Muokataan sivua OpenLDAP:n käyttöönotto

Siirry navigaatioon Siirry hakuun
Varoitus: Et ole kirjautunut sisään. IP-osoitteesi näkyy julkisesti kaikille, jos muokkaat. Jos kirjaudut sisään tai luot tunnuksen, muokkauksesi yhdistetään käyttäjänimeesi ja saat paremman käyttökokemuksen.

Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.

Nykyinen versio Oma tekstisi
Rivi 1: Rivi 1:
{{jakeluspesifinen}}
yum install openldap openldap-devel nss_ldap openldap-clients openldap-servers <br>


[[OpenLDAP]]:n käyttöönotto vaatii muutamien ohjelmapakettien asennuksen. Fedorassa paketit saa asennettua komennolla
Luo ldap rootin salasana:<br>
yum install openldap openldap-devel nss_ldap openldap-clients openldap-servers
slappasswd<br>
Muista [[Paketinhallintajärjestelmä|paketinhallintajärjestelmistä]] löytynee jokseenkin samannimiset paketit.


==Käyttöönotto palvelinkoneessa==
Ota talteen kryptattu salasana. Liität sen slapd.conf tiedostoon seuraavaksi.<br>
*Luo [[ldap]]-rootin salasana seuraavalla komennolla ja ota se talteen.
slappasswd


*Muokkaa <tt>/etc/openldap/slapd.conf</tt> tiedostoa seuraavasti:
Muokkaa /etc/openldap/slapd.conf tiedostoa:<br>
database bdb
database bdb<br>
suffix "dc=kapanen,dc=jee"
suffix “dc=kapanen,dc=
rootdn         "cn=ldapservu,dc=kapanen,dc=jee"
rootdn “cn=ldapservu,dc=kapanen,dc=
rootpw {SSHA}aiemminmuistiinottamasikryptattusalasana
rootpw {SSHA}aiemminmuistiinottamasikryptattusalasana<br>


*Käynnistä [[ldap]]:
Käynnistä ldap:<br>
service ldap start
service ldap start<br>
tai
/etc/init.d/ldap start


*Voit myös määrittää [[ldap]]:n käynnistymään koneen käynnistyessä automaattisesti, [[Fedora|Fedorassa]]:
Määritä ldap käynnistymään bootin yhteydessä:<br>
chkconfig ldap on
chkconfig ldap on<br>


*Tuo root ldapiin:
Tuo root ldapiin:<br>
grep root /etc/passwd > /etc/openldap/passwd.root
grep root /etc/passwd > /etc/openldap/passwd.root<br>


Tuo käyttäjät (esim. oppilas) ldapiin seuraavalla tavalla:
Tuo oppilas ldapiin:<br>
grep oppilas /etc/passwd > /etc/openldap/passwd.ldapusers<br>
grep oppilas /etc/passwd > /etc/openldap/passwd.ldapusers<br>


*Luo ja tuo ldapmalli ldapiin (huomaa >>, jotta et kirjoita edellisen päälle):
Luo ja tuo ldapmalli ldapiin (huomaa >>, jotta et kirjoita edellisen päälle):<br>
useradd ldapmalli
useradd ldapmalli<br>
passwd ldapmalli
passwd ldapmalli<br>
grep ldapmalli /etc/passwd >> /etc/openldap/passwd.ldapusers
grep ldapmalli /etc/passwd >> /etc/openldap/passwd.ldapusers<br>


*Muunna tiedostot ldif muotoon:
Muunna tiedostot ldif muotoon:<br>
cd /usr/share/openldap/migration
cd /usr/share/openldap/migration<br>
./migrate_passwd.pl /etc/openldap/passwd.root /etc/openldap/root.ldif
./migrate_passwd.pl /etc/openldap/passwd.root /etc/openldap/root.ldif<br>
./migrate_passwd.pl /etc/openldap/passwd.ldapusers /etc/openldap/ldapusers.ldif
./migrate_passwd.pl /etc/openldap/passwd.ldapusers /etc/openldap/ldapusers.ldif<br>


*Muuta luomissasi *.ldif tiedostoissa dc-kohdat vastaamaan aiempaa verkkomäärittelyäsi (dc=padl tilalle dc=kapanen ja dc=com tilalle dc=jee). Lisäksi muuta root.ldif tiedostossa cn=root tilalle slapd.conf-tiedostossa määrittämäsi nimi (cn=ldapservu).


*Luo domainin määritykset sisältävä tiedosto /etc/openldap/kapanen.jee.ldif (huomaa tyhjä rivi erottamassa dn-osat)
Muuta luomissasi *.ldif tiedostoissa dc-kohdat vastaamaan aiempaa verkkomäärittelyäsi <br>
dn: dc=kapanen,dc=jee
(dc=padl tilalle dc=kapanen ja dc=com tilalle dc=jee). <br>
dc: kapanen
Lisäksi muuta root.ldif tiedostossa cn=root tilalle slapd.conf <br>
description: Root LDAP entry for kapanen.jee
tiedostossa määrittämäsi nimi (cn=ldapservu).
objectClass: dcObject
objectClass: organizationalUnit
ou: rootobject


dn: ou=People,dc=kapanen,dc=jee
Luo domainin määritykset sisältävä tiedosto /etc/openldap/kapanen.jee.ldif (huomaa tyhjä rivi erottamassa dn-osat)<br>
ou: People
description: All people in organisation
objectClass: organizationalUnit


*Tuo tarvittavat domainin määritykset luovat tiedostot ldapiin (anna ldapin rootin salasana kysyttäessä):
dn: dc=kapanen,dc=jee<br>
ldapadd -x -D "cn=ldapservu,dc=kapanen,dc=jee" -W -f /etc/openldap/kapanen.jee.ldif<br>
dc: kapanen<br>
ldapadd -x -D "cn=ldapservu,dc=kapanen,dc=jee" -W -f /etc/openldap/root.ldif<br>
description: Root LDAP entry for kapanen.jee<br>
ldapadd -x -D "cn=ldapservu,dc=kapanen,dc=jee" -W -f /etc/openldap/ldapusers.ldif<br>
objectClass: organizationalUnit<br>
ou: rootobject<br>
<br>
dn: ou=People, dc=kapanen,dc=jee<br>
ou: People<br>
descripton: All people in organisation<br>
objectClass: organizationalUnit<br>
<br>


'''Huom!''' Mikäli ensimmäisellä kerralla domain-määritykset sisältävässä tiedostossa on virheitä ja ne korjattuasi saat komennon uudelleen antaessasi virheen: <tt>ldap_add: Already exist (68)</tt>, niin anna komennossa lisäoptio -c jolla saat komennon läpi:
Tuo tarvittavat domainin määritykset luovat tiedostot ldapiin (anna ldapin rootin salasana kysyttäessä):<br>
ldapadd -x -D "cn=ldapservu,dc=kapanen,dc=jee" -W -c -f /etc/openldap/kapanen.jee.ldif
<br>
ldapadd -x -D “cn=ldapservu,-f /etc/openldap/root.ldif<br>
ldapadd -x -D “cn=ldapservu,dc=kapanen,dc=-W -f /etc/openldap/ldapusers.ldif<br>


'''HUOM!''' Avaa LDAPia varten palomuuriin portti 389 tcp ja udp.<br>
Huom. Mikäli ensimmäisellä kerralla doain määritykset sisältävässä tiedostossa on virheitä ja ne korjattuasi saat komennon uudelleen antaessasi virheen: ldap_add: Already exist (68), niin anna komennossa lisäoptio -c jolla saat komennon läpi:<br>
.ldif<br>


==Käyttöönotto asiakaskoneessa==
HUOM!!! Avaa LDAPia varten palomuuriin portti 389 tcp ja udp.<br>


*Fedorassa anna komento system-config-authentication (asenna se tarvittaessa yum install authconfig-gtk), rastita kohta Enable LDAP support (jätä md5 ja shadow kohtaan rastit), valitse Configure LDAP ja laita palvelimen IP ja Base DN. Tee sama Authentication välilehdessä.
Asiakaskoneessa:<br>


*Reboot ja kirjaudu tunnuksella joka palvelinosiossa määritettiin (esim oppilas jota ei löydy asiakaskoneesta, mutta ldapista kylläkin -> toimii).
Anna komento system-config-authentication (asenna se tarvittaessa yum install authconfig-gtk), rastita kohta Enable LDAP support (jätä md5 ja shadow kohtaan rastit), valitse Configure LDAP ja laita palvelimen IP ja Base DN. Tee sama Authentication välilehdessä.<br>


*Voit myös kirjautua ssh:lla joltakin toiselta koneelta asiakaskoneeseen (jossa siis ldap-kirjautuminen valittu) vain ldap-serveriin määritetyllä tunnuksella. Saat virheilmoituksen puuttuvasta kotihakemistosta:
Reboot ja kirjaudu oppilas tunnuksella (jota ei löydy asiakaskoneesta, mutta ldapista kylläkin -> toimii).<br>
Could not chdir to home directory /home/oppilas: No such file or directory
-bash-3.00$<br>


Voit mountata kotihakemistot palvelimelta osoitteessa: http://fedoranews.org/mediawiki/index.php/How_to_setup_and_maintain_OpenLDAP_server_for_your_network#Bonus:_Exporting_LDAP_users_home_folders_with_NFS<br>
Voit myös kirjautua ssh:lla joltakin toiselta koneelta asiakaskoneeseen (jossa siis ldap-kirjautuminen valittu) vain ldap-serveriin määritetyllä tunnuksella. Saat virheilmoituksen puuttuvasta kotihakemistosta:<br>
 
Could not chdir to home directory /home/oppilas: No such file or directory<br>
-bash-3.00$<br>
 
Voit mountata kotihakemistot palvelimelta osoitteessa:<br>
http://fedoranews.org/mediawiki/index.php/How_to_setup_and_maintain_OpenLDAP_server_for_your_network#Bonus:_Exporting_LDAP_users_home_folders_with_NFS<br>
olevan ohjeen mukaisesti.
olevan ohjeen mukaisesti.
[[Luokka:Ohjeet]]
[[Luokka:Verkko]]
Wikin materiaali on kaikkien vapaasti käytettävissä Creative Commons 3.0 - nimi mainittava -lisenssin alaisuudessa. TEKIJÄNOIKEUDEN ALAISEN MATERIAALIN KÄYTTÄMINEN ILMAN LUPAA ON EHDOTTOMASTI KIELLETTYÄ!

Muokataksesi tätä sivua vastaa alla olevaan kysymykseen (lisätietoja):

Peruuta Muokkausohjeet (avautuu uuteen ikkunaan)

Tällä sivulla käytetty malline:

Noudettu kohteesta ”https://www.linux.fi/wiki/OpenLDAP:n_käyttöönotto