Wiki

Felhasználói eszközök

Eszközök a webhelyen

Nyomvonal: ldap
ldap

Ez a dokumentum egy előző változata!

LDAP

séma → szabályok

objectClass → structural / aux

dn: uid=davidt,ou=People,dc=caesar,dc=elte,dc=hu

attribútumok: MUST/MAY

sn:: valami= → base64 kódolású

Base64 oda-vissza
openssl base64 -d	-> dekóder
openssl base64 -e	-> enkóder
ldapsearch
  ldapsearch  -h host
    -b base dn
    -x (autentikációs param.)
    -s hogyan keres a base dn alatt (sub,one,...)
    (uid=...)
    uid=* 		//(ki van töltve!!)
    !(uid=*)
    uidNumber>n
    &(uid=..)(adminable by=turip)	//prefix operátorok (!,|,&..)
  ldapsearch -h ldap1.elte.hu -x -b "dc=caesar,dc=elte,dc=hu" '(&(!(phpProfileName=default))(|(adminableBy=turip)(adminableBy=lengyel)))'
 

+ → kiírja a belsõ objektumokat is

Authentikáció

v1 -> simple bind, -x
-D binddn -W  -> normál user/pw auth, adott objektumhoz bindolom magam
-Y GSSAPI -> kerberos auth

LDIF formátum

dn: ...
attribútum: érték \n
attribútum:: base64-érték \n
attribútum: szöveg nagyon hosszan
nagyon hosszú folytatása
\n		//entry vége

Szerkesztés

editldap cn=config
-> ldapvi ... //szintaktikája mint az ldapsearch-nek

Konfiguráció

különböző bind szabályok, cert helye, schema definíció

OID
pl: 1.2.1.1.23.1.5.7
1 = oid root, IANA
sémában
  • attrib
  • class
  • syntax (a beépítetteket használjuk)

mindennek OID-je van

attrib
  • oid
  • name
ACL
man slapd.access	//acl-ekhez man
* by előtt két space van!!
* "to" direktívák szerint sorrendben az elsőre matchel
* set.exact  ->  a feltételben megadott halmazban van-e valami (ha üres akkor nem matchel)
* aktuális elem: this/...

Utilities

  • slapcat → közvetlenül kiolvassa az adatbázist (szabad, ha a szerver fut)
  • slapadd → ldif formátumú adatot tesz be az adatbázisba.
  • var/lib/ldap/* → oda kell adni az openldapnak, mert eredetileg rootként hozom létre (TILOS, ha a szerver fut)
  • olcDbindex → kül. attribútumokra mi alapján indexelünk (eq, sub, …)
  • slapindex, var/lib/ldap/* → oda kell adni az openldapnak, mert eredetileg rootként hozom létre (TILOS, ha a szerver fut)

SASL

sasl daemon csak a jelszvakkal autentikál, tehát ha másképp auth., akkor nem jut el a daemonhoz.

  • testsaslathd -u user -p pass → visszaadja, hogy helyes-e a jelszó.
  • sasl2-bin csomagban van
  • etc/default/saslauthd
  • telepítés után start=no van, de yesre kell állítani
  • man saslauthd → opciók
  • auth metódus: kerberos5 (natív, host/… kulcs); pam;
  • -c → cache-eli az auth-ot

minden gépen sasl group, az adott daemon futtató felhasználója benne kell legyen a group-ban, hogy tudja használni a sasl-t

  • adduser user group
  • vagy /etc/group

sasl autentikációhoz bele kell venni a gssapi-heimdal vagy gssapi-mit modult. (libsasl2-modules-…)

ldap.1484227516.txt.gz · Utolsó módosítás: 2018/10/03 13:31 (külső szerkesztés)