• Log In 
• Recent Changes 
•  

• [Show pagesource]
• [Old revisions]
• [[unknown link type]]
• [
  ]

V debianu se nainstaluje slapd a ldap-utils. Pri konfiguraci slapd se debconf pta na heslo.

V /etc/ldap/slapd.conf je konfigurace serveru, v /etc/ldap/ldap.conf je konfigurace klientskych nastroju (tu je potreba upravit urcite, na spravnou domenu a URL serveru).

Do konfigurace serveru je naprosto jiste potreba pridat nejake indexy, treba:

index           mail            eq
index           cn,sn,uid       pres,eq,approx,sub

Prvni je kvuli tomu, aby se dalo rozumne hledat podle mailu (coz je uzitecne pro pouziti jako adresar pro Evolution/Utlouk/whatever). Druhe je hledani podle loginu a teoreticky jmen (to mi z evolution nechce fungovat, ale to asi zatim neni podstatne)

Tohle neni potreba delat predem, da se klidne pridavat dodatecne, potom je potreba:

• /etc/init.d/slapd stop
• sudo -u openldap slapindex
• /etc/init.d/slapd start

Pote co to je nainstalovano a bezito je potreba tam nacpat nejaky obsah:

ldapadd -D "cn=admin,dc=dfox,dc=org" -W -x

V prvni rade nejake OU (“Adresare”):

dn: ou=People,dc=dfox,dc=org
ou: People
objectClass: organizationalUnit

Dokument o schematech: http://www.skills-1st.co.uk/papers/ldap-schema-design-feb-2005/ldap-schema-design-feb-2005.html

Pro vytvareni novych vlastnich atributu je potreba mit prideleny nejaky OID. Prideluje budto IANA v private enterprise arcu, nebo je nekde RFC jak vygenerovat OID z UUID. OID pro nas muze teoreticky byt: 1.3.6.1.4.1.35864.113 (iso.org.dod.internet.private.enterprise.alesHakl.panelNet)

Neni zadna rozumna toola na generovani obsahu databaze, ovsem to nevadi, pokud tem slap* da clovek misto DB prazdny adresar, tak si tam vyrobi prazdnou databazi. Takze postup:

• nainstalovat slapd
• /etc/init.d/slapd stop
• zmenit konfiguraci (hlavne BaseDN, debconf se z nejakeho duvodu pta jenom nekdy)
• rm -rf /var/lib/ldap/*
• sudo -u openldap slapadd < obsah.ldif
• /etc/init.d/slapd start

obsah.ldif je to co v tom adresari ma byt, teda neco jako:

dn: dc=example,dc=net
objectClass: top
objectClass: dcObject
objectClass: organization
o: example.net
dc: example
structuralObjectClass: organization

dn: cn=admin,dc=example,dc=net
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
userPassword:: sdhgeX.........dsf==

dn: ou=People,dc=example,dc=net
objectClass: organizationalUnit
objectClass: top
ou: People
structuralObjectClass: organizationalUnit

Trik jak to vyrobit: pred tim nez puvodni databzi vygenerovanou debconfu smazu, tak vydumpovat pres slapcat a prepsat ty dn a dc. V tom co vyrobi debconf jsou nejake atrobuty navic, ale ty princialne maji jenom administrativni vyznam a rekl, bych, ze si je tam slapd stejne prida sam.

Je to BerkeleyDB, takze je asi dobry napad vsechny slap<neco> poustet pod stejnym uzivatelem jako bezi slapd. slapadd a slapcat by se pravdepodobne mel dat pouzivat i za behu slapd, ale u takovehle operace bych to nezkousel.

Zalohovani: z cronu spoustet slapcat a vystup nekam ukladat.

Lepsi howto (i se sambou): http://linuxwiki.riverworth.com/index.php?title=LDAP_Authentication