Domov > OpenLDAP

OpenLDAP - Stručná príručka

24. jún 2010 - 14:09 — etki
Verzia pre tlačOdoslať priateľoviPDF verzia

Táto stručná príručka je určená pre OpenLDAP softvér 2.4, vrátane Samostatného LDAP démona, slapd(8).

Prevedie vás základnými krokmi, ktoré sú potrebné na nainštalovanie a nastavenie softvéru OpenLDAP. Môžete ju použiť spolu s ďalšími kapitolami tohto dokumentu, man stránkami a ďalšími materiálmi poskytovanými s distribúciou softvéru (napr. dokument s názvom INSTALL) alebo webovou stránkou OpenLDAP (http://www.OpenLDAP.org), na ktorej si môžete nájsť často kladené otázky o softvéri OpenLDAP (http://www.OpenLDAP.org/faq/?file=2).

Ak sa rozhodnete pre seriózne požívanie softvéru OpenLDAP, mali by ste si prečítať celý tento dokument skôr, ako sa pustíte do inštalácie softvéru.

Poznámka: Táto stručná príručka nepoužíva silnú autentifikáciu ani žiadne služby na ochranu integrity a dôvernosti. Tieto služby sú popísané v inej kapitole Administrátorskej príručky OpenLDAP.

  1. Získanie softvéru
    Kópiu softvéru môžeme získať podľa pokynov na stránke OpenLDAP Software download (http://www.openldap.org/software/download/). Novým používateľom odporúčame stiahnuť si najnovšie vydanie – release.
     
  2. Rozbalenie distribúcie
    Otvoríme priečinok, do ktorého sme uložili stiahnutý súbor s distribúciou, a rozbalíme ho pomocou nasledujúceho príkazu:
      gunzip -c openldap-VERZIA.tgz | tar xvfB -

    potom prejdeme do priečinka s rozbalenou distribúciou:
      cd openldap-VERZIA

    Slovo VERZIA nahradíme názvom verzie vydania.
     
  3. Prečítanie dokumentácie
    Teraz si môžeme prezrieť obsah dokumentov COPYRIGHT, LICENSE, READMEINSTALL ktoré sa dodávajú spolu s distribúciou. V súboroch COPYRIGHTLICENSE sa nachádzajú informácie o podmienkach používania, rozmnožovania a obmedzenej záruke k OpenLDAP Software.
     
    Mali by sme si tiež prečítať ostatné kapitoly tohto dokumentu. Konkrétne kapitolu Zostavenie a inštalácia softvéru OpenLDAP, v ktorej sa nachádzajú podrobné informácie o inštalačnom softvére a softvérových závislostiach.
     
  4. Spustenie configure
    Teraz je potrebné spustiť skript configure, ktorý nakonfiguruje distribúciu tak, aby ju bolo možné zostaviť na našom systéme. Skript configure je možné použiť spolu s mnohými voľbami príkazového riadka, ktorými môžeme povoliť alebo zakázať voliteľné funkcie softvéru. Aj keď sú zvyčajne predvolené funkcie postačujúce, máme možnosť ich zmeniť. Kompletný zoznam volieb, ktoré môžeme použiť spolu s configure,  zobrazíme pomocou voľby --help:
      ./configure --help

    Ak sme však menej zruční, predpokladáme, že nám budú predvolené nastavenia vyhovovať, preto necháme na configure aby vybral čo je najlepšie:
      ./configure

    Za predpokladu, že configure nebude neznášať s našim systémom, budeme môcť pokračovať zostavením softvéru. Ak nastanú nejaké ťažkosti so skriptom configure, skúsime sa pozrieť do časti Installation v často kladených otázkach (http://www.openldap.org/faq/?file=8) a prečítame si aj kapitolu Zostavenie a inštalácia softvéru OpenLDAP tejto príručky.
     
  5. Zostavenie softvéru.
    Ďalším krokom je zostavenie softvéru. Tento krok má dve časti, prvá pozostáva z vyriešenia zavislostí a druhá z kompilovania softvéru:
      make depend
      make

    Obe by sa mali dokončiť bez chyby.
     
  6. Otestovanie zostavenia.
    Aby sem sa uistili, či je zostavenie správne, mali by sme spustiť testovaciu sadu nástrojov (zaberie to iba niekoľko minút):
      make test

    Testy, ktoré sa aplikujú na našu konfiguráciu sa spustia a mali by prejsť. Niektoré testy, ako napríklad test replikácie, sa môže preskočiť.
     
  7. Inštalácia softvéru.
    Teraz sme pripravený nainštalovať softvér. Toto si zvyčajne vyžaduje práva správcu:
      su root -c 'make install'

    Všetko by teraz malo byť nainštalované v priečinku /usr/local (alebo do iného priečinka, ktorý sme zadali ako inštalačný prefix pomocou configure).
     
  8. Úprava konfiguračného súboru.
    Použijeme obľúbený editor, pomocou ktorého upravíme dodávaný súbor slapd.conf(5) (zvyčajne sa nachádza v /usr/local/etc/openldap/slapd.conf), ktorý obsahuje definíciu formy BDB databázy:
      database bdb
      suffix "dc=<MY-DOMAIN>,dc=<COM>"
      rootdn "cn=Manager,dc=<MY-DOMAIN>,dc=<COM>"
      rootpw secret
      directory /usr/local/var/openldap-data

    Je potrebné nahradiť <MY-DOMAIN><COM> príslušnými časťami názvu domény. Ak je naša doména napríklad nieco.sk, použijeme:
      database bdb
      suffix "dc=nieco,dc=sk"
      rootdn "cn=Manager,dc=nieco,dc=sk"
      rootpw tajne
      directory /usr/local/var/openldap-data

    Ak naša doména pozostáva z viacerých častí, ako napríklad eng.uni.edu.eu, použijeme:
      database bdb
      suffix "dc=eng,dc=uni,dc=edu,dc=eu"
      rootdn "cn=Manager,dc=eng,dc=uni,dc=edu,dc=eu"
      rootpw tajne
      directory /usr/local/var/openldap-data

    Podrobnosti súvisiace s konfiguráciou slapd(8) môžeme nájsť na man stránke slapd.conf(5) a v kapitole Konfiguračný súbor slapd tejto príručky. Priečinok (directory) zadaný do konfiguračného súboru musí existovať pred spustením slapd(8).
     
  9. Spustenie SLAPD.
    Teraz môžeme spustiť samostatný LDAP démon, slapd(8), pomocou príkazu:
      su root -c /usr/local/libexec/slapd

    Aby sme zistili, či server beží a je správne nastavený, môžeme spustiť vyhľadávanie pomocou príkazu ldapsearch(1). V predvolenom stave je príkaz ldapsearch nainštalovaný v /usr/local/bin/ldapsearch:
      ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

    Pomocou jednoduchých úvodzoviek, do ktorých uzatvoríme parametre príkazu, predídeme tomu, aby ich interpretoval shell. Tetnto príkaz by mal vrátiť toto:
      dn:
      namingContexts: dc=nieco,dc=sk

    Podrobnosti súvisiace so spúšťaním slapd(8) môžeme nájsť na man stránke slapd(8) a v kapitole Spustenie slapd tejto príručky.
     
  10. Pridanie počiatočných položiek do adresára
    Položky do LDAP adresára môžeme pridávať pomocou ldapadd(1). ldapadd očakáva vstup vo formáte LDIF. Môžeme ho vytvoriť dvoma krokmi:
    1. vytvoríme LDIF súbor
    2. spustíme ldapadd

    Pomocou obľúbeného editora vytvoríme LDIF súbor, ktorý bude obsahovať:
      dn: dc=<MY-DOMAIN>,dc=<COM>
      objectclass: dcObject
      objectclass: organization
      o: <MY ORGANIZATION>
      dc: <MY-DOMAIN>

      dn: cn=Manager,dc=<MY-DOMAIN>,dc=<COM>
      objectclass: organizationalRole
      cn: Manager

    Zameníme <MY-DOMAIN><COM> za príslušné časti názvu domény. <MY ORGANIZATION> by sme mali nahradiť názvom našej organizácie. Ak text príkladu kopírujeme a vkladáme do súboru, je potrebné si dať pozor, aby sme neodsekli žiadne počiatočné a koncové biele znaky (medzery, tabulátory a pod.). Nakoniec súbor uložíme pod názvom priklad.ldif
      dn: dc=nieco,dc=sk
      objectclass: dcObject
      objectclass: organization
      o: Spoločnosť Niečo
      dc: nieco

      dn: cn=Manager,dc=nieco,dc=sk
      objectclass: organizationalRole
      cn: Manager

    Teraz môžeme spustiť ldapadd(1), ktorý položky vloží do adresára.
      ldapadd -x -D "cn=Manager,dc=<MY-DOMAIN>,dc=<COM>" -W -f priklad.ldif

    <MY-DOMAIN><COM> nahradíme príslušnými časťaminázvu našej domény. Po spustení príkazu zadáme heslo "tajne", ktoré sme nastavili v konfiguračnom súbore slapd.conf. Napríklad ak máme doménu nieco.sk, použijeme:
      ldapadd -x -D "cn=Manager,dc=nieco,dc=sk" -W -f nieco.ldif

    kde priklad.ldif je súbor ktorý sme vytvorili vyššie.
    Ďalšie informácie súvisiace s vytváraním adresára môžeme nájsť v kapitole Database Creation and Maintenance Tools tohto dokumentu.
     
  11. Kontrola funkčnosti.
    Teraz môžeme overiť, či sú pridané položky v adresári. Na tento účel môžeme použiť ľubovoľný LDAP klient, v našom prípade však použijeme nástroj ldapsearch(1). Nezabudnite nahradiť dc=nieco,dc=sk hodnotami, ktoré platia pre váš adresár:
      ldapsearch -x -b 'dc=nieco,dc=sk' '(objectclass=*)'

    Tento príkaz nájde a prevezme každú položku z databázy.

Teraz môžeme do adresára vložiť ďalšie položky pomocou ldapadd(1) alebo iného LDAP klienta, experimentovať s rôznymi konfiguračnými voľbami, usporiadaním pozadia, atď..

Databáza slapd(8) v predvolenom stave poskytuje prístup na čítanie každému okrem super-používateľa (definovaného direktívou rootdn). Vrelo odporúčame obmedziť prístup iba pre autorizovaných používateľov. Prístupové práva sú rozoberané v kapitole Access Control. Odporúčame prečítať si najmäčasti Security Considerations, Using SASLUsing TLS.

Nasledujúce kapitoly nám poskytnú viac informácií o inštalovaní a spúšťaní slapd(8).