ldap

LDAP

séma → szabályok

objectClass → structural / aux

dn: uid=davidt,ou=People,dc=caesar,dc=elte,dc=hu

attribútumok: MUST/MAY

sn:: valami= → base64 kódolású

Base64 oda-vissza

openssl base64 -d	-> dekóder
openssl base64 -e	-> enkóder

ldapsearch

  ldapsearch  -h host
    -b base dn
    -x (autentikációs param.)
    -s hogyan keres a base dn alatt (sub,one,...)
    (uid=...)
    uid=* 		//(ki van töltve!!)
    !(uid=*)
    uidNumber>n
    &(uid=..)(adminable by=turip)	//prefix operátorok (!,|,&..)

  ldapsearch -h ldap1.elte.hu -x -b "dc=caesar,dc=elte,dc=hu" '(&(!(phpProfileName=default))(|(adminableBy=turip)(adminableBy=lengyel)))'

  ldapsearch -h "ldap1.elte.hu" -x -b "ou=People,dc=caesar,dc=elte,dc=hu"

+ → kiírja a belsõ objektumokat is

Authentikáció

v1 -> simple bind, -x
-D binddn -W  -> normál user/pw auth, adott objektumhoz bindolom magam
-Y GSSAPI -> kerberos auth

LDIF formátum

dn: ...
attribútum: érték \n
attribútum:: base64-érték \n
attribútum: szöveg nagyon hosszan
nagyon hosszú folytatása
\n		//entry vége

Szerkesztés

editldap cn=config
-> ldapvi ... //szintaktikája mint az ldapsearch-nek

ldapmodify

changetype: mod
delete:uid
uid:1234
-
changetype:mod
add:uid
uid:1234

Attribútum:

syntax (típus)
eq match
oid
single/multi

OID

pl: 1.2.1.1.23.1.5.7
1 = oid root, IANA
1 ISO; felelős: … (..)
1.3 DOD felelős: …
1.3.9 felelős: …
1. …. .3.4.5 ELTE felelős: …

ELTE.LDAP.
1 OBJECT CLASS
2 ATTRIBUTE
3 SYNTAX

Konfiguráció

különböző bind szabályok, cert helye, schema definíció

Séma

slapd.d
cn=config
cn=schema -> ldif fájlok, ezt editálva lehet átírni a dn-t

Miből áll?

attrib
class
syntax (a beépítetteket használjuk)

mindennek OID-je van, az OID egyértelműen azonosít

attrib

oid
name

ACL

man slapd.access	//acl-ekhez man
* by előtt két space van!!
* "to" direktívák szerint sorrendben az elsőre matchel
* set.exact  ->  a feltételben megadott halmazban van-e valami (ha üres akkor nem matchel)
* aktuális elem: this/...

Utilities

slapcat → közvetlenül kiolvassa az adatbázist (szabad, ha a szerver fut)
slapadd → ldif formátumú adatot tesz be az adatbázisba.
var/lib/ldap/* → oda kell adni az openldapnak, mert eredetileg rootként hozom létre (TILOS, ha a szerver fut)
olcDbindex → kül. attribútumokra mi alapján indexelünk (eq, sub, …)
slapindex, var/lib/ldap/* → oda kell adni az openldapnak, mert eredetileg rootként hozom létre (TILOS, ha a szerver fut)

SASL

sasl daemon csak a jelszvakkal autentikál, tehát ha másképp auth., akkor nem jut el a daemonhoz.

testsaslathd -u user -p pass → visszaadja, hogy helyes-e a jelszó.
sasl2-bin csomagban van
etc/default/saslauthd
telepítés után start=no van, de yesre kell állítani
man saslauthd → opciók
auth metódus: kerberos5 (natív, host/… kulcs); pam;
-c → cache-eli az auth-ot

minden gépen sasl group, az adott daemon futtató felhasználója benne kell legyen a group-ban, hogy tudja használni a sasl-t

adduser user group
vagy /etc/group

sasl autentikációhoz bele kell venni a gssapi-heimdal vagy gssapi-mit modult. (libsasl2-modules-…)