So installierst du OpenLDAP Server unter Debian 10
LDAP oder Lightweight Directory Access Protocol ist ein offenes und standardisiertes Anwendungsprotokoll für den Zugriff auf und die Pflege von Verzeichnisinformationsdiensten.
LDAP ist ein Internetprotokoll, das andere Anwendungen wie E-Mail und andere Anwendungen, die eine Authentifizierung erfordern, nutzen, um Informationen vom Server abzurufen.
OpenLDAP ist eine Open-Source-Implementierung des LDAP (Lightweight Directory Access Protocol), die vom OpenLDAP-Projekt entwickelt wurde. Es wurde unter einer eigenen BSD-ähnlichen Lizenz namens OpenLDAP Public License veröffentlicht.
In diesem Tutorial zeigen wir dir Schritt für Schritt, wie du OpenLDAP auf Debian Buster 10 installierst.
Voraussetzung
Für diese Anleitung werden wir OpenLDAP auf Debian 10 mit 1 GB RAM, 25 GB freiem Speicherplatz und 2 CPUs installieren.
Was werden wir tun?
- FQDN einrichten
- OpenLDAP-Pakete installieren
- Basisbenutzer und Gruppe erstellen
- Neuen Benutzer anlegen
- Grundlegende LDAP-Befehle
Schritt 1 – FQDN einrichten
Zunächst richten wir den FQDN (Fully Qualified Domain Name) des OpenLDAP-Servers ein. Wir verwenden den FQDN „ldap.hakase.com“ für unsere Installation.
Füge mit dem folgenden Befehl eine neue Konfiguration zur Datei „/etc/hosts“ hinzu.
echo "10.5.5.35 ldap.hakase.com ldap" | sudo tee -a /etc/hosts
Setze nun den Hostnamen des Servers auf „ldap“.
sudo hostnamectl set-hostname ldap
Melde dich danach vom Server ab und wieder an und überprüfe den Hostnamen und FQDN mit dem folgenden Befehl.
hostname hostname -f
Damit hast du den FQDN auf Debian Buster 10 erfolgreich eingerichtet.
Schritt 2 – LDAP-Pakete installieren
In diesem Schritt installieren wir die OpenLDAP-Pakete und richten das LDAP-Administratorpasswort auf dem Debian-System ein.
Installiere die Pakete slapd und ldap-utils mit dem unten stehenden apt-Befehl.
sudo apt install slapd ldap-utils
Während der Installation wirst du nach dem LDAP-Admin-Passwort gefragt. Gib dein sicheres Passwort ein und drücke die Eingabetaste.
Wiederhole dein Passwort und drücke erneut die Eingabetaste, um fortzufahren.
Und schon sind die OpenLDAP-Pakete auf dem Debian-System installiert.
Als Nächstes überprüfst du die ldap-Installation mit dem folgenden Befehl.
slapcat
Als Ergebnis erhältst du die OpenLDAP-Installation mit deinem Standard-FQDN des Servers.
Außerdem kannst du deine ldap-Installation mit dem folgenden Befehl „ldapwhoami“ überprüfen.
ldapwhoami -H ldap:// -x
Und du bist mit dem OpenLDAP-Server als „anonymer“ Benutzer durch einfache Authentifizierung verbunden.
Schritt 3 – Neuen Basisbenutzer und neue Gruppe erstellen
In diesem Schritt erstellen wir einen neuen Basis-DN (Distinguished Name) für den Benutzer und die Gruppe der LDAP-Installation über die LDIF (LDAP Data Interchange Format) Konfigurationsdatei.
Wir erstellen einen neuen Basis-DN für Benutzer und Gruppen. Alle Benutzer werden unter der ou (OrganizationalUnit) mit dem Namen „people“ und alle Gruppen unter der ou mit dem Namen „groups“ geführt.
Erstelle nun eine neue Datei „base.ldif“ mit dem Vim-Editor.
vim base.ldif
Ändere den detaillierten Domänennamen „dc=hakase,dc=com“ durch deinen eigenen und füge ihn ein.
dn: ou=people,dc=hakase,dc=com objectClass: organizationalUnit ou: people
dn: ou=groups,dc=hakase,dc=com
objectClass: organizationalUnit
ou: groups
Speichern und schließen.
Importiere nun den Basisbenutzer und die Gruppe mit dem Befehl „ldapadd“.
ldapadd -x -D cn=admin,dc=hakase,dc=com -W -f base.ldif
Gib dein LDAP-Administrator-Passwort ein und du erhältst das unten abgebildete Ergebnis.
Der Basisbenutzer und die Gruppe wurden erstellt. Überprüfe sie mit dem folgenden Befehl.
ldapsearch -x -LLL -b "dc=hakase,dc=com"
Jetzt erhältst du den Basisbenutzer „people“ und die Basisgruppe „groups“.
Schritt 4 – Einen neuen Benutzer erstellen
Nachdem wir den Basisbenutzer und die Basisgruppe erstellt haben, legen wir einen neuen Benutzer für unsere LDAP-Installation an.
Zuerst generieren wir das verschlüsselte LDAP-Passwort mit dem OpenLDAP-Passwortprogramm „slappasswd“ (siehe unten).
slappasswd
Gib nun das neue Passwort für deinen Benutzer ein und wiederhole den Vorgang. Als Ergebnis erhältst du ein verschlüsseltes LDAP-Passwort (siehe unten).
Als Nächstes erstellst du eine neue ldif-Datei „user.ldif“ mit dem Editor vim.
vim user.ldif
Ändere den Benutzer „olaf“ und das userPassword mit deinem eigenen und füge die Konfiguration ein.
Step 5 - OpenLDAP Basic Commanddn: uid=olaf,ou=people,dc=hakase,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: olaf
sn: Olaf
userPassword: {SSHA}DX0BCCDmy7MzciI2vh6ymbywEmth6CQL
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/olaf
dn: cn=olaf,ou=groups,dc=hakase,dc=com
objectClass: posixGroup
cn: olaf
gidNumber: 2000
memberUid: olaf
Speichern und schließen.
Als nächstes importierst du den neuen Benutzer mit dem Befehl ldapadd in unser LDAP.
ldapadd -x -D cn=admin,dc=hakase,dc=com -W -f user.ldif
Gib dein LDAP-Administrator-Passwort ein und du erhältst das untenstehende Ergebnis.
Als Ergebnis wurde ein neuer LDAP-Benutzer namens „olaf“ erstellt.
Schritt 5 – Grundlegende LDAP-Befehle
In diesem Schritt lernst du einige grundlegende LDAP-Verwaltungsfunktionen über die Befehlszeile kennen.
– Alle Objekte auf dem Basis-DN anzeigen
Um alle Objekte auf dem Basis-DN anzuzeigen, führe den folgenden Befehl ldapsearch aus.
ldapsearch -x -LLL -b "dc=hakase,dc=com"
Jetzt erhältst du Details zu allen Objekten auf deinem Basis-DN.
– Passwort ändern und verifizieren
Um das Passwort eines LDAP-Benutzers zu ändern, führe den unten stehenden Befehl „ldappasswd“ aus und ändere die Details des LDAP-Hosts „admin“ und den Zielbenutzernamen „olaf“ durch deinen eigenen.
ldappasswd -H ldap://10.5.5.35 -x -D "cn=admin,dc=hakase,dc=com" -W -S "uid=olaf,ou=people,dc=hakase,dc=com"
Gib das neue Passwort für den Benutzer „olaf“ ein und wiederhole es, dann gib das admin-Passwort ein.
Damit hast du das LDAP-Passwort für den Benutzer „olaf“ geändert.
Überprüfe das neue Passwort des Benutzers „olaf“ mit dem folgenden Befehl.
ldapwhoami -vvv -h 10.5.5.35 -D "uid=olaf,ou=people,dc=hakase,dc=com" -x -W
Gib das neue Kennwort deines Benutzers ein und du erhältst das unten stehende Ergebnis.
Das neue Passwort für den Benutzer „olaf“ funktioniert.
– Benutzer löschen
Um den Benutzer auf dem LDAP-Server zu löschen, führe den Befehl „ldapdelete“ aus.
ldapdelete -x -W -D 'cn=admin,dc=hakase,dc=com' "uid=olaf,ou=people,dc=hakase,dc=com"
Gib das LDAP-Admin-Passwort ein und du hast den Benutzer erfolgreich gelöscht.
Die OpenLDAP-Installation auf Debian Buster 10 ist damit erfolgreich abgeschlossen.