum im Klartext reinschrieben soll, oder habe ich das falsch verstanden? Kann ich hier ebenfalls ein Hash-Wert angeben?
Man überleg doch mal. Du hast einen LDAP-Server auf Rechner x, und 300 Rechner die LDAP-Client sind. Um vom Client administrative Aufgaben im LDAP-Server zu machen, braucht man halt einen LDAP-Admin Account und Passwort. Deswegen rootbinddn und ldap.secret. Muss aber nicht zwingend vorhanden sein. Kann man auch komplett weglassen. Somit kann man dann z.B. als root auf einem Client nicht alle Passwörter der LDAP-User umstellen. Damit ein Client überhaupt Informationen von deinem LDAP-Server bekommen kann, muss er sich am LDAP-Server anmelden. Wie und mit was er sich anmelden soll, ist mit binddn und bindpw definiert. Wenn dein LDAP-Server so eingestellt ist das anonym browsen erlaubt ist, vergiss binddn und bindpw. Kommentiere es einfach aus.
3.) binddn. Mit der in der Clientkonfiguration (ldap.conf) angegebenen
Parmeter binddn habe ich noch meine Verständnisschwierigkeiten. Was wird hiermit genau angegeben. Hierzu habe ich mir einfach ein Konfigurationsbeispiel in einer Fachzeitschrift etwas näher angeschaut.
Hier war, wie es bei mir auch ist der LDAP-Admin in der slapd.conf so definiert:
rootdn= "cn=root,dc=labnet,dc=de"
Natürlich ist der Domainname bei mir anderst. Dieses Objekt 'root'
Im Verzeichnis selbst wurde eine ou mit dem Namen ou=NSS gemacht und wiederum darunter wurden folgende Objekte angelegt:
ou= Sysusers ou=group ou=services ou=networks ou=aliases ou=Samba
im Container Sysusers gab es ein Objekt uid=Admin.
In der Clientkonfiguration (ldap.conf) wurde:
binddn ou=nss,dc=labnet,dc=de
angegeben. Der Parameter zeigte als auf den Container der allen o.g. Subcontainer (Sysusers, roup ..usw) enthält. Anschließend gibt es in dieser ldap.conf noch ein:
bindpw Geheim
Die Frage beantworte ich Dir nicht weil sie genau unter /usr/share/doc/packages/nss_ldap/ldap.conf beschrieben ist. Und das hatte ich dir ja auch schonmal geschickt. ( und noch keine Antwort bekommen ;-) ).
also ein Passwort. Nur, was soll denn ein Passwort das auf ein ou zeigt (nss) oder wie habe ich das zu verstehen.
Gruss Patrick