Администраторы Unix-систем традиционно используют сервис NIS (Network Information Service, Информационная служба сети) для разрешения имен и предоставления данных по сети. Данные конфигурации содержатся в файлах group, hosts, mail, netgroup, networks, passwd, printcap, protocols, rpc и services в каталоге /etc, которые предоставляются всем пользователям в сети. Эти файлы могут поддерживаться без особых усилий, так как они состоят из простого текста. Обработка большого количества данных, однако, становится все более и более сложной из-за отсутствия структурирования. NIS разрабатывался для Unix платформ и, потому, не очень подходит для централизованного управления в гетерогенных сетях.

В отличие от NIS, сервис LDAP не ограничен только сетями UNIX. Серверы Windows (начиная с 2000) поддерживают LDAP, как сервис каталогов. Прикладные задачи, описанные выше, дополнительно поддерживаются в не-Unix сетях.

Принцип LDAP может быть применен к структуре любых данных, которая может централизованно администрироваться. Примеры нескольких приложений:

Этот список может быть расширен, поскольку LDAP более гибкая вещь, чем NIS. Ясная иерархическая структура облегчает администрирование большого количества данных, так как они могут быть найдены значительно проще.

Для лучшего понимания, как работает LDAP и как хранятся данные, очень важно понимать, каким образом данные организованы на сервере и как эта структура позволяет обеспечить быстрый доступ к необходимым данным. Для успешной установки LDAP необходимо ознакомиться с используемой терминологией. Эта секция позволяет понять основной вывод дерева и описывает терминологию в контексте LDAP. Эту секцию можно пропустить, если вы уже имеете некоторое представление о работе LDAP и просто хотите научиться установке LDAP-окружения в openSUSE. Прочитайте Раздел 4.3, «Configuring an LDAP Server with YaST» или Раздел 4.7, «Manually Configuring an LDAP Server».

Каталог LDAP имеет структуру дерева. Все записи (называемые объектами) каталога имеют определенную позицию в этой иерархии. Эта иерархия называется Информационным деревом справочника (DIT, Directory Information Tree). Полный путь к необходимой записи, который однозначно идентифицирует ее, называется характерное имя (distinguished name) или DN. Единый узел вдоль пути к этой записи называется (relative distinguished name) или RDN.

Отношения элементов в пределах дерева LDAP хорошо видны на рисунке Рисунок 4.1, «Структура каталога LDAP».

Рисунок 4.1. Структура каталога LDAP¶

Полная диаграмма является вымышленным информационным деревом каталога. Изображены записи на третьем уровне. Каждая запись соответствует одному прямоугольнику на картинке. Полное distinguished name для вымышленного пользователя Geeko Linux будет, в данном случае, cn=Geeko Linux,ou=doc,dc=example,dc=com. Оно создается путем добавления RDN cn=Geeko Linux к DN предыдущей записи ou=doc,dc=example,dc=com.

Типы объектов, которые хранятся в DIT, в общем случае определяются, следуя Схеме (Schema). Тип объекта определяется классом объекта (object class). Класс объекта определяет, какие свойства связанного объекта должны или могут быть назначены. Схема, в свою очередь, должна содержать определения всех классов объекта и свойства, использующиеся в нужном прикладном сценарии. Существует несколько общих схем (RFC 2252 и 2256). LDAP RFC определяют несколько наиболее часто используемых схем (см., например, RFC4519). Кроме того, существует много других схем (например, замена Samba, NIS и т.д.). При этом можно самому создавать схемы или использовать несколько дополняющих друг друга схем (если это требуется окружением, в котором будет эксплуатироваться LDAP-сервер).

В Таблица 4.1, «Общий блок используемых классов объектов и атрибутов» показан небольшой обзор классов объекта из core.schema и inetorgperson.schema, использующихся в примере, включая свойства и действительные значения свойств.

В Пример 4.1, «Выдержка из schema.core» показана часть из директивы схемы с объяснениями.

attributetype (2.5.4.11 NAME ( 'ou' 'organizationalUnitName') 
       DESC 'RFC2256: organizational unit this object belongs to' 
       SUP name ) 

...
objectclass ( 2.5.6.5 NAME 'organizationalUnit' 
       DESC 'RFC2256: an organizational unit' 
       SUP top STRUCTURAL 
       MUST ou 
MAY (userPassword $ searchGuide $ seeAlso $ businessCategory 
  $ x121Address $ registeredAddress $ destinationIndicator 
  $ preferredDeliveryMethod $ telexNumber 
  $ teletexTerminalIdentifier $ telephoneNumber 
  $ internationaliSDNNumber $ facsimileTelephoneNumber 
  $ street $ postOfficeBox $ postalCode $ postalAddress 
  $ physicalDeliveryOfficeName
  $ st $ l $ description) )
  ...

Тип свойства organizationalUnitName и переданный класс объекта organizationalUnit в данном случае служат примером.

Очень хорошим введением с описанием использования схем можно найти в документации к openLDAP. После установки, она доступна в /usr/share/doc/packages/openldap2/guide/admin/guide.html.

Use YaST to set up an LDAP server. Typical use cases for LDAP servers include the management of user account data and the configuration of mail, DNS, and DHCP servers.

Рисунок 4.2. YaST LDAP Server Configuration¶

Рисунок 4.3. YaST LDAP Server—New Database¶

To set up an LDAP server for user account data, make sure the yast2-ldap-server and openldap2 packages are installed. Then proceed as follows:

Рисунок 4.4. YaST LDAP Server Configuration¶

For changes or additional configuration start the LDAP server module again and in the left pane expand Global Settings to make subentries visible—see Рисунок 4.4, «YaST LDAP Server Configuration»:

Add Schema files to be included in the server's configuration by selecting Schema Files in the left part of the dialog. The default selection of schema files applies to the server providing a source of YaST user account data.

YaST allows to add traditional Schema files (usually with a name ending in .schema) or LDIF files containing Schema definitions in OpenLDAP's LDIF Schema format.

Рисунок 4.5. YaST LDAP Server Database Configuration¶

To configure the databases managed by your LDAP server, proceed as follows:

If you have not opted for password policies, your server is ready to run at this point. If you have chosen to enable password policies, proceed with the configuration of the password policy in detail. If you have chosen a password policy object that does not yet exist, YaST creates one:

To edit a previously created database, select its base DN in the tree to the left. In the right part of the window, YaST displays a dialog similar to the one used for the creation of a new database (with the main difference that the base DN entry is grayed out and cannot be changed).

After leaving the LDAP server configuration by selecting Finish, you are ready to go with a basic working configuration for your LDAP server. To fine-tune this setup, make use of OpenLDAP's dynamic configuration backend.

The OpenLDAP's dynamic configuration backend stores the configuration in an LDAP database. That database consists of a set of .ldif files in /etc/openldap/slapd.d. There is no need to access these files directly. To access the settings you can either use the YaST LDAP server module (the yast2-ldap-server package) or an LDAP client such as ldapmodify or ldapsearch. For more information on the dynamic configuration of OpenLDAP, see the OpenLDAP Administration Guide.

YaST includes a module to set up LDAP-based user management. If you did not enable this feature during the installation, start the module by selecting Network Services+LDAP Client. YaST automatically enables any PAM and NSS-related changes as required by LDAP and installs the necessary files. Simply connect your client to the server and let YaST manage users over LDAP. This basic setup is described in Раздел 4.4.1, «Configuring Basic Settings».

Use the YaST LDAP client to further configure the YaST group and user configuration modules. This includes manipulating the default settings for new users and groups and the number and nature of the attributes assigned to a user or group. LDAP user management allows you to assign far more and different attributes to users and groups than traditional user or group management solutions. This is described in Раздел 4.4.2, «Configuring the YaST Group and User Administration Modules».

4.4.1. Configuring Basic Settings¶

The basic LDAP client configuration dialog (Рисунок 4.6, «YaST: LDAP Client Configuration») opens during installation if you choose LDAP user management or when you select Network Services+LDAP Client in the YaST Control Center in the installed system.

Рисунок 4.6. YaST: LDAP Client Configuration¶

To authenticate users of your machine against an OpenLDAP server and to enable user management via OpenLDAP, proceed as follows:

1. Click Use LDAP to enable the use of LDAP. Select Use LDAP but Disable Logins instead if you want to use LDAP for authentication, but do not want other users to log in to this client.

2. Enter the IP address of the LDAP server to use.

3. Enter the LDAP Base DN to select the search base on the LDAP server. To retrieve the base DN automatically, click Fetch DN. YaST then checks for any LDAP database on the server address specified above. Choose the appropriate base DN from the search results given by YaST.

4. If TLS or SSL-protected communication with the server is required, select LDAP TLS/SSL. Click Download CA Certificate to download a certificate in PEM format from a URL.

5. Select Start Automounter to mount remote directories on your client, such as a remotely managed /home.

6. Select Create Home Directory on Login to have a user's home automatically created on the first user login.

7. Click OK to apply your settings.

To modify data on the server as administrator, click Advanced Configuration. The following dialog is split into two tabs. See Рисунок 4.7, «YaST: Advanced Configuration».

Рисунок 4.7. YaST: Advanced Configuration¶

1. In the Client Settings tab, adjust the following settings according to your needs:

   1. If the search base for users, passwords, and groups differs from the global search base specified in the LDAP base DN, enter these different naming contexts in User Map, Password Map, and Group Map.

   2. Specify the password change protocol. The standard method to use whenever a password is changed is crypt, meaning that password hashes generated by crypt are used. For details on this and other options, refer to the pam_ldap man page.

   3. Specify the LDAP group to use with Group Member Attribute. The default value for this is member.

   4. If a secure connection requires certificate checking, specify where your CA Certificate File in PEM format is located. Or specify a directory with certificates.

   5. If the LDAP server still uses LDAPv2, enable the use of this protocol version by selecting LDAP Version 2.

2. In Administration Settings, adjust the following settings:

   1. Set the base for storing your user management data via Configuration Base DN.

   2. Enter the appropriate value for Administrator DN. This DN must be identical with the rootdn value specified in /etc/openldap/slapd.conf to enable this particular user to manipulate data stored on the LDAP server. Enter the full DN (such as cn=Administrator,dc=example,dc=com) or activate Append Base DN to have the base DN added automatically when you enter cn=Administrator.

   3. Check Create Default Configuration Objects to create the basic configuration objects on the server to enable user management via LDAP.

   4. If your client machine needs to act as a file server for home directories across your network, check Home Directories on This Machine.

   5. Use the Password Policy section to select, add, delete, or modify the password policy settings to use. The configuration of password policies with YaST is part of the LDAP server setup.

   6. Click OK to leave the Advanced Configuration, then Finish to apply your settings.

Use Configure User Management Settings to edit entries on the LDAP server. Access to the configuration modules on the server is then granted according to the ACLs and ACIs stored on the server. Follow the procedures outlined in Раздел 4.4.2, «Configuring the YaST Group and User Administration Modules».

4.4.2. Configuring the YaST Group and User Administration Modules¶

Use the YaST LDAP client to adapt the YaST modules for user and group administration and to extend them as needed. Define templates with default values for the individual attributes to simplify the data registration. The presets created here are stored as LDAP objects in the LDAP directory. The registration of user data is still done with the regular YaST modules for user and group management. The registered data is stored as LDAP objects on the server.

Рисунок 4.8. YaST: Module Configuration¶

The dialog for module configuration (Рисунок 4.8, «YaST: Module Configuration») allows the creation of new modules, selection and modification of existing configuration modules, and design and modification of templates for such modules.

To create a new configuration module, proceed as follows:

1. In the LDAP Client Configuration click Advanced Configuration, then open the Administration Settings tab. Click Configure User Management Settings and enter the LDAP server credentials.

2. Click New and select the type of module to create. For a user configuration module, select suseUserConfiguration and for a group configuration choose suseGroupConfiguration.

3. Choose a name for the new template (e.g., userConfig). The content view shows a table listing all attributes allowed in this module and their assigned values.

4. Accept the preset values or adjust the defaults to use in group and user configurations by selecting the relevant attribute, pressing Edit, and entering the new value. Rename a module by changing the cn attribute of the module. Clicking Delete deletes the currently selected module.

5. After you click OK, the new module is added to the selection menu.

The YaST modules for group and user administration embed templates with standard values. To edit a template associated with a configuration module, start the object template configuration (Рисунок 4.9, «YaST: Configuration of an Object Template»):

1. In the Module Configuration dialog, click Configure Template.

2. Determine the values of the general attributes assigned to this template according to your needs or leave them empty. Empty attributes are deleted on the LDAP server.

3. Modify, delete, or add new default values for new objects (user or group configuration objects in the LDAP tree).

Рисунок 4.9. YaST: Configuration of an Object Template¶

Connect the template to its module by setting the susedefaulttemplate attribute value of the module to the DN of the adapted template.

The default values for an attribute can be created from other attributes by using a variable instead of an absolute value. For example, when creating a new user, cn=%sn %givenName is created automatically from the attribute values for sn and givenName.

Once all modules and templates are configured correctly and ready to run, new groups and users can be registered in the usual way with YaST.

The actual registration of user and group data differs only slightly from the procedure when not using LDAP. The following instructions relate to the administration of users. The procedure for administering groups is analogous.

Рисунок 4.10. YaST: Additional LDAP Settings¶

The initial input form of user administration offers LDAP Options. This allows you to apply LDAP search filters to the set of available users. Alternatively open the module for configuring LDAP users and groups by selecting LDAP User and Group Configuration.

To conveniently browse the LDAP directory tree and all its entries, use the YaST LDAP Browser:

YaST uses OpenLDAP's dynamic configuration database (back-config) to store the LDAP server's configuration. For details about the dynamic configuration backend please see the slapd-config(5) man page or the OpenLDAP Software 2.4 Administrator's Guide located at /usr/share/doc/packages/openldap2/guide/admin/guide.html on your system if the openldap2 package is installed.

	Upgrading an Old OpenLDAP Installation
YaST does not use /etc/openldap/slapd.conf to store the OpenLDAP configuration anymore. In case of a system upgrade, a copy of the original /etc/openldap/slapd.conf file will get created as /etc/openldap/slapd.conf.YaSTsave.

To conveniently access the configuration backend, you use SASL external authentication. For example, the following ldapsearch command executed as root can be used to show the complete slapd configuration:

ldapsearch -Y external -H ldapi:/// -b cn=config

OpenLDAP предоставляет серию инструментов для администрирования данными в каталоге LDAP. Четыре наиболее важных инструмента для добавления, удаления, поиска и изменения набора данных кратко описаны ниже.

4.8.1. Вставка данных в каталог LDAP¶

Если конфигурация вашего сервера LDAP выполнена корректно и готова к использованию (имеются соответствующие записи для suffix, directory, rootdn, rootpw и index), то можно приступить к вводу записей. Для этой задачи OpenLDAP предоставляет команду ldapadd. Если возможность — добавляйте объекты в базу данных в связке (по вполне практичным причинам). Для этого в LDAP присутствует поддержка обработки данных в формате LDIF (LDAP data interchange format — Формат обмена данными LDAP). Файл LDIF — это простой тестовый файл, содержащий произвольное количество пар атрибутов и значений. Файл LDIF для создания структуры приведен, например, на Рисунок 4.1, «Структура каталога LDAP» мог бы выглядеть, как в Пример 4.2, «Пример файла LDIF».

	Кодировка файлов LDIF
LDAP работает с UTF-8 (Юникод). Умляуты должны кодироваться правильно. В противном случае, избегайте использования умляутов и других специальных символов или используйте iconv для перевода кодировки в UTF-8.

Пример 4.2. Пример файла LDIF¶

# The Organization
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
o: Example dc: example

# The organizational unit development (devel)
dn: ou=devel,dc=example,dc=com
objectClass: organizationalUnit
ou: devel

# The organizational unit documentation (doc)
dn: ou=doc,dc=example,dc=com
objectClass: organizationalUnit
ou: doc

# The organizational unit internal IT (it)
dn: ou=it,dc=example,dc=com
objectClass: organizationalUnit
ou: it

Сохраните файл с суффиксом .ldif, затем отправьте его на сервер с помощью следующей команды:

ldapadd -x -D dn_of_the_administrator -W -f file.ldif

Ключ -x, в данном случае, отключает аутентификацию с помощью SASL. Ключ -D указывает пользователя от имени которого инициируется данное действие. Действительный DN администратора, введенный здесь, должен быть таким же, как в файле slapd.conf. В данном примере, это cn=Administrator,dc=example,dc=com. Ключ -W предотвращает ввод пароля в командной строке (открытым текстом) и активирует отдельное приглашение для ввода пароля. С помощью ключа -f указывается имя файла. Детали работы ldapadd можно посмотреть в Пример 4.3, «ldapadd и example.ldif».

Пример 4.3. ldapadd и example.ldif¶

ldapadd -x -D cn=Administrator,dc=example,dc=com -W -f example.ldif 

Enter LDAP password: 
adding new entry "dc=example,dc=com" 
adding new entry "ou=devel,dc=example,dc=com" 
adding new entry "ou=doc,dc=example,dc=com" 
adding new entry "ou=it,dc=example,dc=com"

Данные конкретного пользователя могут быть подготовлены в отдельном файле LDIF. В Пример 4.4, «Данные LDIF для пользователя Tux» пользователь Tux добавляется в новый каталог LDAP.

Пример 4.4. Данные LDIF для пользователя Tux¶

# coworker Tux
dn: cn=Tux Linux,ou=devel,dc=example,dc=com
objectClass: inetOrgPerson
cn: Tux Linux
givenName: Tux
sn: Linux
mail: tux@example.com
uid: tux
telephoneNumber: +49 1234 567-8

Файл LDIF может содержать произвольное количество объектов. Возможно сразу отправить полные ветви каталога на сервер или только его часть, как показано в примере для конкретных объектов. Если требуется менять отдельные данные достаточно часто, то рекомендуется использовать для этого отдельную часть одиночного объекта.

# coworker Tux
dn: cn=Tux Linux,ou=devel,dc=example,dc=com 
changetype: modify
replace: telephoneNumber 
telephoneNumber: +8 1234 5 67-10

ldapmodify -x -D cn=Administrator,dc=example,dc=com -W -f tux.ldif

ldapsearch -x -b dc=example,dc=com "(objectClass=*)"

ldapdelete -x -D cn=Administrator,dc=example,dc=com -W cn=Tux \
Linux,ou=devel,dc=example,dc=com

More complex subjects (like SASL configuration or establishment of a replicating LDAP server that distributes the workload among multiple slaves) were omitted from this chapter. Find detailed information about both subjects in the OpenLDAP 2.4 Administrator's Guide—see at OpenLDAP 2.4 Administrator's Guide.

The Web site of the OpenLDAP project offers exhaustive documentation for beginner and advanced LDAP users:

Printed literature about LDAP:

The ultimate reference material for the subject of LDAP are the corresponding RFCs (request for comments), 2251 to 2256.