37.5. Konfigurieren eines LDAP-Servers mit YaST

Verwenden Sie YaST zum Einrichten eines LDAP-Servers. Typische Einsatzbereiche für LDAP-Server sind die Verwaltung von Benutzerkontodaten und die Konfiguration von Mail-, DNS- und DHCP-Servern.

Abbildung 37.2. YaST-LDAP-Server-Konfiguration

YaST-LDAP-Server-Konfiguration

Zum Einrichten eines LDAP-Servers für Benutzerkontodaten gehen Sie wie folgt vor:

  1. Melden Sie sich als root-Benutzer an.

  2. Starten Sie YaST und wählen Sie Netzwerkdienste+LDAP-Server.

  3. Legen Sie fest, dass LDAP beim Systemstart gestartet wird.

  4. Wenn der LDAP-Server seine Dienste per SLP ankündigt, aktivieren Sie Register at an SLP Daemon (Bei einem SLP-Daemon registrieren).

  5. Wählen Sie Konfigurieren, um die Allgemeinen Einstellungen und die Datenbanken zu konfigurieren.

Gehen Sie zum Konfigurieren der Globalen Einstellungen Ihres LDAP-Servers wie folgt vor:

  1. Akzeptieren oder Verändern Sie die Schemadateien in der Server-Konfiguration, indem Sie links im Dialogfeld Schemadateien wählen. Die Standardauswahl an Schemadateien wird auf den Server angewendet und bietet eine Quelle für YaST-Benutzerkontodaten.

  2. Mit der Option Protokollebeneneinstellungen konfigurieren Sie die Protokollaktivität (Ausführlichkeit) des LDAP-Servers. Aktivieren oder deaktivieren Sie in der vordefinierten Liste die Protokolloptionen nach Ihren Wünschen. Je mehr Optionen aktiviert sind, desto größer werden Ihre Protokolldateien.

  3. Legen Sie die Verbindungstypen fest, die der LDAP-Server erlauben soll. Wählen Sie dabei aus:

    bind_v2

    Diese Option aktiviert Verbindungsanforderungen (Bind-Anforderungen) von Clients mit der vorigen Version des Protokolls (LDAPv2).

    bind_anon_cred

    Für gewöhnlich weist der LDAP-Server alle Authentifizierungsversuche mit leeren Berechtigungen (DN oder Passwort) zurück. Wenn Sie diese Option aktivieren, wird eine anonyme Verbindung mit Passwort, aber ohne DN möglich.

    bind_anon_dn

    Wenn Sie diese Option aktivieren, kann eine Verbindung ohne Authentifizierung (anonym) mit einem DN, aber ohne Passwort erfolgen.

    update_anon

    Wenn Sie diese Option aktivieren, sind nicht authentifizierte (anonyme) Update-Vorgänge möglich. Der Zugriff ist gemäß ACLs und anderen Regeln beschränkt (siehe Abschnitt 37.3.1, „Globale Direktiven in slapd.conf“).

  4. Zum Konfigurieren der sicheren Kommunikation von Client und Server fahren Sie mit TLS-Einstellungen fort:

    1. Setzen Sie TLS Active auf Yes, um die TLS und SSL-Verschlüsselung der Client/Server-Kommunikation zu aktivieren.

    2. Klicken Sie auf Zertifikat auswählen und bestimmen Sie, wie ein gültiges Zertifikat erhalten wird. Wählen Sie Zertifikat importieren (Import eines Zertifikats von externer Quelle) oder Gemeinsames Serverzertifikat verwenden (Verwenden des bei der Installation von SUSE® Linux Enterprise Server erstellten Zertifikats).

      • Wenn Sie ein Zertifikat importieren möchten, werden Sie von YaST aufgefordert, den genauen Pfad zum Standort anzugeben.

      • Wenn Sie sich für das gemeinsame Serverzertifikat entschieden haben und dieses während der Installation nicht erstellt wurde, wird es anschließend erstellt.

Gehen Sie zum Konfigurieren der Datenbanken Ihres LDAP-Servers wie folgt vor:

  1. Wählen Sie die Option Datenbanken links im Dialogfeld.

  2. Klicken Sie auf Datenbanken hinzufügen, um die neue Datenbank hinzuzufügen.

  3. Geben Sie die erforderlichen Daten ein:

    Basis-DN

    Geben Sie den Basis-DN Ihres LDAP-Servers an.

    Root-DN

    Geben Sie den DN des verantwortlichen Server-Administrators an. Wenn Sie die Option Basis-DN anhängen aktivieren, müssen Sie nur den cn des Administrators eingeben. Das System macht die restlichen Angaben automatisch.

    LDAP-Passwort

    Geben Sie das Passwort für den Datenbankadministrator ein.

    Verschlüsselung

    Legen Sie den Verschlüsselungsalgorithmus zum Sichern des Passworts für den Root-DN fest. Wählen Sie crypt, smd5, ssha oder sha. Im Dialogfeld ist auch die Option plain verfügbar, um die Verwendung von reinen Textpasswörtern zu ermöglichen. Aus Sicherheitsgründen wird diese Option jedoch nicht empfohlen. Wählen Sie OK zum Bestätigen Ihrer Einstellungen und um zum vorigen Dialogfeld zurückzukehren.

Zum Bearbeiten einer vorher erstellten Datenbank wählen Sie Ihren Basis-DN links im Baum aus. Im rechten Teil des Fensters zeigt YaST ein ähnliches Dialogfeld, das dem zum Erstellen einer neuen Datenbank ähnelt. Dabei ist der hauptsächliche Unterschied, dass der DN-Eintrag grau dargestellt ist und nicht verändert werden kann.

Nach dem Beenden der LDAP-Serverkonfiguration mit Fertig stellen können Sie mit einer grundlegenden Arbeitskonfiguration für Ihren LDAP-Server beginnen. Wenn Sie die Einrichtung noch genauer abstimmen möchten, bearbeiten Sie die Datei /etc/openldap/slapd.conf entsprechend und starten den Server neu.