Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Riga 802: | Riga 802: | ||
TIMELIMIT 2 | TIMELIMIT 2 | ||
</pre> | </pre> | ||
=Primo avvio di slapd= | |||
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>''' | |||
<pre> | |||
SLAPD_CONF= | |||
SLAPD_PIDFILE= | |||
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd | |||
SLAPD_OPTIONS="" | |||
SLAPD_USER="openldap" | |||
SLAPD_GROUP="openldap" | |||
SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///" | |||
export KRB5_KTNAME="/etc/ldap/ldap.keytab" | |||
</pre> | |||
Stoppiamo il demone ldap e rimuoviamo il database del precedente albero: | |||
<pre> | |||
# /etc/init.d/slapd stop | |||
# rm -f /var/lib/ldap/* | |||
</pre> | |||
Andiamo quindi a creare le impostazioni per il database del nuovo albero: '''<code>/var/lib/ldap/DB_CONFIG</code>''' | |||
<pre> | |||
set_cachesize 0 150000000 1 | |||
set_lg_regionmax 262144 | |||
set_lg_bsize 2097152 | |||
set_lk_max_objects 1500 | |||
set_lk_max_locks 1500 | |||
set_lk_max_lockers 1500 | |||
set_flags DB_LOG_AUTOREMOVE | |||
</pre> | |||
Sistemiamo i permessi: | |||
<pre> | |||
# chown openldap.openldap /var/lib/ldap -R | |||
# chown openldap.openldap /etc/ldap -R | |||
# find /var/lib/ldap -type d -exec chmod 700 {} \; | |||
# find /var/lib/ldap -type f -exec chmod 600 {} \; | |||
# find /etc/ldap -type d -exec chmod 700 {} \; | |||
# find /etc/ldap -type f -exec chmod 600 {} \; | |||
# touch /var/log/ldapchanges.log | |||
# chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2 | |||
# chmod 600 /var/log/ldapchanges.log /etc/sasldb2 | |||
</pre> | |||
e configuriamo logrotate: '''<code>/etc/logrotate.d/ldapchanges</code>''' | |||
<pre> | |||
/var/log/ldapchanges.log { | |||
rotate 5 | |||
weekly | |||
compress | |||
} | |||
</pre> | |||
Possiamo ora avviare slapd: | |||
<pre> | |||
# /etc/init.d/slapd start | |||
</pre> | |||
==Creazione albero LDAP iniziale== | |||
Possiamo ora creare la struttura di base del nostro albero.<br/> | |||
Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto: | |||
<pre> | |||
dn: dc=dominio,dc=local | |||
dc: dominio | |||
objectClass: top | |||
objectClass: domain | |||
dn: ou=Users,dc=dominio,dc=local | |||
ou: Users | |||
objectClass: top | |||
objectClass: organizationalUnit | |||
dn: ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local | |||
ou: KerberosPrincipals | |||
objectClass: top | |||
objectClass: organizationalUnit | |||
dn: ou=Groups,dc=dominio,dc=local | |||
ou: Groups | |||
objectClass: top | |||
objectClass: organizationalUnit | |||
dn: ou=Computers,dc=dominio,dc=local | |||
ou: Computers | |||
objectClass: top | |||
objectClass: organizationalUnit | |||
dn: krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local | |||
objectClass: top | |||
objectClass: person | |||
objectClass: krb5Principal | |||
objectClass: krb5KDCEntry | |||
krb5PrincipalName: ldapmaster/admin@DOMINIO.LOCAL | |||
krb5KeyVersionNumber: 1 | |||
krb5MaxLife: 86400 | |||
krb5MaxRenew: 604800 | |||
krb5KDCFlags: 126 | |||
cn: ldapmaster/admin@dominio.local | |||
sn: ldapmaster/admin@dominio.local | |||
userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ== | |||
</pre> | |||
Quindi importiamo il file ldif nel nostro albero: | |||
<pre> | |||
# ldapadd -x -D krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local -w password_root_ldap -f /root/ldap_base.ldif | |||
</pre> | |||
che dovrebbe dare come output: | |||
<pre> | |||
adding new entry "dc=dominio,dc=local" | |||
adding new entry "ou=Users,dc=dominio,dc=local" | |||
adding new entry "ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" | |||
adding new entry "ou=Groups,dc=dominio,dc=local" | |||
adding new entry "ou=Computers,dc=dominio,dc=local" | |||
adding new entry "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" | |||
</pre> | |||
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando: | Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando: | ||
<pre> | <pre> |