openldap einrichten

Hinweis: In dem Thema openldap einrichten gibt es 16 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hi,
    also ich bin seite 2 Wochen am versuchen einen Funktionstüchtigen openldap dienst zu konfigurieren.
    Bin noch ein Anfänger was Linux Distributionen anbetrifft.
    wo ich immer hängen bleibe ist die Stelle mit den Zertifikaten.
    Also noch ganz am Anfang.
    Also ich erstelle laut den Anweisungen im Internet über Yast einen Zertifikat, nach dem erstellen muss ich in drei felder Zertifikate eintragen nur ich weiß nicht wo meine erstellten Zertifikate zu finden sind bzw. ich weiß nicht genau was in die erste Reihe, zweite und dritte eingetragen werden muss.


    Wäre es irgendwie möglich mir zu zeigen bzw zu erkären wie und wo ich was eintragen muss?
    ich habe mich an diese Einleitung gehalten.
    http://doc.opensuse.org/docume…ep.ldap.server.config.tls

    Für den Inhalt des Beitrages 39883 haftet ausdrücklich der jeweilige Autor: sporn

  • Das macht man in 10 Minuten mit Yast. Hier Part 1.


    1. Installiere


    yast2-ca-management
    yast2-ldap-server
    yast2-dns-server


    Zitat

    Wichtig: Der Name und Domain muss in den Netzwerkeinstellungen schon eingetragen sein. Sonst gibt es Fehler bei den Zertifikaten.



    2. Starte CA Manager unter Sicherheit und Benutzer
    2.1 Root Ca erzeugen, der Root ist der User an der Tastatur.
    2.2 Daten wie auf diesem Bild (und dann Hinzufügen nicht vergessen
    [Blockierte Grafik: http://s14.directupload.net/images/140410/temp/a8yzs96f.png]


    2.3 Weiter
    2.4 Passwort eingeben und Dauer auf 3651 Tage einstellen, das Root Zertifikat muss minimum 1 Tag länger gültig sein als das Server Zertifikat.
    2.5 Weiter und erzeugen


    Fertig ist das ROOT CA


    Jetzt das Server CA


    2.6 Im Ca Manager CA betreten und unter Zertifikate unten links Hinzufügen Server Zertifikat
    2.7 Hier nur die EMail rein hinzufügen und weiter
    [Blockierte Grafik: http://s7.directupload.net/images/140410/temp/4k4v4d2d.png]
    2.8 Hier das Passwd rein und Gültigkeit auf 3650 Tage einstellen. Weiter und Erzeugen.
    2.9 Unter Exportieren "Als allgemeines Server Zertifikat exportieren.


    Beide CA sind nun fertig.


    Mit Part 2 gehts weiter.

    Keiner wird gezwungen OpenSUSE zu benutzen !


    Ich genieße jeden Tag mit meinem SuSE Rechnern seit 1996 ^^

    8 Mal editiert, zuletzt von Flytronik ()

    Für den Inhalt des Beitrages 42305 haftet ausdrücklich der jeweilige Autor: Flytronik

  • Part 2 der LDAP Server.


    Erstmal muss man wissen das LDAP nichts anderes ist als eine Datenbank.


    Mein Rechner heist linux-server.linux-domain, denkt auch daran das ein LDAP keine DHCP IP bekommt.


    3 Starte unter Netzwerkdienste LDAP-Server
    3.1 LDAP Server starten muss ja sein. Weiter
    3.2 Eigenständiger Server wenn nur einen gibt. Weiter
    3.3 TLS aktivieren und die pem wird automatisch eingetragen.
    3.4 Die Base dn wird so geschrieben dc=linux-domain
    3.5 Admin dn kann bleiben
    3.6 Passwd rein für den Admin. Dieses wird zum hinzufügen von Windows, und Linux Client in die Domäne gebraucht.
    3.7 Und fertig stellen.



    Mit dem LDAP Browser können wir schon was sehen.
    [Blockierte Grafik: http://s14.directupload.net/images/140410/temp/9stysnyo.png]


    Weiter mit Samba
    4 Starten wir Samba Server und tragen unsere Werte ein.


    [Blockierte Grafik: http://s1.directupload.net/images/140410/temp/7ugztzks.png]


    Weiter mit Benutzer und Gruppen verwalten.
    Einstellungen sind hier


    [Blockierte Grafik: http://s7.directupload.net/images/140410/temp/kamy8nm2.png]


    und


    [Blockierte Grafik: http://s14.directupload.net/images/140410/temp/no5novjh.png]



    Ihr könnt hier über Yast Benutzer löschen und anlegen in dem Ihr den Filter auf LDAP stellt.


    Noch den DNS Server, Mailserver und DHCP dazu fertig ist ein Domain Server in den Ihr Eure Windows Rechner fahren könnt. Anmeldung bei Windows ist nicht Administrator sondern root um den Rechner in die Domäne zu fahren.


    Have fun



    So und wenn alles fertig ist bekommt Ihr im LDAP Browser so ein Bild.


    [Blockierte Grafik: http://s7.directupload.net/images/140410/temp/mg6tq46y.png]


    Dann ist alles richtig gelaufen.

    Keiner wird gezwungen OpenSUSE zu benutzen !


    Ich genieße jeden Tag mit meinem SuSE Rechnern seit 1996 ^^

    11 Mal editiert, zuletzt von Flytronik ()

    Für den Inhalt des Beitrages 42306 haftet ausdrücklich der jeweilige Autor: Flytronik

  • Hallo zusammen,


    funktioniert die Vorgehensweise auch mit 12.2 (Sowohl Server als auch Client)? Ich habe seit 12.2 das Problem dass der LDAP-Client die selbstsignierten Zertifikat nicht akzeptiert,


    Viele Grüße
    pixel

    Für den Inhalt des Beitrages 47304 haftet ausdrücklich der jeweilige Autor: pixel

  • Hi Pixel,


    für das Zertifikat ist es wichtig dass der DNS-Name oder der Hostname gleich dem Namen des Zertifikats ist.
    Das hat zumindest bei mir funktioniert :thumbup:


    Hier noch ein link der mir sehr geholfen hat. Man kann unten weiter zum erstem Beitrag gehen. Hier wird ein komplettes LDAP-Setup für 12.1 beschrieben.


    LDAP-Setup


    M.f.G.


    DoctorNo

    Für den Inhalt des Beitrages 47306 haftet ausdrücklich der jeweilige Autor: DoctorNo

  • du meinst den als "Allgemeiner Name" betitelten Namen? Hier habe ich bei der RootCA (erster Schritt) den Namen:


    LDAP_tux_local


    verwendet (in Anlehnung an das Beispiel). Beim zweitem Schritt, dem Server-Zertifikat habe ich:


    tux.local.lan


    vergeben. Letzteres ist auch der FQHN des lokalen Server. Hat das bei dir mit 12.2 und TLS funktioniert?

    Für den Inhalt des Beitrages 47313 haftet ausdrücklich der jeweilige Autor: pixel

  • ich habe mal weiter probiert. Da ich ein Image der Grundinstallation habe kann ich schnell wieder den Zustand nach der Grundinstallation herstellen.


    Der Fehler den ich erhalten habe beim Versuch mit dem LDAP-Browser zum lokalen LDAP zu verbinden habe ich gefunden. Das lag daran dass ich nicht zu 127.0.0.1 verbinden kann sondern den FQHN verwenden muss.
    Das funktioniert nun. Versuche ich allerdings mit den gleichen Verbindungsdaten von einem frisch installierten OpenSuSE 12.2 zu verbinden (LDAP-Browser) erhalte ich die Meldung:


    Code
    Connect error
    error: 14090086:SSL routines:SSL3_GET_SERVER_CERTIFIKATE:certificate verify faild (self signed certificate in certificate chain)


    Wie kann ich OpenSuSE 12.2 dazu bewegen dem Zertifikat zu vertrauen?

    Für den Inhalt des Beitrages 47318 haftet ausdrücklich der jeweilige Autor: pixel

  • eine weitere Sache die mir unter SuSE 12.2 nicht klar ist:


    Haben den Server wie oben beschrieben eingerichtet und kann mit Yast User im LDAP anlegen. Im LDAP-Browser sehe ich den User wie ich es kenne. Wenn ich nun am Server direkt ein "getent passwd" mache sehe ich alle System-User, nicht jedoch den LDAP-User.

    Für den Inhalt des Beitrages 47338 haftet ausdrücklich der jeweilige Autor: pixel

  • Ich habe leider noch kein 12.2 LDAP laufen, aber mal so eine kleine Frage. Ist auf dem LDAP Server auch ein DNS der ein revers der IP zum Namen macht? Sonst kann dieses Zertifikat ja nicht bestätigt werden. Was in meiner Anleitung ja nicht drin ist, sind DNS und DHCP was eigentlich klar ist das diese auch gebraucht werden. Werde mal bei Gelegenheit diese Anleitung überarbeiten wenn ich Zeit habe. Diese hier war ja nur eine 10 Minuten Schnellanleitung.

    Keiner wird gezwungen OpenSUSE zu benutzen !


    Ich genieße jeden Tag mit meinem SuSE Rechnern seit 1996 ^^

    Für den Inhalt des Beitrages 47469 haftet ausdrücklich der jeweilige Autor: Flytronik

  • Also ich bin mit nicht sicher aber ich denke:


    1.Problem
    Sollte sich loesen lassen in dem du in Yast beim CA-Management die CA als ca.crt exportiers und diese auf den Client kopierst und im LDAP-Client unter den TLS einstellungen eintraegst.


    2.Problem
    Ich hoffe ich habe dass richtig verstanden, aber ansich kannst du einfach auf den Filterbutton klicken und dann siehst du auch die LDAP-User oder du stellst es halt so ein wie es dir gefaellt.


    Ach und um die Frage zu beantworten ja das ganze Setup laeuft bei mit so unter 12.2


    Vllt bist du ja auch schon selber auf die Loesung gekommen. :thumbup:


    Da ich ja nicht so genau weiss wie dein Setup aussieht ob es eher ein Zuhause just4fun Projekt ist oder wirklich ein Produktivsystem mit hoher Verfuegbarkeit. Wollte ich trotzdem noch auf ein super Projekt verweisen falls der erste Fall zutrifft und du a) eine Fritzbox oder Speedport besitzt und b) der Server nicht 24h anbleibt um DNS und DHCP bereit zu stellen.


    http://freetz.org/


    Greetz der DoctorNo ;)

    Einmal editiert, zuletzt von DoctorNo ()

    Für den Inhalt des Beitrages 47524 haftet ausdrücklich der jeweilige Autor: DoctorNo