Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
Riga 802: Riga 802:
TIMELIMIT 2
TIMELIMIT 2
</pre>
</pre>
=Primo avvio di slapd=
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>'''
<pre>
SLAPD_CONF=
SLAPD_PIDFILE=
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
SLAPD_OPTIONS=""
SLAPD_USER="openldap"
SLAPD_GROUP="openldap"
SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///"
export KRB5_KTNAME="/etc/ldap/ldap.keytab"
</pre>
Stoppiamo il demone ldap e rimuoviamo il database del precedente albero:
<pre>
# /etc/init.d/slapd stop
# rm -f /var/lib/ldap/*
</pre>
Andiamo quindi a creare le impostazioni per il database del nuovo albero: '''<code>/var/lib/ldap/DB_CONFIG</code>'''
<pre>
set_cachesize          0 150000000 1
set_lg_regionmax        262144
set_lg_bsize            2097152
set_lk_max_objects      1500
set_lk_max_locks        1500
set_lk_max_lockers      1500
set_flags              DB_LOG_AUTOREMOVE
</pre>
Sistemiamo i permessi:
<pre>
# chown openldap.openldap /var/lib/ldap -R
# chown openldap.openldap /etc/ldap -R
# find /var/lib/ldap -type d -exec chmod 700 {} \;
# find /var/lib/ldap -type f -exec chmod 600 {} \;
# find /etc/ldap -type d -exec chmod 700 {} \;
# find /etc/ldap -type f -exec chmod 600 {} \;
# touch /var/log/ldapchanges.log
# chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2
# chmod 600 /var/log/ldapchanges.log /etc/sasldb2
</pre>
e configuriamo logrotate: '''<code>/etc/logrotate.d/ldapchanges</code>'''
<pre>
/var/log/ldapchanges.log {
        rotate 5
        weekly 
        compress
}
</pre>
Possiamo ora avviare slapd:
<pre>
# /etc/init.d/slapd start
</pre>
==Creazione albero LDAP iniziale==
Possiamo ora creare la struttura di base del nostro albero.<br/>
Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto:
<pre>
dn: dc=dominio,dc=local
dc: dominio
objectClass: top
objectClass: domain
dn: ou=Users,dc=dominio,dc=local
ou: Users
objectClass: top
objectClass: organizationalUnit
dn: ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
ou: KerberosPrincipals
objectClass: top
objectClass: organizationalUnit
dn: ou=Groups,dc=dominio,dc=local
ou: Groups
objectClass: top
objectClass: organizationalUnit
dn: ou=Computers,dc=dominio,dc=local
ou: Computers
objectClass: top
objectClass: organizationalUnit
dn: krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
objectClass: top
objectClass: person
objectClass: krb5Principal
objectClass: krb5KDCEntry
krb5PrincipalName: ldapmaster/admin@DOMINIO.LOCAL
krb5KeyVersionNumber: 1
krb5MaxLife: 86400
krb5MaxRenew: 604800
krb5KDCFlags: 126
cn: ldapmaster/admin@dominio.local
sn: ldapmaster/admin@dominio.local
userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ==
</pre>
Quindi importiamo il file ldif nel nostro albero:
<pre>
# ldapadd -x -D krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local -w password_root_ldap -f /root/ldap_base.ldif
</pre>
che dovrebbe dare come output:
<pre>
adding new entry "dc=dominio,dc=local"
adding new entry "ou=Users,dc=dominio,dc=local"
adding new entry "ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
adding new entry "ou=Groups,dc=dominio,dc=local"
adding new entry "ou=Computers,dc=dominio,dc=local"
adding new entry "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
</pre>
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
<pre>
<pre>